2038年問題とは?-2000年問題の再来?2038年問題の影響と解決方法-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事では最近話題の「2038年問題」について解説します。2038年問題は狭義のサイバーセキュリティと関連するものではありませんが、そのまま放置してしまうとサイバーインシデントを引き起こす可能性がある問題となります。対応に準備に時間を要する問題であることから、読者の皆さまに早い段階から関心を持っていただければと考えています。

2000年問題を振り返る

初期のプログラミング言語(FORTRANやCOBOL注 1) など)はデータ型に日付型がなかったため、文字列を割り当てて日付として処理をしていました。

この時、日付を文字列で処理する際、1960年代~80年代の人類は自分が作ったプログラムがその後長く使われるなどと思わず、「とりあえずYY-MM-DDで表示すればデータ量削減にもなるし、いいだろう」と考え、慣例として西暦年を下2桁で処理していました。

図1:2000年問題の原因となった表示方法

何しろ今とは異なりCPUもメモリも、貧弱でも超高価な時代です。資源の節約は必要な限り実行しなければならない課題だったといえます。しかし、1990年代に入ったところで人類はふと気づきます。「これはもしや、西暦年の下2桁だけだと2000年になった時、処理上1900年に戻ってしまうのでは?」と。

図2:2000年問題

そうして、1990年代半ばからプログラムの書き換えが行われ、それまで下2桁だった西暦年を4桁に変更し、万が一の時のために1999年12月31日から2000年1月2日までの間、一部のIT業界の人たちが正月返上で出勤して不測の事態に備えたのが2000年問題です。

2000年問題では実際、2000年1月1日当日、特に何かが起こることはありませんでした。その背景は以下の通りです。

2000年問題が2000年1月1日に何も問題とならなかった背景

  • COBOLやFORTRANなどのレガシー言語で古くに書かれたアプリケーションやマイコンなど対象が限定されていたこと
    (※C言語などの比較的新しい言語は日付型をデータ型に持っていたため関係がなかった。)
  • 発生日が明確だったこと
  • 対策が西暦年の2桁を4桁表示に変更するという方法に集約されていたこと
  • 数年間にわたって事前の対策がとられていたこと

限定的な対象に対し、事前に入念な準備を行ったことが功を奏し、インシデントが発生しなかったことが2000年問題の結果です。

計算機とデータ型:2038年問題の技術的背景

さて2024年現在、コンピューター・タブレット端末・スマートフォンなど、見た目などから計算機であることがわかりづらいようになっていますが、やはりコンピューターは計算機です。実際アプリケーションを動かすにしてもプログラムがされていて、プログラムの実行には必ず計算が伴います。そして、プログラム上でデータを処理するためにはデータの種類を定めるデータ型というものがあります。

データ型の例

データ型
文字列(str)今ご覧になっているいわゆる文字列のこと
整数型(int)1, 2, 50, 1065, -5などの整数(負の数も含む)
浮動小数点型(float)3.14, -0.001, 356.25などの小数点を含む数(負の数も含む)
ブーリアン型(bool)真(True)か偽(False)のいずれかで表わされる
日付型(date)世界標準時(UTC)を基準として、1970年1月1日からの経過秒数を表すタイムスタンプデータ。整数型データで表わされる

2000年問題のときはFORTRANやCOBOLに日付型が存在せず、文字型で処理していたこと、また限られた資源を節約するために下2桁で年を表していたことが原因でした。一方、2038年問題は日付型のタイムスタンプデータを格納する整数型のデータ長(ビット幅)の実装が原因となるものです。

SQAT.jpでは以下の記事で2024年版のプログラミング言語をめぐる状況と、ちょっとした脆弱性対策に関する情報をご紹介しています。こちらもあわせてご覧ください。
【続】プログラミング言語の脆弱性対策を考える:2024

2038年問題の技術的課題

符号付32ビット整数型から符号付64ビット整数型への移行の壁

前述したデータ型の例の表にもあるように日付型は絶対的な日付を表すものではなく、1970年1月1日午前0時0分を基準日時(エポックタイム)としてそこからの経過秒数をタイムスタンプデータとしてあらわすものです。C言語ではtime_tと呼ばれるこのデータでは、タイムスタンプデータを格納するのは符号付32bitの整数型となっています。符号付整数型は最初の1bitを正負符号のために使用します。符号の1ビットがあるため、実際に日付データ用に利用できるのは正負を表す最初の1ビットを除く31ビットで、利用できるビット長は(231-1)=2,147,483,647秒となります。よって基準日時からおよそ68年を上限として演算・表示ができるものとなります。

図3:符号付32bitであらわした2038年1月19日3時14分7秒

図3は1970年1月1日午前0時0分から2,147,483,647秒が経過した、2038年1月19日3時14分7秒(※うるう秒は考慮しておりません)の符号付32bit整数型でのtime_tの状態です。一番左側の符号0は正の値を表しており、1970年1月1日午前0時0分から2,147,483,647秒、正の方向に経過したことを示します。

さて、二進法の常で右側の31bitがすべて1になった場合、通常一番左側の1ビット目が1になります(二進法の繰り上がり)。

図4:符号付32bitのままで2038年1月19日3時14分8秒になった場合

1970年1月1日午前0時0分から2,147,483,648秒経過すると図4のようになります。符号付の場合、一番左側の符号1は負の値を表すため、1970年1月1日午前0時0分から2,147,483,647秒、負の方向に遡った1901年12月13日20時45分52秒を示します。つまり放置しておくと日付データが大きく誤ることとなります。この問題が最も深刻になるのは符号付32bitのtime_tを何らかの形で参照し、それを正しいものという前提で処理しているプログラムが、2038年1月19日の時点(または2038年1月19日以降の日付を参照する時点)で未改修のまま残ってしまうことで影響を及ぼしてしまうことなのです。

ウェビナー開催のお知らせ

  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 最新情報はこちら


    2038年問題を回避する3つの対応策

    対策として考えられる方法はいくつかありますが、根本的な対策は以下の3つになります。

    1. time_tを符号付64bit整数型に変更する
    2. time_tを符号なし32bit整数型に変更する
    3. time_tの基準日時を1970年1月1日午前0時0分から別の日時に移動する

    主要OS・アプリケーションの2038年問題対応状況

    2038年問題の影響が一番大きく出ると当初予想されていたのが各種OSです。以下に各OSの対応状況を記載します。

    各OSの対応状況

    OS
    Linux64bitアーキテクチャ向けには当初より64bitのtime_tを提供。
    32bitアーキテクチャについてはLinux Kernel 5.6で64bit化対応済み。5.4/5.5についてもバックポートで対応済み。*1
    FreeBSD原則として64bit対応済みだが、i386アーキテクチャの32bitアーキテクチャのみ非対応。I386アーキテクチャについては符号なしの32bit整数型 time_tを提供*2
    Windows64bitで1601年1月1日0時からの100n sec単位の差分計算をしていることから2038年問題は対象外といわれている*3
    macOSmacOS10.0(Cheetah)で基準時を2001年1月1日0時に変更しており、2038年問題は対象外。また、32bitアプリケーションはmacOS 10.15(Catalina)以降では使用できない*4

    表にもある通り、最新のOSであればほぼ問題なく2038年問題をクリアできることがわかります。問題はOSの機能を補完する各種ドライバやライブラリ群、また、そのうえで動くアプリケーションでしょう。それぞれ確認は必要となりますが、代表的なものの対応状況は以下の通りです。

