Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―

Share

DevSecOpsは、「DevOps」―開発(Development)チームと運用(Operations)チームが相互協力しながら品質を向上させ続けるサイクル―の一環に、セキュリティ(Security)を組み込むことで、トータルコストを低減しつつ、さらなるクオリティ向上を実現する手法です。セキュアなWebアプリケーション開発プロセスの実現のためには、この考え方が重要です。しかし、多くの企業・組織にとって、DevSecOpsの実現には様々な課題があるのが実情です。 本記事では、開発の現場担当者が感じている課題を整理したうえで、セキュアなWebアプリケーション開発にむけて、どのように取り組むべきかについてご紹介します。

OWASP Top10に新たな項目

2021年9月、「OWASP Top 10 2021」が発表されました。Webアプリケーションセキュリティに関する最も重大な10項目のリスクを取り上げたものです。前回発表された2017年版(OWASP Top 10 2017)から4年ぶりの更新となります。

※OWASP(Open Web Application Security Project)…Webアプリケーションセキュリティに関する国際的コミュニティ

2017年版Top 10の各項目は、2021年版ではそれぞれ順位を上げ下げしつつ、一部統合されて7項目となり、完全に消えたものはありませんでした。そして、新たなカテゴリが3項目追加される形で計10項目となりました。

OWASP Top 10 – 2021

A01:2021 –アクセス制御の不備
A02:2021 –暗号化の不備
A03:2021 –インジェクション
A04:2021 –NEW セキュアでない設計
A05:2021 –セキュリティ設定のミス
A06:2021 –脆弱かつ古いコンポーネントの使用
A07:2021 –識別と認証の不備
A08:2021 –NEW ソフトウェアとデータの整合性の不備
A09:2021 –セキュリティログとモニタリングの不備
A10:2021 –NEW サーバサイドリクエストフォージェリ(SSRF)

NEW」は2021年度版で追加された項目
https://owasp.org/Top10/ より弊社和訳

新設された3項目のうち2つが、システム開発のプロセスにかかわる内容に焦点を当てています。

● セキュアでない設計(Insecure Design)
  ポイント:設計における管理策の欠如、ロジックの検証が不十分である等
  推奨対策:シフトレフトによる開発ライフサイクルの実践 等
● ソフトウェアとデータの整合性の不備(Software and Data Integrity Failures)
  ポイント:安全でないデシリアライゼーション、
  信頼できないコンポーネントの利用、CI/CDパイプラインにおける検証不備 等
  推奨対策:データの整合性チェック、コンポーネントのセキュリティチェック、
  CI/CDのセキュリティ対策

※シフトレフト…開発工程のより早い段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方

ここで推奨対策例として出てきた「シフトレフト」と「CI/CDのセキュリティ対策」はアプリケーション開発プロセス手法である「DevSecOps」実現に欠かせません。

アプリケーション開発における「DevSecOps」

DevSecOpsは、「DevOps」―開発(Development)チームと運用(Operations)チームが相互協力しながら品質を向上させ続けるサイクル―の一環に、セキュリティ(Security)を組み込むことで、結果的にトータルコストも削減でき、サービスの価値をさらに向上させる手法です。

DevSecOpsとシフトレフト(Shift Left)について、詳しくは過去記事「前倒しで対処 ー セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とはー」をご覧ください。

“セキュリティ”が組み込まれていないと…

DevSecOpsにおけるシフトレフト

DevSecOps実現のためには、「シフトレフト」の考え方が大切になります。セキュリティを開発の最終段階で対応したのではすでに遅く、開発プロセスの全フェーズにおいて常にセキュリティ上の課題を先取りして解決しながら進めることが、テストやリリースといった最終段階での手戻りを防ぎ、結果的にトータルコストの削減と品質の向上に寄与します。

DevSecOpsにおけるCI/CDのセキュリティ対策

“Sec”が入らないDevOpsにおいては、設計・実装を小さな単位で素早く繰り返し実行していく手法(アジャイル開発手法等)が一般的ですが、このスピード感をサポートするのが「CI/CD」です。

CI/CDの説明図

CI(Continuous Integration)は継続的インテグレーション、CD(Continuous Delivery)は継続的デリバリの略です。アプリケーション開発におけるコード、ビルド、テスト、デプロイといった各作業を自動化して継続的にサイクルを回せるようにする仕組みを指します。オンプレミスでもクラウド上でも展開可能で、CI/CDを提供する様々なツールやサービスが提供されています。

ただし、CI/CDはセキュリティ上のリスクにもなりえます。CI/CD環境に脆弱性が潜んでいて不正アクセスされるようなことがあれば、そこを発端に組織全体が危険にさらされる恐れもあるのです。このため、DevSecOps実現のためには、CI/CDのセキュリティ対策が不可欠です。

セキュアでない設計によるリスク

では、シフトレフトが意識されていない、セキュアでない設計にはどのようなものがあるでしょうか。ユーザの認証に用いられる情報がIDと生年月日である場合、生年月日は他者が容易に知りうる情報なので、本人確認の仕様としてはふさわしくないことがわかります。例えば、補助金の申請システムにおいて、申請者の本人確認や申請内容の検証が甘いために容易に複数の虚偽申請を許してしまうようでは、実用に耐えるとはいえないでしょう。

こうしたセキュリティについて考慮されていない設計は、弊社の脆弱性診断でも相当数検出されています。アカウントロックアウトが設定されていない、Webサーバからのレスポンスにクレジットカード番号のような重要情報が含まれている、個人情報が暗号化されないまま送信されている、といった例は多々見受けられます。放置しておくと、個人情報や機密情報の漏洩を引き起こしかねません。

プライバシーマーク推進センターによって報告された、2020年度「個人情報の取扱いにおける事故報告集計結果」によると、誤送付や紛失・盗難によらない情報漏洩のうち、プログラムやシステムにおける設計・作業ミスを原因とするものは102件あったとのことです。大した件数ではないようにも見えますが、インシデント1件あたりの漏洩件数が増加傾向にあるとの報告もあり、影響の大きさに注意が必要です。また、これらはあくまで報告があったものだけの数ですので、セキュアでない設計によるアプリケーションが人知れず稼働したままになっている危険性は大いにあるでしょう。

一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センター
2020年度「個人情報の取扱いにおける事故報告集計結果」(2021年10月15日更新)より

CI/CDパイプラインにおける検証不備によるリスク

コードカバレッジツールへのサイバー攻撃の概要図

CI/CDパイプラインに起因するリスクの方はどうでしょう。2021年にあるインシデントが発生しました。ソースコードのテスト網羅率を計測するコードカバレッジツールがサイバー攻撃を受けた結果、このツールを使用していた国内企業のCI環境に不正アクセスされ、重要情報を含む1万件以上の情報漏洩につながったというものです(右図参照)。

自動化、高効率化ツールによる利便性を享受するためには、そこに係るすべてのツールや工程におけるセキュリティチェックを行う必要があるのです。

DevSecOps実現を阻む壁

さて、安全なWebアプリケーション開発の重要性は認識できているとしても、実現できなければ意味がありません。とはいえ、DevSecOps実現には、多くの企業・組織において様々な障壁があるものと思われます。今回は主な障壁を「組織」と「技術」のカテゴリに分類し、それらの問題点および解決の糸口を考えていきます(下図参照)。

DevSecOps実現のためにできること

DevSecOpsに特化したガイドラインが存在しないというのも、対応を難しくしている要因の1つかもしれません。とはいえ、Webアプリケーション開発におけるセキュリティ対策の課題を考慮すると、鍵となるのはやはりシフトレフトです。シフトレフトを意識しながら、システム開発プロセスに組み込まれたセキュリティ対策を実践する例として、以下のようなイメージが考えられます。

Webアプリケーション開発におけるセキュリティ対策実施の背景には、Webアプリケーションの規模や利用特性ばかりでなく、開発組織の業務習慣や文化等、様々な事情があることでしょう。例えば、セキュアコーディングのルール整備やスキルの平準化が不十分という課題があれば、まずは現場レベルでそこから取り組んでいくといったように、信頼されるWebアプリケーション構築のために、少しずつでもDevSecOpsの実装に近づけていくことが肝要です。

【参考】システム開発プロセスのセキュリティに関するガイドライン・資料等

●NIST
 Security Assurance Requirements for Linux Application Container Deployments
 https://csrc.nist.gov/publications/detail/nistir/8176/final

●OWASP
 OWASP Application Security Verification Standard
 https://github.com/OWASP/ASVS

●内閣サイバーセキュリティセンター(NISC)
  情報システムに係る政府調達におけるセキュリティ要件策定マニュアル
  https://www.nisc.go.jp/active/general/pdf/SBD_manual.pdf

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー

Share

なにはともあれリスクの可視化を!
―テレワーク運用時代に伴う課題とは―

Share
テレワークのイメージ(ピクトグラム)

2021年に入ってからも新型コロナウィルス(COVID-19)の感染拡大は収まることを知らず、外出自粛などの影響により、いまや7割近くの企業・組織にテレワークが導入されています。しかしそこには、緊急事態宣言の発令後、やむを得ず急な対応を迫られた結果、セキュリティ対策が十分にされないままテレワークの導入が進み、様々なリスクにつながってしまっている、という落とし穴があります。

