事例から学ぶサプライチェーン攻撃
-サプライチェーン攻撃の脅威と対策2-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サプライチェーン攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。被害に遭ってしまった場合、情報の窃盗、マルウェアの拡散、さらには全体のサプライチェーンに影響を及ぼす可能性があります。この記事では、サプライチェーン攻撃の手口とリスク、そしてサプライチェーンマネジメントの重要性ついて解説します。

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(業務委託先やグループ会社・関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

企業がサプライチェーン攻撃を受けた場合、その影響は様々あります。最初に侵入された企業から機密情報・顧客データなどの重要情報が漏えいする可能性があります。さらに、攻撃者によってマルウェアやランサムウェアが仕込まれた製品やソフトウェアがユーザに配布されることで、エンドユーザのシステムも危険に晒されます。これにより、企業の顧客やパートナーに対する信頼が損なわれ、ブランドの評判に深刻な影響を及ぼすことになります。

経済的損失もまたサプライチェーン攻撃の影響の一つです。企業が被害を受けてからのシステム復旧までの対応には、莫大な費用がかかります。さらに、法的責任と法令遵守に関する問題も発生します。多くの地域で、データ保護規制が厳しくなっており、機密情報の漏えいは法的な罰則につながる可能性があります。これにより、企業は訴訟リスクに直面し、さらに罰金や制裁の対象となる可能性があります。

サプライチェーン攻撃の手口

サプライチェーン攻撃の手口にはいくつか種類があります。関連組織を起点として攻撃するタイプではなく、そのソフトウェアの開発元を侵害することによってユーザ全体に影響を与えるタイプの攻撃にソフトウェアサプライチェーン攻撃があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーンとは、「ソフトウェア開発のライフサイクルに関与する全てのモノ(ライブラリ、各種ツール等)や人の繋がり」(独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」解説書より)を指します。ソフトウェアを開発・配布・アップデートする際の一連の流れをソフトウェアサプライチェーンと呼び、このソフトウェアサプライチェーンを悪用した攻撃がソフトウェアサプライチェーン攻撃です。

攻撃者は主にソフトウェア開発元やMSP等提供事業者などを狙い、本来のターゲット企業を攻撃するための足掛かりにします。製品自体だけではなく、開発元や提供元が侵害された事例などもあります。

サプライチェーン攻撃のなかでセキュリティが脆弱な企業が狙われるのは他のサプライチェーン攻撃のパターンと同じですが、ソフトウェアサプライチェーン攻撃により、攻撃者に踏み台にされた企業は、被害者であると同時に、ウイルスが仕込まれたソフトウェアを配布するかたちになり、気づかないうちに攻撃に加担した加害者の一部となってしまう恐れがあります。

サプライチェーンリスクとは?企業が直面するリスク

サプライチェーンに関わる企業は様々なリスクに直面しており、これには自然災害やパンデミック(感染流行)といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスク、そしてサイバー攻撃や技術的障害などの技術リスクなどが含まれます。このような予測不可能な事象が起こり、サプライチェーンの流れが中断されてしまった場合、生産の遅延、在庫不足、最終的には収益損失を引き起こす可能性があります。さらに、リスクの重要度は社会経済状況によっても左右されるため、企業は柔軟な対応が求められます。

サプライチェーン攻撃のリスク

サプライチェーン攻撃によるリスクは、企業や組織にとって深刻です。主なリスクには、機密情報の漏えい、データの改ざん、システム障害や業務の停止があります。さらに、ランサムウェアによる身代金要求やブランド価値の低下といった被害も考えられます。これらの影響は芋づる式に広がり、サプライチェーン全体が脅威にさらされることになります。また、サプライチェーンには委託元が委託先(もしくは再委託先)で開発状況を監視できていないという問題もあるため、脅威に晒されています。

サプライチェーン攻撃の事例

事例1:国内大手自動車メーカーの例

サプライチェーン攻撃の代表的な事例としては、国内大手自動車メーカーの例が挙げられます。2022年3月、国内大手自動車メーカーが部品を仕入れている取引先で、マルウェア感染被害によるシステム障害を受けたため、国内の全14工場の稼働を停止する事態に追い込まれました。

日本の会社の約9割は中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。このため、サプライチェーン攻撃は大きな問題となっています。国内大手自動車メーカーの事例は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

事例2:国外ソフトウェア開発会社の例

2020年12月、SolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*1がありました。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えました。

事例3:大手フリマアプリ運営会社の例

2021年4月、コードのカバレッジを測定するツール「Codecov」*2への不正アクセスにより、同ツールのサプライチェーンで多数の組織・企業に被害が出ました。その1つが国内大手フリマアプリ運営会社で、GitHub(社内のコードリポジトリ)に保存された同社のソースコードが取得され、一部の個人情報が外部流出する被害が出ました。

事例4:国内大手保険会社の例

2023年1月、国内大手生命保険社において、顧客情報が漏えいしました。この事件は業務委託先業者が管理するサーバが不正アクセスを受けたことが原因です。漏えいした顧客データには、姓(漢字・カナ)、年齢、性別、証券・保険番号などの情報が含まれていましたが、幸い、これらの情報だけでは個人を特定するのは困難とされ、悪用される可能性は低いと説明されています*3

事例5:メッセージアプリ提供会社の例

2023年11月27日、インターネット広告、イーコマースなどを展開するメッセージアプリ提供会社は、自社のサーバが不正アクセスを受け、運営するメッセージアプリに関するユーザ情報、取引先情報、従業者情報等の情報漏えいが発生したことを公表しました*4。これはメッセージアプリ提供会社と関係会社共通の委託先業者の従業員のPCがマルウェアに感染したことが発端だといいます。同社と関係会社の従業者情報を扱う共通の認証基盤で管理されているシステムへ、ネットワーク接続を許可していたことから、関係会社のシステムを経由し、同社のシステムに不正アクセスが行われたとのことです。

事例6:国内通信会社の提供先企業に不正アクセス、顧客情報が漏えい

2023年11月22日、国内通信会社は、米国Plume Design社とその提携先が提供するメッシュWi-Fiサービスに関連して、サプライチェーン攻撃による顧客情報の漏えいを発表しました*5。この事件は、Plume Design社のモバイルアプリのアクセスサーバが外部から不正アクセスされたことによるもので、国内通信会社の顧客データと関連事業者の保有する個人情報(氏名、メールアドレス)が漏えいしました。

産業用制御システムのセキュリティ

サプライチェーン攻撃の影響が経済的損失や社会的信用の失墜につながることを述べましたが、攻撃者がサプライチェーン攻撃を仕掛けるときに狙うものの一つに産業用制御システムが挙げられます。産業用制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどにおいて用いられ、サプライチェーン攻撃などのサイバー攻撃を受けてしまった場合、社会的な影響や事業継続上の影響が大きいため、サプライチェーンに関わる企業全体でセキュリティ対策へ取り組むことが重要となります。

2022年5月、ドイツ連邦政府情報セキュリティ庁(BSI)が公開した産業用制御システムにおける危険度の高い10種類の脅威とその対策を、独立行政法人情報処理推進機構(IPA)が日本語に翻訳し、同年12月に公開しました。

産業用制御システムのセキュリティ 10大脅威(2022年)

・リムーバブルメディアやモバイルシステム経由のマルウェア感染
・インターネットやイントラネット経由のマルウェア感染
・ヒューマンエラーと妨害行為
・外部ネットワークやクラウドコンポーネントへの攻撃
・ソーシャルエンジニアリングとフィッシング
・DoS/DDoS 攻撃
・インターネットに接続された制御コンポーネント
・リモートメンテナンスアクセスからの侵入
・技術的な不具合と不可抗力
・サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性
参考:https://www.ipa.go.jp/security/controlsystem/bsi2022.html

この10大脅威は、日本国内でも共通の事項が多く、事業者にとってセキュリティ対策への取り組み方を体系的に理解することに役立つとのことです。

まとめ

サプライチェーン攻撃は、企業のサプライチェーンに含まれるセキュリティの弱点を狙ったサイバー攻撃です。この攻撃は、セキュリティ対策が薄い業務委託先や関連企業を通じて、間接的にターゲット企業に侵入します。被害に遭った場合、機密情報や個人情報が漏えいし、企業の信頼とブランド評判が損なわれます。特にソフトウェアサプライチェーン攻撃では、ソフトウェアの開発元が侵害されることで、利用者も危険に晒されます。また、サプライチェーンは自然災害や政治的不安定、技術的障害などにより事業中断を迫られる恐れもあります。