    ライブラリ/アプリケーション名対応状況
    GNU C Library (glibc)バージョン2.34でx86アーキテクチャ上での64bit整数型time-tに対応。ただしx86アーキテクチャ上のglibcのtime_t自体は32bitのままで、_TIME_BITSプリプロセッサマクロが64に設定されていて、かつLFSが有効な場合にのみ利用可能などの制限あり*5
    NFSNFSv4(RFC7530)秒単位のデータは符号付64bitであることが定義されている*6(※2.2.1 nfstime4の項を参照)
    XFSLinux 5.10でオプションとしてナノ秒単位を64bitで計算・表示する「big timestamps」を追加し、2486年まで対応できるように修正。ただしデフォルトで追加が反映されるものではなく有効に設定する必要がある*7
    MySQL8.0.28でFROM_UNIXTIME(), UNIX_TIMESTAMP(), CONVERT_TZ() の64bit対応。ただしOS側が64bit対応である必要あり(いずれの関数もOSの日付型データを参照するため)*8
    MariaDB11.5.1でタイムスタンプを2106年02月07日6時28分15秒まで拡張*9
    Visual C++32bitであえて指定されていない限りは64bitがデフォルト値*10

    上記はごく一部の対応状況ですが、仮に対応していても制限事項がつくものが存在する点に注意が必要です。ここまで記載した内容で何となくお気づきの方もいらっしゃるかもしれませんが、2038年問題は発生する可能性がある箇所が2020年問題に対して格段に多いため、時間がかかることが予想されます。

    2000年問題と2038年問題の違い

    • 対象がOS/ライブラリからアプリケーション、機器類まで非常に幅が広い
    • 2000年当時に比べて格段にデジタル化が進んでいる
    • 対策方法が一様ではないものや、現在動いているシステムに対して即時変更をかけられないものがある

    企業が取るべき2038年問題対策:自社システムの診断方法

    自社のプログラムの調査は?

    さて、「PCやサーバなんかを買ってきたものの、自社で作ったものはどうすればいいの?」というケースもあるでしょう。自社で作ったものは…そうです。自分たちで調べるしかないのです。実際に調査をして対応をした事例がまとめられた論文が公開されています。

    組込み機器開発における2038年問題への対応事例

    https://www.ipsj.or.jp/dp/contents/publication/39/S1003-1809.html

    この事例では製品のライフサイクルがもともと20年前後を想定していることから、まずは2038年を最低限クリアすることを要件として調査を開始しています。このケースは組み込み機器になりますが、その単体の機器でもOS部分を含む総行数330万行のコードから符号付32bit整数型のtime_tを明示的に使用する箇所およそ3500か所が発見されています。

    この事例でとられたステップを簡単にまとめます。

    この事例では3500か所に対して5.8人月で実行された修正作業もさることながら、そのレベルの工数で抑制するために事前の洗い出しや対策案の立案、修正作業の手順策定といったところの重要さが感じられます。特に対策案を選定するにあたって要件が明確だったことが対策案の選定を容易にしたことがわかることから、作業開始前(せめて対策案の選定前)に要件を明確にしておくことの重要さを実感させられます。

    さて、2038年問題に該当するコードを検出するためのツールは日本の研究者も含め、いくつかのGitHubレポジトリからリリースされています。最近では立命館大学のサイバーセキュリティ研究室によるY2k38チェッカーがリリースされています。

    Y2k38チェッカーチェッカー作者によるプレゼン資料

    こういったチェッカーは自社開発のプログラム資産のざっとしたチェックに使えるでしょう。また、チェッカー以前の問題として、まずは自社のプログラム資産が2038年問題の影響を受けないか、そろそろ確認を行い、準備を始める期間に入ってきたといえるかもしれません。

    組み込み機器とは?:2038年問題の最大の影響

    実はここまでにあまり触れていない、最大の2038年問題があります。それは、先ほどの論文の事例にもある組み込み機器の問題です。

    組み込み機器といわれてもピンとこない方もいらっしゃるかもしれません。身近な例でいうと家電製品を制御するために組み込まれているコンピューターになります。一番パソコンに近いものであれば最近のハードディスク内蔵か外付け対応のテレビが挙げられます。このほかにも例えば電車に乗るときの自動改札機、切符販売機、水道や電気ガスなどのメーター類や街中で見かけるデジタルサイネージなども組み込み機器です。ほかにも工場のセンサー類やオートメーション用の機器類、配電設備や浄水・配水設備などのインフラ設備、病院の検査機器などにも組み込み機器が用いられています。

    先ほどの事例のようにライフサイクルが決まっていて、そのライフサイクルの間のみ使用するというのが利用者(消費者)側に正しく認識されていれば問題ないのですが、実際のところ、組み込み機器こそライフサイクルを超えて、転売などをされて使い続けられるケースが多く、販売業者も製造業者もすべての出荷品の現状をトレースできないケースがあるといわれています。特に償却期間が5年を超えるような固定資産については入れ替えの検討なども含めて対応する必要が出てくることから、そろそろ取りまとめを始めなければならないでしょう。また、個人向けのIoT機器や家電のように、長期間の利用は想定されていない(売り切りに近い)製品については直前になって買い替えが必要といったアナウンスが出てくる可能性もあるでしょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ

    2038年問題は日付データが誤ることで社会的に大きな影響を与える可能性があります。本記事公開日(2024年12月)時点ではまだまだ先の問題と思っている方が多いと思いますが、そろそろロードマップを書き始めないと対策に取る時間が足りなくなる可能性があります。これを念頭に置き、早めの対策方法を考えておく必要があるでしょう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    注:
    1)FORTRAN
    ・数学分析用を目的としたプログラミング言語
    ・データ型は整数、実数、複素数、文字、論理の5種類
     COBOL
    ・1950年代終わりに開発されたプログラミング言語
    ・データ型は文字、数字、数字編集の3種類


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    Array Networks社のArrayOS AGに存在する重大な脆弱性について、企業が知るべき最新情報をお伝えします。ネットワークセキュリティについて情報収集されている方は必読です!

    脆弱性の概要と深刻度

    CVE-2023-28461は、ArrayOS AGのセキュリティ基盤を揺るがす深刻な認証脆弱性です。CVSSスコア9.8という極めて高い危険度は、即時の対応を求めています。

    脆弱性の特徴

    • 影響バージョン:ArrayOS AG 9.4.0.481以前
    • 攻撃難易度:非常に低い
    • 潜在的リスク:システム不正アクセス、情報漏洩、サービス運用妨害

    攻撃の実態と脅威

    2023年3月15日に公表されたこの脆弱性は、すでに複数の攻撃キャンペーンで悪用されています。特に注目すべきは、Earth Kashaという脅威アクターによる組織的な攻撃です。

    攻撃の特徴

    • 2023年4-5月:リモートコード実行が疑われる攻撃
    • 標的:日本および世界各国のテクノロジー企業、政府機関

    企業が取るべき対策

    この脆弱性から組織を守るために、以下の対策が不可欠です。

    修正プログラムの適用

    Array Networks社から提供されている修正プログラムを速やかに適用することが最も重要です。特に、バージョン9.4.0.481およびそれ以前のバージョンを使用している場合は、最新のアップデートを適用してください。

    アクセスログの監視

    不審なアクセスや異常な動作を早期に発見するために、アクセスログを定期的に監視し、異常がないか確認します。特に、VPN接続や外部からのアクセスが多い環境では注意が必要です。

    セキュリティ機器の強化

    インターネット境界に設置されているセキュリティ機器(ルータやファイアウォールなど)の設定を見直し、不必要なポートやサービスを閉じることで攻撃面を減少させます*11

    脆弱性管理の実施

    使用しているシステムやアプリケーションの脆弱性情報を定期的に確認し、ゼロデイ脆弱性や既知のエクスプロイトに対する対策を講じます。特に、Array AGシリーズのような外部からアクセスされる機器は優先的に管理します*2

