拡大するランサムウェア攻撃!
―ビジネスの停止を防ぐために備えを―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

瓦版アイキャッチ画像(PCを感染させる攻撃者のイメージ)

国内の医療機関をターゲットにしたランサムウェア攻撃がいま、拡大しています。最近報告された医療機関の事例では、ランサムウェアに感染させる手段としてサプライチェーン攻撃を行ったという例もありました。ますます巧妙になっていくランサムウェア攻撃を完全に防ぐということはできません。しかし、いざ被害にあってしまうとビジネスの停止など大規模な損害がもたらされる恐れもあります。本記事では、拡大するランサムウェア攻撃に対してリスクを整理したうえで、どのような対策をとればよいのか、その手段についてBBSecの視点から解説いたします。

拡大するランサムウェア、国内の医療機関がターゲットに

近年、国内の医療機関を狙ったランサムウェアによるサイバー攻撃が相次いで報告されています。令和4年上期に都道府県警察から警視庁に報告があった被害報告のうち、「医療、福祉」は全体の一割近くとなっており、今後拡大していくことが懸念されています。

【ランサムウェア被害企業・団体等の業種別報告件数】

【ランサムウェア被害企業・団体等の業種別報告件数】
注:図中の割合は小数第1位以下を四捨五入しているため、統計が必ずしも100にならない
出典:警察庁(令和4年9月15日)「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

直近で起こった国内の医療機関を狙ったランサムウェアによる具体的な被害事例は以下の通りです。

【医療機関を狙ったランサムウェアによる被害事例】
年月地域被害概要
2021/5大阪府医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*1
2021/10徳島県電子カルテを含む病院内のデータが使用(閲覧)不能となった*2
2022/1愛知県電子カルテが使用(閲覧)できなくなり、バックアップデータも使用不能な状態となった*3
2022/4大阪府院内の電子カルテが一時的に使用(閲覧)不能となった
2022/5岐阜県電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*4
2022/6徳島県電子カルテおよび院内LANシステムが使用不能となった*5
2022/10静岡県電子カルテシステムが使用不能となった*6
2022/10大阪府電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用(閲覧)不能となった*7

このように病院の電子カルテなどを扱う医療情報システムが狙われてしまった場合、業務の根幹を揺るがす大きな問題となり、最悪の場合は、長期間にわたるシステムの停止を余儀なくされてしまう可能性があります。そのため、医療機関にとって、サイバー攻撃のターゲットとなってしまうことは非常に大きなリスクと考えられます。

医療業界が狙われる理由は、医療情報はブラックマーケットにおいて高額で売買されているため、攻撃者にとって「カネになるビジネス」になるからです。「事業の停止が直接生命に関わる」という点でも、身代金要求に応じさせるうえでの強力な要因になります。

医療業界が狙われる理由について、SQAT.jpでは以下の記事でもご紹介しています。
こちらもあわせてご覧ください。
狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

業種問わず狙われる―サプライチェーン攻撃によるランサムウェアの被害

前述した2022年10月の大阪府の病院を狙った事例では、その後、11月に同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道がありました。これはランサムウェアを感染させるためにサプライチェーン攻撃を行ったということになります。

こうしたサプライチェーンの脆弱性を利用したランサムウェアの被害は、医療業界だけの話ではありません。特定の業種に限らず、標的となる企業を攻撃するために、国内外の関連会社や取引先などのセキュリティ上の弱点を突く攻撃は珍しくないように見受けられます。

【サプライチェーンを狙ったランサム攻撃による被害事例】
年月被害概要
2021/4光学機器・ガラスメーカーの米国子会社がランサムウェアの被害により、顧客情報など300GBのデータを窃取されたことを攻撃グループのリークサイトに掲載される*8
2022/4情報通信機器等の製造を行う企業と同社の子会社がランサムウェアの被害を受け、従業員の個人情報のデータを暗号化され、復号不可能になった*9
2022/3自動車部品メーカーの米州のグループ会社がランサムウェアによる不正アクセスを受け、北米及び南米地域の生産や販売などの事業活動に一時支障が起きた*10
2022/3国内大手自動車メーカーの部品仕入先企業が狙われ、自動車メーカーの業務停止につながった*11

業務委託元企業がしっかりとセキュリティ意識をもって対策を行っていても、関連する業務委託先のさらに再委託先などのセキュリティの対策に必要なリソースの確保が難しい企業の脆弱性が狙われるため、一か所でもほころびがあるとサプライチェーンに含まれる全企業・組織に危険が及ぶ恐れがあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアによる影響範囲と具体例は以下の通りです。

国内でランサムウェア被害にあった企業・団体等について、警視庁のアンケート調査によると、2割以上が復旧までに1ヶ月以上かかり、5割以上が調査・復旧費用に1000万円以上の費用を要したという調査結果を報告しました。

【復旧に要した期間と調査・復旧費用の総額】

【復旧に要した期間と調査・復旧費用の総額】
注:図中の割合は小数第1位以下を四捨五入しているため、統計が必ずしも100にならない
出典:警察庁(令和4年9月15日)「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

米国での調査においてもランサムウェア攻撃によるデータ侵害の平均コストは454万米ドルでこれはデータ侵害全体での平均総コストを上回っていることに加えて、原因の特定に237日、封じ込めるまでに89日と合計ライフサイクルは326日となっており、全体の平均より大幅に長くかかっていると報告しました。

【ランサムウェア攻撃のデータ侵害の平均コストと特定し封じ込めるまでの平均時間】

(単位:100万米ドル)
出典:IBM「データ侵害のコストに関する調査

ランサムウェアによる感染を防ぐため対策の見直しを

企業・団体等においてランサムウェアの感染経路には様々なケースがあります。そのため、以下の対策を多重的に行い、被害を最小限に抑えていく必要があります。

1. データやファイル、システムの定期的なバックアップの実施
2. 企業・組織のネットワークへの侵入対策
  ファイアウォールやメールフィルタ設定により不審な通信をブロック
  不要なサービスの無効化、使用しているサービスのアクセス制限
3. 攻撃・侵入されることを前提とした多層防御
4. OSやアプリケーション・ソフトウエア、セキュリティソフトの定義ファイルを常に最新の状態にアップデートする
5. 強固なパスワードのみを許容するなど適切なパスワードの設定と管理を行う

3.攻撃・侵入されることを前提とした多層防御について、SQAT.jpでは以下の記事でもご紹介しています。こちらもあわせてご覧ください。
APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―

また、各業界向けに発行されているセキュリティ対策ガイドラインなどを参考にし、自組織の対策の見直しをすることも重要です。

【参考情報:各業界のセキュリティ関連ガイドライン等】


■(重要インフラ14分野向け)
NISC「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
■(医療業界向け)
厚生労働省「医療情報システムの安全管理に関するガイドライン
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
■(金融業向け)
FISC「金融機関等コンピュータシステムの安全対策基準・解説書等
■(交通関連企業向け)
国土交通省「国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン等
■(教育業界向け)
文部科学省「教育情報セキュリティポリシーに関するガイドライン等

他人事ではない、ランサムウェア攻撃のリスク

冒頭で述べたランサムウェア攻撃をはじめ、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。

※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、 「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、 「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定している。

ランサムウェア攻撃への備えとして、前述のような様々な対策を講じるにあたって、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

BBSecでは

当社では以下のようなご支援が可能です。

<企業・組織のネットワークへの侵入対策>

<攻撃・侵入されることを前提とした多層防御>

※外部サイトにリンクします。

<セキュリティ教育>

標的型攻撃メール訓練

※外部サイトにリンクします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

備えあれば憂いなし!サイバー保険の利活用

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

瓦版アイキャッチ(リスクとお金(コインをもっている手)のイメージ)

サイバー攻撃による被害は増加の一途をたどっています。一般社団法人日本損害保険協会の調査によると、国内企業の約4割以上がサイバー攻撃被害に対する不安を抱えています。そのような不安に備える「サイバー保険」をご存じでしょうか。本記事ではサイバー攻撃を受けた場合に発生するコスト・損失に触れつつ、サイバー保険について解説し、セキュリティ対策の見直し方法についてご紹介いたします。