サプライチェーン攻撃によるリスクは企業にとって深刻で、機密情報の漏えい、データの改ざん、システム障害が主な脅威です。そのため、サイバーセキュリティ対策の重要性が増しており、企業はサプライチェーン全体のセキュリティ強化に努める必要があります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

弊社エンジニアによって報告された脆弱性が公開されました(JVN#18715935)

Share

弊社の診断エンジニアによって報告された、株式会社WESEEKが提供する「GROWI」の複数の脆弱性がJVNに公開されました。

概要

JVN#18715935
株式会社WESEEKが提供する GROWI には、複数の脆弱性が存在します。

共通脆弱性識別子(CVE)

■CVE-2023-49598

https://www.cve.org/CVERecord?id=CVE-2023-49598

報告者名

志賀 拓馬

詳細はこちら。
https://jvn.jp/jp/JVN18715935/index.html
https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000123.html
※外部サイトにリンクします。


SQAT®Security Information TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

約90%に脆弱性? BBSec脆弱性診断結果からみえる脆弱性対策のポイント

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、サイバー攻撃は激化し、組織や個人に甚大な被害をもたらしています。情報漏洩やシステム停止など、社会に与える影響は深刻化し、組織存続に関わるリスクにも発展しかねません。増え続ける脆弱性に対処するために、脆弱性対策を実施することが重要です。本記事では脆弱性対策の重要性と実施のためのポイントを解説します。

脆弱性による脅威

近年、ますますサイバー攻撃は巧妙化、高度化しており、組織や個人に甚大な被害をもたらしています。2023年の不正メール、不正サイト、マルウェアといった脅威の検知数が2021年と比較して1.7倍に増加しているとの報告もあり、情報漏洩やシステム停止など、社会全体に与える影響は深刻なものとなっています。JNSAの発表によれば、2016~2018年の個人情報漏洩一人あたりの平均損害賠償額は28,308円にのぼり、大規模な情報漏洩が発生した場合には、企業にとって致命的な損失となる可能性があります。さらに、サプライチェーンにおける取引停止、ブランドイメージ低下、風評被害など、被害は多岐にわたり、組織存続に関わるリスクにも発展しかねません。

このような状況下で、サイバー攻撃から組織を守るために、セキュリティ対策は必要不可欠といえます。組織存続に関わるリスクにも発展するため、サイバー攻撃への対策は必要不可欠といえます。そして、サイバー攻撃への備えとして重要となるのが脆弱性への対策です。脆弱性とは、ソフトウェアやシステムに存在する欠陥であり、攻撃者にとって格好の標的となります。攻撃者は脆弱性を悪用して、システムへの不正アクセス、情報漏洩、ランサムウェア攻撃など、様々な攻撃を実行することが可能となるのです。しかし、脆弱性対策が十分であるとはいいがたい現状があります。

下の図表は弊社のシステム脆弱性診断の結果から、脆弱性の検出率を半期ごとに集計したものとなりますが、過去から常におよそ90%のシステムに脆弱性が存在するという状況が続いています。さらに、2023年下半期ではそのうち17.0%が危険性の高い脆弱性となっています。

弊社診断結果を掲載したレポートの詳細ついては、こちらをご確認ください。

近年のサイバー攻撃インシデントの例

発表時期攻撃概要原因影響
2023年11月*6不正アクセスにより通信アプリ利用者の情報が漏洩一部のシステムを共通化している韓国の企業を通じて不正アクセスが発生通信アプリ利用者の情報およそ51万件が不正アクセスで流出
2023年8月*2内閣サイバーセキュリティセンターが不正侵入被害メーカーにおいて確認できていなかった、電子メール関連システムによる機器の脆弱性が原因令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏洩した可能性がある
2023年7月*3名古屋港統一ターミナルシステム(NUTS)がランサムウェア攻撃により停止したリモート接続用VPN機器の脆弱性から侵入されて、ランサムウェアに感染NUTSシステム障害により、コンテナ搬出入作業停止など港湾の物流運営に支障をきたした

近年の脆弱性情報の例

発表時期CVE対象製品(範囲)影響
2024年2月*4CVE-2023-46805
CVE-2024-21887
Ivanti Connect Secure Ivanti Policy Secure 22系、9系のバージョンが影響を受ける 脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性がある
2023年9月*5CVE-2022-42897
CVE-2023-28461
Array Networksが提供するVPNアプライアンス「Array AGシリーズ」 ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン 2022年5月以降、少なくとも関連する6件のVPN機器におけるリモートコード実行といった攻撃活動が報告されている
2023年7月*6CVE-2023-3519,
CVE-2023-3466,
CVE-2023-3467
NetScaler ADC (旧Citrix ADC) および NetScaler Gateway (旧Citrix Gateway) NetScaler ADC および NetScaler Gateway 13.1 13.1-49.13 より前 NetScaler ADC および NetScaler Gateway 13.0 13.0-91.13 より前 NetScaler ADC 13.1-37.159 より前の NetScaler ADC 13.1-FIPS NetScaler ADC 12.1-55.297 より前の NetScaler ADC 12.1-FIPS NetScaler ADC 12.1-NDcPP 12.1-55.297 より前 クロスサイトスクリプティング、ルート権限昇格、リモートコード実行といった攻撃が発生する可能性がある

脆弱性対策の重要性

ここで今一度、脆弱性とは何なのかを改めて考えてみましょう。脆弱性とは、ソフトウェアやシステムに存在する欠陥のことを指します。プログラムのバグや設計上の欠陥などが原因で発生し、サイバー攻撃者にとって格好の標的となります。そして、脆弱性を悪用されると、攻撃者はマルウェアなどを使ってWebサイトへ不正アクセスし、内部データの盗取、改竄、悪用などが可能になります。その結果、情報漏洩やシステム停止、ランサムウェア感染といった、組織にとって致命的な被害につながる可能性があります。

では、脆弱性をなくせばよいということになりますが、現実的には脆弱性を完全に「なくす」ことは困難です。しかし、「攻撃される的」を減らすことで、リスクを大幅に低減することができます。

これらのリスクを低減するためには、ソフトウェアやシステムのアップデート、セキュリティパッチの適用、脆弱性診断の実施、セキュリティ教育の実施、セキュリティ体制の整備といった対策が重要です。特に、日々変化する脅威に対して、システムのセキュリティ状態を正しく把握するためには、脆弱性診断が効果的です。脆弱性診断を実施することで、システムの脆弱性を洗い出し、適切な対策を実施することが可能となります。システムの状態を知り、必要な対策を怠らないことが、Webサイトやシステムを守ることにつながります。

脆弱性診断を活用した予防措置

攻撃者はより悪用しやすく成果をあげやすい脆弱性を狙ってきます。そうしたことを踏まえ、自組織のWebアプリケーション・システムに脆弱性が存在するのか、また存在した場合どういったリスクのある脆弱性なのかを知り、脆弱性対策を行うことは組織として重要なことです。

脆弱性を悪用したサイバー攻撃への備えとして、BBSecとしては、脆弱性診断を推奨しております。下図の攻撃方法は一例となりますが、影響範囲として機会損失から業務停止まで引き起こされる可能性がある、という実態はどの攻撃方法でも同じです。脆弱性を悪用された場合、どの攻撃方法であってもそういった被害が出る可能性があるため、悪用されやすい脆弱性は早急に対応しなければなりません。

SQAT® Security Reportについて

弊社では年に2回、セキュリティトレンドの詳細レポートやセキュリティ業界のトピックスをまとめて解説する独自レポート「SQAT® Security Report」を発行しています。こちらは弊社で行われたセキュリティ診断の統計データが掲載されていることが主な特徴となります。

SQAT® Security Reportでは、半期のセキュリティ診断で得られたデータから、検出された高リスク以上の脆弱性ワースト10といった情報や、その分析を掲載しています。