本記事では、テレワーク運用時代における課題を挙げ、対応すべき対策例を考えていきます。

ニューノーマルがニューでなくなった日常

東京都における企業のテレワーク実施率は、2021年8月時点で7割近くにのぼるという報告*1が出ています。

クラウド利用もさらに進み、オンラインによるコミュニケーションやデータ共有、迅速なシステム構築などに活用されています。いまや全国でクラウドサービスを利用している組織は68.7%にのぼるとの調査結果*2もあり、ITビジネス環境に欠かせない存在です。

こうした調査結果は、「ニューノーマル」がもはや私たちの日常となったことを示しているといえるでしょう。

出典:
左図(■東京都内企業のテレワーク実施率):

東京都産業労働局「8月の都内企業のテレワーク実施状況」(2021年9月3日)https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/09/03/09.html
右図(■クラウドサービスの利用状況):

総務省「通信利用動向調査」(令和3年6月18日)
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html

テレワーク運用時代の新たなリスク

テレワーク導入期を過ぎ、運用期に入った組織が多数となった現在、新たなリスクが指摘されています。独立行政法人情報処理推進機構(IPA)が2021年4月に公表した「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」では、次のような実態が明らかにされています。

出典:IPA「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」(2021年4月)より当社作成

※BYOD(Bring Your Own Device)…業務に私用の端末を利用すること

例外や特例を継続することによるリスク

多くの組織がテレワーク導入を迫られた2020年、以下のような例外や特例を認めた組織は少なくないようです。

●支給IT機器の調達が間に合わず、利用ルールが整備されないままBYODを容認
●自宅環境からの接続を早急に実現するため、管理外の自宅ルータの使用を許可
●即日使用可能なツールの必要性に迫られ、習熟しないままクラウドサービスを導入 など

テレワークやクラウド利用により機密情報を含む各種データへのアクセス環境が多様化するなか、事業継続優先を理由にやむを得ず許容されたはずの“当座の対応”が、そのままになっていることが問題視されています。置き去りにされたセキュリティ対策が十分に対応されないままだと、以下のような被害につながる危険があります。

◇業務に使用していた私用スマートフォンの紛失による情報漏洩
◇自宅から業務システムへのアクセスに使用していたルータの脆弱性を突いた不正侵入
◇業務利用のクラウドサービスに機密情報が公開状態で保存されていたことによる情報漏洩 など

ギャップが生むサプライチェーンのリスク

ITサプライチェーン※において、委託先の情報セキュリティの知識不足、という課題も指摘されています。

※サプライチェーン問題については、過去記事「テレワーク導入による開発現場での課題―セキュアプログラミングの重要性―」も参考ください。

確かに、テレワーク導入率は情報通信業が目立って高く、8割近くにのぼるとする調査結果 *3 もあります。システム構築業務が委託および再委託で成り立っている日本の産業界においては、たとえ委託元のシステム開発会社がクラウド利用やテレワーク環境におけるセキュリティポリシーを整備していたとしても、オンラインでデータのやりとりなどをする委託先のセキュリティ意識が十分でないと、ITサプライチェーン全体のリスクにつながる恐れがあるのです。

また、地域における差異も気になるところです。東京23区以外の地域のテレワーク実施率は2割程度*4とのことで、東京とそれ以外の地域では明らかに差があります。もちろん、新型コロナウイルス感染者数の差によるところも大きいでしょう。しかしながら、多くの事業活動が組織単体または地域限定で行われているわけではないため、テレワーク環境が当たり前の組織とそうでない組織の差異は、商習慣、ひいてはセキュリティ対策ギャップにつながりかねず、注意が必要です。

サイバー攻撃者は狙いやすいところを目ざとく見つけて突いてきます。サプライチェーンの中の一組織におけるセキュリティ不備が、そこに連なる様々な地域、規模、業種の関連組織に影響を及ぼしかねません。

まずはリスクの可視化を!

自組織からの情報漏洩を防ぎ、自らの被害ばかりでなくサプライチェーンリスクの起点とならずに済むようにするために、まずはリスクを可視化することを推奨します。

「リスクがどこにあるのか」「そのリスクはどの程度か」を明確にするのです。存在していることに気づいていないリスクを把握するのはもちろんのこと、存在自体は認識していても意図せず放置されたままになっているリスクを確認することも大切です。

リスクが明らかになってはじめて、なにに対してどのように対策を講じるか、すなわち優先的に取り組むべきポイントやそれぞれどの程度手厚く取り組む必要があるかを、具体的に検討することができます。

“なに”を”どう”守るか

リスクの洗い出しにおいては、保護すべき資産は“なに”か、そしてそれらを“どう”守るべきか、という視点で考えます。情報セキュリティリスクにおける保護すべき資産とは、「情報(データ)」です。例えば以下のようなステップを踏んで絞り込んでいきます。

リスクの可視化の重要性

すでにある程度セキュリティ対策は実施済み、という場合にもリスクの可視化は必要でしょうか。

国内企業のサイバーリスク意識・対策実態調査2020」 (一般社団法人 日本損害保険協会、2020年12月)によると、8割以上の組織において「ソフトウェア等の脆弱性管理・ウイルス対策ソフトの導入」が行われているとのことです。確かに、現在、最も代表的なセキュリティ被害の1つがランサムウェア※であることを鑑みると、最低限のセキュリティ対策としてやっていて当たり前という意識が感じられる結果です。

※ランサムウェアについては過去記事「ランサムウェア最新動向2021―2020年振り返りとともに―」も参考ください。

しかし、残念ながらセキュリティ対策にはこれだけやっておけば万事解決、という最適解はありません。インシデントが発生する恐れがゼロではないという現実がある以上、ランサムウェアに感染した場合や、システムに潜む脆弱性を悪用されて攻撃された場合に、どのような影響を受ける可能性があるのか、リスクを可視化しておくべきでしょう。

セキュリティ対策には専門家の力を

組織が抱えるリスクは、業種や規模のほか、サプライチェーンの特性や取り扱う情報の種類、テレワークやクラウド利用といったシステム環境の状況、セキュリティ対策の度合い……といった様々な事情に応じて異なります。まずは、自組織が抱えるリスクは何かを正確に見極め、優先度に応じた対策を検討できるようにすることが重要です。

その際、第三者視点の正確なリスクの検知と評価、そして講じるべき具体的な対策について、的確なアドバイスがほしいものです。ぜひ心強いパートナーとなり得る、リスクアセスメントに精通したセキュリティベンダを探してみてください。

【参考】テレワークに関するガイドライン・参考資料等

●総務省
 「テレワークセキュリティガイドライン 第5版」(令和3年5月)
 https://www.soumu.go.jp/main_content/000752925.pdf
 「中小企業等担当者向けテレワークセキュリティの手引き
 (チェックリスト)(初版)」(令和2年9月11日)
 https://www.soumu.go.jp/main_content/000706649.pdf

●経済産業省 / 独立行政法人情報処理推進機構(IPA)
 「テレワークを行う際のセキュリティ上の注意事項」
 (2021年7月20日更新)
 https://www.ipa.go.jp/security/announce/telework.html
 「テレワーク時における秘密情報管理のポイント(Q&A解説)」
 (令和2年5月7日)
 https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/teleworkqa_20200507.pdf
 「クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年度版」
 https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
 「中小企業のためのクラウドサービス安全利用の手引き
 https://www.ipa.go.jp/files/000072150.pdf

●内閣サイバーセキュリティセンター(NISC)
 「テレワーク実施者の方へ」(令和2年6月11日更新)
 https://www.nisc.go.jp/security-site/telework/index.html
 「インターネットの安全・安心ハンドブックVer 4.10」
 (令和2年4月20日)
 https://www.nisc.go.jp/security-site/files/handbook-all.pdf

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー

Share

今、危険な脆弱性とその対策
―2021年上半期の診断データや攻撃事例より―

Share
キーボードと虫眼鏡

私たちの生活を支えるWebサイトは、攻撃者からみると、個人情報や機密情報などデータの宝庫であり、魅力的なターゲットになってしまっています。その理由は、Webサイトの多くに脆弱性が存在していることがあるためです。

本記事では、診断会社として多くの企業・組織への診断実績がある弊社の視点で、2021年上半期の診断結果、また攻撃事例などを振り返り、脆弱性対策に有効な手段を考えます。

Webサイトはなぜ狙われる?
―そこに脆弱性があるから

ハッカーがターゲットにしている対象のグラフデータ(The 2021 Hacker Reportより)

サイバー攻撃の対象は、Webサイトが最も高く、ハッカーのほとんどがWebサイトを攻撃しているといっても過言ではありません。

私たちの生活は公私共に、Webシステムに支えられており、Webサイトは個人情報や機密情報の宝庫です。そして、残念ながらWebサイトの多くには脆弱性が存在していることがあります。宝の山に脆弱性があるとなれば、悪意ある者に狙われてしまうのは当然といえます。

2021年上半期Webアプリケーション脆弱性診断結果

弊社では、様々な脆弱性診断メニューをご提供しております。その中で最もニーズの高いWebアプリケーション脆弱性診断について、2021年上半期(2021年1~6月)の結果をご紹介いたします。この半年間で14業種のべ610社、3,688システムに対して診断を行いました。

