事例でみるクラウドサービスのセキュリティ
-クラウドサービスのセキュリティ2-

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

クラウドサービスの利用は利便性などのメリットがある一方で、セキュリティリスクも伴います。サイバー攻撃の被害に遭った場合、データの漏洩やサービス停止に追い込まれてしまうなどのリスクがあります。実際、国内外でもクラウドサービス(SaaS)のセキュリティ設定ミスなどを原因としたセキュリティインシデントが発生しており、その影響は深刻です。本記事では、クラウドサービスの利用時におけるセキュリティリスク、具体的なインシデント事例、サプライチェーンでのセキュリティについて解説します。

クラウドサービス利用時のセキュリティリスク

クラウドサービスの利用が拡大する一方で、組織を脅かす要因(脅威)や様々なリスクが存在します。

【要因(脅威)】

  • 不正アクセス:クラウド上のデータやシステムに対する未承認のアクセスは、企業情報の漏洩や改竄につながる可能性があります。
  • サイバー攻撃:DDoS攻撃やマルウェアの拡散は、サービスの停止やデータの破壊を引き起こすことがあります。
  • 内部不正:従業員や内部関係者が意図的に不正行為を行うケースがあり、これは情報の盗難や破壊に直結します。
  • 設定/管理の不備:アクセス権限の設定ミスやセキュリティパッチの適用漏れは、攻撃者にとって格好の侵入経路となります。

【リスク】

  • 情報漏洩:クラウド上に保存されたデータが外部に流出することです。不正アクセスやサイバー攻撃、内部不正によって機密情報が漏洩すると、企業の信用が大きく損なわれ、顧客や取引先との信頼関係が崩壊する危険性があります。
  • 情報改竄(消失・破壊):クラウド上のデータが不正に改竄されたり、消失・破壊されたりすることです。サイバー攻撃や内部不正が原因でデータの整合性が失われると、業務運営に重大な支障をきたし、最悪の場合、ビジネスの継続が困難になることもあります。
  • システム停止:クラウドサービス自体が停止するリスクです。DDoS攻撃や設定/管理の不備によってシステムがダウンすると、サービス提供が一時的に停止し、顧客対応や取引が滞ることになります。これにより、企業の収益に直接的な影響を与え、長期的なビジネス成長にも悪影響を及ぼす可能性があります。

クラウドサービスのセキュリティインシデントの例

近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。以下に、国内で実際に発生したインシデントを例に挙げ、その原因、被害状況などを紹介します。

日本国内のクラウドセキュリティインシデントの報告事例(2023年)

報告年月業種原因概要
2023年12月総合IT企業設定ミス利用するクラウドサービス上で93万5千人以上の個人情報を含むファイルが公開設定となっており、閲覧可能な状態だった*1
2023年6月地方公共団体設定ミス利用するクラウドによるアンケートフォームの設定ミスにより、申込者の個人情報が漏洩していた。*2
2023年5月自動車メーカー設定ミス関連会社が運用するクラウド環境に設定ミスがあり、管理委託する顧客約215万人分に係る情報が、外部より閲覧可能な状態だった。*3
2023年4月空調
設備メーカー
不正アクセス利用するクラウド型名刺管理サービスで従業員になりすました不正アクセスが確認され、約2万件の名刺情報が第三者に閲覧された可能性*4

2023年5月に公表された国内自動車メーカーの事例について判明した内容は以下のとおりです。顧客に関する情報が、長いものでは約10年もの間、外部から閲覧可能な状態となっていました。

公表日外部から閲覧された
可能性のある情報
対象閲覧可能になっていた期間
5月12日車載端末ID、車台番号、車両の位置情報、時刻2012年1月2日~2023年4月17日の間、該当サービスを契約していた約215万人2013年11月6日~2023年4月17日
5月12日法人向けサービスで収集されたドライブレコーダー映像(非公開)2016年11月14日~2023年4月4日
5月31日車載端末ID、更新用地図データ、更新用地図データ作成年月該当サービスに契約した顧客、および該当サービス契約者のうち、2015年2月9日~2022年3月31日の間に、特定の操作を行った顧客2015年2月9日~2023年5月12日
5月31日住所、氏名、電話番号、メールアドレス等日本を除くアジア・オセアニア2016年10月~2023年5月

本件に対しては個人情報保護委員会からの指導が入り、2023年7月には同社より以下に示した再発防止策が明示されています。サプライチェーンである委託先関連会社とも共有され、管理監督すると公表されました。自社のみならず、委託先についてもクラウド設定にセキュリティ上の不備がないか注意する必要があります。

  • 技術的安全管理措置の強化
  • 人的安全管理措置の徹底
  • 機動的な委託先管理のための見直し

また、2023年12月7日、スマホアプリなどを提供している国内総合IT企業が、Googleドライブで管理していた一部ファイルが外部から閲覧可能な状態だったと公表しました。ファイルへのリンクを知っていれば、誰でもインターネット上でアクセス可能な状態だったといいます。インシデントの原因は、Googleドライブの閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」にしていたことで、設定がされてから6年以上もの間、閲覧可能な状態となっていました。

クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービス利用者側でのセキュリティの当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。

サプライチェーンにおけるクラウドサービスのセキュリティ

クラウド上でソフトウェアを提供するサービス「SaaS」の利用が拡大するにともない、セキュリティに関するインシデントが多く報告されています。IPA(情報処理推進機構)が2023年7月に公開した「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」によると、セキュリティインシデントの主な原因として、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が挙げられています。また、サプライチェーン全体のセキュリティ管理の不備も大きな課題となっています。特に、クラウドサービスの利用状況の可視性が低く、インシデント発生時の対応が遅れることが、被害を拡大させる要因となっています。