    多要素認証の導入

    認証機構自体の強度を高めるため、多要素認証(MFA)を導入し、パスワードだけでなく他の認証手段も組み合わせて使用します。

    リスク軽減のための具体的なステップ

    システム管理者向け緊急対応

    • ArrayOS AGのバージョンを速やかに確認
    • 公式パッチの即時適用
    • 不審なアクセスログの分析
    • 外部セキュリティ専門家への相談検討

    最後に

    この脆弱性は単なる技術的な問題ではなく、組織の存続に関わる重大なセキュリティリスクです。迅速かつ包括的な対応が求められます。セキュリティは待ったなし。今すぐ行動を起こしてください。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年12月4日(水)13:00~14:00
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年12月11日(水)14:00~15:00
    ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~
  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2023年に最も深刻な影響を与えた脆弱性Top15
    -Five Eyes共同調査分析レポート公開-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    概要

    海外5か国(米国、英国、オーストラリア、ニュージーランド、カナダ)で構成されたFive Eyesによる共同調査で、2023年、特に深刻な影響を与えた脆弱性15件が特定されました。本記事では、該当の脆弱性をカテゴリ別に分類して展開。効果的な脆弱性対策についてご説明します。

    脆弱性の分類と影響度

    ネットワークインフラストラクチャ関連

    Cisco IOS XE

    1.CVE-2023-20198
    2.CVE-2023-20273

    影響:特権昇格、リモートコード実行
    深刻度:Critical (CVSS: 9.8)

    Citrix NetScaler

    3.CVE-2023-3519
    4.CVE-2023-4966

    影響:認証バイパス、情報漏洩
    深刻度:Critical (CVSS: 9.1)

    VPNおよびリモートアクセス関連

    Fortinet FortiOS/FortiProxy SSL-VPN

    5.CVE-2023-27997

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.3)

    データ管理システム

    MOVEit

    6.CVE-2023-34362

    影響:SQLインジェクション
    深刻度:Critical (CVSS: 9.8)

    Atlassian Confluence

    7.CVE-2023-22515

    影響:特権昇格
    深刻度:Critical (CVSS: 10.0)

    ロギング・監視システム

    8.CVE-2021-44228

    影響:リモートコード実行
    深刻度:Critical (CVSS: 10.0)
    特記:脆弱性「Log4Shell」として広く知られ、長期的な影響が継続

    セキュリティアプライアンス

    Barracuda ESG Appliance

    9.CVE-2023-2868

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:バックドアの埋め込みリスクあり

    システム管理ツール

    Zoho ManageEngine

    10.CVE-2022-47966

    影響:認証なしリモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:複数の製品に影響

    印刷管理システム

    PaperCut MF/NG

    11.CVE-2023-27350

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:認証バイパスによる特権昇格の可能性

    Windows環境

    Microsoft Netlogon

    12.CVE-2020-1472

    影響:ドメイン特権の昇格
    深刻度:Critical (CVSS: 10.0)
    特記:Zerologon脆弱性として知られる

    継続的インテグレーション/デプロイメント

    JetBrains TeamCity

    13.CVE-2023-42793

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.8)
    特記:ビルドシステムへの不正アクセスのリスク

    メールクライアント

    Microsoft Office Outlook

    14.CVE-2023-23397

    影響:特権昇格、NTLM資格情報の漏洩
    深刻度:Critical (CVSS: 9.8)
    特記:標的型攻撃で悪用される可能性が高い

    クラウドストレージ

    ownCloud graphapi

    15.CVE-2023-49103

    影響:認証バイパス
    深刻度:High (CVSS: 8.8)
    特記:データアクセス制御の迂回が可能

    脆弱性カテゴリ別の分布分析

    上記の脆弱性を分析すると、以下のような特徴がみられます。

    攻撃タイプの傾向

    • リモートコード実行: 38%
    • 認証バイパス: 31%
    • 特権昇格: 23%
    • その他: 8%

    影響を受けるシステム領域

    • ネットワークインフラ: 31%
    • アプリケーションサーバー: 23%
    • セキュリティ製品: 15%
    • エンドユーザーアプリケーション: 31%

    対策の優先度付けのポイント

    • クライアントアクセス性: 高い順
    • パッチ適用の容易さ: 考慮が必要
    • ビジネスインパクト: 重要度評価
    • 実現可能な緩和策の有無

    推奨される対策措置

    組織のセキュリティ責任者向け

    即時対応が必要な施策

    • 重要システムの脆弱性評価の実施
    • パッチ適用計画の策定と実行
    • セキュリティ監視の強化

    中期的な対策

    セキュリティツールの導入・更新

    • DR(エンドポイント検知・対応)システム
    • WAF(Webアプリケーションファイアウォール)
    • ネットワーク監視・分析ツール

    開発者・ベンダー向けガイドライン

    設計フェーズでの対策

    • SP 800-218に基づくSSDF(安全なソフトウェア開発フレームワーク)の導入
    • DevSecOpsの実践によるセキュリティシフトレフト

    実装フェーズでの対策

    • セキュアコーディング規約の徹底
    • 継続的なセキュリティテストの実施

    運用フェーズでの対策

    • 脆弱性開示プログラムの確立
    • インシデント対応体制の整備

    リスク軽減のためのベストプラクティス

    システム管理者向け

    • 定期的な脆弱性スキャンの実施
    • パッチ管理の自動化
    • セキュリティ設定の定期監査

    エンドユーザー向け

    • セキュリティ意識向上トレーニング
    • インシデント報告手順の周知
    • アクセス権限の定期見直し

    まとめ

    これらの脆弱性に対する効果的な対策には、組織全体での継続的な取り組みが不可欠です。本レポートで示した対策を確実に実施し、定期的な見直しと更新を行うことで、セキュリティリスクの最小化を図ることができます。

    注)本記事に記載されている脆弱性情報やPoCの取り扱いには十分な注意を払い、悪用防止に努めてください。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 2024年12月4日(水)13:00~14:00
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年12月11日(水)14:00~15:00
    ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~
  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ユーザ事例1

    Share

    フリービット株式会社 様


    地域ISP・ケーブルテレビ事業者の安全・安心に向けて脆弱性診断の継続が鍵

    フリービット株式会社(以下、フリービット)は、「Being The NET Frontier! Internetをひろげ、社会に貢献する」を理念に掲げ、多くのグループ企業をもち、多岐にわたる事業を展開している。なかでもフリービット創業時からの事業を担うYourNet事業部へ焦点を当て、セキュリティ意識の重要性やニーズについてお伺いした。


    【お話をお伺いした方】
     YourNet事業部 営業部 法人セールス1課
     課長 高橋 浩樹氏


    品質を担保したうえで提案している点が強み

    フリービットはインターネット接続事業者へのインフラ等提供事業、MVNE事業、クラウド事業及びヘルステック事業、インターネットビジネスに関するコンサルティング事業を行っている。
    YourNet事業部では全国のISP(インターネット・サービス・プロバイダ)やケーブルテレビ事業者へ向けて、ISP事業の運営に必要な回線・設備・アプリケーション等をワンストップで提供しており、グループ会社の株式会社ドリーム・トレイン・インターネットでトライアルを行い、一定の評価を得たうえで取引先に提案しているという点が強みとなっている。

    安全・安心マークの取得支援がセキュリティ診断のきっかけに

    「地域のISPやケーブルテレビ事業者は、地域密着型の運営をしており、Face to Faceでの取引を契約者と行っている。「ISP事業者の方々の多くは、地域を守る、お客様様自身の課題や悩みに対して玄関ノックできるようなサービスを手掛けていきたい、と考えています。お客様との関係性は信頼がないと作れません。フリービットとしては、インターネット接続の仕組みを提供するだけでなく、ISP事業者様とその顧客との信頼関係づくりもお手伝いするため、一定の品質の基準として『安全・安心マーク』の取得支援を考えました。」と高橋氏は語る。