他人事ではない!増加するサイバー攻撃による被害

サイバー攻撃による被害は増加の一途を辿っており、昨今は企業規模・業界問わず被害に遭う可能性があります。

国内では特にパソコンに保存したファイルやハードディスクを暗号化して、身代金を要求する不正プログラムである「ランサムウェア」による感染被害が多発しています。企業・団体等におけるランサムウェア被害として、令和4年上半期に都道府県警察から警察庁に報告のあった件数は114件であり、令和2年下半期以降、右肩上がりで増加しています。

【企業・団体におけるランサムウェア被害の報告件数の推移】

実際、一般社団法人日本損害保険協会の調査*12によると、国内企業の多くはコロナ渦でテレワークの導入が進んでおり、サイバー攻撃を受ける可能性について約4割の企業が「高まった」と回答しています。しかし同時に4割以上の企業がサイバーリスク対策における課題について「現在行っている対策が十分なのかわからない」と回答しており、リスクの高まりを認識しながらもセキュリティ対策への自信のなさがうかがえます。

特に中小企業の場合は、セキュリティに対する知識や対策に必要な資源が限られているため、原因の特定や対策の実施が困難なケースも少なくありません。こういった背景からサプライチェーン上の脆弱な企業を狙われ、サプライチェーン全体が被害を受ける事案も見受けられます。

サイバー攻撃の被害を受けてしまうと、個人情報の漏えい、機密データの改竄、サーバ停止やシステムの破壊などが発生する可能性があり、事業継続に影響を与えかねない脅威となります。

国内で発生したサイバーインシデント事例

2022年に国内で起こったサイバー攻撃の事例は以下の通りです。

【国内サイバーインシデント事例】
年月被害概要原因
2022/1県の災害情報管理システムから津波に関する緊急速報メール大量送信*2 プログラム設定ミス
2022/3アニメ製作会社が不正アクセスを受け複数の人気番組の放映スケジュールに影響*3システム障害
2022/3代行申請企業の従業員がEmotetに感染し、情報漏洩となりすまし被害*4マルウェア感染
2022/3国内メーカーホームページへの不正アクセスによりメールアドレス流出(約1万件)*5SQLインジェクション
2022/5比較情報サイト運営等を行う企業がクラウドサービスの設定ミスにより最長6年間個人情報を不用意に公開(約5,000件)*6クラウド設定ミス
2022/5国内人材情報企業の資格検定申込サイトに対する海外からの攻撃でメールアドレス流出(約29万件)*7SQLインジェクション
2022/8組合直売店のネットショップ専用パソコンがEmotetに感染して顧客氏名やメールアドレス等流出(約50,000件)*8マルウェア感染

【サプライチェーンの脆弱性を悪用した攻撃の事例】

2022年3月1日に国内大手自動車メーカーの部品仕入先企業が同社の外部取引先企業との専用通信に利用していたリモート接続機器の脆弱性をきっかけとして不正アクセスを受け、この影響により自動車メーカーが国内全14工場28ラインを停止させる事態となった このサイバー攻撃は大手企業を狙ったサプライチェーン攻撃とみられる*9

データ侵害発生時にかかるコスト

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。復旧コスト自体も年々増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。実際にデータ侵害による平均総コストの内、システム復旧や顧客の再獲得などにかかった割合は38%にものぼるとのことです。

【4つのカテゴリ別データ侵害の平均総コスト(単位:100万米ドル)】

サイバー攻撃を受けた場合に生じる費用・金銭的損失

サイバー事故が発生した際に生じる費用は大きく分けて3つあります。

損害賠償責任に伴う費用のサムネ
インシデント対応に必要となる事故対応費用のサムネ
事故発生により事業継続上被った金銭的損害のサムネ

企業の経営者はこういったサイバー攻撃により発生する費用を未然に防ぐため、以下のようなガイドラインなども参考にしつつ、企業の追うべき責任について理解しておくことが重要です。

【参考情報:ガイドライン】
・一般社団法人 日本経済団体連合会
 「サイバーリスクハンドブック 取締役向けハンドブック 日本版
・内閣官房内閣サイバーセキュリティセンター(NISC)
 「サイバーセキュリティ関係法令Q&A ハンドブック Ver1.0

サイバー保険とは

前述のような費用を包括的に補償する役割を果たすのが「サイバー保険」です。
保険に加入することで、最悪の事態が起きた場合でも幅広い補償とサポートがうけられることで事業活動継続の命綱となります。(※補償の内容はサービスによって異なります。)

サイバー保険の加入率は海外では増加傾向にあり、米国の企業で5割近く、英国では約4割に上る*10とのことです。これに対して、日本国内では大企業・中小企業共に加入率は1割以下との報告*11がありますが、サイバーセキュリティを取り巻く状況を鑑みると、今後国内でも認知・普及が広まっていくことが考えられます。

サイバー保険の有効性

これまで見てきたようにサイバー攻撃によるリスクは、金銭的損害、機会損失、信用失墜などがあります。事業活動継続のためには、こういったリスクに対してどう対処していくかをリスクの影響度や深刻度などに応じて自身で判断する必要があります。

【主なリスク対策方法】
リスク対策の種類概要対策例
リスクの回避リスクの発生確率を低くする ・外部からのアクセスを許可しない
・物理的にもシステム接続を不可能にする
・クレジットカード情報などの個人情報を保存しない・収集しない
リスクの低減リスク発生による影響を小さくする・通信の暗号化の強度を高くする
・認証機構を堅牢にし、セキュアな多要素認証を強制する
リスクの移転リスクの影響を第三者に移すサイバー保険への加入
リスクの受容リスクの発生を認め、
何もしない
対策をしない

万が一の金銭的な損失に備え、自社ではなく保険会社という他者に補償させるという「リスクの移転」手段の1つとして有効なのが、サイバー保険です。

今一度セキュリティ対策の見直しを

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。


サイバー保険付帯脆弱性診断サービスの紹介

※外部サイトにリンクします。

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

またBBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

※外部サイトにリンクします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

攻撃者が狙う重要情報の宝庫!
―スマホアプリのセキュリティ―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

私たちが日常的に利用するスマホアプリのサービスは、開発者によって多様な機能が連携され、提供されています。しかしスマートフォンは、サイバー攻撃のターゲットになってしまう魅力的な重要情報の宝庫となっており、攻撃者に狙われることも多いです。本記事では、なぜスマホアプリが狙われるのか?スマホアプリのもつ脆弱性情報のご紹介をしつつ、セキュリティ対策にむけた考え方を解説していきます。

なぜスマホアプリは攻撃者に狙われるのか

一人一台以上のスマートフォンを所持・活用しているのが当たり前とされる現代において、私たちは日常的に様々なスマホアプリを利用しています。それらのスマホアプリがサービスとして提供されている裏では、スマートフォンが備えている多様な機能とスマホアプリとが開発者によって連携され、それによりスマホアプリのサービス提供が実現しています。利用者がアプリ上でのみ操作を行っているつもりでも、実際はアプリとスマートフォンの持つ機能が連携することで、便利なサービスを利用できているのです。

しかし便利な一方で、スマホアプリはサイバー攻撃のターゲットとされることも多くあります。なぜならスマホアプリは以下の3つの特徴を持っているためです。

重要情報の宝庫

スマホアプリではWebアプリよりも多くの重要情報が扱われます。例えば連絡先情報、メールや通信のログ、GPS(位置情報)、決済情報、さらには利用者が何を好むかといった趣味嗜好など個人に関する情報が多様に含まれています。これらの情報が集まっているスマホアプリは、攻撃者にとっては魅力的な重要情報の宝庫といえます。

もし攻撃者に狙われた場合、これらの重要情報が漏洩してしまう可能性があります。

ユーザ側での端末管理

Webアプリではサービス提供者が管理しているサーバ側で情報を保持していましたが、スマホアプリでは各ユーザ端末側に情報が保持されているものが多くあります。Webアプリの場合はサービス提供者側がセキュリティソリューションを活用したりすることでセキュリティ対策を行っていましたが、スマホアプリのように各ユーザ端末側で情報が保持されている場合、セキュリティ対策の実施はユーザ個人に依存するため、セキュリティ対策が十分に行われていないこともあります。特にスマートフォンに関するセキュリティ対策情報は、パソコンのセキュリティ対策に比べてユーザにあまり認知されていないため、ユーザのセキュリティ意識がパソコンよりも薄い状況にあります。