さらに、同調査では、セキュリティ対策の強化が急務であるとする回答が多く寄せられました。具体的な対策としては、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際、迅速に対応ができる体制の構築が重要であると強調されています。

今回のアンケート調査の結果は、サプライチェーン全体でのセキュリティ意識の向上と、具体的な対策の実行が不可欠であることを示しています。

まとめ

クラウドサービスの利用が拡大する一方で、様々なセキュリティリスクが存在します。主な脅威としては、不正アクセス、サイバー攻撃、内部不正、設定や管理の不備が挙げられます。これらの脅威により、情報漏洩、情報改竄、システム停止といったリスクが生じる可能性があります。

クラウドサービスのセキュリティインシデントの例として、日本国内での具体的な事例が報告されています。例えば、総合IT企業では設定ミスにより93万5千人以上の個人情報が閲覧可能となっていたり、地方公共団体や自動車メーカーでは設定ミスにより申込者や顧客の個人情報が漏洩したりする事態が発生しています。

クラウドサービスのセキュリティインシデントの主な原因としては、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が指摘されています。セキュリティ対策の強化が急務であり、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際には、迅速な対応ができる体制の構築が重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

スマートフォンやルータを狙うマルウェア
『Wroba(ローバ)』

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

スマホやWi-Fiルータを標的とするマルウェアをご存じでしょうか。「Wroba(ローバ)」と呼ばれるこのマルウェアは、公共のWi-Fiネットワークを通じて他のデバイスにも感染を広げ、大規模な被害を引き起こす可能性があるとされています。本記事では、Wrobaの特徴や感染経路に触れながら、企業・組織がマルウェアの被害を防御・最小限にとどめるためにどのような対策をとればよいのかについて、解説していきます。

マルウェア「Wroba」とは

「Wroba」は「Roaming Mantis(ローミングマンティス)」と呼ばれる攻撃キャンペーンに使用されてきたマルウェアで、2018年頃から注目されるようになりました。このキャンペーンは、主に日本を含む東アジアを中心に展開されています。攻撃者はフィッシングを通じてWrobaを広範囲に拡散させ、多数のデバイスを感染させています。このキャンペーンでは、ユーザの認証情報を盗み出し、金銭的な被害や個人情報の漏洩を引き起こします。以前は主にAndroidデバイスを標的としていましたが、近年ではiOSやルータも標的にする傾向があります。

マルウェア「Wroba」による被害

マルウェア「Wroba」は様々な経路からユーザのデバイスに感染します。そのため、住所や支払い情報など、デバイスに記録された多くの個人情報が攻撃者に送信されてしまうケースがあり、結果、金融詐欺や不正送金などの金銭的被害につながる可能性もあります。また、暗号資産のマイニング攻撃に悪用されるケースも過去に観測されており、これによってデバイスの動作が不安定になり、最悪の場合、デバイスが使用不能になることも考えられます。企業においては、従業員のデバイスが感染することで、機密情報の漏洩や業務の停滞を招く恐れがあります。特に、重要な機密情報や顧客情報が盗まれると、企業の信用を大きく損なう可能性があります。

マルウェア「Wroba」の攻撃対象

Wrobaは主にAndroidデバイスをターゲットとしていましたが、近年では亜種の登場によりWi-Fiルータにも攻撃が拡大しています。この亜種の最大の特徴は、DNSの改ざん機能が実装されている点です。感染したデバイスは、自宅はもちろん、会社や公共のWi-Fiルータに接続するだけで、ルータのDNS設定が意図的に改ざんされてしまいます。Wrobaは韓国で一般的に使用されているWi-Fiルータを主に標的にして感染を拡大させましたが、近年は日本を含む東アジアでも被害が広がっています。

マルウェア「Wroba」の脅威

Wi-Fiルータに侵入してDNSをハイジャック

WrobaはWi-Fiルータに侵入し、DNS設定を変更することで、細工された悪意のあるサイトにユーザを誘導します。この手法により、ユーザは自分のデバイスが感染していることに気付かないまま、個人情報を攻撃者に盗まれてしまいます。さらに、DNS設定を改ざんされたWi-Fiルータに接続したデバイスが感染していくことで、次々にデバイスとルータに感染を広げる結果となります。

AndroidのAPKファイルを悪用

APKファイル(Android Package Kit)は、Androidのスマートフォン端末に対して、アプリをインストールするためのアーカイブファイルです。攻撃者は、このAPKファイルを改ざんすることで、ユーザの端末にWrobaをインストールさせます。マルウェアを含んだアプリは、正規のアプリケーションに見せかけて配布されるため、ユーザは不審に思うことなくインストールしてしまうのです。

マルウェア「Wroba」の主な感染経路

Wrobaの主なターゲットは韓国のWi-Fiルータですが、被害は韓国だけでなく、日本をはじめとした様々な国に被害が広がっています。韓国以外の地域では、スミッシング(SMSフィッシング)が感染手法として使用されています。スミッシングでは、ユーザが不審なSMS内のリンクをクリックすると、マルウェアがダウンロードされ、デバイスが感染します。スミッシングは、信頼できる企業やサービスを装ったSMSを利用するため、多くのユーザがだまされやすい手法です。日本では、宅配業者を装って不在連絡などを餌にフィッシングサイトへ誘導するケースが有名となりました。