業種やシステムの大小にかかわらず、多くのWebアプリケーションになんらかの脆弱性が存在しています。検出された脆弱性をカテゴリ分けした内訳は円グラフのとおりです。

上半期診断結果脆弱カテゴリ別の円グラフ

このうち、例として、4割近くを占める「システム情報・ポリシーに関する問題」と、1割強程度ではあるものの、危険度の高い脆弱性が目立つ「入出力制御に関する問題」に分類される脆弱性の検出数をご覧ください(下記、棒グラフ参照)。

既知の脆弱性が検出されている、あるいはすでにベンダサポートが終了しているバージョンのOSやアプリケーションソフトの使用が数多く見られます。また、Webアプリケーションにおける脆弱性の代表格ともいえる「クロスサイトスクリプティング」や「SQLインジェクション」は、いまだ検出され続けているのが現状です。こうした脆弱性を放置しておくとどうなるか、実際に発生したインシデントの例を見てみましょう。

脆弱性を悪用した攻撃事例1:
既知の脆弱性が存在するWordPress

脆弱性のあるWordPressの悪用例

Webサイトの構築を便利にするCMS(Contents Management System)のうち、WordPressは世界でダントツのシェア40%以上を誇っています(CMS不使用は約35%、その他のCMSはすべて一桁パーセント以下のシェアです)*5。CMSの代名詞といえるWordPressですが、その分サイバー攻撃者の注目度も高く、脆弱性の発見とこれに対応したアップグレードを常に繰り返しています。

2021年に入ってからも10件以上の脆弱性が報告*2されているほか、国内でもWordPressを最新バージョンにアップデートしていなかったことで不正アクセスを受けたとの報告*3が上がっています。

脆弱性を悪用した攻撃事例2:SQLインジェクション

その対策が広く知れ渡っている今でも、「SQLインジェクション」は診断結果の中に比較的検出される項目です。

SQLインジェクション攻撃による国内情報流出事例

2021年も、実際にSQLインジェクション攻撃を受けたという報告*4が複数上がっています。

「SQLインジェクション」や「クロスサイトスクリプティング」のような、比較的知られている脆弱性に起因するインシデント事例は、企業のセキュリティ対策姿勢が疑われる結果につながり、インシデントによる直接的な被害だけでは済まない、信用の失墜やブランドイメージの低下といった大きな痛手を受ける恐れがあります。

最も危険な脆弱性ランキング

最も悪用された脆弱性ワースト30

脆弱性対策は世界的な問題です。2021年7月、アメリカ、イギリス、オーストラリア各国のセキュリティ機関が、共同で「Top Routinely Exploited Vulnerabilities(最も悪用されている脆弱性)」の30件を発表しました。

出典:https://us-cert.cisa.gov/ncas/alerts/aa21-209aより弊社作成

2021年にかけてサイバー攻撃グループが悪用していることが示唆されているものが多く含まれており、いまだ世界中の多くの企業や組織では、前述の脆弱性に対して未対応であることがうかがえます。

上記一覧からおわかりのとおり、ほとんどが、業務利用されているおなじみの製品群です。リモートワークの促進やクラウドシフトといったIT環境の変化が、既知の脆弱性に悪用する価値を与えているのです。各セキュリティ機関は、特にVPN製品に関する脆弱性に警鐘を鳴らしています。

思い当たる製品がある場合は、まずは侵害の痕跡(IoC:Indicator of Compromise)があるか確認し、必要に応じて対処する必要があります。そして可能な限り早急にパッチを適用する必要があります。いずれの製品にもセキュリティパッチがリリースされています。

最も危険なソフトウェアエラー 「CWE TOP25」2021年版

危険な脆弱性に関する情報として、米MITRE社より、「2021 CWE Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTop25 2021年版)」も発表されています。CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。

出典:https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html より弊社翻訳

前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。

脆弱性の対策に有効な手段とは?

多くのWebサイトに脆弱性が存在していることについて述べてまいりました。脆弱性の放置は、サイバー攻撃を誘発し、事業活動に甚大な影響を及ぼしかねません。たとえサイバー攻撃をすべて防ぎきることはできないにしても、セキュリティ対策をどのように講じてきたかという姿勢が問われる時代です。基本的なセキュリティ対策を怠っていたばかりに、大きく信頼を損ねる結果とならないようにしたいものです。

Webサイトにおける脆弱性の有無を確認するには、脆弱性診断が最も有効な手段です。自組織のセキュリティ状態を把握して、リスクを可視化することが、セキュリティ対策の第一歩となります。脆弱性診断を効果的に行うコツは、「システムライフサイクルに応じて」「定期的に」です。脆弱性の状況は、新規リリース時や改修時ばかりでなく、時宜に応じて変化することに注意が必要です。

変化という意味では、脆弱性情報のトレンドを把握するのも重要です。この点、様々なセキュリティ機関やセキュリティベンダなどが情報配信を行っていますので、最新状況のキャッチアップにご活用ください。

弊社では昨年8月に「テレワーク時代のセキュリティ情報の集め方」と題したウェビナーで、情報収集の仕方やソースリストのご紹介をしておりますので、ぜひご参考にしていただければと思います。

リスク評価、セキュリティ対策検討の初動である、脆弱性診断および脆弱性情報の収集が、健全な事業活動継続の実現に寄与します。

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー

Share

暗号技術を安全に活用するために
―今、やっておくべきセキュリティ対策―

Share

暗号技術は、私たちの安全なシステム利用や事業継続のためにかかせないテクノロジーです。しかし、とりあえず導入しているからそれでよい、というわけではなく、ただしく実装されているかを確認したうえで、環境・リスクに応じて適切に実装することが求められます。本記事では、暗号技術を安全に活用するために、必要なポイントを解説し、やっておくべき現状確認についても紹介いたします。

現代の暗号技術の2大課題

暗号技術は情報セキュリティを支える重要な技術の1つです。暗号技術があればこそ、私たちは安心して業務システムを利用し、インターネット経由での事業活動を行うことができています。

一方で、今、次世代暗号に関する話題が、少しずつ一般的なニュースでも取り上げられ始めています。なぜ、次世代暗号技術が求められているのでしょうか。その背景には、既存の暗号技術に対する次のような懸念があるためと考えられます。

量子コンピュータの脅威に対抗:耐量子暗号

将来、コンピュータの処理能力の進化によって、現在普及している暗号技術が無力化されてしまうと言われています。これは昨今よく取りざたされている、量子コンピュータの登場に起因しています。量子コンピュータは量子力学を計算過程で用いて並列計算を実現することで、現在のコンピュータと比較して圧倒的な処理能力を保持するとされています。

量子コンピュータの登場による既存の暗号技術への脅威、そしてその対策は以下のとおりです。

※公開鍵暗号、共通鍵暗号については後述

量子コンピュータは2030年には実用化されると想定されているため、その頃にはサイバー攻撃者が量子コンピュータを用いた攻撃を実行してくる恐れがあるということになります。これが、「暗号の2030年問題」と言われるものです。このため、2030年に先駆けて、防御策を実現する必要があります。そこで、耐量子暗号の選定や鍵長ポリシーの見直し、といった次世代暗号に向けた標準化が、日米において進められています。

暗号技術の標準化動向

●米国:NIST(米国立標準技術研究所)
 →2022年頃の標準化を目指す
●日本:CRYPTREC(暗号技術検討会(総務省・経産省))
 →各種タスクフォース等により調査検討中
  NISTと同等の時期での標準化を目指す

NISTによる標準化検討で挙げられている耐量子暗号の最終候補には、以下のようなものがあります。そう遠くないうちに確定されることでしょう。

暗号化とデータ活用の両立:高機能暗号技術

従来の暗号技術は、
●データの秘匿:保管している内容が第三者にわからないようにする
●改竄の防止:メッセージ認証等、内容が書き換えられていないかチェック
●認証:なりすましが行われていないか電子証明書による確認
●通信の安全性確保:ネット上で流れるデータ内容が第三者にわからないようにする
といった機能に特化したものです。  

そして、データの照合や分析といったデータ活用時の処理は平文(データが暗号化されておらず、誰が見ても内容がわかる状態)で実施しているのが現状です。このため、データ処理者に対する平文データへのアクセスを許容せざるを得ず、結果として、業務上の利便性等の都合により、暗号化されていてしかるべき重要情報が平文のまま保存されているといった実情があります。結果、内部犯行はもちろんのこと、外部からの不正アクセスを受けた場合に、平文の重要情報が盗取されてしまう恐れがあるわけです。

これに対し、従来に加えて付加的な機能がある暗号技術の総称が、「高機能暗号技術」です。

なかでも、暗号化したまま演算処理できる「準同型暗号」は、今まさに、実装ライブラリについての国際標準化推進活動が進行中です。準同型暗号のような高機能暗号技術が実用化されれば、クラウドサーバ上における暗号化したままでのデータ照合や分析、個人情報や機密データを秘匿したままでの様々な処理の実現といった、セキュリティが保持されたデータ活用に期待が持たれています。

現在主流の暗号方式の種類

さて、次世代暗号技術のことを述べてきましたが、ここで、従来の暗号技術、すなわち現在主流の暗号技術について確認してみましょう。現在使用されている暗号技術は以下のとおりです。