    さらに続けて、「特にケーブルテレビ事業者様においては、お取引には『安心感』『信頼感』が非常に重要となります。昨今よくあるように、セキュリティホールが見つかり、万が一にも大切なお客様情報が漏洩してしまう事がないよう、高い危機意識を持っています。そのためセキュリティ診断のリクエストを多くいただいています。」と語った。


    安全・安心マークとは

    利用者が安心してインターネットを利用できる目安を提供することを目的に、「インターネット接続サービス安全・安心マーク推進協議会」の審査委員会で使用許諾審査基準を満たしたインターネット接続サービス提供事業者に対して付与されるマーク。マークの有効期限は、発行日から起算して1年で、継続使用には更新審査に合格することが必要。

    そこでBBSecの自動脆弱性診断ツール、CPE(Cracker Probing-Eyes®)が採用された。その理由を、高橋氏は次のように語っている。「フリービットでは、分かりやすいレポートを一番に評価しています。例えば、担当者が変わった場合でも脆弱性に対するリスクが点数化されているため、後任者もすぐに全体像が把握でき、現在地がどこにあってどこまで高めなければならないのかが分かりやすいですね。それが継続利用している理由の一つです。」

    さらに同じ会社で継続したサービスを受けるメリットについて、「さまざまなサービス展開をしているなかでは、一つの会社で一気通貫してやっていかないと差分がわかりません。例えば、昨年はBBSec、今年は別会社で、ということになると、項目として共通している部分はあっても、ベースとしてみるべき部分がわかりづらくなってしまいます。フリービットのポリシーとしては、中長期的にセキュリティ対策を行ううえで、信頼のおける1社に選定し、継続的に行うことを大切にしています。また、CPEが『安全・安心マーク』の推奨ツールであることも大きな理由の一つでした。」と語った。

    それ以外にも各地域のISP事業者のメリットとして、「直接お取引・利用をするよりも、当社で一元的にまとめることでコスト見合い的にも良いと高評価をいただいています。さらに当社が仲介する安心感もあります。サービス自体は無形のものではありますが、第三者機関にセキュリティ評価をいただき、点数化することで可視化ができ、それが信頼につながることが一番のメリットではないかと考えています。」と語る高橋氏。さらにフリービットの立ち位置からみても、メールサービスやホスティングサービスを提供しているISP事業者様がCPEを活用したセキュリティ診断を行うことで、より安心して継続利用できるようにおすすめすることができるメリットがあるという。

    地域ISP・ケーブルテレビ事業者様のさらなる安心に向けて

    「今後も第三者機関のセキュリティ評価の信頼基盤を基に、地域ISP事業者様やケーブルテレビ事業者様が安心して提供できるようなサービスを目指したいと考えています。」と語る高橋氏。
    将来的には、一気通貫したインターネットサービス提供のノウハウを利用し、教育業界やヘルスケア業界などの日常的にセンシティブな情報を取り扱う業界に向け、セキュリティ性の高いサービスを拡充したいという。

    常にお客様のニーズに応え、さまざまなかたちでインターネット接続サービスを提供し続けるフリービット。セキュリティ意識の高さとサービス品質の担保を大切にし、インターネットの原動力(エンジン)を提供する企業としてのさらなる成長に今後も注目したい。


    <会社情報>
    会社名: フリービット株式会社
    URL: https://yournet.freebit.com/

    フリービットは、インターネットをひろげ社会に貢献することを企業理念に掲げています。特許取得技術を含む最先端のテクノロジーと、市場のニーズを先取りするマーケティングを組み合わせて独自のネットワークサービスを展開し、「IT時代のものづくり」をキーワードに新たな価値を創造するソリューションを提供しています。

    ※記載の情報は2020年4月現在のものです。
    ※文中の社名、製品名は各社の商標または登録商標です。

    サイバー攻撃者は何を狙うのか?
    ~サイバー攻撃の準備段階 第2回:足がかりを作る

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    シリーズ第1回「侵入するための偵察活動」でご紹介した通り、攻撃者は攻撃対象をありとあらゆる面から調べ上げ、偵察活動を通じて使えそうな情報を手に入れようとします。一方で偵察活動を含めてターゲットを絞り込む段階では足掛かりとなるものが必要となります。この足掛かりは実際の侵害行為にも流用されるものが含まれます。シリーズ第2回の今回は、攻撃者が足掛かりとして何を用意するか、その事例をお伝えします。

    足掛かりの種類

    大きく足掛かりとなるものの種類を分類すると以下の通りになります。

    アクセス手段の取得

    • 対象のシステム・ネットワークへの正規アクセス手段の購入・取得
    • アカウントの侵害(対象は最終的な被害者とは限らない)
    • アカウントの作成

    偵察活動・攻撃のためのインフラ・機能の準備

    • 偵察活動・進入用のインフラストラクチャの用意
      (自前、レンタル、リース、サードパーティーからの奪取など)
    • 各種機能の自主開発
    • 各種機能の入手
    • 開発・入手した機能のステージング

    アクセス手段の取得の例

    アカウントの侵害やなりすましによるアカウントの作成、ネットワークアクセスの取得や購入、といった手法が明らかになっていないものも含めると、アクセス手段を取得する手法は多くの脅威アクターやランサムウェアギャングが採用していると考えられます。アカウントの侵害・作成もメールアカウントやクラウドアカウントなど即攻撃につながるものもあれば、SNSのアカウントを侵害・作成することで別人になりすます、架空のペルソナを手に入れる、といったものまで幅広い手法があります。こういったSNSアカウントからのDM(ダイレクトメール)などを介して、Microsoft 365のログイン情報を窃取するためのフィッシングサイトのリンクを送り、その後の侵害に悪用する手法*3も存在しています。

    最近の事例

    次の事例は実際の攻撃の初期アクセスに当たる可能性もありますが、攻撃者による事前の足掛かりづくりとしてもアクセスの取得が悪用されている可能性があることから参考として掲載します。

    香港消費者委員会に対するALPHVランサムウェア攻撃

    2023年9月4日に管理者の認証情報を窃取し、その情報を悪用されたとの報道がある*2

    2024年9月19日~20日にかけてランサムウェアが展開され、環境内の80%のアセットがダメージを受けたことが発表されている*5

    漏洩したとされる情報は以下の通り

    • 職員の個人情報(離職者を含む)、職員の家族の個人情報、採用応募者の個人情報
    • メールマガジンの購読者の情報(クレジットカード情報を提示した購読者8000人の情報も含まれる)
    • 不服申し立てや通報を行った人の情報
    • 取引先の情報

    次の事例は実際の攻撃や被害に至っていないケースですが、場合によってはランサムウェア攻撃やマルウェアによる被害にもつながる可能性があること、ペルソナ(人格)のなりすましによる足掛かりづくりとしてわかりやすいことから一例としてご紹介します。

    北朝鮮のIT技術者なりすましによる就労*6

    外国人の身分証明書を悪用しなりすましを行った北朝鮮のIT技術者が米国で就業していた事例

    • 採用を行った米国や企業に、米国内の信頼されるIPアドレスからアクセスするが、そのIPアドレスの配下にはラップトップファームが存在し、そこへ北朝鮮からVPN経由でIT技術者(おそらく複数人)がリモートアクセスし、まるで1人の技術者が作業しているように見せかけていた
    • セッション履歴ファイルの操作、潜在的に有害なファイルの転送、社内規則で不正とされるソフトウェアの実行やマルウェアの実行を試みた形跡があった