2023年下半期高リスク以上の脆弱性ワースト10

他にも、カテゴリ別脆弱性の検出状況や、業界別のレーダーチャートも掲載しております。

2023年下半期Webアプリケーション診断結果業界別レーダーチャート 製造業

過去のバックナンバーもSQAT.jpにて掲載しておりますので、ぜひ、お役立てください。特集記事や専門家による解説などもございますので、併せてセキュリティ向上の一助となれば幸いです。

半期(6か月)毎にBBSec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。

最新号「2024年春夏号」のダウンロードはこちら

SQAT脆弱性診断サービス

Webアプリケーション脆弱性診断-SQAT® for Web-

Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

Webアプリケーション脆弱性診断バナー

ネットワーク脆弱性診断-SQAT® for Network

悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。ネットワークを標的とした攻撃のリスクを低減するため、脆弱性を徹底的に洗い出し、システムの堅牢化をご支援します。システムの導入・変更・アップグレード時のほか、運用中のシステムに対する定期チェックにご活用いただけます。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

ネットワーク脆弱性診断のサービスバナー

ウェビナー開催のお知らせ

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

サプライチェーンとは
-サプライチェーン攻撃の脅威と対策1-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「サプライチェーン」とは、製品やサービスが消費者の手に渡るまでの一連の流れを指します。この流れの中では多くの企業や組織が関与し、互いに密接に連携しています。情報技術製品が対象となるものもあるため、セキュリティの確保が特に重要視されます。この記事では、サプライチェーンの基本的な概念と、サプライチェーンの重要性、そしてサイバーセキュリティとの関連性について解説します。

サプライチェーンとは何か

サプライチェーンとは、製品やサービスが消費者に届くまでの一連の流れやプロセスを指す言葉です。これには、原材料の調達から製造、流通、販売に至るまでのすべての段階が含まれます。

例えば、コンビニチェーンでは生産者や農協などからお米を仕入れ食品工場でオーダー通りのおにぎりを製造します。オーダー通りのおにぎりが完成後、出荷されコンビニエンスストアの店舗に並び、最終的に消費者に届けられます。このように、おにぎりが私たちの手元に届けられるまでには、サプライチェーンを構成する様々なプレーヤーの活動があり、それらが連なって成り立っています。

サプライチェーンの重要性

サプライチェーンは現代のビジネスにおいて不可欠であり、「サプライチェーンがなければ産業は成り立たない」と言えます。一連の流れを効率的に管理することで、生産性が向上し、事業全体の効率化も実現可能です。しかし、各プロセスには多くの企業や組織が関与し、互いに密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。そのため、サプライチェーンはサイバー攻撃などの脅威にさらされており、サプライチェーン全体のセキュリティを確保することは、企業のみならず、社会全体の経済発展にとっても不可欠な要素です。

サプライチェーンが抱える課題

前段で説明したとおり、サプライチェーンは多くの企業や組織が関与し、互いに密接に連携している性質上、複数の固有の課題に直面しています。この課題は製品の開発から配送までの各段階で発生し、サプライチェーンの効率性とセキュリティに直接影響を与えます。

サプライチェーンの規模と煩雑さ

サプライチェーンの各フェーズ(工程)では、異なる企業や組織が連携して活動しており、それぞれが一連の流れの一部を担っています。多岐にわたる組織が絡むことで、全ての組織を完全に把握することは非常に困難です。また、それぞれの組織に対する効果的な監査を実施することもまた、容易ではありません。

コンプライアンスと規制

IT製品は、多様な規制とコンプライアンス要件に準拠する必要があります。製品が他国で製造され、世界中で販売されるなど、グローバル化していることがサプライチェーンをさらに複雑にしています。国や地域によって法規制や業界の基準が異なるため、一貫した品質管理や倫理基準の維持が求められる中、その実現はさらに難しい課題となっています。

これらの課題に対処することは、サプライチェーンの管理において不可欠です。リスク管理などを実施し、適切なセキュリティ対策を実施することが求められます。

ITサプライチェーンとは?

ITサプライチェーンは、ITシステム・サービスの開発・提供を委託する組織(委託元)からITシステム・サービスに関する業務を受託する組織(委託先)の関係性を指し、IT関連の製品やサービスが最終的なユーザに届くまでの一連のプロセスを指します。各プロセスは、ソフトウェア開発者、ハードウェア製造者、配送業者、最終的にこれらの製品を使用するエンドユーザなど、多種多様なアクターで構成されています。重要なのは、これらの要素がどのように連携し、製品やサービスがスムーズに流れるかです。セキュリティの確保、品質管理、コスト削減、納期の厳守など、管理すべき要素は多岐にわたります。

プロセスの定義と役割

出典:IPA「ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査」調査報告書
図 1-5:ITサプライチェーンのイメージ
https://www.ipa.go.jp/security/reports/economics/scrm/ug65p90000019d9g-att/000089968.pdf

・委託元(ユーザ)
 ビジネスニーズに合致する品質と効率性を確保するために、適切な委託先を選定し、管理する
・委託先(ベンダ)
 委託元(ユーザ)から委託された業務を遂行する
・再委託先(2次請け先以降)
 委託先からさらに再委託された業務を遂行する

この相互依存の関係は、製品やサービスが市場の要求に応じて迅速に提供されることを可能にし、同時に、セキュリティや品質の維持にも寄与します。このように、ITサプライチェーンは、技術的な挑戦とビジネスの要求の間でバランスをとるための重要なメカニズムとなります。

サイバーセキュリティとサプライチェーン

サプライチェーンを通じて流れる情報や製品は、サイバー攻撃者にとって魅力的なターゲットです。サプライチェーンの場合、一つの企業で生じた問題がサプライチェーンで関連する企業全体に影響が及びやすいというリスクを抱えています。例えば、委託先企業の一つで最初に火がついた問題は、そこに関連する企業および再委託先企業全体に被害が及び、あっという間にサプライチェーンに関連する企業全体が火だるまとなり得るわけです。そのため、サイバーセキュリティはサプライチェーンにおいて重要な要素の一つです。

このようなサプライチェーンの問題を悪用したサイバー攻撃が「サプライチェーン攻撃」です。サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(業務委託先やグループ会社・関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

サプライチェーン攻撃の脅威

サプライチェーンを通じて流れる機密情報、知的財産、顧客データなどは攻撃者にとっても魅了的なターゲットです。そのため、サプライチェーン全体が常にサイバー攻撃の脅威にさらされています。

サプライチェーン攻撃を受けてしまうと、被害は発端となった一つの企業だけでなく、そのパートナーや顧客にまで及びます。サイバー攻撃は増え続けており、手口も巧妙化しています。さらに国内主体で政治的・軍事的な目的などで情報窃取や重要インフラの破壊活動などを進めている例もあるため、脅威はますます深刻化しています。

参考資料:公安調査庁「サイバー空間における脅威の概況2023

さらにテレワーク環境の業務実施もサプライチェーンのリスクにつながります。IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」によれば、委託元および委託先企業の約半数以上がテレワークに関する社内規定・規則・手順の遵守確認を実施していないと回答したことが明らかになりました。

たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、委託先やその他の関連企業の遵守確認が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

2020年の新型コロナウイルス感染症拡大は、国内外のサプライチェーンにも深刻な障害をもたらしました。内閣府「日本経済2021-2022」の一節にある「サプライチェーンの強靱化に向けた課題」によれば、特に、半導体不足や交通機械産業の部品調達に影響が出たといいます。また、グローバル・バリュー・チェーン(GVC)への参加により中間財の国際的な依存が高まり、輸入先の集中や国際的な納期の長期化が進んでいます。これにより、多くの企業が生産調整を余儀なくされており、サプライチェーンのセキュリティ強化が急務とされています。

サプライチェーンは、生産性の向上や効率化を実現する一方で、サイバーセキュリティの脅威が増大していることなどが大きな問題となっています。サプライチェーン全体でセキュリティを確保することが、優先課題となっています。

まとめ

サプライチェーンは製品やサービスが消費者に届くまでの一連の流れがあるため、効率的な管理は、生産性の向上やコスト削減、事業のスムーズな運営をする上で不可欠です。しかし、多数の企業や組織が連携し、機能している反面、煩雑化しているといった状況です。そのため、リスク状況の把握をするには困難になっています。また、これにはIT製品やサービスなどでは、規制やコンプライアンス要件への遵守が求められるため、グローバル化する中でのサプライチェーン管理はより一層困難になります。