暗号方式特徴主な用途主な暗号種別
共通鍵暗号 暗号化も復号も同じ鍵を使用
→処理が高速
→鍵の管理が煩雑
ファイルの暗号化DES
Triple DES
RC5
AES
公開鍵暗号 公開鍵と秘密鍵を作成して暗号化と復号で異なる鍵を使用
→セキュリティ強度が高い
→鍵の管理が容易
→処理は低速
共通鍵の鍵配送
電子署名
電子証明書
RSA
DSA
DH(Diffie-Hellman)
ECC(Elliptic Curve cryptosyste:楕円曲線暗号)
ハイブリッド暗号 共通鍵暗号の受け渡しには公開鍵暗号を、データ自体の暗号化には共通鍵暗号を使用
→安全性が保たれたうえで高速な処理が可能
SSL/TLS(HTTPS通信)鍵交換:DH
暗号化:AES、Camellia

共通鍵暗号と公開鍵暗号を組み合わせた「ハイブリッド暗号」には、身近な利用例として、SSL/TLSがあります。HTTP通信をSSL/TLSによって暗号化するHTTPS通信です。共通鍵暗号と公開鍵暗号のそれぞれの長所を組み合わせることで、セキュリティ強度の高い暗号化を実現し、通信の安全性を高めています。

暗号化されていないデータに伴うリスク

このように、暗号技術は情報セキュリティの基盤技術として、インターネット通信、電子署名、ファイルやデータベースの暗号化等に活用され、安全な事業活動に寄与しています。

ここで気をつけたいのが、通信上を流れるデータには注意を払っていても、自組織内で保存する重要なデータが平文のまま、というケースです。これは、ビジネス上の非常に大きなリスクとなり得ます。ここでは主に二つのリスクが考えられます。一つ目は、攻撃者の侵入を許してしまった場合、使用可能な状態の情報にアクセスを許してしまうことによる情報漏洩のリスク、二つ目が内部による犯行を誘発するリスクです。過去には実際に、保存データが平文であったことで深刻な情報漏洩となってしまった例が存在します。

暗号化されていなかったことにより個人情報が漏洩した事例

2020年
通販サイト(日)*5
約6,300件漏洩
パスワードを平文で保存
2020年
カード決済事業者(米)*2
約250万件漏洩
クレジットカード情報を平文で保存
2019年
ファイル送信サービス(日)*3
約480万件漏洩
パスワードを平文で保存
⇒サービス終了
2018年
航空会社(中)*4
940万件漏洩
バックアップファイルを平文で保存
⇒多額の制裁金等
2017年
信用情報機関(米)*5
約1億4,500万件漏洩
ユーザデータを平文で保存
⇒格付け引き下げ、
多額の制裁金等
2014年
通信教育会社(日)*6
約3,500万件漏洩
内部関係者による犯行
⇒刑事裁判での過失責任認定等

仮に攻撃者の侵入を許してしまったとしても、暗号化でデータを保護することによって、情報漏洩の被害を防ぐことが可能です。また、ランサムウェアの二重脅迫*7や、内部犯行に対しても暗号化は有効です。

安全な暗号技術導入のために必要なポイント

では、取りあえず暗号技術を導入していれば安心かというと、決してそんなことはありません。

暗号化を実装したつもりで、実はこんな状態になっている、ということはないでしょうか。

●一部の個人情報や機密情報といった重要情報がHTTP通信で送信されている
●サーバ証明書が期限切れである
●信頼できない認証局SSL/TLS証明書を使用している
●危殆化した暗号アルゴリズムや鍵長を利用しているプラットフォームがある
●ソースコードに独自の暗号化関数(またはライブラリ)を実装している
●ソースコードにおいて暗号鍵がハードコード(※)されている

※ハードコード… 本来、ソースコード内には記述すべきではない処理や値を直接書き込むこと。(例:税率など)動作環境や利用条件に応じて処理や値を変更する場合、対応が困難になる。

例えば、前述した「ハイブリッド暗号」で触れたSSL/TLSの実情について見てみましょう。IPA(独立行政法人情報処理推進機構)が2020年7月に発行した「TLS暗号設定ガイドラインv3.0.1」では、暗号化通信のプロトコルバージョンについて、TLS 1.2とTLS 1.3のみ推奨としています。Chrome、Firefoxといった主要ブラウザもTLS 1.1までのバージョンをすでに無効化しています。しかしながら、TLS 1.1以下をサポートしているサイトがいまだ全体の4割程度存在することがわかります(グラフ参照)。たとえブラウザで無効化されていたとしても、攻撃者がブラウザを経由せずサーバを攻撃する恐れがあるため、TLS 1.1以下の接続を許容すること自体がリスクとなります。早急にTLS 1.1以下での接続可否を確認し、接続が可能な場合は対処を実施するべきです。

自組織の現状確認、最新の暗号技術動向の把握に努め、環境・リスクに応じた適切な暗号技術の実装を行う必要があるでしょう。

安全に暗号技術を活用するためにやっておくべきこと

せっかくコストをかけて暗号技術を導入していても、適切に実装できていなければ宝の持ち腐れになってしまいます。まずは自組織の暗号化実装がセキュリティ対策として実効性のあるものか、現状の確認を行うことを推奨します。

例えば以下のような観点でチェックすることが必要です。

環境・システムへの暗号化実装による実効性確認のポイント

●プラットフォーム
●Webアプリケーション
●API
●スマホアプリ
●クラウドサービス

確認方法の例

●システム脆弱性診断
●PCI DSS準拠チェック
●ソースコード診断
●クラウド設定チェック(CISベンチマーク、ベストプラクティス適合度)
●ペネトレーションテスト

現状、適切な暗号技術の実装がなされていれば、来る次世代暗号技術への移行準備を実施する段になっても、スムーズに対応することができるでしょう。

参考情報:暗号化実装に関するガイドラインの紹介

■電子政府における調達のために参照すべき暗号のリスト
(CRYPTREC暗号リスト)(最終更新:2021年4月1日)
 総務省・経済産業省
 https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r6.pdf

■TLS 暗号設定ガイドライン(2020年7月)
 IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
 https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-3.0.1.pdf

■暗号鍵管理システム設計指針(基本編)(2020年7月)
 IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
 https://www.cryptrec.go.jp/report/cryptrec-gl-3002-1.0.pdf

■SP 800-57 Part 1: Recommendation for Key Management: Part 1 – General」(2020年5月4日)
 NIST(米国立標準技術研究所)
 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf

■SP 800-175B: Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms(2020年3月31日)
 NIST(米国立標準技術研究所)
 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-175Br1.pdf


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー

Share

APT攻撃・ランサムウェア
―2021年のサイバー脅威に備えを―

Share

2021年の半分が終わりましたが、世界に衝撃を与えたセキュリティに関するトピックスと言えば、「APT攻撃」と「ランサムウェア」の二つが該当するでしょう。本記事ではこの二つのキーワードについて最新の攻撃事例をまとめてご紹介。被害を抑えるために有効な対策の考え方のポイントを解説していきます。

サイバー攻撃の種類

まず、意味を混同されがちな「フィッシング」「標的型攻撃」「APT攻撃」「ランサムウェア」という4つの攻撃についておさらいしましょう。また、過去記事の「サイバー攻撃を行う5つの主体と5つの目的」にも表を掲載しておりますので、あわせてご参照ください。

キーワード概要
フィッシング偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
標的型攻撃特定のターゲットに的を絞り、実行されるサイバー攻撃
APT攻撃Advanced Persistent Threatの略。日本語では持続的標的型攻撃などと訳される。長い時間をかけて準備され、継続して行われる非常に高度な攻撃で、発覚に数年かかることもある
ランサムウェアファイルを暗号化することで、元に戻す復号化のための身代金を要求するマルウェア(悪質なソフトウェア)

こうしたサイバー攻撃は以前からありましたが、従来無差別に行われていたフィッシングはスピアフィッシングという高度にカスタマイズされた標的型の手法が展開されたり、ランサムウェアもばらまき型から標的型へシフトしたりするなど、近年は明確な目的を持った標的型の攻撃が増加傾向にあります。その中でも、2020年以降、特に取り沙汰されることが多くなったのが「APT攻撃」と「ランサムウェア」の二つです。

「APT攻撃」と「ランサムウェア」

脅威① APT攻撃

「APT攻撃」の最も大きなトピックスとしては2020年12月に起きたSolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*8があります。このサイバー攻撃については2021年6月現在でも収束に向けた努力が続けられており、先日もアメリカの政府機関が、ロシア対外情報庁(SVR)が支援する攻撃グループ、「APT29」の関与を発表*2するなどの進展を見せています。