    米国と韓国からは2022年以来注意喚起が行われており、最新のものは2023年10月に公開されている*7。この中では米国と韓国の法人への注意が呼びかけられている

    実際にこの事例に遭遇した企業からは以下のような情報が提供されている

    • 今回の事例は他人へのなりすましのためにディープフェイク画像を用いてビデオ通話でのインタビューに対応していたことが判明している
    • 従来、北朝鮮のIT技術者はテキストベースのコミュニケーション偏重で、ビデオ通話に応じないとされていた
    • ソーシャルメディアを通じた本人確認プロセスや、メール以外でのリファレンスチェックの追加
    • 上記を含めたQ&Aが人事部門向けに公開されている*8

    偵察活動・攻撃のためのインフラ・機能の準備の例

    多くの脅威アクターは、正規のドメインや正規ドメインと紛らわしいドメイン(使用する文字セットの関係で同じように見えるが実際は異なるドメイン)などを使用してC2サーバ注 1)を構築、マルウェアを配信、フィッシング用のWebサイトを立ち上げるといったことを行います。こういったドメインはAPT攻撃、ランサムウェア攻撃ともに用いられ、侵害情報(IOC:Indicator of Compromise)の一部として共有されることもあります。

    脅威アクターは様々な手法で自分たちの存在を隠しながら活動を行います。具体的には、正規のホスティングサービスやレンタルサーバ、正規のドメインレジストラ(ドメインを登録する事業者)などを利用する、正規のWebサービスに見せかけた偽物を用意する、正規のWebサービスに正規ユーザとして登録する、正規のVPSサービスを利用する、巧妙な偽広告を使ってターゲットをマルウェアのダウンロードサイトに誘導するといった手法があります。

    最近の事例

    脅威アクターが正規のWebサービス、この場合はGitHubに正規ユーザとして登録した事例として、XZ Utilsへのソフトウェアサプライチェーン攻撃が挙げられます。

    XZ Utilsへのソフトウェアサプライチェーン攻撃

    XZ Utils*9は各ディストリビューションでも広く使用されているオープンソースのLinuxの圧縮ユーティリティ。このユーティリティにバックドアが仕込まれたことが本事件の核となる。

    • 対象となるバージョンが限定的だったことや発見が早かったこともあり、本攻撃による具体的な被害は出ていない

    脅威アクターは正規のGitHubユーザーアカウントを使用し、長期間かけてメンテナーからの信頼を獲得し、共同メンテナーとなる*10

    2024年3月に脅威アクターがSSHセッションへのリモートアクセスを可能とし、リモートコード実行が可能となるバックドアを仕込んだバージョンをリリース*11

    • リリース後、Microsoftのエンジニアが偶然バックドアを発見・報告し、ただちに対象バージョンの配布を停止
    • バックドアは脅威アクターが持つ秘密鍵を利用してSSHへアクセスし、任意コードの実行が可能となるものであった

    VPSや偽広告を悪用した事例としてはPlayランサムウェアによる攻撃が挙げられるでしょう。

    Playランサムウェアによる攻撃

    環境内にランサムウェアを展開するまでの行動として以下の手法が知られている*12

    • ボイスフィッシング(ビッシング)の手法を使用して脅威アクターのデバイスをMFAデバイスとして登録する
    • リモートアクセスソフトウェア・AnyDeskを使用してアクセスを行う
    • PsExecを使用することで複数のエンドポイントでのセキュリティツールを無効化する
    • Windowsの資格情報を様々な場所から収集したうえで複数のドメインコントローラーを侵害する

    SurfSharkのVPNやBlueVPSのVPSに紐づくIPアドレスを利用したことが確認されている*13

    偽広告を利用し、タイポスクワッティング注 2)されたドメインを使用してWinSCPとPuttyの偽インストールサイトへ誘導し、マルウェアをダウンロードさせる*14といった行動をとっていたことが確認されている。

    正規のドメインレジストラからドメインを取得している脅威アクターもいます。

    Star Blizzard(APT)によるドメインレジストラを使用したドメインの取得

    具体的な攻撃につながっているわけではないが、2024年1~8月だけでもリンク先のドメインを取得していることがわかっている。

    Star Blizzardが取得したドメイン名の一覧

    なお、利用されたレジストラには日本のレジストラも含まれている。

    足掛かりの一覧

    最後にMITRE ATT&CKのResource Developmentとしてまとめられている足掛かりの一覧を掲載します。

    表の見方

    第1回「侵入するための偵察活動」を参照

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKについて、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    ID名前備考
    T1650アクセス手段の取得・購入
    備考

    システム・ネットワークへのアクセス手段は、ダークウェブ上などのブローカーから取得・購入するといったものがある。

    T1583インフラストラクチャの取得
    備考

    攻撃者は多種多様なインフラストラクチャ(多くは正規のサービス)を利用する。場合によってはお試し目的で無料期間が設定されているサービスを使うことも。

    0.001ドメイン
    0.002DNS サーバ
    0.003仮想プライベートサーバ
    0.004サーバ 注 3)
    0.005ボットネット 注 4)
    0.006ウェブサービス 注 5)
    0.007サーバーレス
    0.008マルバタイジング 注 6)
    T1586アカウントの侵害
    備考

    攻撃者は実在する人のメールやクラウドサービスのアカウントだけでなく、SNSアカウントも侵害し悪用する。そのオンラインペルソナ(人格)を活用しソーシャルエンジニアリングに組み込むことも含まれる。メールアカウントの侵害では情報窃取やフィッシング、スパムの送信、さらにはドメイン取得への悪用も確認されています。また、クラウドサービスのアカウントの侵害はデータの流出に加え、マルウェアを含む攻撃ツールのダウンロード実行に用いられることがある。

    0.001ソーシャルメディアアカウント
    0.002メールアカウント
    0.003クラウドアカウント
    T1584インフラストラクチャの侵害
    備考

    攻撃者自らがインフラストラクチャを購入・リース・レンタルなどの手段で取得する代わりに、サードパーティーのインフラストラクチャを侵害するもの。

    0.001ドメイン 注 7)
    0.002DNS サーバ
    0.003仮想プライベートサーバ
    0.004サーバ
    0.005ボットネット
    0.006ウェブサービス 注 8)
    0.007サーバーレス
    0.008ネットワークデバイス 注 9)
    T1587機能の開発
    備考

    攻撃者自身が対象者への足掛かりとして開発・用意するものを指す。

    0.001マルウェア
    0.002コード署名証明書
    0.003デジタル証明書
    0.004エクスプロイト(攻撃コード)
    T1585アカウントを確立する
    備考

    作戦に利用するために新しいアカウントを確立するもの。攻撃者は架空のペルソナ(人格)を構築するためのソーシャルメディアアカウントを作成、またソーシャルエンジニアリングやフィッシングを実施するための新しいメールアドレスを作成し、ドメインの取得や乗っ取りに活用する。

    0.001ソーシャルメディアアカウント
    0.002メールアカウント
    0.003クラウドアカウント
    T1588機能の獲得
    備考

    攻撃者自身が機能開発を行わず、必要なツールを購入または窃取するもの。これには悪意のあるツールやエクスプロイトのダウンロードなどといったものから、善意によって公開されているエクスプロイトや脆弱性情報を悪用するもの、さらに正規の商用ソフトウェアを不正に入手して悪用するケースまで多種多様なものがある。また、TLS証明書やコード証明書の窃取や購入を行うものもあり、ソフトウェアの実行の際に作成者の証明を行う。近年では、生成型人工知能ツールを悪用しディープフェイク画像を犯罪に使用したケースや誤ったデータを投入することで学習データを汚染するデータポイズニング注 10)などの例もあり、脅威として懸念される。