ITサプライチェーンは、IT製品やサービスがユーザに提供されるまでの一連のプロセスがあり、品質管理やセキュリティ、コストの管理など多岐にわたる要素が含まれるため、煩雑化しています。

サプライチェーンの脅威の一つであるサイバー攻撃ではセキュリティ対策が手薄な企業を標的とし、攻撃を仕掛けます。そのため、サプライチェーン全体でセキュリティ対策に取り組む必要があります。

2020年の新型コロナウイルス感染症の流行は、サプライチェーンにも大きな影響を与えました。特に、半導体不足や交通機械産業の部品調達に影響が出たことで、多くの企業が生産調整を余儀なくされました。これにより、サプライチェーンの強化がさらに急務となり、セキュリティの強化やリスクの最小化が課題となっています。

サプライチェーンは、現代ビジネスにおいて不可欠です。サプライチェーンを効率的に運用するためには、適切なリスク管理、セキュリティ対策の実施、法規制の遵守などが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

前倒しで対処 -セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とは-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

シフトレフトとは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。ソフトウェアの開発工程の各フェーズにおいてセキュリティが組み込まれていないと、後工程での手戻りが発生し、修正コストもかかってしまいます。本記事では、シフトレフトによるメリットや開発におけるセキュリティ対策の実施例について解説いたします。

シフトレフト(Shift Left)とは

セキュリティにおける 「シフトレフト(Shift Left)」 とは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。元々この概念は仕様を満たしているか等の検証に対するソフトウェアテストのジャンルで使われていた言葉ですが、近年セキュリティの世界で注目されています。

ソフトウェア開発の主要工程である「設計」→「開発」→「検証」→「運用」の各プロセスは、計画書や図などで、通常左から右に向けて記載されます。図の左側(レフト)、すなわち時間軸の早い段階で脆弱性を作り込まない対策を施した開発を行えば、セキュリティリスクを低減させるだけでなく、品質向上、期間短縮、トータルコスト低減などの効果があります。

セキュアなWebアプリケーション開発を推進する国際NPO「OWASP(Open Web Application Security Project)」もシフトレフトを推奨しており、Googleをはじめとする先進IT企業ではこの考え方を採用したシステム開発を行っています。

シフトレフトの考え方

シフトレフトの考え方では開発工程からセキュリティ診断を組み込むことで、スケジュールに与える影響を最小限に、また計画的かつ定期的に実施頂くことで費用面、人材面のコストを抑えつつセキュリティの堅牢性向上を見込むことができます。

「要件定義」や「設計」等の上流工程の段階からシステム運用までの各フェーズで、セキュリティへの配慮を取り入れることが、より安全なシステムを構築するうえで重要となります。

セキュリティを開発の最終段階で対応したのではすでに遅く、開発プロセスの全フェーズにおいて常にセキュリティ上の課題を先取りして解決しながら進めることが、テストやリリースといった最終段階での手戻りを防ぎ、結果的にトータルコストの削減と品質の向上に寄与します。

「シフトレフト」と「セキュリティ・バイ・デザイン」「DevOps」「DevSecOps」との違い・関係

シフトレフトと関連する言葉に、「セキュリティ・バイ・デザイン」「DevOps(デブオプス)」「DevSecOps(デブセックオプス)」などがあります。

「セキュリティ・バイ・デザイン(SBD:Security by Design)」とは、開発の企画・設計段階からセキュリティを考慮することです。

「DevOps(デブオプス)」は、ソフトウェア開発チーム(Developer)と運用チーム(Operations)が互いに協力し合い、ソフトウェアとサービスのクオリティを向上させます。「DevSecOps(デブセックオプス)」は、開発チームと運用チームに、セキュリティチーム(Security)が加わり、セキュリティを含めトータルコストを低減しつつ、さらなるクオリティ向上を実現する仕組みです。

セキュリティ・バイ・デザインは概念、DevSecOpsは体制運用、そしてシフトレフトは工程管理の考え方ですが、いずれも、事故やトラブルが起こってから、あるいは脆弱性が見つかってから、といった事後対応のセキュリティ対策ではなく、事前対応、すなわち前倒しで実践する点で一致しています。

シフトレフトによって向上する品質

たとえば、ビルを建てた後になってから、建物の基礎部分に問題が見つかったら改修は容易ではありません。また、社会的な信頼も大きく損なうことでしょう。ソフトウェアも同じで、問題発見が早いほど、改修に必要な労力、費用、時間は少なくてすみますし、信用失墜の危険性も軽減できます。

リリース直前の脆弱性診断でWebアプリケーションに脆弱性が発見されたら、手戻り分のコストがかかるだけではなく、リリース日の遅れや、機会損失の発生を招き、ステークホルダーのビジネスにまで影響を及ぼしかねません。シフトレフトの考え方でセキュリティに配慮しながら開発を進めれば、こうしたリスクを低減でき、ソフトウェアの信頼度が高まります。

シフトレフトによるトータルコスト低減メリット

セキュリティに配慮せず開発を行えば、短期的にはコストを抑え、開発期間を短くすることができるでしょう。しかし、リリース後の運用過程で、もしサイバー攻撃による情報漏えいや知的財産の窃取などが起こったら、発生した損失や対応費用など、長期的に見たコストはより大きくなるでしょう。

こうしたトータルコストの低減効果こそ、シフトレフトによるセキュアな開発および運用の真骨頂です。

シフトレフトとは、発生しうるトラブルに事前に備えるということです。病気にならないように運動をしたり、食生活に気をつけたりといった、ごくごくあたりまえのことです。

つまり、これまでのソフトウェア開発は、その当たり前をやっていなかったとも言えます。シフトレフト、セキュリティ・バイ・デザイン、 DevSecOpsという言葉がいろいろな場面で見られるようになったことは、開発現場が成熟してきた現れでもあります。今後、こういった開発プロセスが新常識となっていくことでしょう。

シフトレフトを普及させた裁判の判決とは

ここで、セキュリティ視点でのシフトレフトの考え方を日本に普及させるきっかけのひとつになったとされる、2014年の、ある裁判の判決をご紹介します。

とある企業の開発依頼で納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性があったことで、不正アクセスによる情報漏えい事故が発生しました。依頼した企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として提訴、東京地方裁判所がそれを認め、開発会社に約2200万円の損害賠償支払いを命じました( 平成23年(ワ)第32060号 )。ただし、全面的に開発会社の落ち度としたわけではなく、発注会社側が責務を果たしていない点については、相当程度の過失相殺を認めています。

この判決は、これまで技術者がいくらセキュリティの必要性を説いても首を縦に振らなかった、セキュリティよりも利益を重視していた「開発会社の経営管理層」と、セキュリティよりもコストと納期を重視していた「発注者」の考えを変えるインパクトを持っていました。

将来事故が起こらないよう、トータルコストを抑えセキュリティに配慮した開発を行う有効な方法としてシフトレフトが採用されたのは、ごく自然なことといえるでしょう。

シフトレフトに基づく開発におけるセキュリティ対策の実施例

シフトレフトに基づく開発におけるセキュリティ対策の実施例は以下のとおりです。

●セキュリティ・バイ・デザイン
まず、セキュリティ・バイ・デザインの考え方に基づいて、企画・設計段階からセキュリティを考慮しましょう 。

●セキュアな開発環境
開発は、脆弱性を作り込まないようにするフレームワークやライブラリなど、セキュアな開発環境を活用して行います。

●ソースコード診断
開発の各段階で、プログラムコードに問題がないかを適宜検証するソースコード診断を実施します。

●脆弱性診断
もし、どんなセキュリティ要件を入れたらいいかわからなくても、独立行政法人情報処理推進機構(IPA)などの専門機関がいくつもガイドラインを刊行しています。「このガイドラインを満たすような開発を」と依頼して、それを契約書に記載しておけばいいでしょう。ガイドラインの中身を完全に理解している必要はありません。

リリース前や、リリース後の新機能追加等の際には、必ず事前に脆弱性診断を行います。また、脆弱性が悪用された場合、どんなインシデントが発生しうるのかを、さらに深く検証するペネトレーションテストの実施も有効です。