下表は最近報告されたAPT攻撃事例の一部をまとめたものです。

APT攻撃の報告事例(2020年12月~2021年4月)
発表時期関連が疑われる攻撃者概要
2020年12月APT29およびロシア対外情報庁SolarWinds社のOrion Platformへの攻撃に端を発したサプライチェーン攻撃。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えた。
2020年12月TA453Charming Kittenなどとも呼ばれる攻撃グループによる、米国やイスラエルの医療専門家を標的にしたフィッシング攻撃*3。12月に確認されたキャンペーンは「BadBlood」という名称で知られている。
2021年1月APT34イランが関与しているとされるグループ「APT34」が偽の求人情報を用いてバックドアの新たな亜種を設置する攻撃*4を実施。
2021年3月APT10およびBlackTech日本の製造業を狙う攻撃キャンペーン「A41APT」が2019年~2020年に観測された*5。攻撃にはマルチレイヤーローダー「Ecipekac」が用いられた。
2021年3月中国政府が支援しているとされるAPTグループ米国、欧州、および東南アジアの主要通信企業をターゲットに5G技術に関連する情報を盗み取ることを目的とした攻撃*6。「オペレーション Diànxùn」と名付けられたスパイキャンペーン。
2021年4月未発表Fortinet社のネットワーク製品に組み込まれたFortiOSを狙った攻撃*7
2021年4月Tickおよび中国軍「61419部隊」JAXA(宇宙航空研究開発機構)へのサイバー攻撃および、国内約200の企業への攻撃に関与していると警察庁長官が発表*8した。

APT攻撃を行うグループは、国家規模の支援を受けるグループが多く、その手口も洗練されており、攻撃を受けたとしても気づけず、発覚までに時間がかかることもあるのが特徴の一つです。彼らの多くは、国家的利益や、標的国家に損害を与えることを目的としていますが、少数派ながら金銭目的で活動するグループも存在します。

こうしたグループの場合は、金融機関などを狙うこともあります。彼らは入念に情報を収集し、得た情報を用いてネットワーク上のみならず、人的あるいは物理的な攻撃手段までをも検討し、綿密な攻撃計画を立てたうえで攻撃を行います。そして攻撃を成功させたなら、攻撃が露見しないようにひそやかに活動を続け、長期にわたって被害組織から情報を窃取するなどの攻撃を続けます。彼らは自分たちが攻撃した痕跡を消してしまうこともあるため、一度攻撃を受ければどれだけの期間、どれだけの影響範囲で攻撃を受けていたのかを突き止めるのは困難となります。加えて、APT攻撃グループは入念な情報収集から、標的組織の脆弱な部分を割り出して狙うことが多く、その特性からサプライチェーン攻撃となることもあります。

例えば、特定の複数の金融機関をターゲットとしたものの、セキュリティ対策が強固であったために直接的な攻撃が困難なケースを想定します。しかし、情報収集の段階でそれら金融機関が共通の管理ソフトウェアを使用していることが判明したため、当該ソフトウェアの提供元を攻撃し、ソフトウェアアップデートを改竄することで、標的の金融機関を一斉にマルウェア感染させる、といったサプライチェーン攻撃が実行可能となります。

脅威② ランサムウェア

一方、「ランサムウェア」についてはアメリカの大手石油パイプライン運営企業のColonial Pipeline社が、ランサムウェアによるサイバー攻撃を受け*9、5日にわたってシステムを停止することになった事件がありました。その結果、ガソリンを求める市民がガソリンスタンドに押し寄る事態に発展し、米運輸省は混乱鎮静のために燃料輸送に関する緊急措置導入を発表*10するなどして対応しました。こうしたことからも、社会インフラを襲ったこのサイバー攻撃の影響度をはかることができます。

ランサムウェア攻撃の報告事例(2020年12月~2021年6月)
時期 被害組織 ランサムウェア 概要
2020年12月
2021年1月
教育機関や
通信企業等
Cl0p ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェア*11。攻撃グループは、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させた。
2021年3月 広範囲に及ぶ DearCry 「WannaCry」に類似したランサムウェアでMicrosoft Exchange Serverの脆弱性を悪用する*12
2021年5月 Colonial Pipeline DARKSIDE 攻撃されたことによってシステムが5日間停止した。同社は東海岸へのガソリン、ディーゼル、ジェット燃料の大部分を担っており大きな問題となった。
2021年5月 アメリカ国内の医療機関や警察、自治体 Conti FBIが昨年1年間でアメリカ国内の医療機関や警察、自治体を標的としたContiによるランサムウェア攻撃を少なくとも16件確認したと発表*13している。
2021年6月 JBS REvil ブラジルの食肉加工大手企業JBSのアメリカ部門が攻撃*14された。アメリカやオーストラリアの食肉工場の操業が停止になった。
2021年6月 国内精密化学企業 未発表 同社は6月1日夜に不正アクセスを認識し、2日にランサムウェアによる攻撃であると発表*15した。


ランサムウェアは、その存在自体は前世紀から存在しており、猛威を振るうようになったのは2005年以降ですが、ここ数年で大きく変化しています。2021年現在の主流となっているランサムウェアの特徴の一つがRaaS(Ransomware-as-a-Service)であることです。

これは、ランサムウェアがダークウェブ上で利用できるサービスとして提供されているというものです。RaaSの中には、身代金要求額の算定や、標的選定の支援、提供する開発グループからカスタマーサービスを受けられるものすらあります。RaaSを利用する攻撃者は、得た身代金の何割かを開発者に取り分として渡すことになっている場合もあり、ランサムウェアがビジネスとしてサービス化されています。こうしたサービスの登場により、高度な技術的知識がなくても攻撃者がランサムウェアを扱えるようになり、ランサムウェアビジネスに参入する攻撃者が増加しているとみられています。

また、ダークウェブ上にアップローダーを持つことがトレンドとなっている点も大きな変化です。これは従来のようにただ脅迫するのではなく、攻撃した企業から窃取した情報の一部を用意したアップローダーに公開することで、「身代金の支払いをしなければ、情報を漏えいさせる」と脅し、身代金要求の圧力を強める役割を持っています。こうしたランサムウェアは「二重脅迫型」と呼ばれています。また、「身代金要求に応じなければさらにDDoS攻撃を行う」といった脅迫をするケースも現れており、こうしたものも含めて「他重脅迫型」とも呼ばれることもあります。

現在のランサムウェアは、犯罪ビジネスとして洗練されてきており、今後も攻撃は拡大すると予測されます。

「APT攻撃」と「ランサムウェア」の共通点

国家規模の支援を受けて行われるAPT攻撃と、金銭目的で行われるランサムウェアに、共通点は少ないように思えます。しかし、2021年現在、両者には非常に大きな共通点がみられます。それは資金的・人的リソースが豊富で、高度で洗練された攻撃手法を確立しているという点です。

ランサムウェア市場はRaaSによって参入障壁が下がったこともあり、これまで別の犯罪ビジネスを行っていた組織が参入していると考えられ、また高額な身代金要求によって、豊富な資金が攻撃者の手にわたっています。資金と人的リソースが確保できたことで、ランサムウェア攻撃はさらに高度化が進み、従来の単純な攻撃モデルから、今やAPT攻撃に近しいレベルにまで洗練させたビジネスモデルへと変貌を遂げています。特定の組織や企業を標的としたランサムウェア攻撃の脅威はAPT攻撃に匹敵するものとなっており、より一層の警戒が必要です。

APT攻撃・ランサムウェアに有効な対策

APT攻撃にせよ、ランサムウェアにせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは2つあります。

① 「攻撃・侵入される前提」で取り組む
 こちらについては、「拡大・高度化する標的型攻撃に有効な対策とは
―2020年夏版
」にある「侵入」「侵入後」の対策の確認方法もあわせてご覧ください。

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

②侵入を前提とした多層防御が重要
 あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。こちらについては、「高まるAPT攻撃の脅威」もあわせてご覧ください。

・標的型攻撃メール訓練等による社員のセキュリティ
・教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
・情報資産の棚卸

今年は1年延期されていた東京オリンピック/パラリンピックの開催が予定されています。こうした世界的イベントはサイバー攻撃の恰好の標的であり、攻撃者にとっては準備期間が1年余分に確保できていたことにもなります。セキュリティ対策が不十分な組織は、7月から8月にかけて発生が予想される様々なサイバー攻撃に対して脆弱となり得る可能性があります。攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。

参考情報
https://www.ipa.go.jp/files/000052626.pdf
https://www.ipa.go.jp/security/announce/2020-ransom.html


BBSecでは

当社では以下のようなご支援が可能です。

<侵入前・侵入後の対策の有効性確認>

<APT攻撃・ランサムウェアのリスクを可視化>+
<資産管理>

<セキュリティ教育>

標的型攻撃メール訓練


セキュリティレポート資料ダウンロードページボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー

Share

中小企業がサイバー攻撃の標的に!
Webサイトのセキュリティ対策の重要性
―個人情報保護法改正のポイント―

Share
PCのイラストとプロテクトマーク

2022年(令和4年)4月1日に改正個人情報保護法(令和2年改正法)の全面施行が予定されています。いま、攻撃者にとって格好のターゲットとなるWebサイトを狙ったサイバー攻撃は、大企業のみならず中小企業も狙われており、サイバーセキュリティに対する意識が低いなどセキュリティ課題が明らかになっています。本記事では、個人情報保護法改正の全面施行に向け、改正点を解説し、最新のサイバー攻撃の種類と手口、セキュリティ対策を改めて整理します。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べ*16によれば、2020年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは88社、漏洩した個人情報は約2,515万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2020年は社数では最多、事故・事件の件数は2013年に次いで過去2番目に多い水準となっています。

