SQLインジェクションの脆弱性、企業が問われる2つの責任とは

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

この記事では、XSS(クロスサイトスクリプティング)と並ぶ、Webアプリケーションの代表的脆弱性といえる「SQLインジェクション」について解説します。

XSSとSQLインジェクションの違いや、SQLインジェクション攻撃が実際に行われるまでの手口、セキュリティ会社がどのようにSQLインジェクションの脆弱性の有無を判断しているかなどを解説します。また、SQLインジェクションを放置した責任を企業が問われた裁判の判決も紹介し、最後にSQLインジェクションの対策方法を考えます。

SQLインジェクションとは

「SQLインジェクション」とは、データベースを操作する「SQL」という言語を悪用して、Webアプリケーションの入力フィールドに悪意のあるSQL文を入力するなどして行うサイバー攻撃のことです。SQLインジェクション攻撃によって、なりすまし、Webサイトの改ざん、あるいはデータを盗んだり破壊したりといったことが可能になります。

XSSとSQLインジェクションの違い

もうひとつの代表的な脆弱性であるXSSは、Webサイトにアクセスしているユーザに対して攻撃を行います。一方、SQLインジェクションは、攻撃対象がユーザではなくデータベースです。データベースに登録されている全てのデータが攻撃対象になり得るという点で、SQLインジェクションの方が、被害が発生した場合の規模がより大きくなる傾向があります。管理者にとって見つかったらとても嫌な脆弱性のひとつです。

SQLインジェクション攻撃が行われる仕組み

SQLとはデータベースを操作するための言語です。MySQL、PostgreSQL、Oracleなど、さまざまなデータベースで広く使われており、これらのデータベースは、すべてSQLインジェクションの攻撃を受ける可能性があります。

「Shodan(ショーダン)」というちょっと変わった検索エンジンでは、Webサイトのコンテンツではなく、インターネットに存在するコンピュータやIoT機器を探せるのですが、このShodanで「sql」と検索すれば、サーバヘッダに「SQL」が入ったコンピュータやサーバの一覧が山ほどリストアップされます。

サイバー攻撃者は、しばしばこうした情報をもとに標的を探し出し、一覧の中から、SQLインジェクションの脆弱性が放置されているサーバをさまざまな方法で絞り込み、攻撃を実行します。

脆弱性診断の現場でSQLインジェクションはどのぐらい見つかるのか

弊社が実施しているWebアプリケーション脆弱性診断の2020年上半期統計(14業種延べ533企業・団体。4596システムの診断結果)では、SQLインジェクションは、検出される全脆弱性(システム全体の83.9%)のうち1%ほどとなっています。被害が発生した場合のインパクトが極めて大きな脆弱性ですので、これは決して小さい数字であるとは言えません。

SQLインジェクションを検出する方法

一般的なやり方としては、入力フィールドに本来許可してはいけない文字列を設定した場合にWebアプリケーションがどう反応するか、といったことを観察し、SQLインジェクションの脆弱性の有無を診断します。こうした文字列を「診断文字列」と呼ぶことがあります。ちなみに、SQLインジェクションの脆弱性が存在する場合に、個人情報の取得ができるかどうかまでを実際にやってみるのがペネトレーションテストです。

SQLインジェクションの脆弱性を突かれた被害事例、企業が負う2つの責任

SQLインジェクションの脆弱性への対策を怠った結果、Webサイトが攻撃を受けて被害が発生してしまった場合、企業はどのような責任を負うことになるのでしょうか。

運営責任

あるショッピングサイトの被害事例からご紹介しましょう。このサイトでは、SQLインジェクションによる攻撃を受け、クレジットカード情報を含む最大10万件の個人情報が漏えいしました。その結果、営業停止による機会損失に加え、顧客に対する賠償用買い物ポイントの付与、お詫び状送付、被害者対応、インシデントの調査などに多くの費用がかかりました。

これは、欠陥を含むシステムを運営していた代償であり、「運営責任」を問われたかたちです。

開発責任―東京地裁判決より

続いて、運営責任ではなく、システムの「開発責任」を問われた例として、2014年にあった裁判の判決(平成23年(ワ)第32060号)をご紹介します。

とある企業の依頼で開発、納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性が存在し、その結果、不正アクセスによる情報漏えい事故が発生しました。開発を依頼した側の企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として裁判に訴えました。東京地方裁判所はそれを認め、開発会社には約2,200万円の損害賠償支払いが命じられました。

SQLインジェクションはより過失度が大きい脆弱性

情報漏えいとは? 代表的な原因や求められる対応策」で解説していますが、どんな情報が漏えいしたかによって、情報漏えいの深刻度は異なります。たとえば、メールアドレスとセットでそれに紐付くパスワードも漏えいしていたとしたら、メールアドレスのみが漏えいした場合と比べ、事態はより深刻です。

そして、データベースに保存されるのは重要な情報ですから、そこを攻撃対象とするSQLインジェクションは、対策の優先順位が非常に高い脆弱性だといえます。対策を怠り、事故を招いた場合、社会やユーザからは非常に厳しい目が向けられるでしょう。

たとえば、納品したオンラインショッピングのシステムにSQLインジェクションの脆弱性が存在していたら、上述のように債務不履行、納品物の瑕疵とみなされ、SQLインジェクションの脆弱性を放置したままWebサイトを運営していたら、管理義務を果たしていないとみなされる可能性があるのです。

さらに言えば、Webサイトの開発責任が他社にあり、他社から賠償を受けられたとしても、Webサイトの運営側ではエンドユーザに対してなんの申し開きも立ちません。たとえばこれは、食中毒を出したレストランが、顧客に対して「傷んでいた食材を納品した卸業者が悪い」と言えないのと同じことなのです。

SQLインジェクション対策

重要な情報が集まるデータベースは、守るべき優先度がきわめて高く、SQLインジェクション対策としてさまざまな取り組みが行われています。

まず、DevSecOpsの考えのもとでセキュアコーディングを行ったり、開発段階で脆弱性が作り込まれていないかソースコード診断を行ったりすることは、コストパフォーマンスの高い、きわめて有効な対策です。

さらに、近年、SQLインジェクションをはじめとするWebアプリケーション脆弱性に対処する仕組みが、アプリケーションやミドルウェア、開発環境側で整いつつあります。脆弱性のあるWebアプリケーションへの悪意ある通信をブロックするWeb Application Firewall(WAF)の普及も進んでいます。