    0.001マルウェア
    0.002ソフトウェアツール
    0.003コード署名証明書
    0.004デジタル証明書
    0.005エクスプロイト
    0.006脆弱性
    0.007人工知能
    T1608ステージング
    備考

    攻撃者が通常の開発と同様に開発・獲得した機能をステージング環境で機能・動作の確認を行う。具体例として、ドライブバイダウンロード注 11)やドライブバイコンプロマイズ注 12)の準備段階として訪問ユーザの環境情報を取得するドライブバイターゲット、ユーザにリンクをクリックさせて情報を取得するリンクターゲット、検索エンジン最適化(SEO)を汚染することでターゲットとするユーザのブラウザに悪意のあるサイトが表示される確率を上げるSEOポイズニングといった手法などが含まれる。

    0.001マルウェアをアップロードする
    0.002アップロードツール
    0.003デジタル証明書をインストールする
    0.004ドライブバイターゲット
    0.005リンクターゲット
    0.006SEOポイズニング

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) コマンドアンドコントロール(C&C→C2)サーバ。外部から侵害システムと通信を行い、命令と制御を行う目的で用いられる。
    2) ユーザがブラウザにURLを打ち間違えることを利用して、打ち間違えたURLを持つサイトを用意することで正規サイトに見せかける手法
    3) サーバのリース・レンタルやホスティングサービスの利用を行うことがある
    4) ボットネットは強調タスクを実行できる侵害されたシステムで構成されるネットワークを指す。代表的なボットネットにはMiraiがある。攻撃者はボットネットを利用して大規模フィッシングや分散型サービス拒否(DDoS)などの攻撃を実行することが可能となる。
    5) 正規のウェブサービスや正規のウェブサービスを騙ったページ(多くはフィッシング目的のもの)が該当する
    6) 日本でも問題になっている偽広告のこと。Malicous(悪意ある) Advertising(広告)からの造語。
    7) ドメイン乗っ取りが該当
    8) 正規のウェブサービスの侵害が対象(アカウントの侵害ではなくサービス自体の侵害)。Googleドライブのレポジトリを侵害したケースや、WordPressサイトを侵害してC2サーバとして悪用した事例などがある。
    9) 小規模オフィス/ホーム オフィス (SOHO) ルーターなどのネットワーク デバイスを侵害して、隠れ蓑にするケースがある
    10) ディープフェイク画像を使用した事例は本文を参照。データポイズニング自体の大規模な悪用事例はないが、同意なしの画像の学習に関して同意しないアーティストたちの権利保護のためにシカゴ大学がAIの学習モデルの欠陥を利用して作ったNightshadeが、手法としてデータポイズニングを実行しているといえる。
    11) Webサイトを訪問したユーザにマルウェアをダウンロードさせる攻撃手法
    12) 正規のWebサイトを侵害して訪問者のデバイスにマルウェアをダウンロードさせる攻撃手法

    ウェビナー開催のご案内

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 2024年12月4日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    サイバー攻撃者は何を狙うのか?~サイバー攻撃の準備段階~
    第1回 侵入するための偵察活動

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動(初期アクセス)の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

    偵察活動の例

    ランサムウェア攻撃グループ「LockBit」

    2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*15

    Cobalt Strikeを悪用するランサムウェアグループ

    本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

    Volt Typhoon

    ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ(AD)に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

    JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター(ASD’s ACSC)主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

    偵察活動の一覧

    最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    表の見方

    • MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID
    • 名称:MITRE ATT&CKが活動に対して付与した名称
    • 備考:記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

    偵察活動の一覧

    MITRE ATT&CK ID名称備考
    T1595アクティブスキャン
    0.001IPブロック(パブリックIP)のスキャン
    0.002脆弱性スキャン
    備考

    攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。

    0.003ワードリストスキャン 注 1)
    T1592ターゲットのホスト情報の収集
    0.001ハードウェア
    0.002ソフトウェア
    備考

    攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報(Webブラウザ関連の情報)の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。

    0.003ファームウェア
    0.004クライアント設定 注 2)
    T1592ターゲットの認証・個人情報の収集 注 3)
    0.001認証情報
    備考

    攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。

    0.002メールアドレス
    備考

    攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。

    0.003従業員名
    備考

    攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。

    T1592ターゲットのネットワーク情報の収集
    0.001ドメインプロパティ 注 4)
    0.002DNS
    0.003ネットワークの信頼関係 注 5)
    0.004ネットワークトポロジー
    0.005IPアドレス
    0.006ネットワークセキュリティアプライアンス
    T1591ターゲットの組織情報の収集
    0.001物理ロケーションの推定
    0.002取引関係の推定
    備考

    攻撃者は、ターゲティングに利用できる取引関係の情報情報(ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など)を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。

    0.003ビジネスのテンポの推定 注 6)
    0.004役職などの推定
    備考

    攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。

    T1598情報収集のためのフィッシング
    0.001スピアフィッシングサービス 注 7)
    0.002悪意のあるコードなどを含む添付ファイルによるスピアフィッシング
    備考

    スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.003/td>リンクを悪用したスピアフィッシング
    備考

    スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.004音声によるスピアフィッシング
    備考

    音声通信(電話)を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。

    T1597閉鎖的・限定的な情報源からの情報収集 注 8)
    0.001脅威インテリンジェスベンダー 注 9)
    0.002技術データの購入 注 10)
    T1596公開技術データベースの検索 注 11)
    0.001DNS/Passive DNS
    0.002WHOIS
    0.003デジタル証明書
    0.004CDN
    0.005公開スキャンデータベース
    T1593公開Webサイト・ドメインの検索
    備考

    公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。

    0.001ソーシャルメディア
    備考

    攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。

    0.002検索エンジン
    0.003コードレポジトリ
    備考

    攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報(認証情報・ソースコード)を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。

    T1594ターゲット所有のWebサイトの検索
    備考

    企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) 一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
    2) Office 365のテナントからターゲットの環境情報を収集する例などがあります。
    3) 秘密の質問やMFA(多要素認証)の設定なども含まれる。
    4) ドメイン情報から読み取れる情報(氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報)、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
    5) ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
    6) 営業時間、定休日、出荷サイクルなどの情報。
    7) サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報(認証情報など攻撃への悪用ができる情報)を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
    8) 評価の高い情報源や有料購読の情報源(有料の時点である程度の品質が期待される)、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
    9) 脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
    10) 評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
    11) 公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

    ウェビナー開催のご案内

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    国内大手フードデリバリーサービスを襲った暗号通貨マイニングマルウェア事件の全容~デジタル忍者の襲来:国内企業を震撼 (しんかん)させた史上最悪のサイバー攻撃~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    突如訪れた暗黒の10月25日

    2024年秋、日本最大級のフードデリバリーサービスに前代未聞の危機が訪れた。全国の飲食店と消費者をつなぐ巨大プラットフォームが、見えない敵に攻撃されたのである。

    静かなる侵略者「RedTail」の恐怖

    その敵の名は「RedTail(レッドテイル)」。デジタル世界の暗殺者とも呼ぶべき最新のマルウェアである。RedTailはあたかも影の忍者のごとく、世界的に使用されているセキュリティシステム、Palo Alto Networks社の「PAN-OS」のわずかな隙をついて侵入を果たした。このデジタル忍者は、驚くべき潜伏能力を持っていた。システムの深部に潜み込み、暗号通貨をひそかに採掘しながら、その存在を巧妙に 隠蔽 (いんぺい) し続けたのである。まさに現代のサイバー戦争を象徴する出来事であった。