もしスマートフォンのセキュリティ対策が十分にされていなかった場合、脆弱な状態や設定のまま放置され、そのままアプリ連携や端末間での共有がなされることで、ユーザが意図しない手段や経由により不正アクセスが行われる可能性があります。

常時外部と接続状態

Webアプリはブラウザからアクセスしますが、スマホアプリではアプリごとに独自開発された機能によってアクセスします。また、スマートフォンは常時電源がオンになっており、インターネットにも常時接続されている状態です。

そのため、例えばあるスマホアプリで非暗号化通信での情報のやり取りなどが行われて重要情報が外部から見えるような状態であった場合に、常時接続状態であるスマートフォンは攻撃者に狙われる隙が生まれやすくなってしまいます。これにより不正利用・操作や、通信内容の盗聴・情報改竄が行われる可能性があります。

攻撃者にとって重要情報の宝庫であるのにも関わらず、セキュリティ対策がユーザ側に依存し、また常時インターネットに接続状態となっているため、攻撃の隙も生まれやすい。これがスマホアプリが攻撃者に狙われやすい理由です。またBYOD(Bring Your Own Device)を導入している企業も増えてきたため、個人のスマートフォンが攻撃されることで、企業への攻撃の踏み台にされる可能性もあります。

スマホアプリにおける情報漏洩の事例

実際に近年起きたスマホアプリにおける情報漏洩は下記のようなものがあります。

スマホアプリにおける脆弱性の届出状況

IPAおよびJPCERT/CCが発表している「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4月~6月)]」によると、2022年の第2四半期(4月~6月)までで届出が出されている脆弱性を製品種類に分けて集計すると、スマホアプリの脆弱性はソフトウェア製品全体の8%となっており、ウェブアプリケーションソフトとルータに次いで多く検出されている結果となりました。スマホアプリ開発段階で脆弱性を見落とされて、そのままリリースされてしまった場合、スマホアプリを利用するすべての人々に影響が及ぶ可能性があり、情報漏洩事故につながってしまう恐れがあります。

スマホアプリのセキュリティの対策にむけて

誰もがスマートフォンを利用しているからこそ、実際に被害に遭う可能性を誰しもが持っています。また、攻撃の影響は多くの人々に及ぶことが想定されます。ユーザ目線では被害を受けないための、またスマホアプリを提供する側目線では被害を防ぐためのセキュリティ対策を心掛けることが重要でしょう。

今回はスマホアプリを提供する上で重要な考え方や手段を大きく3つご紹介します。

脆弱性情報の収集

脆弱性情報を取りまとめている機関*12等から定期的に脆弱性情報を収集し、セキュリティの最新情報や対策方法を取り入れることで、普段からセキュリティに対する意識を高める必要があります。

セキュアコーディングを意識した開発

セキュアコーディングとは開発段階で攻撃に耐え得る堅牢なプログラムを書くことを指します。セキュアコーディングのガイドライン「Androidアプリのセキュア設計・セキュアコーディングガイド」を活用することで、スマホアプリ開発段階から脆弱性の有無を知り、より早い対策を実施することができます。また、より早い段階で対策ができれば、リリース後の手戻りやコストの発生も防ぐことができます。このようなシフトレフトを実践することも重要な考え方の一つです。

セキュアなアプリケーション開発の考え方について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―

信頼できる第三者機関の脆弱性診断サービスを実施

企業として実施できるセキュリティ対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

APIのセキュリティ対策

APIのセキュリティ対策のサムネ

スマホアプリと切っても切れないものとして、API(Application Programming Interface)が存在します。スマホアプリはAPIを経由してサーバとやり取りをしているケースが多く、セキュリティ対策を行ううえでAPIを無視することはできません。

APIにおいてもWebアプリと同様に様々なセキュリティリスクが存在しますので、スマホアプリ、Webアプリと同様に最適なセキュリティ対策をとることが大切です。

APIのセキュリティに関する10大リスク

APIにおけるセキュリティ対策を講じるうえで役立つ情報として、Webアプリケーションセキュリティに関する国際的コミュニティOWASP(Open Web Application Security Project)が公開している「OWASP API Security Top 10」があります。

SQAT.jpでは以下の記事でご紹介しています。あわせてご覧ください。
APIのセキュリティ脅威とは

スマホアプリ脆弱性診断とは

「スマホアプリのセキュリティ対策」に既述した脆弱性診断サービスですが、そういったサービスの活用がなぜ必要なのでしょうか。その理由は図の通りです。

スマホアプリ脆弱性診断とはのサムネ

スマホアプリ診断で検出される脆弱性項目例

例えば弊社のスマホアプリ診断において検出数の多い脆弱性項目としては、下記のようなものがあります。このような脆弱性はなかなか開発段階で自社の目線からすべて網羅するのは難しく、脆弱性診断サービスを使うことで効率よく発見することが可能です。

重要情報の漏洩

<例>
・スマートフォン内部の記憶媒体領域(ストレージ等)に認証情報が保存されている
・スマホアプリからサーバ側に通信を行う際に、URLパラメータ等が暗号化されていないままの状態であるために認証情報が露呈している

重要情報がスマホアプリ側だけではなく、ユーザのスマートフォン内部など他の領域で確認できる状態であるために、攻撃者に情報が漏洩してしまう可能性があります。

不正な行動・操作が可能

<例>
・信頼境界へのアクセスが厳密に制御されていない状態である
・外部アクセスの制御不備などにより、スマホアプリの権限外のユーザによるアクセス制御が可能である

スマホアプリではAPIや他のアプリとの連携、スマートフォン内部の記憶領域など、外部との通信が頻繁に行われます。その中で、信頼できない外部からのアクセスを制御するといった対策が厳密に行われていないために、攻撃者から不正な操作の実行や、データ改竄および不正利用される可能性があります。

難読化処理の未対応

<例>プログラムコードが難読化されていないため、リバースエンジニアリングによるソースコード解析が可能な状態である

攻撃者により、スマホアプリの機能およびロジック分析が行われた場合、弱点をついた攻撃手法の分析や技術情報の解析につながる可能性があります。

誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。

スマホアプリ脆弱性診断のサービスバナー

スマホアプリ脆弱性診断に+α

開発者視点でのスマホアプリの品質管理、セキュアコーディング、セキュリティ設定のチェックにはソースコード診断サービスもあわせて実施することを推奨しています。スマホアプリに潜在する脆弱性をソースコードレベルで診断することで、さらなるセキュリティ向上にお役立ちできます。


スマホアプリの進化にあわせた対策を

スマホアプリは様々なかたちで利用され、日々利便性が向上されています。それに伴い開発・提供者側はより高度な機能を活用し、扱う分野や範囲も広がってきています。すでに述べてきたように、機能の利便性の反面、Webアプリと比べてスマホアプリは独自のリスクを抱えています。そのため、基本的なセキュリティ対策はもちろん、より強固なセキュリティ対策を行うことが、サイバー攻撃を防ぐカギとなります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

DoS攻撃/DDoS攻撃の脅威と対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

DoS攻撃/DDoS攻撃のイメージ(「現在アクセスが集中しております」)

DoS(サービス運用妨害:Denial of Service)攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃/DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。

DoS攻撃/DDoS攻撃とは

DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。

そして、複数の分散した(Distributed)拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS(Distributed Denial of Service)攻撃」といいます。

Dos攻撃/DDos攻撃とはのサムネ
【図1】DoS攻撃の概要図、【図2】DDoS攻撃の概要図

サービス提供者がDoS攻撃/DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。

近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。

DoS攻撃/DDoS攻撃の実例や最近の傾向について

次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。

DDoS攻撃の事例

(実例1)ボットネットMērisによるDDoS攻撃

時 期2021年9月
概 要セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の 調査結果を公表*2。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力(リクエスト数)だった。
攻撃の規模等
(検知・阻止された)
最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超

(実例2)GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃

時 期2021年11月
概 要Googleのエンジニアが「脆弱性CVE-2021-22205*2の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという*3
※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。
攻撃の規模等毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット

DDoS攻撃の最近の傾向

2022年4月、米CDN(コンテンツデリバリネットワーク)企業Cloudflareより、2022年第1四半期の1~3月における観測結果のDDoS攻撃レポートが公表されました4