2021年現在、最新のアプリケーションと開発環境を用いて新規にWebアプリケーションを開発するなら、たとえセキュリティを意識せずに開発に取り組んでいたとしても、SQLインジェクションの脆弱性が作り込まれることは少なくなってきているといえるでしょう。

しかしながら、すべての開発会社が最新の環境で開発を行える、ということはありません。DevSecOpsも、開発の考え方としてはまだ新しく普及はこれからという面があり、また、ソースコード診断を行うことができるような予算やスケジュールを確保できないことも多いでしょう。さらに、開発やリリース時点では脆弱性が存在しなかったとしても、Webサイトの機能追加や新しい攻撃手法の発見等によって、脆弱性は日々新たに生み出されていきます。

こうした実情に対して有効なのは、Webアプリケーションの定期的な脆弱性診断です。SQLインジェクションによるリスクを考えると、これはサイトを運営するならばぜひとも実施すべき対策、といえるでしょう。

まとめ

  • SQLインジェクションとはデータベースを操作する「SQL」という言語を悪用して行うサイバー攻撃、あるいはその脆弱性のことです。
  • Webサイトにアクセスしているユーザを狙うXSSと違って、Webサイトに登録済みのデータを狙うSQLインジェクションでは、より規模の大きい被害が発生する傾向があります。
  • 多くのデータベースではSQL言語が使われており、それらのデータベースはすべて潜在的にSQLインジェクションの攻撃を受ける可能性があります。
  • SQLインジェクション攻撃では、大規模な個人情報漏えいが起こる可能性が高く、そうなった場合、企業は運営責任を問われます。
  • SQLインジェクションの脆弱性を作り込んでしまった会社に損害賠償を命じる判決が下されたこともあります。
  • 最新の環境で開発を行えば発生しづらくなってはいるSQLインジェクションですが、リスクはゼロではありません。定期的な脆弱性診断は有効性の高い対策と考えてよいでしょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

金融機関はサイバー攻撃を前提とした備えを
―リスクを最小化するセキュリティ対策―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2020年は世界的に急拡大した新型コロナウイルス感染症(COVID-19)の影響を受け、デジタルトランスフォーメーション(DX)の進展やテレワークの急激な普及など、企業を取り巻く環境は著しく変化しました。急激な環境の変化により、強固なセキュリティ対策が必須な金融機関においても被害報告が増加しています。そこで今回は、金融機関に焦点をあて、最新の攻撃事例に触れつつ、その対策と予防策をご紹介いたします。

テレワークの採用など急激な業務体系の変化は人々に不安を与える一因となるだけでなく、十分なセキュリティ対策が伴わない場合、攻撃者に隙を与えてしまいます。昨今のサイバー攻撃は多様化、巧妙化しており、攻撃手法も日々進化しています。それに対抗するセキュリティ対策はどうでしょうか。とりわけ機密情報を多く取り扱い、安定的なサービス提供が要求される金融機関は、サイバー攻撃のリスクを経営上のトップリスクの一つと捉え、強固なセキュリティを実現すべく取り組んでいますが、それでも被害は起こっています。

金融機関を狙うサイバー攻撃

新型コロナウイルス感染症(COVID-19)の流行が世界的に急拡大した2020年2月から4月にかけて、金融機関を狙ったサイバー攻撃が238%増加したとの調査結果があります。このうちランサムウェア攻撃は、同じ期間で約9倍増加したとのことです。実際、過去12カ月の間にサイバー攻撃が増えていると回答した金融機関は8割に上っています。*9

金融機関におけるサイバー攻撃の脅威と被害例には、以下のようなものがあります。

出典:日本銀行「サイバーセキュリティの確保に向けた金融機関の取り組みと課題 -アンケート(2019年9月)調査結果-」(2020年1月)
https://www.boj.or.jp/research/brp/fsr/data/fsrb200131.pdf

約400の金融機関を対象に日本銀行が実施したサイバーセキュリティに関するアンケート結果によると、昨今のサイバー脅威の主な動向として、ランサムウェア攻撃の凶悪化とDoS・DDoS攻撃規模の拡大化が挙げられています。*10

ランサムウェア攻撃の凶悪化

身代金として金銭を得ることを目的としたランサムウェア攻撃について、独立行政法人情報処理推進機構(IPA)は、従来の攻撃に「人手によるランサムウェア攻撃」と「二重の脅迫」という新たな手口が加わったと注意を呼び掛けています。*11

【従来の攻撃と新たな攻撃の比較イメージ】

出典:IPA「事業継続を脅かす 新たなランサムウェア攻撃 について ~「人手によるランサムウェア攻撃」と「二重の脅迫」~

特に、「人手によるランサムウェア攻撃」は、従来の明確な標的を定めず無作為に感染を試みる攻撃とは異なり、より大金を得られるよう、組織だけでなくシステムや情報といった明確な“獲物”に狙いを定めて実行されます。新たなランサムウェア攻撃では、標的型サイバー攻撃全般で使用される攻撃手口が用いられることが考えられると、IPAは注意を呼び掛けています。

新しいタイプのランサムウェアについては、「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にもまとめていますので、あわせてご覧ください。

標的型サイバー攻撃の脅威

金融機関や決済サービスを標的としたサイバー攻撃は増加の傾向にあり、国内でも2020年8月から9月にかけて大規模な銀行口座不正利用が発生しました。その被害は、11の銀行で200件以上、被害総額は2,800万円以上にのぼると報告されています。*12オンライン取引の増加、サービスの電子化や政府主導のキャッシュレス決済の推進、クラウドサービスやAIのさらなる活用といった様々な環境変化によって利用者側のユーザビリティが高まる一方で、標的型サイバー攻撃の脅威は常に組織を脅かしています。例えば、世界中の金融機関に攻撃を仕掛けることで有名な“国家支援型”攻撃グループ「APT38」(「Lazarus」や「Hidden Cobra」とも) *13が、2020年、新たなマルウェア「BLINDINGCAN」を使用していることが発見されました。*14

ニューノーマル浸透に対するセキュリティ課題

さらに、新型コロナウイルス感染症(COVID-19)の影響を受け、金融機関でも政府の呼び掛けにより在宅勤務対応が急速に広まりました。先に紹介した日本銀行による調査*15でも、大手銀行のすべて、地方銀行の約半数が在宅勤務制度を設けていることが分かりました。在宅勤務というニューノーマルが浸透していく一方で、内部システムへの接続環境や業務に利用する端末(私用端末含む)、情報の授受方法(メール、ファイルダウンロード/アップロード、USB等の記憶媒体利用など)、Web会議サービスの利用、職員への教育……といったセキュリティ対策の様々な課題が浮き彫りになっています。

