オンライン詐欺の苦情、ランサムウェアの事案、フィッシング情報——スロベニアの国家サイバー対応センターには、こうした報告が絶え間なく届きます。十数名のアナリストからなるチームが、これらを日々選別・処理しています。公的機関ARNESでSI-CERTを統括するGorazd Božič氏は、Span Cyber Security Arenaカンファレンスにおいて対面でのインタビューに応じ、その業務について語りました。Božič氏が1994年にスロベニアCERT設立の原案をARNES幹部に提出してから、同センターは現在年間約6,000件のインシデントを記録するまでに成長しています。これは10〜15年前の約300件から大きく増加した数字です。
インシデントのトリアージ手順
SI-CERTでは、三つのトリアージラインを運用しています。一つ目は、金銭的被害や詐欺被害を主としたオンライン詐欺などのルーティン報告を処理するラインです。警察への通報や銀行への苦情申立てといった選択肢をアドバイスするという、直線的な対応フローを取っています。二つ目は、より深刻なインシデントを扱うラインで、シニアアナリストが技術的な詳細を精査し、確認すべきツールやログを判断したうえで、報告者や関係各所と連携します。三つ目は、フィッシング報告を専門に処理するラインです。もともとはすべてを一つのフローで対応していましたが、業務量の増加に伴い三ラインに分割することで処理効率を高めました。
各ケースは、ENISA(欧州連合サイバーセキュリティ機関)のセキュリティインシデント参照分類体系をもとに、独自のサブカテゴリを加えた形で分類されます。アナリストはサービス拒否攻撃、非特権アカウントの侵害、ランサムウェアといったインシデントの種別を記録し、被害者のセクターと自由形式のタグを付与します。これらのデータがセンターの統計情報として活用されます。
ゆっくりと成長した公的機関のチーム
1994年にBožič氏がスロベニアの学術・研究ネットワーク責任者に提案したことを機に、SI-CERTは同公的機関の一部門として発足しました。クロアチアもCARNETという形で同様の経緯を歩んでいます。発足当初は3名のメンバーがすべての業務を担っていましたが、成長とともに専門化が進み、マルウェア分析、デジタルフォレンジクス、脅威インテリジェンスといった分野の担当者が加わりました。現在も小規模なチームで、約13名が在籍し、今年中に15名体制を目指しています。全員がCERTの業務に有給の正規雇用として従事しています。
民間セクターの信頼獲得
1990年代から2000年代にかけて、各国政府はCERTにほとんど関心を向けていなかったため、センターは自力で民間企業への価値を証明する必要がありました。転機となったのは2012年頃、銀行への攻撃を想定したサイバー演習「Cyber Europe」です。政府省庁が複数の銀行を招待したことで、銀行側はSI-CERTがフィッシングサイトのテイクダウンなどの作業を代行できると知りました。これは銀行単独では人員も知見も不足していた業務です。銀行セクターとの信頼関係が築かれた後、成熟度の高いエネルギーセクターや通信セクターも続きました。現在はNISおよびNIS2指令により、重要または重要性の高い事業者にはインシデント報告が義務付けられていますが、Božič氏は法的義務よりもセンターが提供する支援の価値を前面に押し出すことを重視しています。
あるスロベニアの発電所を訪問した際のエピソードも語りました。施設のスタッフからは「SCADAや制御システムを知らないのに、どうやって支援できるのか」と問われたそうです。彼の答えは、攻撃の一般的な侵入口に関するものでした。発電所への攻撃の多くは、制御系と接続されたWindowsシステムへの感染から始まります。そこで彼はスタッフに、施設に何名のマルウェアアナリストが在籍しているかを尋ね、おそらくゼロだろうと答えを推測しました。単一企業が専門家を常時待機させても、費用対効果が合いにくいためです。
政府からの資金援助により、SI-CERTはマルウェア分析ラボを維持し、発電所に対して自社システムへの影響を判断するためのレポートを提供することができます。Božič氏によれば、センターの役割は今も監査機関や法執行機関の一部門と誤解されることがあり、この認識のギャップを埋めることは継続的な課題となっています。
警察との協力体制