調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164%、前四半期比で135%増加しました。

また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71%増加、前四半期比で58%減少しましたが、ボリューム型攻撃は増加しているとのことです。

DDoS攻撃の5つの動機と攻撃による影響

ここまでの記述からDoS攻撃/DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。

DDoS攻撃の5つの動機

DDos攻撃の5つの動機のサムネ
【図3】DDos攻撃の5つの動機

DDoS攻撃の3つの影響

DDos攻撃の3つの影響のサムネ
【図4】DDoS攻撃の3つの影響

動機と影響の関連性

【図3】と【図4】には下記のような関連性があります。

  • 業務妨害→サービス停止、経済的な被害
  • 陽動作戦→DDoS以外の攻撃による被害
  • 脅迫→経済的な被害(もともとが金銭目的のため)
  • 嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)
  • ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)

Webアプリケーションへの攻撃シナリオ

前項のうち、「DDoS攻撃の5つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。

Webアプリケーションへの攻撃シナリオのサムネ
【図5】Webアプリケーションへの攻撃シナリオ

※「スキャン」≠「攻撃」
スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。

日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。

この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。

DoS/DDoS攻撃の対策方法

サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃/DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃/DDoS攻撃への対策を最後に紹介します。

すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」 にも記載がありますが、下記の3点が基本的な対策です。

  1. 必要のないサービス・プロセス・ポートは停止する
  2. DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
  3. 脆弱性対策が施されたパッチを適用する

自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。

DoS/DDoS攻撃の対策方法のサムネ
【図6】セキュリティ対策は多層防御で

WAF(ウェブアプリケーションファイアウォール

図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ(Webアプリケーションへのアクセスパターンの定義ファイル)を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。

Webアプリケーション脆弱性診断

Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。

Webアプリケーション脆弱性診断のサービスバナー

ランサムウェア対策総点検

社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。

ランサムウェア対策総点検のサービスバナー

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

OWASP Top 10
―世界が注目するWebアプリケーションの重大リスクを知る―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

瓦版vol.14アイキャッチ画像

2021年9月、4年ぶりに「OWASP Top 10 2021」が公開されました。国際的なセキュリティ啓発コミュニティであるOWASP(オワスプ:Open Web Application Security Project)が、悪用のしやすさ、検出のしやすさ、技術面への影響度などを考慮して重大なリスクを選び出したものになります。「OWASP Top 10」はWebサイトのセキュリティ対策のポイントに、参考にされることが多いガイドラインの一つですが、どのようなセキュリティリスクが挙げられているのかご存知でしょうか? 本記事では、OWASP Top 10の各リスクのカテゴリ毎に脆弱性例と対策案をまとめ、最後に弊社視点での脆弱性対策の推奨案をご紹介いたします。

「OWASP Top 10」とは

OWASPは、Webアプリケーションセキュリティに関する研究、診断ツールの開発、ガイドラインの発行、イベント開催といった活動を行う国際的なオープンソース・コミュニティです。 「OWASP Top 10」は、Webアプリケーションにおいて、重大と見なされるセキュリティリスクを選定し、解説したものです。2003年以降定期的に発行されており、2021年9月、前回の「OWASP Top 10 2017」より4年ぶりとなる「OWASP Top 10 2021」が公開されました。

「OWASP Top 10 2021」を紐解く

では、どういったリスクが最新のTop 10に挙げられているのか、見ていきましょう(以下、「前回」とは、「OWASP Top 10 2017」を指す)。

A1アクセス制御の不備
A2暗号化の失敗

プロトコルバージョンの対応策や暗号技術の活用方法について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
Webサイトのセキュリティ強化を!TLSバージョンアップの対応にむけて
暗号技術を安全に活用するために―今、やっておくべきセキュリティ対策―

A3インジェクション
A4安全が確認されない不安な設計
A5セキュリティの設定ミス
A6脆弱で古くなったコンポーネント
A7識別と認証の失敗
A8ソフトウェアとデータの整合性の不具合

セキュアな開発ライフサイクル・CI/CDのセキュリティ対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
Webアプリケーション開発プロセスをセキュアに―DevSecOps実現のポイント―

A9セキュリティログとモニタリングの失敗
A10サーバーサイドリクエストフォージェリ(SSRF)

脆弱性を悪用した攻撃の脅威

攻撃者にとって、機密を含む様々な情報を取り扱っているWebアプリケーションは宝の山であり、魅力的なターゲットです。Webアプリケーションにおいて、脆弱性が放置されていると、サイバー攻撃の足掛かりとして利用されてしまいます。

脆弱性を悪用された例は、被害者企業の業種、規模を問わず、発生し続けています。被害を受けると、直接的な金銭被害のほか、顧客や取引先の信用失墜等、事業活動に深刻な影響を及ぼす恐れがあります。

インジェクション攻撃例
NEWソフトウェアとデータの整合性の不備 攻撃例

SQLインジェクションの脆弱性について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
SQLインジェクションの脆弱性、企業が問われる2つの責任とは

設計・開発段階で作りこまれる脆弱性

Webアプリケーションにおけるセキュリティリスクは、もちろんOWASP Top 10ばかりではありません。OWASPほか、NIST、IPAなどが公開している各種セキュリティガイドラインを活用して、Webアプリケーションに脆弱性を作りこまないようにすることが重要です。開発にあたっては、仕様どおり動作しないという欠陥・不具合であるバグの解消はもちろんですが、セキュリティ上の欠陥・不具合である脆弱性にも対処する必要があります。

しかしながら、現実には脆弱性を完全にゼロにしてシステムをリリースするのは、非常に困難であるのもまた事実です。設計・開発の段階で、気の遠くなるような数のセキュリティ脅威、攻撃パターンをすべて検討・想定・対応し切ることは不可能だからです。

つまり、セキュリティを考慮した設計・開発の実施は大前提としつつ、脆弱性は意図せず作りこまれてしまうものであることも認識しておく必要があるでしょう。

脆弱性診断の活用

では、意図せず作りこまれてしまう脆弱性に、どう対処すればいいでしょうか。それには脆弱性診断を実施することが、最も有効な手段の一つと言えます。

脆弱性診断によって、システムにどのような脆弱性があり、どの程度のリスクがあるのか可視化され、その優先度に応じてセキュリティ対策を検討・実施することができます。

なお、弊社では「企業の対策すべき脆弱性入門」と題したウェビナーで、弊社脆弱性診断の検出結果を基に対応緊急度の高い脆弱性について取り上げております。参考にしていただけましたら幸いです。

脆弱性診断を効果的に活用するには、システムの機能や取り扱う情報の重要度に応じて、実施時期や頻度を考慮することも大切です。セキュリティ事情は常に変化しています。日々新たな脆弱性が発見され、サイバー攻撃も巧妙化する一方です。また、何年も前に報告されたのに放置されがちな脆弱性が、改めて悪用されることもあります。健康診断と同様、脆弱性診断も定期的に実施することが重要なのです。

脆弱性対策有効な手段について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―

また、「SQAT® Security Report」では、セキュリティ事情に関するトピックをお伝えしております。情報収集の一助としてご活用ください。


参考情報:


BBSecの脆弱性診断サービス

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

「毎日/週など短いスパンで定期診断して即時に結果を知りたい」

デイリー自動脆弱性診断「Cracker Probing-Eyes®」は、脆弱性の検出結果を、お客様側での簡単な操作で、日々確認できます。導入のための設備投資が不要で、コストを抑えつつ手軽に診断できます。 世界的なセキュリティ基準をベースにした弊社独自基準を設け、シグネチャの見直しも弊社エンジニアが定期的に行うことで、信頼性の高い診断を実現しております。

「システム特性に応じた高精度な診断をしたい」

対象システムの機能が複雑である、特にミッションクリティカルであるなどの理由により、広範囲かつより網羅性の高い診断をご希望の場合は、弊社エンジニアが手動で実施する「SQAT®脆弱性診断サービス」をおすすめします。 Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Emotet再来!マルウェア感染被害をどう防ぐか

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

マルウェア感染したPCのイメージ

マルウェア「Emotet」の感染が、今年3月より急速に拡大しています。主な手口はメール攻撃ですが、過去の流行時に中心となっていた不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとしての手法に進化しています。本記事では、これまでのEmotetの攻撃活動を整理したうえで、企業・組織がマルウェアの被害を防御・最小限にとどめるためにどのような対策をとればよいのかについて、解説していきます。

悪名高きEmotetが帰ってきた!