Roaming Mantisによる攻撃フロー
– Wi-FiルータのDNS設定を改ざん、悪意のあるランディングページを使用してスマートフォンの感染を試みる

公共のWi-Fiネットワークを通じた感染拡大のリスク

感染したAndroidデバイスが公共のWi-Fiネットワークに接続すると、ネットワーク上の他のデバイスにもマルウェアを拡散するリスクがあります。特に、不特定多数の人が利用する公共Wi-Fiは、攻撃者にとって感染を広げる絶好のターゲットとなります。感染したデバイスが同じネットワークに接続されることで、他のデバイスも次々と感染し、被害が拡大します。これにより、一度の感染で大規模な被害が発生する可能性が高まります。

マルウェア対策の基本的な考え

ここまで、Wrobaの脅威と感染経路について説明してきましたが、不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

マルウェア対策モデルケース

限りある予算と時間の中で、すべての対策を講じることは困難なので、それぞれの企業・組織の現状に応じて取り組む必要があります。自企業・組織の位置づけに応じて、今取り組むべき具体的な対策を見つけるには、例えば、次のようなマルウェア対策をフェーズの視点で検討してみるとよいでしょう。

マルウェア対策のモデルケースサイクル図画像
マルウェア対策のモデルケースサイクル図

スパムメールに対する従業員の知識がまったくない組織であれば、標的型メール訓練を行ってリテラシーの向上を図ることから始めるといいかもしれません。従業員教育は行っているけれども、技術的な対策はウイルス対策ソフトを導入しているだけという組織であれば、感染してしまった場合にどのくらいの被害を受けるか調査してみると、優先的に実施すべき対策を検討する糸口となることでしょう。あるいは、メールセキュリティサービスをすでに利用しており、不正アクセス対策にもある程度自信があるという組織であれば、そういったセキュリティ対策が本当に有効に機能しているか、ペネトレーションテストのようなサービスを利用して実際に確認してみることをおすすめします。

マルウェア「Wroba」への対策方法

Wrobaへの対策方法は以下の通りです。

  • ルータのユーザマニュアルを参照し、DNS設定が改ざんされていないことを確認する。もしくは、サービスプロバイダーに問い合わせてサポートを受ける。
  • ルータの管理用Webインターフェースの既定ログインIDとパスワードを変更する。
  • ルータの公式サイトで提供されるファームウェアの更新プログラムを使用して定期的にアップデートする。ルータのファームウェアは、必ず公式サイトにあるものを利用する。
  • 接続したWebサイトのアドレスが正規アドレスであるかどうかを常に確認する。データの入力を求められた場合、アドレスがhttpsで始まっていることを確認するなど、不正な兆候を探す。
  • モバイルデバイス用のセキュリティソリューションを利用する。

最後に

Wrobaは、ルータやスマートフォンを標的とする非常に危険なマルウェアであり、個人および企業に多大な被害をもたらす可能性があります。主な感染経路としては、スミッシングや不審なAPKファイルが挙げられます。結果、ユーザは自分のデバイスが感染していることに気付かずに個人情報を漏洩させ、さらにはさらなる感染のほう助をしてしまう可能性があります。対策としては、組織的対策、従業員教育、技術的対策が重要です。特に、ルータの設定を確認し、セキュリティの強化を図ることが重要です。また、公共Wi-Fiの利用時には細心の注意が必要です。最新のセキュリティ情報を常にチェックし、適切な対策を講じることで、Wrobaの脅威から身を守ることができます。セキュリティ意識を高め、包括的な対策を講じることが、被害を未然に防ぐ鍵となります。

BBSecでは

マルウェア対策の回答は1つではなく、多層防御がカギとなります。マルウェア課題の解消をお手伝いする、BBSecご提供サービスの一部をこちらにご紹介します。

<セキュリティ教育>

標的型攻撃メール訓練

※外部サイトにリンクします。

<攻撃・侵入されることを前提とした多層防御>

※外部サイトにリンクします。

ウェビナー開催のお知らせ

  • 2024年7月10日(水)14:00~15:00
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年7月17日(水)13:00~14:00
    変化する不確実性の時代における「安心・安全・安定のWebサイト運営」セミナー
  • 2024年8月7日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク – 設定診断で解決するウェビナー
  • 2024年8月21日(水)14:00~15:00
    セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説
  • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

    SQATチャンネルはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    Linuxサーバーを狙うOpenSSH脆弱性
    (CVE-2024-6387)-影響と即時対応策まとめ-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    • CVE-2024-6387は、OpenSSHサーバーに存在する重大な脆弱性です。
    • この脆弱性により、リモートから認証なしに任意のコードを実行できる可能性があります。
    • 影響を受けるのは、glibcベースのLinuxシステム上のOpenSSHサーバーです。
    • 脆弱性は、シグナルハンドラーの競合状態に起因します。
    • Qualys社によって発見され、2024年7月1日に公表されました。
    • 修正バージョンが提供されています。
    • 影響を受けるバージョンは、OpenSSH 8.5p1から9.7p1までです。
    • 対策として、OpenSSHの最新バージョンへのアップデートが推奨されています。

    CVE-2024-6387

    • CVE-2024-6387は、シグナルハンドラーの競合状態により発生します。
    • この脆弱性により、リモートから認証なしに任意のコードを実行できる可能性があります。
    • 本脆弱性は、以前に対処されたCVE-2006-5051の再発(リグレッション)と考えられています。

    影響を受けるバージョン

    • 影響を受けるのは、glibcベースのLinuxシステム上のOpenSSHサーバーです。
    • 影響を受けるバージョンは、OpenSSH 8.5p1から9.7p1までです。
    • 4.4p1より前のバージョンは、過去の脆弱性(CVE-2006-5051およびCVE-2008-4109)のパッチが適用されていれば影響を受けません。
    • OpenBSDは影響を受けません。
    • Qualys社のテレメトリ情報によれば、インターネットに公開されたホストの約3割(70万台)が脆弱な状態にあると推定されています。