出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年)

改正個人情報保護法への対応

個人情報の保護においては、2022年(令和4年)4月1日に改正個人情報保護法(令和2年改正法)の全面施行が予定されています。また海外でも法の整備が進んでおり、日本企業と関連性の深いところでは、例えば8月にブラジル個人情報保護法(LGPD)、2022年6月頃にタイ個人情報保護法(PDPA)の施行があります。多くの組織にとって、自組織やサプライチェーン内の関係組織かを問わず、国内外における個人情報保護体制の整備・見直しが必要であり、改正個人情報保護法への対応は重要課題の一つといえるでしょう。

個人情報保護法改正のポイント

個人情報保護法の主な改正点は以下のとおりです。

また、これら以外ではデータの利活用が促進されることもポイントです。この観点からは「仮名加工情報」について事業者の義務が緩和されることと、情報の提供先で個人情報となることが想定される場合の確認が義務化されることが定められました。企業のWebサイトでは利用者の閲覧履歴を記録する仕組みとしてCookieを使用し、デジタルマーケティング等に活用しているところも多いでしょう。Cookieにより取得されるデータは他の情報と照合するなどして個人の特定につながり得るため、保護を強化する声が高まっていたこともあり、改正個人情報保護法では取り扱いに慎重を期するよう求めています。

中小企業を狙ったサイバー攻撃

Cookieのみならず、Webサイトでは個人情報や決済情報など、様々な機密扱いの重要情報を取り扱っていることがあります。それらが漏洩する事故・事件が発生した場合、組織は金銭的損失や信用失墜に陥るだけでなく、個人情報の所有者(本人)から利用停止・消去請求があった場合には「情報資産」も失う可能性があります。

サイバー攻撃においてWebサイトが格好のターゲットであることはご存知のことでしょう。また、攻撃者に狙われるのは大企業ばかりではありません。経済産業省からの報告資料*2によれば、全国の中小企業もサイバー攻撃を受けていることが明らかになっています。というのも、中小企業の多くは大企業に比べてサイバーセキュリティに対する意識が低く、被害者になると考えていないことから攻撃を受けていること自体に気付いていなかったり、セキュリティに対する知識や対策に必要な資源が不十分であるために原因の特定や対策の実施が困難だったりするためです。

独立行政法人 情報処理推進機構(IPA)が2021年3月に公開した「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」では、小規模Webサイトの運営およびセキュリティ対策、さらには脆弱性対策の実態を調査したアンケート結果とそれに対する見解が述べられています。

IPAが調査の中で、サイバー攻撃の対象となり得る、脆弱性を作りこむ可能性があるWebサイトの機能・画面を選定し、それらが実装されているかを確認したところ、「ユーザによるフォームの入力(問合せ、掲示板等を含む)」が56.5%、「サイト内の検索と結果表示」が36.9%、「ユーザへのメール自動送信」が36.9%、「入力された情報の確認のための表示」が34.6%で上位を占めました。なお、これらはWebサイトの規模の大小にかかわらず多くのWebサイトに共通して実装されている機能・画面であり、当社の脆弱性診断でも検査の対象となっているものです。

Webサイトのセキュリティ対策において、脆弱性を可能な限り作りこまない設計となっているか、脆弱性を発見するための情報収集や検査は実施しているか、対応するための体制や仕組みはあるか、といった事柄はとても重要になります。

中小企業がより危険視されているのは、こうした事柄を実現するための「人員が足りない」「予算が確保できない」といった課題(下図参照)があり、さらにセキュリティ対策に関する知識不足や、意識の甘さがあることからサイバー攻撃のターゲットになりやすいことが理由に挙げられます。また、脆弱性に関する知識についても、情報漏洩につながる危険性のある「SQLインジェクション」や「OSコマンドインジェクション」等について具体的な内容を知らないという回答が約50%~60%に上りました。

出典:IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」

サイバー攻撃の種類と手口

サイバー攻撃は多種多様なものが存在しますが、最近では特に次のような攻撃が大きな問題となっています。

① 分散型サービス運用妨害(DDoS)攻撃
  攻撃対象に対して複数のシステムから大量の通信を行い、
  意図的に過剰な負荷を与える攻撃
② ランサムウェア攻撃
  データを暗号化したり機能を制限したりすることで使用不能な状態にした後、
  元に戻すことと引き換えに「身代金」を要求するマルウェアによる攻撃
③ ビジネスメール詐欺
  従業員や取引先などになりすまして業務用とみられる不正なメールを送ることで
  受信者を欺き、金銭や情報を奪取する攻撃
④ Webサービスからの個人情報窃取
  Webサービス(自社開発のアプリケーションや一般的に使用されているフレームワーク、
  ミドルウェア等)の脆弱性を突いて、個人情報を窃取する攻撃
  ※前段で触れた、情報漏洩につながる危険性がある
  「SQLインジェクション」や「OSコマンドインジェクション」もこれに分類されます。

それぞれの攻撃の目的および手口や対策の例を以下にまとめました。金銭的利益は攻撃目的の大半を占めますが、それ以外を目的とした攻撃も多数確認されています。その他代表的な攻撃や目的については、「サイバー攻撃を行う5つの主体と5つの目的」で参照いただけます。

Webサイトの脆弱性対策

改正個人情報保護法の全面施行に向けて、組織は個人情報をさらに厳格に管理する必要があります。前述のとおり、6か月以内に消去する短期保存データも「保有個人データ」に含まれるようになるため、例えば、期間限定のキャンペーン応募サイトなども今後は適用範囲内となります。公開期間は短くとも、事前にしっかりとセキュリティ対策の有効性を確認しておく必要があるでしょう。

情報の安全な管理を怠り流出させた場合、それが個人情報であれば罰則が適用される可能性があり、取引先情報なら損害賠償を要求されることが想定されます。また、ひとたびセキュリティ事故が起これば、企業の信用問題にも陥りかねません。

2021年3月にIPAが公開した「企業ウェブサイトのための脆弱性対応ガイド」では、脆弱性対策として最低限実施しておくべき項目として以下7つのポイントを挙げています。

(1) 実施しているセキュリティ対策を把握する
(2) 脆弱性への対処をより詳しく検討する
(3) Webサイトの構築時にセキュリティに配慮する
(4) セキュリティ対策を外部に任せる
(5) セキュリティの担当者と作業を決めておく
(6) 脆弱性の報告やトラブルには適切に対処する
(7) 難しければ専門家に支援を頼む

脆弱性対策を行うためには、まずWebサイトに脆弱性が存在しているかを確認することから始めましょう。脆弱性診断を行い、Webサイトのセキュリティ状態をきちんと把握することで内包するリスクが可視化され、適切な対応を講じることが可能となります。また、Webサイトの安全性を維持するには、定期的な診断の実施が推奨されます。定期的な診断は、新たな脆弱性の発見のみならず、最新の攻撃手法に対する耐性の確認やリスク管理にも有効です。

セキュリティ対策を外部の専門業者に依頼する場合に、「技術の習得や情報の入手・選別が難しい」といった課題もあります。弊社では昨年8月に「テレワーク時代のセキュリティ情報の集め方」と題したウェビナーで、情報収集の仕方やソースリストのご紹介をしておりますので、ぜひご参考にしていただければと思います。

Webサイトは、いまや企業がビジネスを行う上で不可欠なツールの一つとなっている一方で、安全に運用されていない場合、大きな弱点となり得ます。脆弱性対策を行い、セキュリティ事故を未然に防ぐ、そして万が一攻撃を受けた際にも耐え得る堅牢なWebサイトを目指しましょう。


セキュリティレポート資料ダウンロードページボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー

Share

ランサムウェア最新動向2021
―2020年振り返りとともに―

Share
PCの画面と南京錠

昨年11月の記事「変貌するランサムウェア、いま何が脅威か -2020年最新動向」では、最近のランサムウェアは「Ransomware-as-a-Service」(通称「RaaS」)と呼ばれる形態が主流となっている、という現状をお伝えしました。本記事は2021年に新たに登場した様々な特徴や攻撃バリエーションを持つランサムウェアの最新情報をご紹介するとともに、2020年のニュースを振り返り、改めてランサムウェア対策に有効な対策を考えます。

ランサムウェア感染を招くマルウェア「Emotet」の猛威と終焉

ボット型マルウェアEmotetは、メール添付ファイルを主とする手法で感染させたPCのメールアカウントやアドレス帳などを窃取して感染拡大を図り、さらなるマルウェアに感染させるという多段階攻撃を行っていたことが確認されています。このため、Emotet感染をトリガーとするランサムウェア攻撃を多く生み出しました。

2019年から2020年にかけて世界的な流行を見せたEmotet*3は、2021年1月、欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)を中心とした欧米各国による共同作戦「Operation LadyBird」によって制圧されました。*2

残存するEmoteの影響は?