2021年11月、”世界で最も危険なマルウェア(world’s most dangerous malware)”と称された「Emotet」の活動再開が、明らかになりました。*6

Emotetとは?の説明
Emotetの活動年表

Emotet興亡の様相は、おおむね右年表のとおりです。2019年から2020年にかけて、国内でも多くの企業・組織が被害を受けました。2021年1月に一度終焉を迎えた様子については、「ランサムウェア最新動向2021―2020年振り返りとともに―」でも取り上げました。

一網打尽にされたはずだったEmotetの復活には、マルウェアボットネット「TrickBot」が関係していると見られています*2 。以前TrickBotに感染したシステムに対してEmotetをインストールすることで、再び感染開始が可能になったと報告されています。こうしたTrickBotとEmotetの補完関係を利用した復活は、一部の専門家は予想済みの展開だったようです。

復活したEmotetの脅威は…

再開が観測されて以後、2018~2020年に発生したような大規模なスパム送信攻撃は、2021年12月では報告されていません。しかしながら、巧みに不正の痕跡を隠ぺいするといった、Emotetのマルウェアとしての有能さを考慮すると、深刻な脅威であることに変わりはありません。TrickBotに類する攻撃に有効な新しいボットネットの登場も予想されるため、引き続き警戒が必要です。

実際、IPA(独立行政法人情報処理推進機構)によると、活動再開が確認されてから、Emotet攻撃メールと見られる着信が複数観測されています*3 。また、警察庁の解析によると、攻撃対象のメールソフトとして、これまで知られていたOutlookのほか、Thunderbirdのようなオープンソースのメールソフトにも対象が拡大している*4とのことです。

主な感染経路:メール添付ファイルにご注意!

Emotetの主要な手口は、メール攻撃です。2020年にNICT(国立研究開発法人情報通信研究機構)は同機構宛に届いたEmotet攻撃メールには、「doc ファイル添付型」「URL記載型」「zipファイル添付型」が見られた*5という分析結果を公表しました。2021年には、IPAに寄せられた相談事例から、新たな手口として 「Excelファイルの悪用」と「PDF閲覧ソフトの偽装」が紹介*6されています。

メールを感染経路としたEmotetの動作概要は下図のとおりです。

メールによるEmotetの感染後の影響
出典:「Emotetの解析結果について」(警察庁 @police)https://www.npa.go.jp/cyberpolice/important/2020/202012111.html

感染防止のためにユーザが実践すべき注意事項の基本は変わりません。確実に信用できるメール以外は、メールに添付されたファイルを開かない、編集しない、そして「コンテンツの有効化」ボタンをクリックしないこと。また、メール本文に記載されたURLリンクを不用意にクリックしないこと、たとえクリックしてしまった場合でも遷移先のサイトでデータの閲覧やダウンロードを行わないこと、といった内容になります。

Emotetの感染、関連するネットワークへの感染拡大、ランサムウェアをはじめとした別のマルウェアへの感染……といった深刻な被害の連鎖を生んでしまうか否か、受信者の行動が明暗を分けます。

注意するだけでは防げない巧妙なメール攻撃も…

被害相談例の図(IPA)
出典:IPA(独立行政法人情報処理推進機構)
「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて」(2021年12月)

今時そんな見え透いたメール攻撃にはひっかからない、と思われる方もいらっしゃるかもしれません。確かに、ばらまき型メール攻撃なら、うっかり開けることはないという方も多いでしょう。しかし、標的型攻撃の場合はどうでしょうか。どう見ても取引先からとしか思えないような、絶妙なタイミングと巧妙な内容で偽装されたメール攻撃を受けることがあります。

右図は実際にIPAに2021年12月に寄せられた相談例だそうです。このようなケースでは、いくら注意しても完全に防ぎきることが難しいのが現実です。

マルウェア対策は組織一丸で

以上のような状況を踏まえ、企業・組織がEmotetをはじめとしたマルウェアの被害を防御、あるいは最小限にとどめるためにはどのような対策を講じるべきでしょうか。以下のような例が挙げられます。

マルウェアの組織的対策の項目例

マルウェア対策のモデルケース

限りある予算と時間の中で、すべての対策を講じることは困難なので、それぞれの企業・組織の現状に応じて取り組む必要があります。

マルウェア対策のモデルケースサイクル図

自企業・組織の位置づけに応じて、今取り組むべき具体的な対策を見つけるには、例えば、右図のようなマルウェア対策のフェーズの視点で検討してみるとよいかもしれません。

スパムメールに対する従業員の知識が全くない組織であれば、標的型メール訓練を行ってリテラシーの向上を図ることから始めるといいかもしれません。従業員教育は行っているけれども、技術的な対策はウイルス対策ソフトを導入しているのみという組織であれば、感染してしまった場合にどのくらいの被害を受けるか調査してみると、優先的に実施すべき対策を検討する糸口となることでしょう。あるいは、メールセキュリティサービスをすでに利用しており、不正アクセス対策にもある程度自信があるという組織であれば、そういったセキュリティ対策が本当に有効に機能しているか、ペネトレーションテストのようなサービスを利用して実際に確認してみることをおすすめします。

マルウェア対策の回答は1つではなく、多層防御がカギとなります。マルウェア課題の解消をお手伝いする、BBSecご提供サービスの一部をこちらにご紹介します。

Emotetご相談窓口開設中!

BBSecでは急増するお問い合わせに対し、Emotet専用ご相談フォームをご用意しています。何かおかしい、気になる、そんな時はすぐご相談ください。

※外部サイトへリンクします。

標的型攻撃メール訓練サービス

https://www.bbsec.co.jp/service/training_information/mail-practice.html
※外部サイトへリンクします。

ランサムウェア対策総点検

https://cr.bbsec.co.jp/ransomware
※外部サイトへリンクします。

標的型攻撃メール訓練・ランサムウェア対策総点検のサービス概要図

SQAT® ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

【シナリオ例】 疑似マルウェア連携

https://www.sqat.jp/sqat-penetration-test/

関連リンク:

●SQAT® 情報セキュリティ瓦版 2020年1月号
 「高まるAPT攻撃の脅威」
 https://www.sqat.jp/information/235/
●SQAT® 情報セキュリティ瓦版 2020年8月号
 「拡大・高度化する標的型攻撃に有効な対策とは―2020年夏版」
 https://www.sqat.jp/kawaraban/8599/

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

IPA情報セキュリティ10大脅威にみるセキュリティリスク―内在する脆弱性を悪用したゼロデイ攻撃とは―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー空間と「ゼロデイ攻撃」「Log4j」のイメージ図

修正パッチが公開される前に、パッチ未適用な状態のソフトウェアやアプリの脆弱性を悪用するゼロデイ攻撃。その脆弱性の数は2021年の年間で前年比約2倍というデータもあることから、警戒が必要になってきています。ゼロデイ攻撃は完全に防ぎきることはできませんが、いまできうる対策としてはどのようなものがあるのでしょうか。本記事では、ゼロデイ攻撃の概要と直近のApache Log4jの脆弱性について紹介しつつ、最善策としてとりうる備えと対策についてご案内いたします。

「情報セキュリティ10大脅威 2022」に
新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」がランクイン

2022年1月27日、独立行政法人情報処理推進機構(IPA)は毎年発表している「情報セキュリティ10大脅威」の2022年版を発表しました。そのうち、「組織」における脅威の注目すべき点として、昨年8位だった「インターネット上のサービスへの不正ログイン」に替わるかたちで、新たに「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位にランクインしていることがあげられます。

IPA情報セキュリティ10大脅威(組織編)
出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022
(2022年8月29日)組織向け脅威
ゼロデイ攻撃の増加(グラフ)
出典:ZER0-DAY.cz tracking project「Zero-day vulnerability 2006-2022(comparison)