    対策方法

    • 利用中のOpenSSHの最新バージョンへのアップデートが推奨されています。詳細については利用中のディストリビューションの最新情報をご確認ください。
    • 暫定の回避策としてデフォルト設定のSSHファイアウォールルールの削除という方法もありますが、DDoS攻撃に無防備になる可能性があるため、アクセス制御を行った上で実施してください。なお、アップデート後はファイアウォールルールを再設定してください。

    攻撃の検証状況

    • ASLR有効化済みの32ビットLinux/glibc環境で攻撃が成功することが確認されています。
    • 理論上は64ビット環境でも可能と見られますが、現時点で実証されていません。
    • 脆弱性の概念実証(PoC)コードは存在しますが、実際の攻撃活動は確認されていません。(2024/7/3時点)
    • テスト環境では、PoCを使用してCVE-2024-6387の脆弱性を悪用したリモートコード実行は実現できませんでした。
    • Qualys社はこの脆弱性の実証コードを公開しない方針です。

    【関連情報】

    • CVE-2024-6387は、以前に対処されたCVE-2006-5051の再発(リグレッション)と考えられています。
    • OpenBSDは2001年に本脆弱性を防ぐ安全なメカニズムを開発しており、影響を受けません。
    • 脆弱性の深刻度(CVSSv3.1スコア)は8.1「Critical(緊急)」と評価されています。
    • この脆弱性を悪用するには、平均して6時間から8時間程度の連続した接続が必要であり、攻撃の成功率は低いのではないかとの指摘もあります。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    クラウドサービスとは
    -クラウドサービスのセキュリティ1-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    現代のビジネス環境では、利便性や柔軟性などのメリットがある、クラウドサービスの利用が急速に広がっています。クラウドサービスは、インターネットを通じて提供される様々なサービスです。本記事では、クラウドサービスの基本概念から提供形態、さらにクラウドサービスの種類やクラウドサービスを利用することで得られるメリットについて解説します。

    クラウドサービスとは

    クラウドサービスとは、インターネット環境で提供される様々なサービスのことを指します。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。

    クラウドサービスとはイメージ画像
    出典:経済産業省「クラウドサービスとは?

    クラウドという名称は、ネットワークの模式図上で、インターネットなどの外部ネットワークを雲(Cloud)のような形状で表現していたことに由来しています。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

    従来、コンピュータのハードウェアやソフトウェアは利用者が自ら保有・管理していましたが、クラウドサービスは、物理的なサーバや設備を利用者側で管理する必要がなく、利用者が必要なときに必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

    クラウドサービスの提供形態

    クラウドサービスは、パブリッククラウドとプライベートクラウドという提供形態に分かれます。それぞれの特性を理解し、企業のニーズに合ったクラウドサービスを選択することが重要です。

    パブリッククラウド

    クラウド事業者が同じアプリケーションや環境を利用者に提供し、利用者が共有して使用する形態。初期費用が不要で、運用管理もクラウド事業者に任せることが可能です。パブリッククラウド(クラウド事業者)の内、特に世界的にシェアの高い3大クラウドと言われているのが以下のクラウド事業者です。

    ・AWS(Amazon Web Service)
     2006年開始の老舗クラウド。圧倒的なサービス種類の豊富さと拡張性の高さを誇る。
    ・Microsoft Azure
     機能が多く、WindowsやMicrosoft OfficeなどのMicrosoft製品との親和性が高い。
    ・GCP(Google Cloud Platform)
     Googleがクラウド上で提供するサービス群。GmailやYouTube基盤として実績あり。

    プライベートクラウド

    企業や組織が自社専用のクラウド環境を構築し、社内やグループ会社に提供する形態。プライベートクラウドにはさらに二つのタイプがあります。

    1. オンプレミス型
      自社内でインフラの構築を行い、データセンターで運用します。カスタマイズ性が高いのが特徴です。ITリソースを完全にコントロールできるため、機密性の高いデータを扱う企業に向いています。ただし、初期投資と維持費用が高く、専門のITスタッフが必要です。
    2. ホスティング型
      外部のクラウド事業者が社内専用のクラウド環境を提供します。自社での管理負担を軽減しつつ、セキュリティとカスタマイズ性を確保できます。オンプレミス型よりもコスト効率が良く、運用管理はクラウド事業者に依存するため、企業のリソースを他の業務に集中できます。

    クラウドサービスの主な種類

    企業や組織で多く使われるクラウドサービスには、主に3つの種類があります。

    IaaS(Infrastructure as a Service)

    IaaSは「Infrastructure as a Service」の略で、利用者が選択したスペックやOSに合わせた、仮想的なマシン(インフラ)を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。AWS、Microsoft Azure、Google Compute Engineなどが代表的なサービスの例です。

    PaaS(Platform as a Service)

    PaaSは「Platform as a Service」の略称で、IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームです。PaaSは開発者にインフラの管理をせずにアプリケーションの構築、テスト、デプロイ、管理を行える環境を提供します。これにより、開発者はインフラの複雑な設定やメンテナンスから解放され、開発に集中できます。AWSのElastic Beanstalk、Google App Engine、Microsoft AzureのApp Servicesなどが代表的なサービスの例です。

    SaaS(Software as a Service)

    SaaSは「Software as a Service」の略で、クラウド上でソフトウェアを提供するサービスです。ユーザはソフトウェアをインストールする必要がなく、インターネットを介してアクセスするだけで利用できます。SaaSの利点は、どこからでもアクセスできること、常に最新のソフトウェアを利用できること、そしてメンテナンスやアップデートがプロバイダーによって管理されることです。Google Workspace、Microsoft Office 365、Salesforce、Dropbox、Zoomなどが代表的なサービスの例です。SaaSは手軽さとコスト効率の高さから、企業で幅広く利用されています。