    72時間の闘い:システムを守る最後の砦

    事態が発覚した10月25日、技術者たちは直ちに非常事態体制に入った。しかし、敵はすでに複数のサーバーに潜伏しており、一つを制圧すれば別の場所で姿を現すという、まさに「もぐらたたき」のような戦いを強いられた。同月26日午後2時30分、ついに全システムの停止という苦渋の決断が下された。技術者たちは不眠不休でマルウェアの駆除と安全性の確認に従事し、72時間に及ぶ死闘の末、ようやくシステムを取り戻すことに成功したのである。

    未曾有 (みぞう) の混乱がもたらした教訓

    この事件による影響は甚大であった。数十万件に及ぶ注文のキャンセル、数千店舗の営業停止、そして配達員たちの収入機会の喪失。しかし、不幸中の幸いというべきか、個人情報の流出だけは免れた。

    新時代のデジタルセキュリティへの挑戦

    この事件を機に、企業は包括的なセキュリティ改革に着手した。システムの監視体制を強化し、従業員への教育を徹底。さらに、定期的な脆弱性診断とインシデント対応プロセスの刷新を行うことで、より強固なセキュリティ体制の構築を目指している。

    警鐘:すべてのデジタルサービスへの警告

    本事件は、現代のデジタル社会における脅威の深刻さを如実に示している。サイバーセキュリティはもはや企業の「選択肢」ではなく「生命線」である。そして、デジタル時代を生きるすべての企業への警鐘として長く記憶されることとなるだろう。


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月20日(水)13:50~15:00
    サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    APIとは何か(3)
    ~APIセキュリティのベストプラクティス~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    APIセキュリティは、適切な認証と認可が鍵です。本記事では、APIのセキュリティを強化するための基本的な対策からベストプラクティスまで解説します。脅威に対抗するための対策案を紹介し、セキュアなAPI運用のポイントを提供します。

    前回記事はこちら。
    シリーズ第1回目「APIとは何か(1)~基本概念とセキュリティの重要性~
    シリーズ第2回目「APIとは何か(2)~APIの脅威とリスク~

    認証と認可の重要性

    ソフトウェアセキュリティにおける問題の多くは、信頼境界をまたぐデータ(プログラム内の入出力)やモノ(フレームワーク)に起因しています。様々な場所から様々なデバイスによりアクセスされる昨今の環境下では、既存の認証を信用せず、あらゆるアクセスを信用しないという前提に立った上で動的なアクセスコントロールによって認可する「ゼロトラスト」の考え方が必要です。ポイントは、「認証」と「認可」の違いを的確に理解することです。「認証」と「認可」が適切に区別されていないシステムの場合、本人確認を行うユーザ認証さえ突破してしまえば、システムのどこにでも自由にアクセス可能となってしまい、非常に危険です。

    「認証」と「認可」を明確に区別して信頼境界の安全を保つことが重要であり、その実現にあたっては、厳格なセッション管理が鍵となります。代表例として、ソフトウェアにおけるアクセス認可において、アクセストークンによる堅牢な制御の上で、信頼境界ごとのリソースに認可プロセスを設定するといった方法が挙げられます。

    基本的なセキュリティ対策

    セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    セキュリティ基本10項目

    標的型攻撃メール訓練の実施

    標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

    定期的なバックアップの実施と安全な保管(別場所での保管推奨)

    ランサムウェアによる被害からデータを保護するために、サーバに対してオフラインバックアップ(データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと)を行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

    バックアップ等から復旧可能であることの定期的な確認

    バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

    OS、各種コンポーネントのバージョン管理、パッチ適用

    システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段から脆弱性関連の情報収集やバージョン更新が求められます。

    認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)

    認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証(MFA)を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

    適切なアクセス制御および監視、ログの取得・分析

    システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

    シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認

    シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

    攻撃を受けた場合に想定される影響範囲の把握

    サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

    システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

    定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

    CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

    APIセキュリティのベストプラクティス

    OAuthトークン

    OAuthトークンは、APIへのアクセスを安全に制御するための認可手段です。ユーザのパスワードを直接共有せず、一時的なトークンでアクセスを許可する仕組みにより、不正アクセスのリスクを軽減します。

    暗号化と署名

    API通信では、暗号化が重要です。また、署名による送信者の認証をすることも重要です。SSL/TLS(TLS 1.3推奨)での暗号化により、データが送受信される途中で盗聴されないようにします。署名には一般的にRSA暗号やECDSAなどのアルゴリズムが使用され、SHA-256などのハッシュ関数と組み合わせてデータの完全性を保証します。デジタル証明書を使用することで、通信相手の身元確認も可能になり、より強固なセキュリティを実現できます。

    レート制限とスロットリング

    レート制限とスロットリングは、APIへのリクエスト数を一定範囲に抑え、サーバへの負荷を管理するための手法です。過剰なリクエストをブロックし、DDoS攻撃などのリスクを軽減します。また、正規ユーザの快適な利用を維持し、サービスの安定稼働を支えます。

    APIゲートウェイの使用

    APIゲートウェイは、API管理を一元化するためのツールです。認証、認可、レート制限、監視など、APIに関連するセキュリティ機能を提供します。これにより、システム全体のAPI運用を最適化します。APIの脆弱性を効果的に軽減することができます。また、監視とログ収集を行うことで、問題発生時の迅速な対応が可能になります。

    APIのセキュリティ対策

    ここまで見てきたAPIセキュリティ脅威を踏まえると、以下のようなポイントにおいて脆弱でないことが重要と考えられます。

    APIのセキュリティ対策のポイント図

    開発中、リリース後、更新時といった、いかなる状況においても、適切な脆弱性管理・対応ができているかどうかが、鍵となります。

    APIのセキュリティ対策の概要図

    APIの開発にあたっては、DevSecOpsを適用して脆弱性を作り込まないようにすること、APIリリース後も、新たな脆弱性が生まれていないか、APIセキュリティ診断などを通じて確認を継続することが重要です。

    APIはスマホアプリでも多く活用されています。誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。スマホアプリのセキュリティ対策の一つとしては、信頼できる第三者機関による脆弱性診断の実施があげられます。第三者の専門家からの診断を受けることで、網羅的な確認ができるため、早急に効率よく対策を実施するのに役立つでしょう。

    関連記事:

    • 攻撃者が狙う重要情報の宝庫!―スマホアプリのセキュリティ―
    • まとめ

      APIのセキュリティについて、認証と認可は基本となる重要な要素です。現代では従来の境界型セキュリティでは不十分となり、あらゆるアクセスを疑う「ゼロトラスト」モデルが求められています。認証は「誰か」を確認するプロセス、認可は「何を許可するか」を決める仕組みであり、両者の違いを明確に理解しておくことが重要です。

      組織の安全を守るには、基本的なセキュリティ対策の実施が不可欠です。具体的には、攻撃メール訓練の実施、バックアップ管理、システムの更新、強固な認証の導入、アクセス制御とログ分析などが推奨されます。また、インシデント対応チーム(CSIRT)の整備により、問題発生時の迅速な対応が可能となります。

      APIセキュリティの観点からは、OAuthトークンの導入、通信の暗号化と署名、レート制限やスロットリングでの制限、APIゲートウェイが推奨されます。開発段階からリリース・運用後まで脆弱性管理を徹底し、特にユーザへの影響が大きいと考えられるサービスでは第三者機関によるセキュリティ診断も活用することをおすすめします。

      Security NEWS TOPに戻る
      バックナンバー TOPに戻る


      資料ダウンロードボタン
      年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
      お問い合わせボタン
      サービスに関する疑問や質問はこちらからお気軽にお問合せください。