ゼロデイ攻撃
修正プログラムが提供される前の、修正パッチ未適用なソフトウェアやアプリの脆弱性(ゼロデイ脆弱性)を悪用した攻撃。2021年は前年と比較して、ゼロデイ脆弱性が約2倍に増加したとするデータもあり、警戒が必要である。ゼロデイ攻撃の場合、修正プログラムが提供された時点ですでに攻撃が行われているため、脆弱性対策に加え、外部からの侵入を検知/防御する機器を導入するなどの備えが重要となる*7

Apache Log4jの脆弱性

特にインパクトが大きかった修正パッチ未適用の脆弱性として、2021年末に話題となったApache Log4jの脆弱性(Log4Shell)があります。常に新しい攻撃手法を探求し続けている攻撃者たちは、すぐにこの重大な脆弱性を悪用し始めました。そして、12月から1月にかけて、Log4Shellを悪用した攻撃として、仮想通貨採掘マルウェアや「Mirai」などのボットネットやバックドアでの悪用、さらには「Conti」などのランサムウェアグループによる攻撃転用が確認されています。

Log4Shellの脆弱性概要説明(リスク・影響度・対象製品等)

Log4Shell
Javaのログ出力ライブラリであるApache Log4jの深刻な脆弱性。悪用された場合、任意のコードをリモートから実行される恐れがある。すでに世界中で大規模な脅威を及ぼしており、IPA等からもアラートが発表されている。Apache Log4jは広く使われているJavaのログ出力ライブラリであるため、本脆弱性は影響範囲が非常に大きいことが特徴となる。Javaの普及度合いについて情報セキュリティ会社の米Cybereasonは「Apacheソフトウェア財団製プログラムは世界のWebサーバの3分の1が使っている」*2としている。

Log4Shellへの備え
Log4Shellの影響範囲は非常に広いため、2013年以降にリリースされているシステムやソフトウェアなどでJavaを利用している場合は、影響を受けている可能性を前提に対応することが望まれる。影響を受ける製品情報についてはNCSC-NL(オランダ国家サイバーセキュリティセンター)が、GitHubに影響有無を公開しているので、それを参考にするのも有効である。またLog4Shell関連の情報は変化が早いことも特徴である。今日対応できていたものが、明日には対応できていない可能性もあるため、しばらくのあいだ情報収集を欠かさず、影響を受ける製品を使用している場合は、ベンダ情報にしたがってアップデートやワークアラウンドを実施するなどの対策が必要である。情報収集の際には、最新情報をベンダやJPCERT/CC等の信頼できる機関のソースを参照してもらいたい。

Log4Shellを悪用したマルウェアによる攻撃事例

① 仮想通貨マイナーをインストールするマルウェア「Kinsing」による攻撃
  PCにインストールされてしまうと、個人情報を盗み取られるだけでなく、
  CPUやメモリの計算リソースを勝手に使い込まれ、端末の処理速度を低下させ、
  最終的に故障させてしまう恐れがある *3
② 新たなランサムウェアファミリー「Khonsari」による攻撃
  WindowsのCドライブを除くすべてのファイルが暗号化され、開封しようとすると、
  身代金支払い要求の記載されたメモ帳が開かれてしまう*4
③ ランサムウェアファミリー「Conti」による攻撃
  VMware vCenter Server標的にした攻撃において、初期アクセスで侵入されたのち、
  Log4shellによって、ネットワーク上でランサムウェアを横展開されてしまう*5

ゼロデイ攻撃への対策と備え

サイバー攻撃は近年ますます洗練化・巧妙化しています。また、それに応じて日々新たな脆弱性が発見されており、いつ・だれが攻撃のターゲットになってもおかしくありません。そんな中、増加の兆しを見せているゼロデイ脆弱性を悪用した攻撃は、内在する脆弱性を狙った攻撃のため、実際に攻撃され、インシデントが起こってからでないと自組織のシステムが攻撃されていること自体に気づきにくいという特性があります。

では、この攻撃による被害を未然に防ぐために、どのような対策をとればいいのでしょうか。重要なポイントは、「自システムの状態を知り、必要な対策をとる」ということです。ゼロデイ攻撃は完全に防ぎきることは難しい攻撃です。しかし、事前に対策することで、被害をあってしまった場合の被害を小さくすることは可能です。これにはまず、基本的なセキュリティ対策の実施をすることが前提となります。脆弱性の最新情報を収集し、セキュリティ更新プログラムのアップデートを行うことをはじめ、マルウェア対策にはEDR(Endpoint Detection and Response)による監視も推奨されます。組織の端末を24時間365日体制で監視し、インシデント発生時の初動対応まで実施できるようにしましょう。そのうえで、原因や侵入経路、被害状況などを把握することで、実際に被害にあってしまった場合でも、被害を最小限にすることが可能となります。

Webサイトの脆弱性対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
中小企業がサイバー攻撃の標的に!Webサイトのセキュリティ対策の重要性 ―個人情報保護法改正のポイント―

Log4Shellなどの深刻な脆弱性を検知するためには、企業等が提供する脆弱性スキャンツールを使用し、リスクを可視化することも重要です。また、安全性を維持するために定期的に診断を実施することも考え方の一つです。これにより、日々変化する脅威に対するシステムのセキュリティ状態を確認できるため、適時、適切な対策を実施することが可能となります。信頼できるセキュリティベンダ・専門家のサポートを検討するとよいでしょう。

BBSecでは

当社では以下のようなご支援が可能です。

脆弱性を悪用した攻撃への備え~自システムの状態を知る

本記事で紹介した「Log4Shell」のような脆弱性は日々新しい脆弱性や関連するアップデートが確認されています。こうした状況の備えとして、BBSecが提供する、デイリー自動脆弱性診断「Cracker Probing-Eyes®」では、シグネチャの見直しを弊社エンジニアが定期的に行っており、ツール診断による脆弱性の検出結果を、お客様側での簡単な操作で、日々確認、即時に適切な対応をすることが可能になります。新規設備投資不要で、コスト削減にもつながります。

CPEサービスバナー

弊社診断エンジニアによる、より広範囲で網羅的な診断を検討している方は、手動で診断する、「SQAT®脆弱性診断サービス」がおすすめです。

セキュリティ診断サービスバナー

攻撃を受けてしまった場合の対策の有効性の確認

完全に防ぎきることは難しくても、「攻撃・侵入される前提の取り組み」を行うことで、攻撃を受けてしまった場合にも被害を最小化する対策をする、「多層防御」が重要です。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

SQAT® ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア対策総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ペネトレーションテストサービスバナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェア攻撃に効果的な対策
‐セキュリティ対策の点検はできていますか?‐

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

パソコンのキーボードと南京錠とチェーンロック

これまでSQAT.jpの記事においても何度か取り上げている「ランサムウェア」ですが、攻撃パターンが変化し、なお進化を続け、その被害は国内外ともに2020年よりも増加傾向にあります。いまや完全に防ぐことが難しいランサムウェア攻撃に有効な対策としておすすめしたいのが、「攻撃・侵入される前提の取り組み」です。本記事では、ランサムウェア攻撃の拡大理由を探りながら、企業・組織が行うべき「ランサムウェア対策の有効性検証」について解説します。

現在のランサムウェア事情

海外レポートにおけるランサムウェア事情

2021年10月、米財務省金融犯罪取締ネットワーク(FinCEN)は2021年1月~6月におけるランサムウェア攻撃についてのレポートを発行しました。サイバー犯罪は政府全体で優先的に取り組むべき課題であるとしている中で、特にランサムウェアに関しては懸念される深刻なサイバー犯罪であると強調されています。

FinCENがランサムウェアをそのように注視している背景として、各金融機関から報告された2021年上半期のランサムウェアに関する不審な取引報告数が、2020年の1年間の合計件数よりもすでに多い状態であることや、ランサムウェア攻撃関連の取引総額も2020年の合計額よりもすでに多いことをレポートに挙げています。

出典:Financial Crimes Enforcement Network
Financial Trend Analysis – Ransomware Trends in Bank Secrecy Act Data Between January 2021 and June 2021」(2021/10/15)

これまでのバックナンバーでも触れてきましたように、ランサムウェアは変遷が激しく、日々新種や亜種が生まれ、大きな勢力を持っていたものですら、すぐに入れ替わってしまいます。

2020年以降のランサムウェアの変貌について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
変貌するランサムウェア、いま何が脅威か―2020年最新動向―
ランサムウェア最新動向2021―2020年振り返りとともに―
APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―