金融機関のセキュリティ対策における課題について、これまで当社が複数の地銀様・信金様よりお聞きしたところでは、共通して下記の問題点が確認されています。

1)十分に精通した専門家がいるわけではなく、対応要員の確保ができない
2)取引先・外部委託先まで含める必要があり、範囲が拡がる一方で対応が追いつかない
3)攻撃の複雑化・巧妙化に伴って対応も高度化しているため、コスト負担が非常に大きい
4)クラウド利用は増加の一途だが、そのセキュリティ対策まで十分に手が回らない

攻撃を前提としたセキュリティ対策へ

サイバー攻撃の昨今の傾向を鑑みると、完全な防御は難しいといえます。そのため、予防的対策に加えて攻撃発生を想定した対策とリスク評価が重要となります。攻撃の防御に努める一方で、万が一攻撃を受けた場合にも被害を最小限にとどめる必要があります。求められる対策には、例として以下が挙げられます。

・基本的なセキュリティ対策の実施
 (例)
 -OSやソフトウェア等のアップデートならびにセキュリティパッチの適用
  -セキュリティ診断の定期的な実施
  -適切なアクセス制御と監視、ロギング
  -定期的なバックアップと安全な保管 -推奨されるセキュリティ設定の適用 など
・攻撃回避と検知能力の向上
  (例)
  -悪用されうる機能やサービス等の無効化
  -ネットワーク分離
  -高度な機能を持つセキュリティソリューションの導入
  -監視とログ分析の強化 など
・業務継続の視点からのセキュリティ対策
  (例)
  -コンティンジェンシープランの整備
  -リスクの可視化
  -訓練・教育の強化
  -対策の実効性確認 など

標的型攻撃リスク診断 SQAT®APT デモ動画

セキュリティ対策の実効性を確認するには、訓練や演習、定期的なセキュリティ診断が効果的です。実際に攻撃を受けた場合に、どこまで被害が及ぶのか、対応のための体制や仕組みは十分か、といった点を評価できます。マルウェア対策にしても、アンチウイルスソフトをはじめとする対策ソリューションを導入しているからといって完全に安心できるわけではありません。近年ではそれらを掻い潜る攻撃が増加していることも広く知られています。そこで、例えば実際の攻撃を想定したシナリオに基づく疑似的なペネトレーションテストを実施し、より現実的なリスクを可視化するという方法があります。当社のお客様の8割はマルウェア対策ソリューションを導入していますが、その上でペネトレーションテストサービスを利用するのには、こうした背景があるからにほかなりません。

2020年12月、経済産業省より「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」*16が発行されました。サイバー攻撃によって発生した被害への対応は企業や組織の信頼に直接関わる重要な問題であることが強調されており、さらなる対策の強化と徹底が求められています。

参考情報:金融機関向けセキュリティガイドライン等の紹介


■金融分野におけるサイバーセキュリティ強化に向けた取組方針
金融庁
https://www.fsa.go.jp/news/30/20181019/cyber-policy.pdf

■金融機関等におけるセキュリティポリシー策定のための手引書(第2版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000154.php

■金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/004426.php

■金融機関等におけるコンティンジェンシープラン策定のための手引書
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000120.php

■製品分野別セキュリティガイドライン 金融端末(ATM)編
一般社団法人重要生活機器連携セキュリティ協議会(CCDS)
https://www.ccds.or.jp/public/document/other/guidelines/[CCDS]ATM%E7%B7%A8%E5%88%A5%E5%86%8A_%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E6%A4%9C%E8%A8%8E%E5%AE%9F%E8%B7%B5%E3%82%AC%E3%82%A4%E3%83%89_Ver2.0.pdf

■Financial Crime Guideline
FCA(金融行為規制機構)
https://www.handbook.fca.org.uk/handbook/FCG.pdf

■金融分野における個人情報保護に関するガイドライン
金融庁
https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

Botの脅威!
IoT機器を踏み台にする新たなボットネットも登場

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

いろいろな場面で「ボット(Bot)」という言葉を耳にします。今回の記事では、仕事や暮らしを便利にする「良いボット」ではなく、感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用される「悪いボット」について、その感染経路や、攻撃活動の種類、感染予防の対策などを解説します。また、近年問題になっているIoT機器に感染するボットの被害事例を紹介し、IoT機器のメーカーやユーザが実施すべき対策について考えます。

ボット(Bot)とは

「ボット」とは「ロボット」に由来する言葉で、特定の作業を自動で行うプログラムやアプリケーション、機器のことです。iPhoneに搭載されたSiriなどのチャットボットが身近な例として挙げられます。いずれのボットも、プログラムに従ってアルゴリズムやAIで判断を行い、定められたタスクを実行します。

人間の手間を減らし生活を便利にするのが本来のボットの役割ですが、サイバーセキュリティの世界には、コンピュータやネットワークに脅威を与える「悪いボット」がたくさん存在します。ひょっとしたら、この記事を読んでいるあなたのPCの中にも「悪いボット」が隠れているかもしれません。

マルウェア、ウイルスとボットの違い

ボットはマルウェア、ウイルスの一種です。「『マルウェア』とは何か?」の記事で説明したトロイの木馬と同様に、感染したPCにバックドアを作り、PCを外部から遠隔操作可能な状態にします。PCのユーザは感染に気づかないことが多く、ボットオーナーの意のままにPCが操られます。

感染端末への外部からの遠隔操作は、C&C(シー・アンド・シー)またはC2(シー・ツー)などと呼ばれるサーバを通じて行います(C&C、C2とは「Command
and Control:指示と制御」の略です)。

ボットウイルスに感染した端末を「ゾンビPC」と呼ぶこともあります。たとえばDDoS攻撃などに悪用されるボット化した大量のPCのイメージが、ホラー映画に登場するゾンビの群れに似ていることから名付けられたと言われています。

ボットの予防対策と感染経路、検知、駆除

ボットの感染対象は、近年PCだけでなく、スマホやIoT機器にまで及んでいます。感染経路は通常のマルウェアと変わりません。PCやスマホの場合はメールの添付ファイル、URLのクリック、Webサイトの閲覧で感染することもあります。