      Security Serviceへのリンクバナー画像
      BBsecコーポレートサイトへのリンクバナー画像
      セキュリティ緊急対応のバナー画像

    国内電機メーカーへのランサムウェア攻撃被害について

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年10月5日、国内電機メーカーの一部サーバでシステム障害が発生し、その後の調査から第三者によるランサムウェア攻撃を受けたことがわかりました*6。この攻撃により、同社および関係会社が保有する個人情報や秘密情報の一部が漏洩した可能性があります。本記事では攻撃による影響とランサムウェア攻撃への対策案について紹介します。

    ランサムウェア攻撃の概要

    概要:サーバのシステム障害発生後、攻撃者による不正アクセスを受け、個人情報や秘密情報が漏洩
    発生日時:2024年10月5日
    攻撃者:ランサムウェア攻撃グループ「Underground」が犯行声明を発表*2しました。
    影響範囲:社内ネットワークが影響を受け、新製品の発売延期やオンラインストアの出荷遅延が発生しました。
    対応状況:外部のセキュリティ専門企業の支援を受け、影響範囲の詳細な調査を進めている。

    ランサムウェア攻撃発生から公表までの流れ

    発生日時:2024年10月5日にシステム障害が発生。
    公表日:2024年10月11日にランサムウェア攻撃と確認。

    漏洩した情報

    • 顧客情報:サービス利用者の個人情報(クレジットカード情報を除く)
    • 従業員情報:氏名、メールアドレス、住所など
    • 顧客情報:サービス利用者の個人情報
    • 契約書:取引先との契約書や請求書、売上情報
    • 社内文書:法務、財務、人事計画、監査、営業、技術に関する情報
    • 製品発売延期:新製品発売が延期。
    • システム停止:受発注システムや修理依頼システムを停止。
    • 調査:外部のセキュリティ専門家と影響範囲を調査中。

    攻撃の影響

    取引先との受発注システムや顧客からの修理依頼システムを停止。社内サーバのシステム障害の影響により新製品の発売日を延期

    対応策

    初期対応:不正アクセスを受けたサーバをインターネットや社内ネットワークから遮断
    外部支援:セキュリティ専門家の支援を受けて調査継続中
    情報保護:漏洩した情報の悪用を防ぐため、警察と連携して対応
    顧客対応:顧客や関係者に対して情報漏洩の可能性がある旨を通知、フィッシングメールやスパムメールへの注意喚起

    今後のセキュリティ対策

    セキュリティ強化:情報セキュリティ体制の一層の強化を図ります。
    再発防止:原因の追究と再発防止策の徹底を行います。
    教育啓発:従業員へのセキュリティ教育を強化し、意識向上を図ります。
    外部協力:外部のセキュリティ専門機関と連携し、継続的な対策を講じます。

    まとめ

    2024年10月5日、国内電機メーカーが大規模なランサムウェア攻撃を受けたと報じられました。この攻撃により、同社の一部サーバでシステム障害が発生し、個人情報や機密情報の漏洩の可能性が指摘されており、影響は社内ネットワーク全体にまで及んだようです。ランサムウェア攻撃グループ「Underground」からは犯行声明が発表されました。この事態を受け、同社は新製品の発売延期やオンラインストアの出荷遅延を余儀なくされました。同社は迅速な対応を行い、被害を受けたサーバをネットワークから切り離すとともに、外部のセキュリティ専門家を招いて詳細な調査を開始しました。漏洩の可能性がある情報には、顧客と従業員の個人情報、取引先との契約書、社内文書など広範囲に及ぶと考えられています。企業は今後の対策として、情報セキュリティ体制の強化、再発防止策の徹底、従業員へのセキュリティ教育の充実を掲げています。また、顧客や関係者に対して情報漏洩の可能性を通知し、フィッシングメールなどへの注意を呼びかけています。

    この事件は、企業のサイバーセキュリティの重要性を改めて浮き彫りにしました。今後の対応と回復の過程が、他の企業にとってもサイバー攻撃対策の重要な参考事例となることが予想されます。

    ランサムウェアとは?

    定義:データを暗号化し、復号のために身代金を要求する不正プログラム。
    影響:データの使用不能や情報漏洩のリスク。
    対策:ネットワークからの切り離しやセキュリティ強化が必要。

    関連記事:

    WordPressとWP Engineが対立!ACFプラグイン問題で何が起きているのか?【2024年最新情報】

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    今、WordPressとWP Engineの間でプラグインをめぐる対立が勃発し、ウェブ開発業界に大きな波紋を呼んでいます。何が起きたのか?その背景と現在の影響は?ユーザにはどんな具体的な影響があるのか?そして今後の対応策や展望について解説します。ウェブサイト運営者や開発者必見の内容です。

    何が起きたのか?

    WordPressとWP Engineの対立は、単なる企業間の争いではありません。発端は商標の使い方から始まり、プラグインの管理方法、さらにはシステムの根幹にかかわる機能の変更にまで広がってしまいました。特に注目すべきは、プラグイン「Advanced Custom Fields(ACF)」をめぐる問題です。10月13日、WordPress側が「Secure Custom Fields(SCF)」として名称を変更し、独自にリリースしたことが業界全体に大きな波紋を呼んでいます。

    現在の影響と対応

    WordPressとWP Engineの対立は、多くのユーザに実務的な影響を及ぼしています。最も深刻なのは、プラグインの自動更新が停止されたことです。これにより、多くのウェブサイト運営者は手動での更新作業を強いられています。また、セキュリティ面での懸念も高まっており、特に中小企業のウェブサイト管理者にとって大きな負担となっています。

    今、ユーザにどんな影響が?

    誰もが一番困ってしまうのは、プラグインの自動更新が止まってしまったことです。今までボタン一つで済んでいた更新作業を、手動でやらなければならなくなりました。特に中小企業のサイト管理者の方々は、この対応に頭を悩ませています。セキュリティ面での心配も出てきているのです。

    何が問題になっているの?

    大きく分けると2つの問題があります。一つ目が、「WordPress」という名前の使い方です。WP Engineの使い方に対して、WordPress.comを運営するオートマティック社が「それは違うでしょ!」と異議となえているわけです。WP Engineは独自の開発方針を持っていますが、これがWordPressコミュニティの方向性と合致していないことが問題視されています。二つ目が、WP Engineがパフォーマンス向上を目的としてWP Engineが一部機能を無効化したことです。このコア機能の変更に関して、ユーザデータの保護の観点から批判が出ています。

    業界全体への影響は?

    この対立は、WordPress関連の業界全体に波紋を広げています。プラグイン開発者たちは、開発方針の見直しを迫られています。また、ホスティング業界全体にも波及効果があり、オープンソースコミュニティのあり方について、新たな議論が巻き起こっています。

    どう対応すればいい?

    現状では、ウェブサイト運営者は定期的な情報確認が不可欠です。公式ブログやフォーラムでの最新情報をチェックし、必要に応じて代替策を検討する必要があります。特に重要なのは、独自のセキュリティ対策を強化することです。定期的なバックアップの実施や、セキュリティ監視の強化が推奨されます。もしものときのために、セキュリティ対策も見直しておくと安心です。

    この先どうなるの?

    この問題の解決には時間がかかると予想されます。両者の交渉は継続していますが、法的な解決を含めて様々な可能性が検討されています。現在の混乱した状況が、新しいセキュリティ体制の構築につながるきっかけとなる可能性もあるでしょう。

    まとめ

    今回の騒動は、オープンソースのソフトウェアを商業的に使う際の難しさを浮き彫りにしました。この状況下では、ユーザが自身の環境に合わせた適切な対応を取ることが重要です。情報収集を怠らず、必要に応じて専門家に相談することも検討すべきでしょう。状況は日々変化していますので、継続的な注意が必要です。

    ※この記事は2024年10/15の状況を基に作成されています。最新の情報は各公式サイトでご確認ください。

    参考情報:


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像