    クラウドサービスの特徴

    クラウドサービスには5つの特徴があります。

    1. 柔軟なリソース管理:システムの拡張・縮小が迅速に行えます。必要なときに必要なリソースを追加・削減することが可能です。
    2. オンデマンド・セルフサービス:ユーザ自身でWeb画面からシステム設定ができ、必要なサービスやリソースを自由に変更できます。
    3. リソースの共有:複数のユーザが同じリソースを共有することで、コストの最適化が図れます。
    4. 従量課金制:サービス利用量を常に計測し、使った分だけ支払う仕組みで、コストを抑えることができます。
    5. 場所を問わないアクセス:インターネットさえあれば、どこからでもアクセスでき、リモートワークや外出先での利用が可能です。

    クラウドサービス利用のメリット

    企業や組織などでクラウドサービスの利用が飛躍的に進んだ主な理由には、以下のような効果があることが挙げられます。これらはパブリッククラウド上でクラウドサービスを提供する側からみた恩恵ですが、結果的に、利用するユーザ側のメリットにもつながります。

    ※主要なパブリッククラウド事業者を利用した場合の標準的なメリットであり、利用するサービスや契約内容により異なる場合があります。

    まとめ

    クラウドサービスは、インターネットを介して提供される様々なサービスの総称です。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。クラウドという名称は、ネットワークの模式図で外部ネットワークを雲のように描いたことに由来します。

    従来のコンピュータハードウェアやソフトウェアは利用者が自ら管理していましたが、クラウドサービスでは物理的なサーバや設備を管理する必要がなく、必要な時に必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

    クラウドサービスの提供形態は、パブリッククラウドとプライベートクラウドに分かれます。パブリッククラウドは、クラウド事業者が提供する共用のクラウド環境で、初期費用が不要で運用管理を任せることができます。主要なパブリッククラウド事業者には、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)があります。プライベートクラウドは、企業や組織が自社専用のクラウド環境を構築し、オンプレミス型とホスティング型の2タイプがあります。

    クラウドサービスの利用は、迅速性・柔軟性、コスト抑制、高い利便性、高い可用性などのメリットがあり、これらが利用するユーザ側の利便性向上につながっています。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ソーシャルエンジニアリングとは?その手法と対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

    まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

    途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

    ソーシャルエンジニアリングとは

    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

    アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的(ソーシャル)」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込む手法全般のことだといえるでしょう。

    脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリング攻撃は「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

    ソーシャルエンジニアリングの手法

    以下に典型的なソーシャルエンジニアリングの手法を挙げます。

    ・ショルダーハッキング
      例)パスワード等をユーザの肩越しに覗き見る
    ・トラッシング(スカベンジング)
      例)清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
    ・なりすまし電話
     例)システム担当者などになりすましてパスワードなどを聞き出す
    ・ベイティング
     例)マルウェアを仕込んだUSBメモリを廊下に落とす
    ・フィッシング(ヴィッシング、スミッシング等 含む)
      例)信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
    ・ビジネスメール詐欺
     例)取引先などになりすまし、犯人の口座へ振込を行わせる
    ・標的型攻撃メール
     例)ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

    たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

    ソーシャルエンジニアリングの最大の特徴とは

    人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

    ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

    ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

    ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

    そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

    なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

    オレオレ詐欺はソーシャルエンジニアリングか

    権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

    そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか?

    答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

    ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

    大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

    また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメール標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

    日本で起こったソーシャルエンジニアリングの実例

    2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

    また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

    ソーシャルエンジニアリング対策・防止策

    では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

    ソーシャルエンジニアリングの手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

    しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合(成功してしまった後)の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

    企業が絶対にやってはいけないソーシャルエンジニアリング対策

    ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

    罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

    まとめ

    • ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
    • ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
    • ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
    • 環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
    • 懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    RaaSの台頭とダークウェブ
    ~IPA 10大セキュリティ脅威の警告に備える

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    RaaS(Ransomware as a Service)の普及により、サイバー攻撃が容易に実行可能になり、攻撃者層が広がっています。IPAが発表した「情報セキュリティ10大脅威」でも脅威の一つに取り上げられているように、「犯罪のビジネス化」が進んでおり、脅威を一層深刻化させています。本記事では、サイバー攻撃の準備段階から、攻撃者に利用される情報、対策に焦点を当て、ダークウェブの実態と防御策について解説します。また自組織がサイバー攻撃の対象にならないための備えについて提唱します。

    サイバー攻撃の準備段階

    かつて、サイバー攻撃を実行するには高度なITスキルが必要だというイメージが一般的でした。しかし、近年は状況が大きく変わってきています。特に「RaaS」の登場により、サイバー攻撃の敷居は大幅に低くなりました。RaaSとは、ランサムウェアをサービスとして提供するビジネスモデルのことで、専門的な知識や技術を持たない人々でも、簡単にランサムウェア攻撃を実行できるツールやサービスをビジネスとして提供するというものです。

    こうした背景から、サイバー攻撃を実行する層の間口が広がり、誰でも手軽に攻撃を行えるようになってきています。これにより、サイバーセキュリティの脅威はますます深刻化しています。IPA(情報処理推進機構)が発表した情報セキュリティ10大脅威の一つとしても、「犯罪のビジネス化(アンダーグラウンドサービス)」が取り上げられていることからも、この問題の重要性と注目度の高さがうかがえます。

    SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
    IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―

    サイバー攻撃者は、実際に攻撃を行う前に綿密な偵察行為をします。特に、オープンソースインテリジェンス(OSINT)と呼ばれる公開情報をもとにした諜報活動が盛んに行われています。OSINTでは、インターネット上に公開されている情報を駆使してターゲットの情報を収集し、その情報をもとに攻撃の計画を立てます。