ボット感染の予防対策は、PCやスマホについてはOSやソフトを最新の状態にアップデートしたり、アンチウイルスソフトを最新の状態にすることが求められます。これも通常のマルウェア対策と変わりません。アンチウイルスにパターンファイルが存在するボットであるなら、検知して駆除することができます。また、「ランサムウェア」の記事で説明したEDRを使うことで、ボットによって実行される攻撃活動を検知できる場合もあります。

しかし、どんなに対策をとっていたとしても、亜種が次々と開発され、攻撃手法も変化し、常にすべてを防げるとは限らない点も通常のマルウェアと一緒です。

スパム送信やDDoS攻撃、ボットの活動の種類

ボットは、宿主であるPCなどの機器のインターネット接続とCPU資源を用いて、スパムメール送信やDDoS攻撃など、コンピュータとインターネットにおけるさまざまな反社会的活動を行います。近年は、スマホアプリの中で動作し、不正や詐欺などを行うボットも存在します。

ボット化した端末が大量に集められ、制御下におかれた状態を「ボットネット」「ボットネットワーク」と呼びます。ボットネットは、スパムメール送信やDDoS攻撃など、規模がものを言うサイバー攻撃のインフラとして悪用されます。単なるトロイの木馬とボットとの違いは、このボットネットを形成するかどうかという点にあります。

近年、IoT機器に感染を広げ形成される、大規模なボットネットが問題となっています。

なぜボットはPCだけではなくIoT機器を狙うようになったのか

2016年、当時セキュリティの歴史上最大と言われたDDoS攻撃を行ったのが、「Mirai」と呼ばれるマルウェアによって形成されたボットネットでした。Miraiの特徴は、ネットワークカメラやルータなど、家庭内のIoT機器を主要ターゲットとしていたことです。なぜ家庭内のIoT機器が狙われたのでしょう。

それは、IoT機器がPCなどと比較して、1)工場出荷時のままで使用されることが多い、2)PCより圧倒的に台数が多い、3)外部からの接続を許容することが多い、という3条件がそろっていることが背景にあります。これらの条件がそろうと、犯罪者は単一の手法で一気に大量の機器を感染させることが可能となり、大規模なDDoS攻撃などを成立させることができるのです。

IoTボットの感染経路:Miraiの場合

悪名高いMiraiマルウェアの場合、Telnetに割り当てられるTCPの23番ポートが開いていないか探索したり、管理画面に辞書攻撃(「ブルートフォース攻撃」の記事を参照)などを行って不正にログインするなどして、ボットがインストールされました。

しかし、これらの感染経路や攻撃の特徴も、日々アップデートされ変化していきます。さすがに、本稿執筆時の2020年時点で、TCP23番ポートの開放は少なくなっており、かわりにUniversal Plug and Play(UPnP)が利用するポートを狙う攻撃などが観測されています。

メーカー/ユーザ別、IoT機器のボット感染対策

IoTボット感染対策としてIoT機器メーカーは、「パスワードをデフォルトで使えないようにする」「telnetが利用する23番ポートやUPnPが利用するポートなど、悪用される可能性があるポートに外部からアクセスできないようにしておく」などの対策を行うことが求められます。また、販売後のサポート体制の一環としてセキュリティパッチを継続して一定期間提供し続けることや、セキュリティパッチの自動適用の機能を搭載するといったことも必要でしょう。

一方、ユーザ側は、まずは「パスワードをデフォルトで使わない」「パスワードを長くする」「メーカーのセキュリティパッチが出たらすぐに当てる」など基本対策が大事です。しかし、セキュリティパッチの適用は一般のご家庭ではなかなか実行が難しいところではないでしょうか。また、TCP23番ポートのインターネットへの開放など、攻撃に悪用される可能性のある設定の修正も推奨されますが、これもまた一般のご家庭での対応は難しいところではないかと思います。

自分でセキュリティパッチが当てられない、設定の変更は難しいといった状況でIoT機器を購入される際は、セキュリティパッチの自動適用機能の有無や、セキュリティ上の懸案事項が出た場合のメーカーの対応などもチェックするとよいでしょう。また、古いネットワークカメラやルータなどのIoT機器については、サポート期限が切れている場合や、セキュリティパッチ自体の提供ができない・終わっているといったものがあります。こういった機器については(特にテレワークで在宅勤務をされている場合には)早急に買い替える必要があります。

IoTボットに狙われる脆弱性の検知事例

SQAT.jpを運営する株式会社ブロードバンドセキュリティは、脆弱性診断ペネトレーションテストをはじめとして、APIIoT機器まで、さまざまなセキュリティ診断サービスを提供しています。

診断対象のTCP23番ポートが外部に向けて開いていたというのは、脆弱性診断で数年前であればたびたび指摘される項目でした。最近ではTCP23番ポートの開放が指摘されるケースはまれですが、代わりにIoT機器がDoS攻撃等の脆弱性がある古いバージョンのファームウェアを使っていたことを指摘するといったケースが出ています。社内で利用するPCやIoT機器に、ボットの侵入や悪用を許す弱点がないかを判断するためには、日頃の基本対策だけでなく、第三者による脆弱性診断やペネトレーションテストが役に立ちます。

まとめ

  • ボットとは、特定の作業を自動で行うプログラムやアプリのことです。チャットボットに代表される「良いボット」とサイバーセキュリティ上の脅威となる「悪いボット」があります。
  • 「悪いボット」はウイルスやマルウェアの一種で、ボットネットと呼ばれる感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用されます。
  • ボットネットは、スパムメール送信やDDoS攻撃など、大規模なサイバー攻撃に悪用されます。
  • 攻撃の容易さや台数が多いことから、PCだけでなくIoT機器を狙うボットが増えています。
  • ボットの感染予防として、他のマルウェア同様、OSのアップデートやソフトウェアを最新に保ち、不要なポートを閉じるなど基本対策が有効です。


Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

セキュリティトピックス動画申し込みページリンクへのバナー画像

狙われる医療業界
―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

いま、医療機関を標的としたランサムウェア攻撃が増え続けています。
足元で顕著になっているのは、攻撃による被害インパクトが大きい特定のシステム・事業を狙い、「より確実に、より高額の」身代金を得ることをもくろむ、手の込んだ持続的な攻撃です。事業継続に直結するシステムや機微情報等が保存されているシステム、事業が中断・停止した場合に甚大な影響をもたらす重要インフラなどが標的にされやすく、医療機関のシステムはその最たるものといえます。本記事では、医療機関を狙うランサムウェアの現状を紹介し、取りうる対策について考えます。