Emotetインフラは無害化されましたが、その脅威がなくなったわけではありません。制圧前にすでに感染していた端末が多数存在する可能性があるためです。実際、各国法執行機関からの情報によると、制圧後の2021年1月27日時点で、日本のEmotet感染端末による約900IPアドレスからの通信が確認されたとのことです (下図)。

JPCERT/CCのEmotetに感染端末の数の推移を示したグラフ

すでに感染している場合、端末やブラウザに保存された認証情報、メールアカウントとパスワード、メール本文とアドレス帳データの窃取、また、ランサムウェアなど別のマルウェアへの二次感染といった被害が発生している恐れがあります。

Emote感染端末への対応

2021年2月5日以降、感染したコンピュータ名の情報も提供されるようになったため、総務省、警察庁、一般社団法人ICT-ISACは、ISP(インターネットサービスプロバイダ)各社と連携してEmotet感染端末の利用者に注意喚起する取組を実施しています。*3該当する通知を受けた場合にとるべき対応は次のとおりです。

◆ JPCERT/CC「マルウエアEmotetへの対応FAQ」を参照の上、
  EmoCheckにより感染有無を確認し、感染していた場合はEmotetを停止させる
◆ メールアカウントのパスワードを変更する
◆ ブラウザに保存されていたアカウントのパスワードを変更する
◆ 別のマルウェアに二次感染していないか確認し、感染していた場合は削除する

「情報セキュリティ10大脅威 2021」(組織編)
でランサムウェアが1位に

IPA「情報セキュリティ10大脅威 2021」組織向け脅威のランキングの表

ランサムウェアに話を戻しますと、独立行政法人情報処理推進機構(IPA)より発表された「情報セキュリティ10大脅威 2021」(組織編)で、「ランサムウェアによる被害」が1位に躍り出ました(昨年5位)。以下のような実情が脅威度アップにつながったと考えられます。

● 「二重の脅迫
  (暗号化+情報の暴露)」の台頭
● 特定の標的を狙った進化型の登場
● 新たな攻撃手法による標的対象の拡大

ランサムウェアによる二重の脅迫

身代金要求の条件として、従来の「データの暗号化」に加えて、暗号化前に窃取した「データの暴露」という2段階の脅迫を行う手法です。

米国セキュリティ企業はじめ、複数の企業を襲ったMaze、新型コロナウイルスの話題に便乗したフィッシングメールなどにより各国政府やインフラ事業、教育機関を中心に被害をもたらしたNetwalker。そして、暗号化による脅迫のみで使用されていた従来のランサムウェアの数々も二重の脅迫を行うようになり、実際にデータが暴露されるに至ったケースも見られます。*4「暴露型」は、もはやランサムウェアの常套手段となりました。

特定の標的を狙った進化型ランサムウェア

不特定多数に対するばらまき型でなく、特定の企業・組織を狙った標的型攻撃ツールとして使用する手法です。

2020年6月に国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害がありました。*5同インシデントの調査を行ったセキュリティ企業によると、同社の社内ネットワークで感染拡大するよう作りこまれていたことが確認されており、*6当該企業を狙った標的型攻撃だったことがわかります。

続く7月には、別の国内自動車メーカーの取引先が、Mazeに感染した*7と報じられ、同自動車メーカーを標的としたサプライチェーン攻撃であることがうかがえました。

さらに、2020年11月に公表された国内ゲームメーカーに対するRagnar Lockerによる攻撃では、二重の脅迫の結果、攻撃者により相次いで情報が公開(暴露)されました。最大約39万人分の個人情報流出の可能性があるとした報告の中で同社は、「オーダーメイド型ランサムウェアによる不正アクセス攻撃」と述べており、*8これもまた、巧妙に仕組まれた標的型攻撃といえます。

新たな攻撃手法をとるランサムウェア

様々な特徴や攻撃バリエーションを持つランサムウェアが新たに登場しています。以下に紹介するのは、そのほんの一部です。

Avaddon
2020年国内宛に
多数のスパム拡散を確認
Nefilim
主にMicrosoftのRDPの
脆弱性を突いて
重要インフラを狙う
Tycoon
VPNツールの不備を突いて
教育機関や政府機関を攻撃
Egregor
停止したMazeの後継ともいわれ
世界の大手企業が次々被害に
EKANS
制御システムを停止させる機能で
製造業など工場系に特化
DoppelPaymer
重要インフラへの被害急増にFBIも注意喚起

ランサムウェアは手を替え品を替え、次々に新種や亜種が生まれ続けています。例えば、2021年3月、Microsoft Exchange Serverについて報告された4件のゼロデイ脆弱性*9を利用したサイバー攻撃が活発化しましたが、その中の1つに、中国に関係する攻撃グループによる新種のマルウェア「DearCry」を利用したキャンペーンがあり、主に米国やカナダ、オーストラリアに存在する多くの脆弱なメールサーバが感染の被害を受けたとされています。

ランサムウェア市場の活況

2020年における世界のランサムウェアの被害額は200億米ドルに及ぶとするデータ*10があり、ここ数年、うなぎのぼりです(棒グラフ)。要求される身代金は1件平均17万米ドルにのぼるとの調査結果(2020年)*11も公表されています。

ランサムウェアを活発にしている原因の1つに、RaaS(Ransomware-as-a-Service)の存在が挙げられます。2020年のランサムウェア攻撃における攻撃元の6割以上をRaaSが占めているとするデータ*12もあります(円グラフ)。

Group-IBによるランサムウェア調査レポートの棒グラフ(ランサムウェア被害額)と円グラフ(ランサムウェア攻撃元)

専用サイトやコミュニティにより、犯罪グループなどにランサムウェアを提供して互いに利益を生み出す市場が成り立っています。金額、技術、サービスのレベルは様々で、単にランサムウェア自体をリースや売買するだけでなく、身代金ステータスを追跡できる仕組みや犯罪を実行するにあたってのサポートなども提供されている模様です。技術的なスキルがなくても容易にランサムウェアを拡散させることができるほか、カスタマイズを通じた亜種の誕生にもつながっていると思われます。

企業が行うべきランサムウェア対策とは?

2021年、ランサムウェアは実質的にサイバー攻撃手段第一の選択肢となっており、その脅威がますます高まることは間違いありません。では、組織・企業はこれにどう立ち向かえばよいのでしょうか。

ランサムウェアを含むマルウェアの感染経路は様々ありますが、総務省が中心となって運用するマルウェアの感染防止と駆除の取組を行う官民連携プロジェクト「ACTIVE(Advanced Cyber Threats response InitiatiVE)」では、以下のように分類しています。

マルウェアの感染経路の分類タイプ(Web閲覧感染型・Web誘導感染型・ネットワーク感染型・メール添付型・外部記憶媒体感染型)
出典:ACTIVEホームページ (https://www.ict-isac.jp/active/security/malware/)

こうした感染経路や本稿で紹介したような手口に対する防御、および感染した場合を想定した以下のような対策が重要です。

◆ 標的型攻撃メール訓練の実施
◆ 定期的なバックアップの実施と安全な保管(別場所での保管推奨)
◆ バックアップ等から復旧可能であることの定期的な確認
◆ OSほか、各種コンポーネントのバージョン管理、パッチ適用
◆ 認証機構の強化
  (14文字以上といった長いパスワードの強制や、多要素認証の導入など)
◆ 適切なアクセス制御および監視、ログの取得・分析
◆ シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
◆ 標的型攻撃を受けた場合に想定される影響範囲の確認
◆ システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
◆ CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

ランサムウェア特有の対策もさることながら、情報セキュリティに対する基本的な対策が欠かせません。また、セキュリティ対策は一過性のものではなく、進化し続けるサイバー攻撃に備えて、定期的に確認・対応する必要があることも忘れてはならないでしょう。

BBSecランサムウェア総点検サービスへのバナー


セキュリティレポート資料ダウンロードページボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー

Share

テレワーク導入による開発現場での課題
―セキュアプログラミングの重要性―

Share

セキュアプログラミングは、サイバー攻撃に耐えうる、脆弱性を作りこまない開発を可能にするため、セキュリティの観点からみても重要な考え方です。特に、テレワーク環境では、エンジニアとの連携が困難になり得るため、必要以上に手戻りが発生しがちです。そこで、本記事ではセキュアプログラミング開発のための推奨対策をご紹介します。なお、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方「シフトレフト」についてもご参考ください。

企業のソースコードが流出

2021年1月下旬から2月上旬にかけて、プログラム開発プラットフォームのGitHub上で大手金融機関を含む複数の国内企業に関するソースコードの一部が公開されるというインシデントが発生しました。各被害企業からは、セキュリティ上の問題はない旨コメントされたとの報道でしたが、中には公的機関のものと思しきコードも含まれていたと想定され、ネット上が騒然となりました。

ソースコードを公開したのは、元委託業者のエンジニアでした。転職において自身の年収を査定するWebサービスを利用するため、実績として当該ソースコード群を公開状態でGitHubにアップしてしまったとのことです。

サプライチェーン問題とリテラシー問題

このインシデントの原因は、悪意の有無に関係なく、業務でソースコードを作成した者が容易にそれを持ち出せた点にあります。そこには、大きく2つの問題があると考えられます。

・サプライチェーン問題
 委託元が委託先(もしくは再委託先)でソースコード流出が発生しないような仕組みを整備できていないこと、および開発状況を監視できていないこと
・リテラシー問題
 委託先か自組織かにかかわらず、開発従事者がソースコードを持ち出して保持したり、どこかにアップしたりしても問題ないという認識であること