シフトレフト視点での発注の仕方

シフトレフトは主に開発者側の考え方です。では、ソフトウェア開発を依頼する発注者はどうすればいいのでしょうか。

まず、発注の際には必ずセキュリティ要件を入れましょう。納品されたシステムやWebアプリケーションにセキュリティの問題が発見された際に対応を要求しやすくなります。

もしそれによって見積額が上がったら、トータルコストのこと、シフトレフトというこれからの新常識のことを思い出していただきたいと思います。

・安全なウェブサイトの作り方(IPA)
https://www.ipa.go.jp/security/vuln/websecurity.html

シフトレフトの実現に向けて

とはいえ、今回ご紹介したシフトレフトの考え方が社会に広く普及するまでには、もう少し時間がかかりそうです。

システムライフサイクルの早い工程(シフトレフト)でのセキュリティ対策の実施例の一つに、「ソースコード診断」があります。

実装工程でソースコードに作り込んでしまった脆弱性を検出するのが、「ソースコード診断」です。ソースコード診断では、他の種類の脆弱性診断では検出しづらい潜在的な脆弱性を、
開発ライフサイクルのより早い工程で洗い出すことが可能です。他の脆弱性診断に先駆けて実施されるべき診断と言えます。

セキュアコーディングを実践しつつ、ソースコード診断を効率的に行うためには、自動診断ツールを利用するのも有効です。静的コード解析を行うソースコード診断ツールの選定においては、以下のような点がポイントとなるでしょう。

SQAT.jp を運営する株式会社ブロードバンドセキュリティが、リリース直前のWebサービスに脆弱性診断を行うと、山のように脆弱性が発見されることがあります。

その脆弱性の中には、2014年の裁判で開発会社の債務不履行とされたSQLインジェクションのような、極めて重大なものが含まれていることも多くあります。

業界が成熟し、シフトレフトによるセキュリティ対策が実践されていけば、脆弱性診断というサービスの位置づけ自体が将来変わることすらあるかもしれません。たとえば自動車のような、安全規格に基づいて設計製造された製品における出荷前の品質チェック、あるいは監査法人による会計監査のように、「きちんと行われている前提」で実施する広義のクオリティコントロール活動の一環になるかもしれません。

SQAT.jp は、そんな未来の到来を少しでも早く実現するために、こうして情報発信を行い続けます。

まとめ

・シフトレフトとは上流工程でセキュリティを組み込み、トータルコストを抑えるという考え方
・セキュリティを考慮せずにWebサービスを開発し提供するのは、たとえるなら建築基準法を考慮せずにビルを建ててテナントを入居させるようなもの
・セキュリティをコストととらえ費用を惜しむと、将来的により高い出費を余儀なくされる可能性がある
・シフトレフトによるセキュリティ対策には、セキュリティ・バイ・デザイン、セキュリティ要件の明示、セキュアな開発環境、早期段階から適宜に実施する各種セキュリティ診断等がある

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

侵入前提でのセキュリティ対策のポイント
-サイバー攻撃への対策3-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃の被害から自組織を守るためにはどのような対策をとればよいのか?まずは何から実施すればよいのか?今回の記事では、基本的なセキュリティ対策の考え方から、業界別のセキュリティ対策のポイントやガイドラインを紹介しつつ、リスクを最小化するために有効なセキュリティ対策のポイントを解説いたします。

企業のためのセキュリティ対策

管理・経営者に向けた基本対策

・標的型攻撃メール訓練の実施
・定期的なバックアップの実施と安全な保管(別場所での保管推奨)
・バックアップ等から復旧可能であることの定期的な確認
・OS、各種コンポーネントのバージョン管理、パッチ適用
・認証機構の強化
 (14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
・適切なアクセス制御および監視、ログの取得・分析
・シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
・攻撃を受けた場合に想定される影響範囲の把握
・システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
・CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

また、セキュリティ対策の実践にはガイドラインの活用もおすすめです。ガイドラインがまとめられた背景には業界別のセキュリティ課題があることがわかります。今回いくつかガイドラインを紹介するにあたり、業界別のセキュリティ対策のポイントに触れます。

業界別セキュリティ対策のポイント

「自動車」「医療」「教育」の各業界に着目してみます。各業界のガイドラインがまとめられた背景および目的から、各業界のセキュリティに係る課題がわかります。

自動車  自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進
医  療医療情報システムの安全管理や情報通信の技術の利用に関する法律等への対策
教  育教育情報セキュリティポリシーの考え方および内容について解説

各ガイドラインでは、それぞれの業界における以下のような業務について、外部ネットワークとの接続に言及しています。この外部ネットワークと接続するシステムが、各業界におけるセキュリティ対策のポイントといえるでしょう。

自動車  ITインフラ環境や工場等の制御システムをはじめとして企業が管理する多くの情報システム
医  療外部の医療機関等や患者自身などと医療情報の共有や連携、医療情報の外部保存を行うシステム
教  育学校ホームページや教職員によるメールの活用、学習活動に使用されるシステム

各業界のセキュリティガイドラインの紹介

自動車

自動車産業サイバーセキュリティガイドライン V2.0
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0

医療業界

厚⽣労働省における医療機関のサイバーセキュリティ対策にかかる取組について
医療情報システムの安全管理に関するガイドライン
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

教育業界

教育情報セキュリティポリシーに関するガイドライン

まずはリスクの可視化を

サイバー攻撃への対策において、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは3つあります。

「攻撃・侵入される前提」で取り組む

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

侵入を前提とした多層防御が重要

「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。

情報資産とは
企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやUSBメモリなどのメディア、そして紙の資料も情報資産に含まれます。
(総務省「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」より引用)

組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。

これにより、システムへのマルウェアの侵入等の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。

信頼できる第三者機関の脆弱性診断サービスを実施

企業として実施できるサイバー攻撃への対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

まとめ

管理者や経営者へ向けた基本的なセキュリティ対策の実施項目として、標的型攻撃メールの訓練実施、定期的なバックアップ及びその保管、オペレーティングシステムやアプリケーションのバージョン管理、強固な認証メカニズムの導入、適切なアクセス制御と監視、シャドーITの監査、想定される攻撃の影響範囲の理解、システムのセキュリティ状況の定期的な確認、および全社的なインシデントレスポンス計画の策定と維持等が挙げられます。

さらに、自動車、医療、教育各業界に特有のセキュリティ課題と、それに対応するための業界別ガイドラインを紹介しています。これらのガイドラインは、特に外部ネットワークに接続されるシステムのセキュリティ強化に注目しています。

また、サイバー攻撃への対策として、侵入を前提とした多層防御、情報資産の可視化を推奨します。これにより、万が一侵入を許してしまった場合でも、被害を最小限に留めることが可能です。また、信頼できる第三者機関による脆弱性の定期的な診断を実施することも有効です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

脆弱性管理とIT資産管理
-サイバー攻撃から組織を守る取り組み-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

日々報告される脆弱性に対してサイバー攻撃から自組織を守るために、「脆弱性管理」と「IT資産管理」を適切に実施することが重要です。本記事では、その脆弱性管理とIT資産の目的や必要性またどのように取り組んでいくのかについて解説します。

増え続ける脆弱性

脆弱性は、攻撃者によって利用され、システム侵害の足掛かりとされる可能性がありますので、これに対処することは組織のセキュリティ強化に不可欠です。

システムやソフトウェアに存在するセキュリティ上の弱点である脆弱性は、日々新しく発見・公表されており、その数は増える一方です(下グラフ参照)。脆弱性が報告される製品は、OS、ミドルウェア、アプリケーション、プログラム言語、ライブラリなど多岐にわたり、商用かオープンソースかを問いません。

また、新たな脆弱性ばかりでなく、VPN機器のような広く利用されている製品がアップデートされないまま放置されている、という実情に目をつけられて、古い脆弱性を悪用した攻撃活動による被害が報告される、といったことも少なくありません。

脆弱性管理とその目的

情報資産を守るためには、サイバー攻撃からシステムやソフトウェアを保護する必要があります。そのために重要となるのが脆弱性管理です。脆弱性管理とは、システムやソフトウェアに存在する脆弱性を継続的に把握し、適切な対策を講じることで、セキュリティ上のリスクを低減するための取り組みです。