勢いづく攻撃、日本も「対岸の火事」ではない

米国では、2020年秋、数週間のうちに20を超える医療機関でランサムウェア攻撃が確認されました。*17下記にその一部を紹介しますが、パンデミック下で医療現場が逼迫(ひっぱく)する中、追い打ちをかけるように攻撃の勢いが増しているのです。10月末には、米CISA、FBI、米保健福祉省が共同でセキュリティ勧告を発する事態となっています(後述)。

表1:医療機関を狙ったランサムウェア被害(一部)

2020年9月 Universal Health Services(米国の医療サービス最大手)
がシステム停止*2
ニュージャージー州の大学病院が患者データを暗号化
され、一部データを不正に公開される*3
2020年10月 オレゴン州の病院でコンピュータシステムが使用不能に*4
ニューヨーク州の複数の病院でシステムが使用不能に*5

なお、日本では2018年10月、近畿地方の公立病院がランサムウェア攻撃の被害を受け、一部の患者カルテ情報が暗号化されてしまい、診療記録等の参照ができない状況に陥りました。今後攻撃者がターゲットを広げ、米国のように日本国内でも被害が活発化するのは、もはや時間の問題かもしれません。

攻撃者はなぜ医療業界を狙うのか

もちろん、攻撃を受けた場合の被害インパクトが大きい(=高額の身代金を設定し得る)重要インフラとみなされるのは、医療のみではありません。日本では、医療のほか、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、水道、物流、化学、クレジット、石油という、計14分野が重要インフラと位置づけられています。では、なぜ攻撃者は医療業界に目をつけるのでしょう。それは、次のような特徴があるためです。

  • 患者に関する情報はブラックマーケットで特に高額で売買される
  • 「事業の停止が直接生命に関わる」という点が、身代金要求に応じさせるうえでの強力な要因になる
  • 地域医療連携など医療機関同士のやり取りでは、インターネットVPNやインターネット(TLS 1.2)、またはIP-VPN(地域医療連携専用閉域ネットワーク)が採用されており、 連携先の端末のセキュリティ対策がされていない、情報共有が上手くされていないという課題がある
  • 診断・医療に用いられるシステムは多くの場合非常に高額で長期使用を前提として作られており、コスト・技術的理由などから、古いまま使われ続けている傾向がある
  • 情報セキュリティの三要素(C(機密性)、I(完全性)、A(可用性))のうち、医療では可用性が何よりも重視される傾向があり、相対的に他の2要素への対応がおろそかになりがち

また、昨今の医療情報は、患者のデータだけではなく、IoT等の新技術やサービス等の普及により、様々な端末とつながっている場合があり、攻撃者側からすれば、「カネになるビジネス」として狙われるターゲットとなり得ます。

なお、弊社が2020年8月、国内のIT担当者を対象に実施した「脆弱性管理に関するアンケート」の結果では、医療業界は、情報システム部門を持たず別部門の担当者が兼務している状況が他業種よりも顕著で、かつ、情報システム部門を有する場合もその規模が小さいことが明らかになっています。セキュリティへの対応に十分なリソースを避けないという構造的な問題も、攻撃者を引き付ける一因といえるでしょう。

【参考情報】
医療機関では古いシステムが使われ続けている傾向が強い

新型コロナウイルス感染症拡大に伴い利用が急増しているG SuiteやMicrosoft 365については、セキュリティのチェックリストや推奨設定例が公開されていますので、以下にご紹介します。古いシステムが使われ続けているという傾向に関し、医療システムに関する世界最大規模の業界団体HIMSS(Healthcare Information and Management Systems Society)による年次調査の結果を紹介しましょう(下図)。 組織内で何らかの旧式化したシステム(レガシーシステム)を使っている、という回答は、2020年において8割に達しています。最も多いのはWindows Server 2008で50%の組織に存在、昨年サポートが終了したWindows 7は49%、さらに前の世代のWindows XPは35%です。この業界が攻撃者に特に好まれることに納得する結果といえないでしょうか。


「2020 HIMSS Cybersecurity Survey」より
出典:https://www.himss.org/sites/hde/files/media/file/2020/11/16/2020_himss_cybersecurity_survey_final.pdf

なお、身代金目的とは異なりますが、このパンデミック下、ワクチン開発競争を背景に研究情報を狙った国家ぐるみのサイバー攻撃が活発化しているという点も、医療機関に対する攻撃増加の追い風になっているとみられます。

ランサムウェア攻撃の変貌2020

従来のランサムウェアでは、ウイルスを添付したメールのばらまき、悪意あるWebページへの誘導などにより、不特定多数を対象に広範な攻撃を行うことで身代金獲得を狙う、というやり方が主流でした。現在も依然としてそうした形の攻撃は存在しますが、前述のように、「より確実に、より高額の」身代金を獲得することを狙った変化が目につきます。最近のランサムウェアの特徴として指摘されているのは主に次の2点です。

人手による攻撃 ‐標的を定めて周到に準備‐

ランサムウェアを自動化されたやり方で幅広くばらまくのではなく、特定の組織を標的にして手動で侵入を試み、侵入成功後はネットワーク内に潜伏してさまざまな活動を行い、攻撃の成果を最大化することを狙います。こうした人手による攻撃には、APT(Advanced Persistent Threat:持続的標的型攻撃)との類似点が多く、その結果、ランサムウェア攻撃への対策にはAPTと同水準の取り組みが求められるようになっています。

二重の脅迫 ‐より悪質なやり方で被害者を追い詰める‐

「身代金を払え」という脅迫に加え、「身代金を支払わないと機密データを公開するぞ」という脅迫を重ねて行い、支払いを迫ります。実際にデータを公開されてしまったという事例が複数確認されているほか、データが破壊されてしまったケースも出ており、攻撃を受けた場合のダメージの大規模化、深刻化がみられます。 現在、こうした特徴を持つ新しいタイプのランサムウェアがいくつも生み出され、世界各地で猛威を振るっているのです。詳細については「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にまとめていますので、ぜひこちらもあわせてご覧ください。

ランサムウェア対策への取り組み ‐医療情報システムに関するガイドライン‐

先に触れたとおり、ランサムウェア攻撃の活発化を受け、米CISA、FBI、米保健福祉省はセキュリティ勧告「Ransomware Activity Targeting the Healthcare and Public Health Sector」を公表しました。同勧告では、各種ランサムウェアの分析結果を踏まえ、下記のようなベストプラクティスを提示しています。