SI-CERTとスロベニア法執行機関が初めて連携したのは1998年のことです。当初は役割分担や管轄をめぐって摩擦もありましたが、現在は円滑に協力が進んでいます。警察は優れたデジタルフォレンジクス部門を有し、とりわけモバイルデバイスの解析に強みを持っています。一方、IPv6トラフィックの追跡やパッシブDNSレコードの解析といった高度なネットワーク知識やマルウェア分析については、SI-CERTの知見を頼りにしています。
Božič氏が例として挙げたのは、昨年発生したAnatsaの事案です。これは銀行口座から資金を窃取するAndroidマルウェアファミリーを用いた事件で、SI-CERTはレジデンシャルプロキシの側面を分析しました。あるケースでは、スロベニアの被害者の銀行口座から資金が失われ、スロベニアのIPアドレスからログインして送金が行われたことが判明しました。早朝の家宅捜索で発見されたのは、IT知識を持たないセルビア人の建設作業員でした。彼はトリエステのカフェで知り合った男性からわずか10ユーロのHDMIドングルを購入し、フットボールチャンネルを視聴しようとして自宅のデバイスに接続したところ、犯罪者が賃貸するレジデンシャルプロキシネットワークに知らぬ間に組み込まれていたのです。Božič氏はその日の後半、Shadowserver Foundationのデータをもとに作成したスロベニア国内のプロキシ分布図を発表する予定でした。
混乱したインシデントから得た教訓
対応計画や事業継続方針、有効なバックアップが整っている組織であっても、深刻なインシデントには必ず混乱の要素が伴います。SI-CERT自体も、調整の場に加わることでその負担を増やす一因となります。現場に有能なチームが存在する場合、解決はスムーズに進み、センターは助言役にとどまることができます。一方、問題が生じるのは、インシデントが発生して初めてそれを真剣に考え始め、危機対応のPR体制も持たず、記者から問い合わせが来るや否や否定へと走るような企業の場合です。Božič氏は「インターネット上では、いずれ真実が明らかになる」と付け加えました。
対応時の関係者の動機の違いについても語りました。経営陣はできるだけ早くシステムを復旧させたいと考えますが、センター側は侵入口、攻撃ベクタ、拡散経路を把握することを優先します。システムの復旧作業は証拠を消滅させる可能性があり、業務が回復した後は被害組織が情報を共有する意欲が低下する傾向があります。フォローアップ、最終報告書の作成、最後の情報収集——これらが小規模チームにとって最も難しい部分です。あるルーターの侵害事案では、協力的だった管理者がリモートで証拠を収集することに同意しておきながら、その後に「マシンを初期化して再構築した」という短いメッセージを送ってきたこともあったそうです。
予算の圧力とAIへの懐疑
SI-CERTは毎年予算の正当性を説明し、増額を求め続けています。NIS指令、DORA(デジタル運用強靭性法)、CRA(サイバーレジリエンス法)はいずれも加盟国に対して有資格スタッフへの資金提供を求めていますが、実際には選挙のたびに新たな担当者に対して同じ説明を繰り返す状況が続いています。CRAは9月下旬から適用が開始され、その後も追加規定が続く予定で、デジタルフォレンジクスとは異なるスキルを持つ別チームを必要とする脆弱性対応業務が加わることになります。その担当者を育成するには複数年にわたる計画が必要です。
AIに関しては、Božič氏は完成品として販売される自動化セキュリティオペレーションセンターに懐疑的な立場をとっています。アナリストはアラートの意味を正確に理解する必要があり、その知識を身につけるには時間がかかると指摘します。
現在のAIブームを、かつて幅広い問題を解決すると約束しながら結局限定的な役割に落ち着いたブロックチェーンの熱狂(約10年前)に例えました。EUの戦略文書に「AIを活用したセキュリティオペレーションセンターのネットワークがヨーロッパのサイバー盾となる」という一文があったことを紹介し、「どのセンターが? どの基準で? どのAIが?」という疑問を投げかけたものの、回答は得られなかったと述べました。民間セクターへのメッセージは終始一貫していました。「CERTは支援するために存在し、情報は機密として扱い、1989年以来のコミュニティ基準に従い、各ケースに必要な情報のみを求める」というものです。
翻訳元: https://www.helpnetsecurity.com/2026/06/03/gorazd-bozic-si-cert-cyber-incident-response/