脆弱性が放置されたままであれば、それを悪用したサイバー攻撃による情報漏洩や改竄、システム停止といった被害が発生し、企業・組織の信用失墜や業務中断による損失、取引先や顧客からの損害賠償請求、個人情報保護法等による罰則などの事態を招きかねません。脆弱性管理は、これらのリスクに適切に対処するための重要な手段となります。

脆弱性管理の必要性

しかしながら、脆弱性対策の予算・人員・時間などのリソースは有限であり、やみくもにすべての脆弱性に対処する、というのは現実的ではありません。無秩序に脆弱性対策をしていては、不必要なコストがかかるばかりでなく、十分な対策を講じられない恐れがあるでしょう。

脆弱性対策は、限られたリソースで的確かつ効率的に行わなければなりません。自組織に存在する脆弱性を的確に把握し、実態に即したリスクごとに優先度をつけて対応する必要があるのです。「脆弱性管理」は、こうした適切な脆弱性対策を実現するための一連のプロセスと言えます。

脆弱性管理のライフサイクル

脆弱性管理の標準的な流れは以下の4つのプロセスになります。

脆弱性管理のライフサイクル画像

各プロセスの概要とポイント

プロセス概要ポイント・留意点
資産の把握・管理IPアドレス、OS/ソフトウェアとバージョン、稼働中のサービスとその状況などを漏れなく記録。・機器・ソフトウェア単体だけでなく、製品に含まれるOSS、プラグインなど、相互の依存関係にも注意。
・常にアップデートできていること、管理外の資産(シャドーIT)がないこと。
脆弱性情報の収集資産管理情報をもとに、自組織に関係する脆弱性情報を収集。・必要に応じて適切なタイミングで実施。
・政府機関や製品ベンダといった信頼できるソースから収集。
脆弱性のリスク評価脆弱性の危険度を確認した上で、自組織への影響を分析し、対応の難易度やコストも勘案して、対応要否・優先度を決定。・まずはCVEなどの脆弱性に関する標準的な指標で各脆弱性の危険度を確認。
・自組織に即した評価としては、①攻撃を受けやすい状況か、②攻撃された場合はどの程度影響があるか、③脆弱性解消に要するリソースはどれくらいか、といった要素をなるべく定量的に分析・評価。
解消策の実行実行計画を策定し、検証環境に適用して問題がなければ、本番環境に適用。・必要な期間の確保、環境の整備、関係者との調整、事業状況の加味などにより、安全・確実に実行できるよう計画。
・適用にあたって発生したトラブルなども含め、作業内容は必ず記録。

脆弱性管理におけるIT資産管理

脆弱性管理プロセスは、資産の把握と管理から始まりますが、ここで、IT資産管理について考えてみましょう。IT資産管理の主な目的は、ライセンス管理やデータ保護によるコンプライアンスの遵守、資産を正確に把握・追跡することによるセキュリティ事故の防止、資産の効率的な使用を管理することによるコスト削減などとなります。

IT資産管理では、組織が所有するすべてのIT資産について、以下のような項目を可視化して管理する取り組みです。

・ハードウェア : PC、サーバ、ネットワーク機器 等
・ソフトウェア : OS、ミドルウェア、アプリケーション 等
・ライセンス情報、購入・保守情報、廃棄情報
・利用者(利用部門)、利用状況

IT資産の把握は、システム担当者より資産情報を取得するというのが一般的でしょう。また、システム構築を委託している場合は委託先に資産情報を確認する必要があります。

方法としては、IT資産管理ツールによって自動化するのがよいでしょう。アプリケーションやクラウドサービスなど、様々なIT資産管理ツールがリリースされていますので、予算や機能に応じて自組織に合うものを選択してください。

脆弱性管理とIT資産管理の連携

IT資産管理を整備・強化すると、先に挙げた脆弱性管理の管理プロセスにおいて、以下のようにIT資産管理を有効に連携させることができるでしょう。

脆弱性管理とIT資産管理の連携画像

両者を連携することで、セキュリティの確保がより確実に行えるようになることがわかります。

適切な脆弱性管理のためのポイント

前段まで脆弱性管理の目的や必要性、プロセス、そしてIT資産管理との連携について確認してきましたが、ここで、適切な脆弱性管理を実現するために必要なポイントについてまとめます。

漏れなく適時に一元管理実態に即した評価と対応プロセスの標準化と見直し
脆弱性管理を統括する部門に情報が集約されていること
資産管理、脆弱性情報に漏れがないこと
資産管理、脆弱性、対応状況といった各情報が常にアップデートされていること 等
脆弱性情報とその解消策が信頼できる内容であること
自組織への影響評価と解消策の要否・優先度の決定が適正に行われること
解消策の実施が安全・確実な方法で行われること 等
脆弱性管理の各プロセスに一貫性があり、組織内で標準化されていること
各プロセスでのトラブル発生時には適宜協議できる状態であること
定期的、あるいは必要に応じて適宜手順の見直しを行うこと 等

“漏れなく”管理するには

ここからは、上記で挙げたポイントのうち、「漏れなく」に焦点を当てていきます。資産情報や脆弱性情報に漏れがあると、どんなにリスク評価や解消策の実施体制を整えていても、結局は非効率かつ不十分な対応結果になりかねません。そのため、IT資産を漏れなく管理することは、脆弱性管理のベースとなる重要なポイントと考えられます。脆弱性管理のライフサイクルでいうと、「資産の把握・管理」プロセスで漏れなく資産情報が収集できているか、「脆弱性情報の収集」プロセスでも漏れなく関連する脆弱性情報が収集できているか、といった点です。

資産の把握・管理:ソフトウェアコンポーネントの管理

見落としがちな資産として、様々な製品に組み込まれているコンポーネントがあります。

■組み込みソフトウェアに起因する脆弱性が問題となった例:

2021年12月 Javaのログ出力ライブラリApache Log4jにおける脆弱性「Log4Shell」公開された*7
悪用されるとリモートコード実行の恐れがあるとして、注意喚起された。
Apache Log4jは国内でも広く利用されているが、様々な製品に組み込まれていることから、国内大手電機メーカーのOT/IoT製品でも影響があることが確認される*2など、脆弱性の影響を受けるシステムの特定が困難だった。
2023年12月Sierra Wireless社の「AirLink」にバンドルされているALEOSや一部のオープンソースコンポーネントについて計21件の脆弱性が特定された*3
リモートコード実行、クロスサイトスクリプティング、DoS、認証バイパスなど深刻度の高い脆弱性が含まれているとのこと。
世界中の政府やインフラなど、ミッションクリティカルな産業で多く利用されているOT/IoTルータであるため、対応不備による影響が懸念される。

OT/IoT機器には、ファームウェア等のソフトウェアコンポーネントが含まれます。これらの機器の脆弱性管理には「ソフトウェア部品表(SBOM)」の活用が有効です。

SBOM (Software Bill of Materials)
特定の製品に含まれるソフトウェアコンポーネントや相互の依存関係の情報などを機械処理できるリストとして一覧化したもの。導入することで、脆弱性対応期間の短縮、ライセンス管理にかかるコストの低減や開発生産性向上などのメリットがある。
参考情報:https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html

SBOMの導入にあたっては、経済産業省より「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 Ver. 1.0」(令和5年7月28日)が発行されていますので、参考にしていただくとよいでしょう。

資産の把握・管理:シャドーITの撲滅

先ほど述べた「”漏れなく”管理する」を実現するためには、管理外の資産、すなわち「シャドーIT」がないようにすることが重要です。

組織が認識していないサーバやアプリケーションが稼働していると、その製品自体が組織のセキュリティポリシーの対象外である可能性があり、パッチ適用などのセキュリティ対応が行き届かず、サイバー攻撃の足掛かりとされる恐れが高まります。そもそもその存在を認識していないため、対策の取りようがない、というところが脅威につながります。

■シャドーITに起因する脆弱性が問題となった例:

2024年 2月著名ブランドや組織のサブドメインを乗っ取る大規模な攻撃キャンペーン「SubdoMailing」が報告*4された。
8,000以上の正規ドメインと13,000以上のサブドメインを使用して、一日あたり最大500万件のスパムメールが送信され、詐欺やマルバタイジングによる攻撃者の収益源に。
根本的な原因は、自組織で管理すべきCNAMEレコード(ドメインの別名を定義する情報)が、放棄されたドメインを指定したまま放置されていたこと。