図:ネットワークセキュリティ・ランサムウェア対策に関するベストプラクティス

Ransomware Activity Targeting the Healthcare and Public Health Sector」より

こうしたベストプラクティスを遂行するうえで重要なのが、ステークホルダー間の効果的な連携です。医療機関では、部門や職務によって異なる企業の製品やサービスが用いられており、システム連携はしばしば複雑です。いま、医療業界が攻撃者の明確な標的となる中、医療機関、および医療機関向けにサービスや製品を提供する事業者は、自らの責任範囲を理解したうえで、これまで以上に緊密な連携を図り、システムのセキュリティ強化に取り組んでいく必要があります。

なお、日本においては、医療情報システムの安全管理に関し、技術・制度的な動向を踏まえてガイドラインの継続的な策定・更新が行われており、現時点で医療機関、事業者のそれぞれを対象とした下記2種が提示されています。責任分界点の考え方や合意形成の考え方など、連携をより効果的にするための課題も取り上げられており、目を通しておきたい資料です。

表2:医療情報システムの安全管理に関するガイドライン

1) 厚生労働省
医療情報システムの安全管理に関するガイドライン」(第5版、2017年5月)
  • 対象読者は、医療情報システムを運用する組織の責任者
  • 医療情報の扱いを委託したり情報を第三者提供したりする場合の責任分界点の考え方を示し、医療システムを安全に管理するために求められる対応を規定
2) 経産省・総務省
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2020年8月)
  • 対象読者は、医療システムやサービスを提供する事業者。なお、医療機関等と直接的な契約関係のない事業者も医療システム等のサプライチェーンの一部として機能している場合、このガイドラインの適用範囲となる
  • 事業者に求められる義務と責任の考え方、医療機関等への情報提供と合意形成の考え方、リスクマネジメントの実践やリスク対応のための手順などを規定

APTと同水準の対策を立て、全方位での備えを

繰り返しになりますが、現在活発化しているランサムウェア攻撃の手口は高度かつ執拗です。守る側には、従来よりも踏み込んだ、APTと同水準の対策が求められます。そこで鍵になるのは、「侵入される」「感染する」ことを前提とした取り組みです。想定される被害範囲をあらかじめ洗い出し、優先順位をつけて対策をとりまとめていくことで、万一攻撃を受けた場合でもその被害を最小化することが可能になります。

なお、こうした対策を立てるにあたっては、セキュリティ専門企業が提供しているサービスもうまく活用しましょう。たとえば、想定される被害範囲を把握する際は、システムへの擬似攻撃等をメニューに含んだサービスを利用すると、精度もスピードも高められるでしょう。

激化するランサムウェア攻撃から医療システムを守るため、医療機関、関連事業者をはじめとするステークホルダーが連携し、全方位的なセキュリティに取り組むこと。それは、日々現場で闘う医療者を支えるための社会的ミッションともいえるでしょう。


Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

DXとセキュリティ

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

今回は、デジタル技術を活用して経済にイノベーションをもたらすDXと、そのセキュリティについて考えます。「DX」と「IT化」との違いや、日本企業のDXを阻害すると考えられている「2025年の崖」とは何か、そして、政府によるDX推進のための補助金などを紹介します。

また、DXと歩みを同じくするように進化を続けるサイバー犯罪に対応するための心構えについても、今回は考えてみたいと思います。

DXとは

DXは、Digital
Transformation(デジタルトランスフォーメーション)
の略称です。Trans(トランス)には「交差する」という意味があり、「Trans」を「X」と表記することがあるため(「X」は線が交差しているから)、「DT」でなく「DX」と略されます。

DXとは、デジタル技術を活用してビジネスやサービスを変革し、イノベーションを推進することです。

単なる「IT化」と「DX」の違い

これまでの「IT化」は、既存のビジネスにITを導入することによって、「効率化」「省力化」「高速化」を行いました。既存のビジネスプロセスや商習慣は大きく変わることなく、IT技術はあくまで「手間を減らすため」「少ない人数でできるようにするため」「以前よりも速くするため」に奉仕する存在でした。

一方でDXは、従来の方法を単に強化してサポートするだけではなく、デジタル技術が生み出すイノベーションによって、全く新しいビジネスモデルを生み出す点が異なります。

レガシーに足を取られて前進できない~DXを阻む「2025年の崖」とは

経済産業省は2018年、「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」と題した報告書を公開し、日本経済のDXを阻害する要因に対して警鐘を鳴らしました。「2025年の崖」とは、過去の「IT化」によって生み出されたシステムのメンテナンスに予算と人員がとられて、日本経済が停滞してしまうという予測です。

森喜朗首相(当時)によって「IT革命」が叫ばれた西暦2000年頃、NHFを代表とするシステムインテグレータ企業は、日本企業の複雑かつときに奇怪にすら見えたビジネス慣習に、いかに寄り添って微細にカスタマイズをして納品するか、その腕前を競い合いました。こうして複雑にカスタマイズされたシステムが年を経て技術が時代遅れになり、ブラックボックス化して機能追加もままならなくなり、管理も属人化してしまいました。

経産省のレポートでは、こうした新しい価値を生まないシステムの維持のために、IT投資の9割が使われ、それによって日本経済が停滞すると予測しています。まさに砂漠に水を撒き続けるような状態です。

技術的な負債となり得るIT投資

(出典:経済産業省「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」)

あなたの会社が今やろうとしていることは、このようなIT投資になっていないでしょうか。DXを進める際に注意したいポイントです。

DXの成功事例、Uberは何が革新的だったのか

配車サービスのUberは、DXの成功事例のひとつといえるでしょう。乗り合いサービスを提供したいドライバーと利用者をマッチングするアプリは、世界各国で使われています。GPSと地図、マッチングと評価の機能、Uberが用いているのは特段新しい技術ではありません。Uberが行ったのは、新しいビジネスモデルの創出なのです。

一方でUberは、ロンドンやニューヨークをはじめとする世界中で、タクシー業界を壊滅させるサービスとして猛反発を受けています。既存の業界やビジネスプロセス、商習慣に対して、ときに破壊的インパクトを与えるのもDXの特徴のひとつといえるかもしれません。