    また、攻撃者が情報収集に使用するツールの一つとしてダークウェブが利用されていることも、重要な要素です。

    ダークウェブとは

    ダークウェブとは、通常のインターネット検索ではアクセスできない匿名性の高いサイトの集合体です。アクセスには特別なソフトウェアなどが必要であり、その匿名性ゆえに違法な活動が横行しています。ダークウェブでは、非合法な情報やマルウェア、物品などが取引されることも多いという特徴があります。

    インターネットに存在するWebサイトは、アクセスする方法や環境によって「サーフェスウェブ」、「ディープウェブ」、「ダークウェブ」に分類されます。サーフェスウェブは、一般的な検索エンジンでアクセス可能な部分を指しており、私たちが日常的に利用しているWebサイトが含まれています。一方、ディープウェブは一般的な検索エンジンでは表示されない領域であり、例えば、ログインが必要な企業の内部資料や学術データベースなどといったものが該当します。そして、ダークウェブはさらにその奥深くに位置し、特殊なアクセス手段を必要とする領域となります。

    この3つの関係はよく氷山に例えられます。サーフェスウェブは氷山の水面上に見える部分であり、ディープウェブとダークウェブは水面下に広がる巨大な部分を示します。そしてダークウェブは、一般のユーザにはほとんど見えない深層に存在しており、その内容は一般には公開されていない情報が多く含まれるのです。

    ダークウェブで取得可能な情報

    前述の通り、ダークウェブでは、違法な情報が数多く取引されています。代表的なものとして、会員制サイトのID・パスワードのリストやクレジットカード番号といった個人情報が挙げられます。これらの情報は、データ漏洩や不正アクセスの結果として流出したものが多く、攻撃者が購入することでさらなるサイバー攻撃に悪用されます。

    さらに、ダークウェブ上ではランサムウェアなどのマルウェアを開発するためのツールキットの販売や、「RaaS」と呼ばれるサービスが提供されています。これらを利用することで専門知識が乏しくともランサムウェア攻撃を行うことが可能になっているのです。また、脆弱性情報やサーバへ不正アクセスするための情報なども取引されており、サイバー攻撃を計画するためのあらゆるリソースがそろっています。

    具体的には以下のような情報が取引されています。

    流出アカウント情報:ユーザ名やパスワードなどの認証情報を使用して不正アクセスが行われます。
    機密情報:組織の重要な情報が盗まれ、悪用されることがあります。
    侵入方法:特定のシステムやネットワークに侵入するための手法やツールなどといった情報が提供されます。
    脅威情報:DDoS攻撃や攻撃計画などの情報が含まれます。
    攻撃情報:エクスプロイトツールやゼロデイ脆弱性といった、特定のソフトウェアやシステムの脆弱性を悪用するための情報です。

    ダークウェブは、サイバー犯罪者にとって非常に有益なリソースとなっており、その存在は現代のサイバーセキュリティにおいて密接に脅威と結びついています。こうした取引が行われることで、サイバー攻撃の手口が高度化し、被害が拡大しているのです。

    アンダーグラウンドサービスの例

    サービス内容 説明
    ランサムウェア攻撃(RaaS) データを暗号化し、復旧のための身代金を要求するサービス。
    DDoS攻撃
    (DDoS攻撃代行)
    大量のトラフィックを送信して、ウェブサイトやサービスを停止または遅延させるサービス。
    フィッシング攻撃(PhaaS) 偽のメールやウェブサイトで個人情報を窃取するサービス。
    不正アクセス(AaaS) リモートアクセス可能な権利を提供するサービス。

    サイバー攻撃へ備えるために

    サイバー攻撃への備えとして、最も重要なことは攻撃者に攻撃の機会(隙)を与えないことです。サイバー攻撃者にとって攻撃対象にしづらいシステムを構築することが効果的です。そのためには、まず自組織のセキュリティ状況を見直し、リスク状況を把握することが不可欠です。

    自組織のセキュリティ状況を把握するためには、定期的なセキュリティ診断や脆弱性評価を行い、システムの弱点を特定することが必要です。これにより、システムのどの部分が攻撃者にとって狙いわれやすいかを明確にすることで、対策を講じることができます。例えば、不要なポートを閉じる、推測されにくい強固なパスワードポリシーを実装する、そしてシステムやソフトウェアを最新の状態に保つことなどが挙げられます。

    さらに、攻撃者が事前にする偵察行為の段階でハッカーから攻撃対象にされにくいシステムにしておくことも重要です。これは、OSINTを活用して公開情報を収集する攻撃者に対抗するための施策となります。現在自組織が置かれている状況を踏まえたうえで、公開情報を最小限に抑え、内部情報が外部から容易に取得できないようにすることが求められます。また、定期的に従業員に対するセキュリティ教育を実施し、フィッシング攻撃などのソーシャル・エンジニアリングをもちいた攻撃に対する認識を高めることも効果的です。

    このような対策を講じることで、攻撃者にとって魅力的な攻撃対象でなくなることが期待できます。結果として、攻撃のリスクを低減し、サイバー攻撃から自組織を守ることができるのです。セキュリティ対策は一度行えば終わりというものではなく、常に最新の脅威情報に基づいて見直し、更新していくことが必要となります。

    BBSecでは

    サイバー脅威情報調査サービス

    サイバー脅威情報調査サービスの詳細はこちら

    ウェビナー開催のお知らせ

  • 2024年6月12日(水)13:00~14:00
    クラウド時代に対応必須のセキュリティあれこれ -クラウドセキュリティについて-
  • 2024年6月19日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
    -ツール診断と手動診断の比較-
  • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

    SQATチャンネルはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    サプライチェーン攻撃への対策 -サプライチェーン攻撃の脅威と対策3-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サプライチェーンは、サイバー攻撃のリスクや予測不可能な事象による中断リスクなどのリスクを抱えており、サプライチェーン攻撃を受けてしまった場合には生産性の低下や企業の信用失墜につながる可能性もあります。このためサプライチェーン全体のリスク管理が重要です。この記事では、サプライチェーン攻撃のリスクマネジメントを紹介しつつ、サプライチェーンのセキュリティ対策のポイントについて解説します。

    サプライチェーンのセキュリティ課題

    サイバー攻撃の手法も多様化している中、多くの企業がサプライチェーンのセキュリティ課題に直面しています。課題はサプライチェーンの規模と煩雑さ、そしてグローバル化に伴う規制の厳格化など、多岐にわたります。

    サプライチェーンは多くの企業や組織が関与していることから、お互い密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。サプライチェーンの弱点を悪用した攻撃によるリスクにおいては、自然災害やパンデミック(感染流行)といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスクなどの予測不可能な事象によってサプライチェーンに大きな影響を与えます。

    特にサプライチェーン攻撃の場合は自組織が攻撃者に狙われ、火元になった場合、どこまで全体に影響があるのか調査するのに時間がかかります。たとえ火元を見つけられなかった場合でも、自組織が委託元企業であった場合には監督責任を問われる可能性がでてきます。これらのリスクによって生産性が低下したり、企業の信用が失墜したりする可能性があり、サプライチェーンリスク管理の重要性が高まっています。

    サプライチェーンの産業において安定的な供給をするためには、グローバル化への対応、予測困難なリスクへの対応、消費者ニーズの把握という三つの主要な課題に対処することが不可欠です。これらの課題を克服するためには、サプライチェーンマネジメント(SCM)の導入が効果的です。サプライチェーンマネジメントを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間での情報共有も促進されます。これにより、消費者ニーズに即応しやすくなります。

    サプライチェーンリスクマネジメントとは

    サプライチェーンリスクマネジメント(SCRM)は、サプライチェーン全体のリスクを管理し、予測不可能な事象からビジネスの継続性を保護するための戦略的アプローチです。このプロセスには、サプライチェーンを構成するすべての関係者とその活動が含まれます。リスクマネジメントは、外部委託先やサプライヤーのセキュリティ対策を評価し、それに基づいて適切な対策を講じることが重要です。情報漏洩やサイバー攻撃などのセキュリティインシデントが発生した場合、サプライチェーン全体の業務に影響を及ぼす可能性があるため、事前のリスク評価と定期的な監査が求められます。

    サプライチェーン攻撃への対策方法

    サプライチェーン攻撃への対策を実施することは、単にリスクを軽減するだけではなく、企業のセキュリティ体制を強化することにもつながります。主な対策を挙げると、セキュリティポリシーの整備・運用の見直しの実施、従業員教育の徹底などがあります。具体的には、サプライチェーンの各プロセスでセキュリティチェックを行うこと、委託元・委託先との契約の際にセキュリティ要件を定義し、定期的な監査を行う、そして従業員のセキュリティトレーニングの実施や、インシデント対応計画の整備をすることなどが挙げられます。さらに、サプライチェーン全体のセキュリティを向上させたい場合、組織で最新のセキュリティ関連情報を収集し、外部からの攻撃に迅速に対応できるよう体制を整えることが推奨されます。セキュリティ専門企業による定期的なセキュリティ診断を受けることで、脆弱性のリスクを発見し、脆弱性対策に取り組むことも重要です。これらの取り組みを通じて、攻撃リスクを効果的に低減することが可能になります。

    ガイドラインとプラクティス集

    サプライチェーンのセキュリティを確保するためには、各業界が公開しているセキュリティガイドラインやベストプラクティス集を参照することをおすすめします。各業界のガイドラインには、リスク管理のフレームワークの確立、サプライヤーとの連携におけるセキュリティ要件の統合、定期的なセキュリティ監査と評価の実施が含まれます。また、インシデント対応計画の策定や訓練を通じて、万が一の事態に迅速かつ効果的に対応できる体制を整えることも重要です。さらに、業界団体やセキュリティ専門家が提供する最新のセキュリティ情報やトレンドには常に注意を払い、対策を見直すことも重要です。

    ・経済産業省
     「サイバーセキュリティ経営ガイドラインVer3.0
    ・独立行政法人情報処理推進機構(IPA)
     「サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集
    ・経済産業省
     「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0
    ・日本自動車工業会(JAMA)/日本自動車部品工業会(JAPIA)
     「自工会/部工会・サイバーセキュリティガイドラインV2.1
    ・CISA(サイバーセキュリティインフラセキュリティ庁)
     「Securing the Software Supply Chain: Recommended Practices

    自動車産業は、近年サイバー攻撃の標的になりやすいことから、業界全体でサイバー攻撃への対策強化に力を入れています。サイバー攻撃から自組織を守るためにも、ガイドラインに従い、セキュリティ対策に取り組むことが重要です。

    NISTサイバーセキュリティフレームワークV2.0

    NIST(米国立標準技術研究所)が2024年2月26日にリリースした「NIST’s cybersecurity framework (CSF) Version 2.0」は、2014年のV1.0のリリース以来、10年ぶりにメジャーアップデートされた文書です。このフレームワークは、組織がサイバーセキュリティリスクを理解、評価、優先順位付け、そして対処するための指針を提供することを目的として、中小企業を含むあらゆる企業や組織での利用を促し、サプライチェーンリスクに注目した内容に改定されています。