シャドーITを発見するには、ASM(Attack Surface Management)が有効です(下イメージ)。インターネット上に意図せず公開されている資産がないか確認する手段として活用できます。

一般的なASMの特徴とイメージ

インターネットから直接アクセス可能なIT資産の調査—アタックサーフェス調査を実施するには、各種ASMツールもリリースされていますし、専門家によるサービスも提供されているので、自組織に合った方法でシャドーITの存在有無を検査できる方法を検討することをおすすめします。

脆弱性情報の収集:脆弱性診断で補完

資産の把握・管理が漏れなく適切に実施できたとしても、関連する脆弱性情報の収集に漏れがあっては意味がありません。シャドーITの場合と同様、そもそもそこに脆弱性が存在することを認識できていなかった、ということがないようにする必要があります。とはいえ、脆弱性診断にはそれなりのリソースがかかるため、サイバー攻撃を受けた場合の影響が特に大きいと考えられるシステム(下記例)に関しては、脆弱性管理プロセスの一環として脆弱性診断を実施することを推奨します。

・外部に公開されているネットワークセグメント
・個人情報の取り扱いや決済機能といった重要な処理に係るシステム
・主力業務に直結するミッションクリティカルなシステム 等

ASMや脆弱性診断の実施頻度

漏れのない脆弱性管理を行い、サイバー攻撃から組織を守るためには、ASMや脆弱性診断をできるだけ高頻度で実施するのが理想です。しかし、負荷やコストがかかるため、自組織のセキュリティポリシーやサイバー攻撃の流行、システムの状況などに応じて決めることがおすすめです。業務への支障とリスク低減効果を考慮した上で、自組織にとって現実的な実施頻度を検討しましょう。

BBSecでは

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

詳細・お見積りについてのご相談は、お問い合わせフォームからお気軽にお問い合わせください。お問い合わせはこちら。後ほど、担当者よりご連絡いたします。

SQAT脆弱性診断サービス

自ステムの状態を知る

サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

ウェビナー開催のお知らせ

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

被害事例から学ぶサイバー攻撃対策
-サイバー攻撃への対策2-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

自分の会社がもしもサイバー攻撃を受けてしまった場合、どのような影響があるのか?もし被害に遭ってしまったら、まずどうすればよいのか?今回の記事では、サイバー攻撃の被害事例に着目し、どのような影響やリスクがあるのかについて解説する。

サイバー攻撃を受けるとどうなる?

サイバー攻撃を受けてしまうと、情報漏洩、システム停止・事業継続リスク、信用失墜、金銭的損失・経済的影響といった様々なリスクに晒されます。

情報漏洩リスク

情報漏洩とは、企業や組織が管理する重要な情報が、意図せず外部に流出してしまうことです。クレジットカード情報や個人情報などの機密データが盗まれ不正使用された場合、個人情報保護法違反に該当し、企業の信頼を損ない、経済的な損失や法的な問題を引き起こす可能性があります。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調査によれば、2023年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは175社、漏洩した個人情報は約4,090万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2023年は社数では過去2番目、事故・事件の件数は2012年以降の12年間で過去最多を更新しました。

東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査画像
出典:東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査

関連リンク:「情報漏えいの原因と予防するための対策

金銭的損失・経済影響

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。データ侵害によりかかる世界平均コストも増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。

システム停止・事業継続リスク

システム停止・事業継続リスクとは、サイバー攻撃によって企業・組織の業務システムが停止したり、サービスが利用できなくなったりすることで、事業継続が困難になるリスクを指します。システムが停止すると、業務プロセスやサービス提供が滞り、顧客に影響を及ぼす可能性があります。さらに顧客の個人情報情報漏洩やデータ損失が発生すると、企業の信頼性が損なわれる恐れもあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭(身代金)を要求するものの総称です。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。ランサムウェア攻撃の対象がクライアント(従来のランサムウェア攻撃の対象)から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

関連記事:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

信用失墜リスク

信用失墜リスクは、企業がサイバー攻撃によりブランドイメージが損なわれ、信頼性が失われる可能性のことを指します。もしも顧客データが漏洩した場合、顧客からの信頼を損なうだけでなく、将来的に新たなビジネスチャンスを逸することにもつながります。さらに、パートナーとの信頼関係を取り戻すのに時間がかかることも、信用失墜リスクの一環として考慮する必要があります。

日本国内で発生したサイバー攻撃の事例

Log4Shellは、Javaのログ処理ライブラリApache Log4j2に見つかったリモートコード実行の脆弱性*5です。攻撃者は攻撃文字列を送り、脆弱性のあるLog4j2のシステム上で任意のコードを実行させます。脆弱性を悪用した攻撃は2021年12月、日本でも確認されました。

Log4Shellの脆弱性を悪用したランサムウェア「NightSky」による攻撃も確認されました。2022年1月、国内ITサービス企業がランサムウェア「Night Sky」によるサイバー攻撃を受けました*2。攻撃者は2021年10月から侵入を開始し、12月31日にランサムウェアを使用し社内のファイルを暗号化しました。感染させたことで、社内システムの情報が流出し、一部はインターネット上で公開されました。この攻撃により、同企業は一部業務の復旧に数日を要し、セキュリティ強化策を講じました。

マルウェア「Emotet」による攻撃

Emotetはメールアカウントやパスワード、アドレス帳、メール本文といった情報窃取と、感染拡大を引き起こすマルウェアです。感染したシステムは、Emotetギャングらに情報を盗まれるばかりか、さらに悪質なプログラムをインストールされる恐れがあります。Emotetは、メールを介したマルウェア感染で知られ、添付ファイルやリンクを通じてシステムに侵入します。

<IPAに寄せられたメール被害事例>

・docファイル添付型
・URL記載型
・zipファイル添付型
・PDF閲覧ソフトの偽装
・ショートカットの悪用
・Excelファイルの悪用

参考:https://www.ipa.go.jp/security/emotet/situation/index.html

また、警察庁の解析によると、EmotetはGoogle Chromeに保存されたクレジットカード情報を盗み出す新機能が追加されました。この機能は、Chromeに暗号化されて保存されたクレジットカード番号、名義人氏名、有効期限を外部に送信します。Emotetはこれに加えて、情報を復号するための鍵も盗むため、感染した場合、クレジットカード情報が第三者に漏洩する危険があります。

https://www.npa.go.jp/bureau/cyber/koho/detect/20201211.html

サプライチェーン攻撃の脆弱性を悪用した攻撃

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました*3この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫(いわゆる「二重脅迫」)も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

病院を狙ったランサムウェア攻撃

【医療機関を狙ったランサムウェアによる被害事例】
年月地域被害概要
2021/5大阪府医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*4
2021/10徳島県電子カルテを含む病院内のデータが使用(閲覧)不能となった*5
2022/1愛知県電子カルテが使用(閲覧)できなくなり、バックアップデータも使用不能な状態となった*6
2022/4大阪府院内の電子カルテが一時的に使用(閲覧)不能となった
2022/5岐阜県電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*7
2022/6徳島県電子カルテおよび院内LANシステムが使用不能となった*8
2022/10静岡県電子カルテシステムが使用不能となった*9
2022/10大阪府電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用(閲覧)不能となった*10

2023年に影響の大きかったサイバーセキュリティ脅威

「情報セキュリティ10大脅威 2024」

2024年1月24日、独立行政法人情報処理推進機構(IPA)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。

注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」イメージ
出典:独立行政法人情報処理推進機構(IPA)
情報セキュリティ10大脅威 2024」(2024年1月24日)組織向け脅威

サイバーセキュリティ対策の必要性

セキュリティ対策がなぜ必要か?