2025年の崖にも、DXによる解決方法はきっとあるはずです。

税金や補助金など、DX優遇あれこれ

人口減少社会に突入した日本経済の起爆剤として、政府はDXを強力に推進しています。2020年10月には、大手経済紙が、2021年度の税制改正で、DXを進める企業への税制優遇策を政府が検討していると報じました。

税制優遇は詳細がまだ明らかにはなっていませんが、その他にも「IT導入補助金」「DX認定制度」など、DXを推進するためのさまざまな施策が政府の後押しで行われています。あなたの会社でも利用できるものがあるかどうか、一度調べてみてもいいかもしれません。なお、2020年度の「IT導入補助金」交付申請締め切りは、2020年12月18日17時です。

革新が進むサイバー攻撃

残念ながら、サイバー攻撃もまた、DXによってイノベーションが進んでいます。これまでもサイバー攻撃は進化を続けてきましたが、サイバー犯罪にも質的変化や革新が起こりました。

たとえばランサムウェアは、1989年に初めて発見され、長らくパッとしないサイバー犯罪のひとつとして存在し続けていました。しかし2013年、身代金受け取りにビットコイン等の仮想通貨を用いるというビジネスモデルの刷新によって、一転「収益を生むサイバー犯罪」に変わりました。近年、暗号化して人質にしたデータの復号だけでなく、データを一般公開すると脅し二度金銭を要求したり、大事なデータをオークションで販売するなど、ランサムウェアは悪質化の一途を辿っています。

「DX with Cybersecurity」、SQAT.jpが考える3つのキーワード

内閣サイバーセキュリティセンター(NISC)は、報告書「サイバーセキュリティ2020 」の中で、「DX with Cybersecurity」として「サイバーセキュリティ対応能力の効果・効率を向上させるためにDXを推進する」と記載しています。

なかなか難しい「DXとセキュリティ」というテーマではありますが、SQAT.jpとしてあえて3つのキーワードを挙げてみましょう。

1.担当者だけではない

デジタル技術そのものが新しい価値と利益を生み出すDXでは、セキュリティは情報システム部門やセキュリティ部門、あるいは品質管理部門や経営企画だけが担えばよいものではなく、すべての部門が自分事として取り組む必要があります。事業会社であるなら、たとえ間接部門に所属していても全部署の人が利益を考えて活動しなければならないことと同じように、全社員がセキュリティを考えて動く必要があります。

2.能動的セキュリティ

これまでセキュリティは、攻撃を未然に防ぐよう対策を行い、万一事故が発生したらそれを受けて対応するのが常でした。しかしこれからのDX時代は違います。企画段階からセキュリティバイデザインで要件定義を行い、将来脆弱性を生まないように、コード診断を行いながらDevSecOpsで開発をスピーディに進めるなど、先手先手でセキュリティの試みを能動的に行うようになるでしょう。「シフトレフト」があたりまえになって、その言葉すらなくなるかもしれません。

3.持続・継続性

DXによって生み出されるサービスの多くでは、「新時代の石油」と呼ばれる「データ」、つまり、位置情報や決済情報、健康情報等と結びついた個人情報が、渦となって集積することになるでしょう。セキュリティを担保する活動を定常的に行い続けることが、DX時代の企業の新しい存在意義のひとつになると考えられます。そこでは、クラウドの活用や自動化の推進、優秀な人材の確保が欠かせません。また、SQAT.jpが提唱してきた「セキュリティのかかりつけ医」的な会社との関係を構築することも鍵になるのではないでしょうか。

DX時代もセキュリティの本質は変わらない

DX時代、セキュリティ業務はその対象をIoTやAPIにまで拡大し、その方法も様変わりしていくことが予想されます。しかし、脆弱性診断で隠れたセキュリティホールを探したり、脆弱性が報告されたらすばやくパッチをあてたり、日々パスワード管理を行ったりするなど、安全を守るための活動を日々積み重ねていくことの重要性に変わりはありません。

DXの時代はむしろ、全社にセキュリティの重要性が認識され、受け身だった仕事に能動的な側面が増えることで、セキュリティの業務の価値がいっそう高まっていくでしょう。

まとめ

  • DXとは、デジタル技術を活用してビジネスにイノベーションをもたらすことです。
  • 既存のビジネスにITを導入するだけの「IT化」とDXは異なります。
  • 複雑にカスタマイズされてブラックボックス化した既存システムは企業のDXを阻害します。
  • 政府は優遇税制や補助金などを用意してDXを推進しています。
  • サイバー犯罪もまた革新と進化を続けています。
  • しかしDX時代とはいえ、セキュリティ業務の本質は何ら変わるものではありません。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

診断結果にみる情報セキュリティの現状
~2019年下半期 診断結果分析~

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2020年春夏号

BBSecの診断について

当社では、Webアプリケーション、ネットワーク(プラットフォーム)、スマホアプリ、IoT、パブリッククラウド、ソースコード、標的型攻撃に対するリスク可視化等、様々な局面における診断サービスを提供することで、お客様のニーズにお応えしている。

当社の脆弱性診断サービスは、専門技術者による高精度の手動診断と独自開発のツールによる効率的な自動診断とを組み合わせ、検出された脆弱性に対するリスク評価について、右表のとおりレベル付けしている。お客様のシステム特性に応じた脆弱性の検出、リスクレベルの評価、個別具体的な解決策の提供が適切に行えるよう、高い頻度で診断パターンを更新し、診断品質の維持と向上に努めている。

2019年下半期診断結果

当社では、2019年7月から12月までの6カ月間に、14業種延べ537企業・団体、4808システムに対してシステム脆弱性診断を行った。情報セキュリティ対策に重きを置く企業・組織側の姿勢もあり、診断案件数は年々増加している。脆弱性の検出率は以下のとおりである。

脆弱性診断脆弱性検出率2019年下半期

診断の結果、Webアプリケーション診断では、脆弱性が検出されたシステムが全体の81.5%と、前年同期(2018年下半期)の84.9%に比べて微減しているものの、依然として高い割合である。ネットワーク診断においては、脆弱性検出率はシステム全体の47.8%であり、2017年下半期以降、減少傾向にあるが、およそ半数のシステムに何らかの脆弱性が検出されている。