    サプライチェーンのセキュリティ対策のポイント

    サプライチェーン攻撃に対しては、サプライチェーン全体で基本的な情報セキュリティ対策の実施に取り組むことが重要です。

    基本的な情報セキュリティ対策の例

    ・情報資産の可視化
    ・OSやソフトウェアの最新状態へのアップデート
    ・権限管理による重要情報取り扱い者の絞り込み
    ・パスワードの強化
    ・脆弱性診断等によるセキュリティ上の問題の可視化
    ・マルウェア対策製品の導入
    ・アクセス制御ソリューションの導入
    ・従業員全員に対するセキュリティ教育の定期実施
    ・インシデント発生時の対応手順等セキュリティに関するルールの策定・周知

    サプライチェーン全体への取り組みの例

    ・アンケート等を用いたサプライチェーン上の各企業におけるセキュリティ状況の把握
    ・サプライチェーン上にセキュリティ水準の異なる企業があるか確認
    ・サプライチェーン上の企業間における重要情報の定義と取り扱い方法の取り決め実施

    ポイントは、常に自社/自組織が当事者であるという姿勢です。以下のような基本的な対応がとられているか、今一度ご確認いただくことをおすすめします。

    ・自社/自組織のセキュリティ状況の把握と対策
    ・取引先/委託先のセキュリティ対策状況の監査
    ・使用しているソフトウェアに関する脆弱性情報のキャッチアップ 等

    また、ソフトウェアサプライチェーン攻撃への対策としては、以下のガイドラインもあわせて参照することを推奨します。

    ・経済産業省 商務情報政策局 サイバーセキュリティ課
     「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引Ver.1.0

    「SBOM (Software Bill of Materials)」について、SQAT.jpでは以下の記事でご紹介しています。
    こちらもあわせてご覧ください。
    脆弱性管理とIT資産管理-サイバー攻撃から組織を守る取り組み-

    ・「OSS の利活⽤及びそのセキュリティ確保に向けた 管理⼿法に関する事例集

    今一度セキュリティ対策の見直しを

    サイバー攻撃手法は日々更新されており、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。自組織のシステムのリスク状況の把握には、脆弱性診断の実施がおすすめです。また、サイバー攻撃への備えとして、セキュリティ対策の有効性の確認には信頼できる第三者の専門家の目線もいれることをおすすめします。

    まとめ

    サプライチェーン構造は、企業間の密接な連携により複雑化しているため、一点のほころびが全体に影響を与える可能性があります。またサプライチェーンは、サイバー攻撃、自然災害、地政学的不安定、経済危機など様々なリスクに晒されています。特にサプライチェーン攻撃は、狙われた企業の直接的な被害だけではなく、そこに関連する企業が火元となった場合、監督責任を問われることもあります。これにより、生産性の低下や企業の信用失墜など、深刻な結果を招くことも考えられます。

    このため、サプライチェーンの安定供給を実現するには、グローバル化の進展、予測困難なリスクへの対応、消費者ニーズの正確な把握が重要です。これらの課題に効果的に取り組む方法として、サプライチェーンマネジメント(SCM)の導入が推奨されています。SCMを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間の情報共有も促進されます。

    また、サプライチェーンリスクマネジメント(SCRM)は、サプライチェーン全体のリスクを評価し、適切な対策を講じることでビジネスの継続性を保護する戦略的アプローチです。リスクマネジメントには、情報漏洩やサイバー攻撃への迅速な対応、外部委託先やサプライヤーのセキュリティ対策の評価、定期的な監査が含まれるため、予測不可能な事象において備えておきたい重要なポイントです。

    セキュリティを向上させるための策としては、セキュリティポリシーの整備、従業員教育の徹底、サプライチェーンプロセスでのセキュリティチェック、セキュリティ要件の定義と監査の実施が重要です。また、セキュリティ診断を受けることで脆弱性を発見し、それに対処することも推奨されています。

    さらに、各業界のセキュリティガイドラインやベストプラクティスを活用することも推奨されます。これにはリスク管理フレームワークの確立やセキュリティ監査の定期実施が含まれ、ガイドラインに準拠することで、サプライチェーン全体のセキュリティを向上させ、万が一サプライチェーン攻撃を受けてしまった場合でも、リスクを最小限にすることが可能になります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#00414047)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「Studyplus (スタディプラス)」に外部サービスの API キーがハードコードされている問題がJVNに公開されました。

    概要

    JVN#00414047
    スタディプラス株式会社が提供する「Studyplus (スタディプラス)」には、外部サービスの API キーがハードコードされている問題 (CWE-798) が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2020-5667

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5667

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN00414047/index.html
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000070.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#42199826)

    Share

    弊社の診断エンジニアによって報告された、desknet’s NEO におけるクロスサイトスクリプティングの脆弱性がJVNに公開されました。

    概要

    JVN#42199826
    株式会社ネオジャパンが提供する desknet’s NEO には、格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2020-5638

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5638

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN42199826/index.html
    https://jvndb.jvn.jp/ja/contents/2020/JVNDB-2020-000079.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    弊社エンジニアによって報告された脆弱性が公開されました(JVN#54025691)

    Share

    弊社の診断エンジニアによって報告された、スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性がJVNに公開されました。

    概要

    JVN#54025691
    株式会社ぐるなびが提供するスマートフォンアプリ「ぐるなび」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在します。

    共通脆弱性識別子(CVE)

    ■CVE-2021-20693

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20693

    報告者名

    佐藤 竜

    詳細はこちら。
    https://jvn.jp/jp/JVN54025691/index.html
    https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000031.html

    ※外部サイトにリンクします。


    SQAT®Security Information TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像