このようにランサムウェアがRaaSとしてビジネス化している中で、依然として攻撃件数や被害総額は増えており、ランサムウェアの種類の移り変わりの激しさを見ても、活発な市場であることがわかります。

国内レポートにおけるランサムウェア事情

次は日本国内における最近のランサムウェア攻撃事情もみていきましょう。2021年9月に警察庁が公開した 「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア攻撃による被害が多発している中で、昨今のランサムウェアは下記のような特徴があるとしています。

二重恐喝
(ダブルエクストーション)
データの暗号化だけでなく、窃取したデータを使って
「対価を支払わなければデータを公開する」などと二重に金銭を要求する手口
標的型ランサムウェア攻撃特定の個人や企業・団体を狙って、事前にターゲットの情報を収集し、より確度の高い攻撃手法で実行する攻撃
暗号資産による金銭の要求身代金の支払いを暗号資産で要求する
VPN機器からの侵入従来は不特定多数を狙って電子メールを送る手口が一般的だったが、現在はVPN機器からの侵入が増えている
出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdfより弊社作成

同報告書によると、2021年上半期に都道府県警察から報告があった企業・団体等のランサムウェアの被害件数は61件であり、前年下半期の21件と比べると大幅に増加しました。被害を受けた企業・団体等は、大企業・中小企業といった規模や業界業種は問わずに被害が報告されている状況です。表でご紹介した昨今のランサムウェアの特徴である二重恐喝は、手口を確認できた被害企業のうち77%で実施され、また暗号資産による支払い請求は90%にもおよびました。

さらにランサムウェアの感染経路に関してもVPN機器からの侵入が55%で最も多く、次いでリモートデスクトップからの侵入が23%となっており、リモートワークが浸透してきた昨今の時勢からみると、まだセキュリティ対応の追いついていない穴をつく攻撃が多いことがわかります。

警察庁が被害を受けた企業・団体等に向けて実施したアンケートによると、被害後、復旧に要した期間は「即時~1週間」が最も多く全体の43%にあたります。次いで多いのは「1週間~1ヶ月」であることから、多くの企業は早々に復旧できているようです。

しかしながら、被害後の調査および復旧時の費用総額を見てみると、最も多いのは「1,000万円以上5,000万円未満」で全体の36%となっています。復旧の期間だけで見ればそれほど被害を大きく感じないところではありますが、調査および復旧時の費用総額を考えると、かなりのコストがかかってしまっているのが実情です。


注:図中の割合は小数点第1位以下を四捨五入しているため、総計が必ずしも100にならない

出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

またそういったコスト以外にも、ランサムウェアによる被害が業務に与えた影響について、「一部の業務に影響あり」と90%が回答しているものの、被害を受けた企業のうち2件は「すべての業務が停止」したため、もしランサムウェアの被害にあった場合はインシデント対応以外にも業務に支障が出てしまうことも忘れてはいけません。

なぜランサムウェア攻撃が増加していくの

ここまでみてきたとおり、国内外問わず依然として活発となっているランサムウェア攻撃ですが、なぜ拡大していく一方なのでしょうか。その理由として大きくは、下記のことが考えられます。

● RaaSビジネスとして儲かる市場ができている*6
● ランサムウェア攻撃をしても捕まりにくく、ローリスクハイリターンの状態である

既述の国外のランサムウェア事情でも触れましたように、ランサムウェアの市場は“稼げるビジネス”として活発であり、ビジネスとして儲けやすい状態にあります。

さらに攻撃者を捕まえるためにはこのように国際協力が必要不可欠であり、最近ようやく法整備などが整いつつある状況ではありますが、未だランサムウェア攻撃者が逮捕されにくいのが現状です。そういった状況からランサムウェア市場は今後も衰えることなく拡大していくことが想定されます。被害にあわないためにも、ランサムウェアを一時的な流行りの攻撃としてとらえるのではなく、今後も存在し続ける脅威だということを念頭において対策を行うことを推奨します。

進化し続けるランサムウェア

先に述べましたようにRaaSビジネス市場の活発さやランサムウェアの特徴の変化など、ランサムウェアは日々目まぐるしいスピードで進化し続けています。それに伴い、実際に被害件数や身代金の被害総額などが増加しているのも見てきたとおりです。また、テレワークやクラウドサービスの利用を緊急で対応した企業が多い中で、昨今のランサムウェアの特徴の一つである「VPN機器からの侵入」がメインの手法となっている今、そこが弱点となり得る企業が多く存在しています。

ランサムウェアの脅威は一時的なものではなく、来年、ないしはその先でも攻撃の手が伸びてくる可能性があることを忘れてはなりません。引き続きテレワーク・クラウド環境のセキュリティの見直しを行うことはもちろん、そういった働き方の変化に伴って増加している標的型攻撃メールやフィッシング攻撃についても警戒が必要です。

企業が行うべきランサムウェア対策の実効性評価

しかしながら、いくら警戒を強めて対策を行っていても、ランサムウェア攻撃を完全に防ぐことは難しいのが現実です。そこでBBsecが提案しているのは、完全に防ぐのではなく、攻撃への抵抗力を高めるという考え方です。そのために重要となってくるのは「攻撃・侵入される前提の取り組み」です。第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を行うというものです。詳しくは「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」をご確認ください。

また、なかには思い浮かぶ限りの基本的な対策はすでに実施済みという方もいらっしゃるでしょう。そういった方々へ次のステップとしておすすめしているのは、「対策の有効性を検証する」という工程です。

BBsecでは多層防御実現のために「ランサムウェア対策総点検+ペネトレーションテスト」の組み合わせを推奨しています。

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度(リスクレベル)を判定いたします。

ランサムウェア対策総点検サービス概要図
BBSecランサムウェア総点検サービスへのバナー
ランサムウェア感染リスク可視化サービス デモ動画

また弊社では、11月に「リスクを可視化するランサムウェア対策総点検」と題したウェビナーで、サービスのデモンストレーションとご紹介をしております。こちらも併せてご覧ください。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。「ランサムウェア総点検」で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ペネトレーションテストサービス概要図

【例】

ペネトレーションテストシナリオ例

このように実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ホワイトハッカー列伝
~時代の先端を走り続ける人々~

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

SQAT® Security Report 2021年春夏号

人とパソコンでホワイトハッカーの作業イメージ画像

※本記事は、2021年3月公開SQAT®Security Report 2021年 春夏号の記事、
「ホワイトハッカー列伝 ~時代の先端を走り続ける人々~」の一部抜粋になります。

近年、「ホワイトハッカー」という言葉を耳にする機会が多くなった。
ここではその「ホワイトハッカー」が、どのような存在であり、サイバーセキュリティにどのような影響を与える存在であるのかを、彼らの活躍を交えながら見ていきたい。

ハッカーとは何か?

日本ハッカー協会では、ハッカーの定義について、

「主にコンピュータや電気回路一般について常人より深い技術知識を持ち、その知識を利用して技術的な課題をクリアする人々のこと」

と定義し、「サイバー攻撃者の視点でシステムの脆弱性を暴き、防御や対策を提案、実装できる人も、プログラミング大会やハッカソンなどで面白いものを作るのが好きな人も、ライフハックしている人も、みんなハッカーです。」という見解を述べている。

ハッカーというと、コンピュータ知識をつかって犯罪行為をする人間のことを指すことが多かったが、近年ではこうした人々を「クラッカー」と呼ぶことも増えてきた。一方で、そうした犯罪行為に手を染めるハッカーを「ブラックハッカー」、社会に貢献するハッカーを「ホワイトハッカー」と言って区別する風潮もある。

ここでは、そうしたホワイトハッカーとされる人々が、サイバーセキュリティに及ぼした影響と、彼らがもたらした恩恵について述べていきたいと思う。

歴史を変えたホワイトハッカーたち

社会に貢献し、歴史を変えたハッカーとして最も著名であるのは、スティーヴ・ウォズニアック氏であろう。Apple社の共同設立者の一人である彼は、(…続き)