検出された脆弱性のうち、早急な対処が必要な「高」レベル以上のリスクと評価された脆弱性は、Webアプリケーションでは26.9%、ネットワーク診断では30.4%検出されている。前年同期比(2018年下半期「高」レベル検出率:Webアプリケーション27.6%/ネットワーク診断 17.8%)でいうと、Webアプリケーションはほぼ横ばいだったが、ネットワークは12.6ポイント増えておりリスクレベルの高い脆弱性が増加傾向にある。当サイトでは、
「2019年下半期カテゴリ別脆弱性検出状況」
とし、当社診断で検出された脆弱性を各性質に応じてカテゴライズし、評価・分析をした結果をまとめた。以降、診断カテゴリごとに検出数が多かったものの中から、特筆すべきことに焦点を当ててリスクや対策を述べる。

Webアプリケーション診断結果

Webカテゴリ結果の31.4%を占める「システム情報・ポリシーに関する問題」のうち、最も検出数が多かったのは、「脆弱なバージョンのOS・アプリケーションの使用」である。脆弱なバージョンのOS、アプリケーションを使用している場合、既知の脆弱性の影響を受ける可能性がある。最新バージョンへのアップデートが望ましいが、システム環境における制約等の理由でバージョンアップができないのであれば、必要なセキュリティパッチがすべて適用されていることを確認すべきである。

次にWebカテゴリ結果の検出割合が多かったのは、19.7%を占める「セッション管理に関する問題」。最も検出されたのは、「不適切なセッションタイムアウト」であった。ログインセッションのタイムアウト値が適切に設定されていないと、長時間操作を行わずアイドル状態のままでもセッションが維持されることから、セッションハイジャック等の攻撃が成功する確率が高まるほか、サービス運用妨害(DoS)攻撃につながる可能性もある。セッションタイムアウトは、Webアプリケーションのデフォルト設定として一般的に採用されている30分が望ましいが、ユーザビリティを考慮してタイムアウト値を長くする場合は、追加のリスク緩和策を講じることが推奨される。

ネットワーク診断結果

NWカテゴリ結果の52.3%が「通信の安全性に関する問題」であった。なかでも、「推奨されない暗号化方式の受け入れ」(検出割合は右表を参照)の検出数がトップであり、第2位の「推奨されないSSL/TLS通信方式の使用」と比べて2倍以上の差がある。

サーバがブロック長64ビットのブロック暗号をサポートしている場合、誕生日攻撃(birthday attack)を介して長い期間暗号化されたセッションを復号・解読される「SWEET32」と呼ばれる攻撃の影響を受ける可能性がある。「NVD(National Vulnerability Database)」などに本脆弱性の影響を受ける製品は公表されており、ベンダからも正式な対策が公開されていて、ベンダ情報を参照のうえ対策することが望ましい。

SSL/TLS通信において、強度の低い暗号化方式(RC4、3DESなど)が許容されていると、既知の脆弱性を悪用した攻撃(平文回復攻撃など)により、攻撃者に暗号化されたデータが解読される危険性がある。また、強度が低いハッシュアルゴリズム(SHA-1など)が許容されていると、衝突攻撃に弱くなり証明書の偽造等が可能となる恐れがある。鍵長が128ビット未満の暗号方式については、総当り(Brute-Force)攻撃への耐性が低く、中間者(Man-in-the-Middle)攻撃などの標的になりうる。強度の低い暗号化方式やハッシュアルゴリズムは使用を停止し、SSL/TLSによる通信の保護には鍵長が128ビット以上の暗号化方式を実装するべきである。SSHプロトコルにおいても、攻撃者に暗号文を解読される恐れがあるため、脆弱な暗号化方式およびハッシュアルゴリズムを許容しないことが望まれる。


カテゴリ別の検出結果詳細についてはこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

自動車ハッキングの今

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2019年10月号掲載

自動車業界のトレンドは「Connected(コネクティッド化)」「Autonomous(自動運転化)」「Shared/Service(シェア/サービス化)」「Electric(電動化)」の頭文字をとった「CASE」という言葉に集約されつつある。自動車は外部ネットワークと繋がり、新しい価値が創出されようとしているが、販売されている自動車の多くはセキュリティ対策が不十分なため、ハッキングの脅威に晒されている。


車載ネットワーク「CAN」

自動車内には主に四種類のサブネットワークが存在している。エンジンやブレーキの制御をつかさどる「制御系」、ドアやエアコン、シートやミラーを制御する「ボディ系」、カーナビやカーオーディオを制御する「マルチメディア系」、エアバッグなどの安全機能にかかわる部品を制御する「安全系」である。そしてそれらは、多くの車では制御の要となるCAN(Controller Area Network)を中心に、様々な機能を付加する形で車載ネットワークを構成している。

自動車ハッキングにおいて主に狙われるのがこのCANである。CANは1980年代にドイツのボッシュ社で開発された非常にシンプルなプロトコルで、その簡潔性、柔軟性、低コスト性から、今なお多くの自動車で採用されているほか、鉄道、航空機、船舶にも利用されている。

自動車に最も求められるのは、「走る」「止まる」「曲がる」に関する高い安全性であるが、CANは高い電磁ノイズ耐性と早く確実なレスポンス性能を持ち、安全性に対する多くの要求に応えるものだった。

一方で車が外部ネットワークに繋がったことによって、CANはセキュリティに関する多くの問題を抱え、安全性すらも脅かされている。Flex Ray のようなCANに代わるよりセキュアなプロトコルも登場してきているが、その採用は現状ではまだまだ限定的である。

自動車の未来

コネクティッドカーの登場により外部ネットワークに繋がれた自動車は、インターネットを経由した攻撃や、車車間通信を経由した攻撃に晒されている。今後自動運転車が本格的に市場に投入されるようになれば、外部ネットワークへの接続からのリモート操作が人命にかかわる大事故につながる恐れがある。また、EV充電や課金を伴う新サービスの登場により車がクレジット情報を直接的に扱うようになれば、それを狙った犯行の発生も予想される。

Electronic Control Unitの略称。自動車に搭載された様々な機能や装置を電子制御するためのコンピュータ。現在では車載ネットワーク上に100以上のECUが接続されることも珍しくない。

自動車にもセキュリティを考えなければならない時代が来ている。
自動車向けのサイバーセキュリティガイダンスであるSAE J3061*6 を取り入れたり、設計段階からのセキュアコーディング、さらに実車に対する脆弱性診断を実施したりするなど、今後ますます対策が必要になるであろう。

(左)燃料噴射量を調整してエンジンの回転数を増やす操作 (中)(右)燃料計の表示を操作。走行中に操作されればパニックになる可能性があるほか、攻撃のための細工を施した特定の燃料スタンドに立ちよらせるために利用することもできるだろう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像