事業活動・日常生活にかかせないIT環境では様々な個人情報や機密情報等が保管・やりとりされており、業界問わず、あらゆる組織・企業がサイバー攻撃の脅威にさらされています。万が一サイバー攻撃を受けた場合、顧客情報の漏えいやシステムの停止による経済損失、コストの発生など様々な被害・影響があります。日本でも経済産業省などからサイバーセキュリティ対策の強化について注意喚起*11が出されています。リスクを少しでも低減するために組織でセキュリティ対策を実施することが求められます。

サイバーセキュリティ対策が必要な理由は、情報技術の進化に伴い保護すべき情報量が増加し、サイバー攻撃が高度化しているからです。サイバー攻撃は、データの取得、改ざん、破壊を目的とし、企業や個人に甚大な損害を与える可能性があります。企業では、紙の文書だけでなく、デジタルデータも徹底して保護する必要があります。一度情報漏洩が起こると、信用問題や多額の損害賠償に繋がる可能性があるため、適切なセキュリティ対策を講じることが重要です。

まとめ

サイバー攻撃は企業や組織にとって深刻なリスクをもたらし、情報漏洩、システム停止、事業継続の困難、信用失墜、金銭的損失や経済的影響などを引き起こします。情報漏洩では、クレジットカード情報や個人情報などの機密データが外部に流出し、企業の信頼を損なうと共に経済的損失や法的問題を引き起こすことがあります。またサイバー攻撃による業務システムの停止は、業務プロセスやサービス提供に大きな影響を与え、システム停止や事業継続のリスクを高めます。さらに、サプライチェーン攻撃や医療機関を狙ったランサムウェア攻撃など、特定の業界を狙った攻撃も報告されており、これらは企業や組織に深刻なダメージを与える可能性があります。

サイバー攻撃に備えるためには、組織でセキュリティ対策の実施に取り組むことが重要です。適切なセキュリティ対策を講じることで、リスクを低減し、情報漏洩やその他の被害を防ぐことが可能です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

弊社エンジニアによって報告された脆弱性が公開されました(JVN#70640802)

Share

弊社の診断エンジニアによって報告された、Android アプリ「ABEMA(アベマ)」におけるアクセス制限不備の脆弱性がJVNに公開されました。

概要

JVN#70640802
株式会社AbemaTV が提供する Android アプリ「ABEMA(アベマ)」には、ユーザの端末にインストールされた他のアプリから Intent を介して当該アプリ上で任意のURLへのアクセスが発生する、アクセス制限不備の脆弱性 (CWE-926) が存在します。

共通脆弱性識別子(CVE)

■CVE-2024-28745

https://www.cve.org/CVERecord?id=CVE-2024-28745

詳細はこちら。
https://jvn.jp/jp/JVN70640802/index.html
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000031.html
※外部サイトにリンクします。


SQAT®Security Information TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

サイバー攻撃とは何か -サイバー攻撃への対策1-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃とは何か?どのような攻撃の種類があるのか?について紹介しつつ、なぜ対策をしなければならないのかを理解するため、今回の記事では、言葉の定義や目的について解説する。

サイバー攻撃とは

経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」によると、サイバー攻撃とは、「コンピュータシステムやネットワークに、悪意を持った攻撃者が不正に侵入し、データの窃取・破壊や不正プログラムの実行等を行うこと。」とあります。

サイバー攻撃を受けてしまった場合、情報窃取、不正アクセス、データ改ざん、破壊といった様々なリスクに晒されます。

情報窃取

顧客情報、機密情報など、組織にとって重要な情報が窃取され、悪用される可能性があります。これにより、個人情報の漏えい等のインシデント発生にもつながり、企業の信用失墜や顧客離れ、さらには多額の損害賠償責任を負う可能性があります。

不正アクセス

システムやネットワークに不正アクセスされると、管理者のアカウントのなりすまし・乗っ取りなどのリスクがあります。不正アクセスは、業務停止や経済的損失、情報漏洩などの二次被害を引き起こす可能性もあります。

データ改ざん

攻撃者よってデータが意図的に改ざんされてしまうと、情報の信頼性が損なわれ、顧客との信頼関係に影響を及ぼす可能性があります。またデータ改ざんはサイバー攻撃によるものだけでなく、システムエラーによっても発生する可能性があります。

破壊

攻撃者によりシステムやデータが故意に破壊されることで、業務停止や経済的損失、情報漏洩などの被害が発生する可能性があります。システムの復旧には膨大な日数とコストがかかることになります。

近年、サイバー攻撃は巧妙化、多様化しており、企業や組織にとって深刻な被害を引き起こす可能性があります。攻撃の形態は多岐にわたりますが、結果として経済的損失、ブランドイメージの損失、顧客信頼度の低下などが発生することがあります。経済的損失は、直接的な金銭的損失のほか、事後のインシデント調査費用などが含まれます。特に、顧客情報が漏洩した場合、顧客からの信頼を失い、顧客離れにつながる可能性があります。また、ブランドイメージの損失は、長期的に企業の価値を下げ、新規顧客の獲得や既存顧客の維持が困難になることもあります。サイバー攻撃によって企業の業務システムが狙われた場合、業務の継続性が脅かされ、長期的な運営に支障をきたすこともあります。これらの理由から、サイバー攻撃の予防と対策は、企業・組織にとって非常に重要な課題となっています。

サイバー攻撃は多種多様

事業活動に欠かせないIT環境では、様々な個人情報や機密情報等が保管・やりとりされており、サイバー攻撃者にとってそれらは宝の山です。そのため、今この瞬間もあらゆる企業・組織がサイバー攻撃の脅威にさらされています。

警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」の調査によれば、令和5年上半期におけるサイバー空間の脅威の情勢やサイバー事案の検挙状況の要点として、「DDoS攻撃による被害とみられるウェブサイトの閲覧障害」、「クレジットカード不正利用被害額及びインターネットバンキングに係る不正送金被害の増加」、「ノーウェアランサム」による被害」等について、被害が増加するなど特に注視すべき脅威として捉え、取り上げて紹介しています。

サイバー攻撃の手口は進化し続けている

サイバー攻撃の手口は、時間とともに大きく進化し、より複雑かつ高度になっています。

初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

サイバー攻撃の種類

サイバー攻撃は多岐にわたり、その目的やターゲットによって様々に分類されます。以下では、目的別とターゲット別の主要なサイバー攻撃の種類を説明します。

  • マルウェア攻撃
  • ランサムウェア攻撃
    あらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃。APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
  • 標的型攻撃
    特定のターゲットに的を絞り、実行されるサイバー攻撃
  • サプライチェーン攻撃
    様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする。最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
  • フィッシング攻撃
    偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
  • ゼロデイ攻撃
    修正プログラムが提供される前の、修正パッチ未適用なソフトウェアやアプリの脆弱性(ゼロデイ脆弱性)を悪用した攻撃
  • DDos攻撃
    ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃
  • 総当たり攻撃(ブルートフォース)
    不正アクセスを行うために、パスワードを総当たりで試しログインを試みる攻撃
  • SQLインジェクション攻撃
    データベースを操作する「SQL」という言語を悪用して、Webアプリケーションの入力フィールドに悪意のあるSQL文を入力するなどして行うサイバー攻撃

有名なサイバー攻撃事例を振り返る

世界のサイバー攻撃事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障をきたす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

国内のサイバー攻撃事例

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました。この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。本事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

まとめ

サイバー攻撃は、悪意ある攻撃者がシステムやネットワークに不正に侵入し、データの盗難、破壊、または不正プログラムを実行することを指します。企業や組織はこのような攻撃を受けると、重要な情報が盗まれる、システムが乗っ取られる、データが改ざんされる、または破壊されるなどのリスクにさらされます。これらは、顧客情報の流出、信用失墜、業務停止、経済的損失など、深刻な結果を招く可能性があります。

サイバー攻撃はますます巧妙で多様化しており、特にIT環境が事業活動に不可欠な今日では、あらゆる企業や組織が攻撃の脅威にさらされています。攻撃手法には、マルウェア攻撃、ランサムウェア攻撃、標的型攻撃、フィッシング攻撃などがあり、攻撃者は常に新しい手口を開発し続けています。

有名なサイバー攻撃の例としては、2017年に世界的な被害をもたらしたランサムウェア「WannaCry」や、国内大手自動車メーカーがサプライチェーン攻撃により全工場の稼働を停止させた事例が挙げられます。これらの事例は、サイバーセキュリティの重要性と、システムの定期的な更新やセキュリティ対策の強化がいかに重要かを示しています。サイバー攻撃から保護するためには、企業や組織が予防策を講じ、最新のセキュリティ情報に常に注意を払うことが必要です。

脆弱性診断サービスの導入を検討されている方は以下のサイトも参考になります。併せてご覧ください。
SaaS・ITサービスの比較サイトならkyozon
※外部サイトにリンクします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像