本記事はここまでになります。

この記事の続きでは、ホワイトハッカーの存在がセキュリティにどのような影響を与えるのか、ハッカーの歴史・活躍を交えつつご紹介します。ぜひご一読ください。

※参考(続き)
contents
3.ハッカーの闇、そして光
4.「ホワイトハッカー」が活躍する時代
5.おわりに
本稿に登場したホワイトハッカーたち

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

なにはともあれリスクの可視化を!
―テレワーク運用時代に伴う課題とは―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

テレワークのイメージ(ピクトグラム)

2021年に入ってからも新型コロナウィルス(COVID-19)の感染拡大は収まることを知らず、外出自粛などの影響により、いまや7割近くの企業・組織にテレワークが導入されています。しかしそこには、緊急事態宣言の発令後、やむを得ず急な対応を迫られた結果、セキュリティ対策が十分にされないままテレワークの導入が進み、様々なリスクにつながってしまっている、という落とし穴があります。

本記事では、テレワーク運用時代における課題を挙げ、対応すべき対策例を考えていきます。

ニューノーマルがニューでなくなった日常

東京都における企業のテレワーク実施率は、2021年8月時点で7割近くにのぼるという報告*2が出ています。

クラウド利用もさらに進み、オンラインによるコミュニケーションやデータ共有、迅速なシステム構築などに活用されています。いまや全国でクラウドサービスを利用している組織は68.7%にのぼるとの調査結果*2もあり、ITビジネス環境に欠かせない存在です。

こうした調査結果は、「ニューノーマル」がもはや私たちの日常となったことを示しているといえるでしょう。

出典:
左図(■東京都内企業のテレワーク実施率):

東京都産業労働局「8月の都内企業のテレワーク実施状況」(2021年9月3日)https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/09/03/09.html
右図(■クラウドサービスの利用状況):

総務省「通信利用動向調査」(令和3年6月18日)
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html

テレワーク運用時代の新たなリスク

テレワーク導入期を過ぎ、運用期に入った組織が多数となった現在、新たなリスクが指摘されています。独立行政法人情報処理推進機構(IPA)が2021年4月に公表した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」では、次のような実態が明らかにされています。

出典:IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」(2021年4月)より当社作成

※BYOD(Bring Your Own Device)…業務に私用の端末を利用すること

例外や特例を継続することによるリスク

多くの組織がテレワーク導入を迫られた2020年、以下のような例外や特例を認めた組織は少なくないようです。

●支給IT機器の調達が間に合わず、利用ルールが整備されないままBYODを容認
●自宅環境からの接続を早急に実現するため、管理外の自宅ルータの使用を許可
●即日使用可能なツールの必要性に迫られ、習熟しないままクラウドサービスを導入 など

テレワークやクラウド利用により機密情報を含む各種データへのアクセス環境が多様化するなか、事業継続優先を理由にやむを得ず許容されたはずの“当座の対応”が、そのままになっていることが問題視されています。置き去りにされたセキュリティ対策が十分に対応されないままだと、以下のような被害につながる危険があります。

◇業務に使用していた私用スマートフォンの紛失による情報漏洩
◇自宅から業務システムへのアクセスに使用していたルータの脆弱性を突いた不正侵入
◇業務利用のクラウドサービスに機密情報が公開状態で保存されていたことによる情報漏洩 など

ギャップが生むサプライチェーンのリスク

ITサプライチェーン※において、委託先の情報セキュリティの知識不足、という課題も指摘されています。

※サプライチェーン問題については、過去記事「テレワーク導入による開発現場での課題―セキュアプログラミングの重要性―」も参考ください。

確かに、テレワーク導入率は情報通信業が目立って高く、8割近くにのぼるとする調査結果 *3 もあります。システム構築業務が委託および再委託で成り立っている日本の産業界においては、たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、オンラインでデータのやりとりなどをする委託先のセキュリティ意識が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

また、地域における差異も気になるところです。東京23区以外の地域のテレワーク実施率は2割程度*4とのことで、東京とそれ以外の地域では明らかに差があります。もちろん、新型コロナウイルス感染者数の差によるところも大きいでしょう。しかしながら、多くの事業活動が組織単体または地域限定で行われているわけではないため、テレワーク環境が当たり前の組織とそうでない組織の差異は、商習慣、ひいてはセキュリティ対策ギャップにつながりかねず、注意が必要です。

サイバー攻撃者は狙いやすいところを目ざとく見つけて突いてきます。サプライチェーンの中の一組織におけるセキュリティ不備が、そこに連なる様々な地域、規模、業種の関連組織に影響を及ぼしかねません。

まずはリスクの可視化を!

自組織からの情報漏洩を防ぎ、自らの被害ばかりでなくサプライチェーンリスクの起点とならずに済むようにするために、まずはリスクを可視化することを推奨します。

「リスクがどこにあるのか」「そのリスクはどの程度か」を明確にするのです。存在していることに気づいていないリスクを把握するのはもちろんのこと、存在自体は認識していても意図せず放置されたままになっているリスクを確認することも大切です。

リスクが明らかになってはじめて、なにに対してどのように対策を講じるか、すなわち優先的に取り組むべきポイントやそれぞれどの程度手厚く取り組む必要があるかを、具体的に検討することができます。

“なに”を”どう”守るか

リスクの洗い出しにおいては、保護すべき資産は“なに”か、そしてそれらを“どう”守るべきか、という視点で考えます。情報セキュリティリスクにおける保護すべき資産とは、「情報(データ)」です。例えば以下のようなステップを踏んで絞り込んでいきます。

リスクの可視化の重要性

すでにある程度セキュリティ対策は実施済み、という場合にもリスクの可視化は必要でしょうか。

国内企業のサイバーリスク意識・対策実態調査2020」 (一般社団法人 日本損害保険協会、2020年12月)によると、8割以上の組織において「ソフトウェア等の脆弱性管理・ウイルス対策ソフトの導入」が行われているとのことです。確かに、現在、最も代表的なセキュリティ被害の1つがランサムウェア※であることを鑑みると、最低限のセキュリティ対策としてやっていて当たり前という意識が感じられる結果です。

※ランサムウェアについては過去記事「ランサムウェア最新動向2021―2020年振り返りとともに―」も参考ください。

しかし、残念ながらセキュリティ対策にはこれだけやっておけば万事解決、という最適解はありません。インシデントが発生する恐れがゼロではないという現実がある以上、ランサムウェアに感染した場合や、システムに潜む脆弱性を悪用されて攻撃された場合に、どのような影響を受ける可能性があるのか、リスクを可視化しておくべきでしょう。

セキュリティ対策には専門家の力を

組織が抱えるリスクは、業種や規模のほか、サプライチェーンの特性や取り扱う情報の種類、テレワークやクラウド利用といったシステム環境の状況、セキュリティ対策の度合い……といった様々な事情に応じて異なります。まずは、自組織が抱えるリスクは何かを正確に見極め、優先度に応じた対策を検討できるようにすることが重要です。

その際、第三者視点の正確なリスクの検知と評価、そして講じるべき具体的な対策について、的確なアドバイスがほしいものです。ぜひ心強いパートナーとなり得る、リスクアセスメントに精通したセキュリティベンダを探してみてください。

【参考】テレワークに関するガイドライン・参考資料等

●総務省
 「テレワークセキュリティガイドライン 第5版」(令和3年5月)
 https://www.soumu.go.jp/main_content/000752925.pdf
 「中小企業等担当者向けテレワークセキュリティの手引き
 (チェックリスト)(初版)」(令和2年9月11日)
 https://www.soumu.go.jp/main_content/000706649.pdf

●経済産業省 / 独立行政法人情報処理推進機構(IPA)
 「テレワークを行う際のセキュリティ上の注意事項」
 (2021年7月20日更新)
 https://www.ipa.go.jp/security/anshin/measures/telework.html
 「テレワーク時における秘密情報管理のポイント(Q&A解説)」
 (令和2年5月7日)  https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf
 「クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年度版」 https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
 「中小企業のためのクラウドサービス安全利用の手引き」
  https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf

●内閣サイバーセキュリティセンター(NISC)
 「テレワーク実施者の方へ」(令和2年6月11日更新)
 https://www.nisc.go.jp/security-site/telework/index.html
 「インターネットの安全・安心ハンドブックVer 4.10」
 (令和2年4月20日)
 https://www.nisc.go.jp/security-site/files/handbook-all.pdf

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像