※サプライチェーンとは、製品やサービスがユーザに届くまでのすべてのプロセスとそれに関わるすべての企業・組織を指します。

GitHubの利用禁止は解決にならない

事態をうけて、一般社団法人コンピュータソフトウェア協会(CSAJ)と日本IT団体連盟はそれぞれ、GitHubの利用に関する要請*13を発表しました。主なポイントは以下の3点に集約されます。

1. GitHubの利用自体を禁止することは解決にならない
2. 委託先と委託元が協力し合い、サプライチェーンの把握が必要
3. クラウド・バイ・デフォルト原則ではクラウド利用者側の使い方、設定、
   リテラシーが重要

GitHubはソースコードのレビュー、および開発プロジェクト進行の課題解決を効率的に行えるクラウドサービスです。その利用自体はソフトウェア開発産業の促進に不可欠であるとした上で、サプライチェーンの問題(上記2)とリテラシーの問題(上記3)に触れています。

コード流出対策としては、「GitHub設定の定期的なチェック」「委託先企業の厳密な管理」「インシデント対応体制の整備」ということになるでしょう。

サプライチェーンの弱点が狙われる

サプライチェーンの把握については、近年、繰り返し警鐘が鳴らされています。2021年1月、独立行政法人情報処理推進機構(IPA)より発表された「情報セキュリティ10大脅威 2021」 では、「サプライチェーンの弱点を悪用した攻撃」は、昨年に引き続き4位にランクインしています。

大企業のセキュリティが堅牢になればなるほど、関連している中小企業のセキュリティホールが狙われる、という皮肉な構図が浮かび上がります。一カ所でも弱点があると、サプライチェーンに含まれる全企業・組織に危険が及ぶ恐れがあります。

テレワーク導入拡大における懸念

サプライチェーンにおけるリスク管理を困難にしている要因の1つが、テレワークの拡大です。「情報セキュリティ10大脅威 2021」第3位には、新たに「テレワーク等のニューノーマルな働き方を狙った攻撃」が登場しました。

IPAによる「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」中間報告 で、委託元企業のテレワーク導入経験が約5割であるのに対し、委託先IT企業の方は9割以上であることが明らかになりました。このギャップは、テレワーク環境により目の届かないところで作業されているという、委託元の不安を増大させています。

委託元と委託先の相互協力が必須

日本のあらゆる業種において見受けられる「多重下請け構造」は、ソフトウェア開発においても例外でなく、委託・再委託なしでは成り立たないのが現状です。

委託先を原因とするインシデントであっても、例えばソースコード流出により重要情報が漏洩する被害が発生した場合、実際に企業・組織名が報道され、社会的信用を失墜する恐れがあるのは委託元です。委託先に対する管理の甘さによりインシデントを招いた責任から免れることはできません。委託先も、インシデントを引き起こしたとなれば、取引停止等、事業の存続自体が危ぶまれる恐れもあります。委託元と委託先の両方がダメージを受けてしまうのです。

発注側である委託元の経営者が「セキュリティは投資」という認識を持ち、開発に必要な人員や期間、環境等のリソースを考慮した上で、委託先と互いに協力し合う必要があります。具体的には以下のような対策が挙げられます。

さらに活発化するOSS

また、ソフトウェア開発の潮流の1つにオープンソースソフトウェア(OSS)の活用があることも、注意すべきポイントです。世界のソフトウェア開発組織によるオープンソースコンポーネントのダウンロード数は、一社平均で年間37万超に上る*2とのデータがあります。同時に、OSSプロジェクトに対するサイバー攻撃は前年比4.3倍に増加している *3とのことです。

ここ数年、日本においても、企業ばかりでなく、東京都が新型コロナウイルス感染症対策サイトのソースコードをGitHubで公開したり、総務省が住民情報システムのOSSによる開発を行うことを決定したり―といった具合に、政府や自治体もOSS採用を加速させています。

管理策として、ソフトウェアBOM(ソフトウェア部品表)の作成*4が推奨されます。製造業における部品明細と同様の考え方で、アプリケーションで使用されているOSS、各種コンポーネントやフレームワークについて可視化しておくのです。これらの情報を集約してアップデートを継続しておくと、OSSにおけるコンプライアンス問題の対策にもなります。

セキュアプログラミングの必要性と推奨対策

テレワーク時代のソフトウェア開発を取り巻く現状を見てきました。テレワーク環境では、エンジニアとの連携が困難になり得るため、開発チームのマネジメントに課題があります。また、担当者間や組織間での連携が薄まると、納品物に対するチェックが不十分となったり、必要以上に手戻りが発生したりすることで、完成したソフトウェアにセキュリティ上の問題が存在してしまう原因となり得ます。ソフトウェアの安全性を確保するため、改めてセキュアプログラミングの必要性を認識することが重要です。プログラムが意図しないデータを受信した場合も想定し、サイバー攻撃に耐えうる、脆弱性を作りこまない開発を可能にするため、以下のような対策を推奨します。

リテラシー教育
 ポリシーの整備やセキュリティ教育・訓練の実施は、組織全体のリテラシー向上に必要です。実施には、ノウハウがあり、信頼できるセキュリティ企業の力を借りるのが有効です。
・ツールによるソースコード診断
 開発のあらゆるタイミングで手軽にソースコードの安全性と品質の検査ができるのが、ツール診断の強みです。早期の段階からチェックし、コード単位で解消していくことで、結果的に一定のセキュリティ標準を満たすことができます。
セキュリティエンジニアによるソースコード診断
 効率的で網羅的なツール診断に加えて、より精度を上げるため、専門家による判断が必要な脆弱性の検出を行います。脆弱性を解消した状態で、安心してリリースに臨むことができます。
開発プラットフォームの設定確認・検査
 リポジトリとコードへのアクセスを許容するユーザを厳格に制限すると同時に、設定ミスがないことを継続的に確認する必要があります。開発プラットフォームとしてクラウドサービスを利用するにあたりセキュリティ設定に不安がある場合は、セキュリティ企業による検査を受けておくと安心です。
開発環境における監視
  コードリポジトリに対して監視を行い、不審なデータや挙動がないか定期的にチェックすることで、うっかりミスや悪意による改変をいち早く検知することができます。

まもなく年度末です。開発プロジェクトのラストスパートを迎えている企業・組織も多いことでしょう。テレワーク環境では、インシデントの検知・対応に混乱が生じることも予想されます。今一度、セキュアなアプリケーション開発を肝に銘じていただけましたら幸いです。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Share

金融機関はサイバー攻撃を前提とした備えを
―リスクを最小化するセキュリティ対策―

Share

2020年は世界的に急拡大した新型コロナウイルス感染症(COVID-19)の影響を受け、デジタルトランスフォーメーション(DX)の進展やテレワークの急激な普及など、企業を取り巻く環境は著しく変化しました。急激な環境の変化により、強固なセキュリティ対策が必須な金融機関においても被害報告が増加しています。そこで今回は、金融機関に焦点をあて、最新の攻撃事例に触れつつ、その対策と予防策をご紹介いたします。

テレワークの採用など急激な業務体系の変化は人々に不安を与える一因となるだけでなく、十分なセキュリティ対策が伴わない場合、攻撃者に隙を与えてしまいます。昨今のサイバー攻撃は多様化、巧妙化しており、攻撃手法も日々進化しています。それに対抗するセキュリティ対策はどうでしょうか。とりわけ機密情報を多く取り扱い、安定的なサービス提供が要求される金融機関は、サイバー攻撃のリスクを経営上のトップリスクの一つと捉え、強固なセキュリティを実現すべく取り組んでいますが、それでも被害は起こっています。

金融機関を狙うサイバー攻撃

新型コロナウイルス感染症(COVID-19)の流行が世界的に急拡大した2020年2月から4月にかけて、金融機関を狙ったサイバー攻撃が238%増加したとの調査結果があります。このうちランサムウェア攻撃は、同じ期間で約9倍増加したとのことです。実際、過去12カ月の間にサイバー攻撃が増えていると回答した金融機関は8割に上っています。*5

金融機関におけるサイバー攻撃の脅威と被害例には、以下のようなものがあります。

出典:日本銀行「サイバーセキュリティの確保に向けた金融機関の取り組みと課題 -アンケート(2019年9月)調査結果-」(2020年1月)
https://www.boj.or.jp/research/brp/fsr/data/fsrb200131.pdf

約400の金融機関を対象に日本銀行が実施したサイバーセキュリティに関するアンケート結果によると、昨今のサイバー脅威の主な動向として、ランサムウェア攻撃の凶悪化とDoS・DDoS攻撃規模の拡大化が挙げられています。*2

ランサムウェア攻撃の凶悪化

身代金として金銭を得ることを目的としたランサムウェア攻撃について、独立行政法人情報処理推進機構(IPA)は、従来の攻撃に「人手によるランサムウェア攻撃」と「二重の脅迫」という新たな手口が加わったと注意を呼び掛けています。*3

【従来の攻撃と新たな攻撃の比較イメージ】

出典:IPA「事業継続を脅かす 新たなランサムウェア攻撃 について ~「人手によるランサムウェア攻撃」と「二重の脅迫」~」
https://www.ipa.go.jp/files/000084974.pdf

特に、「人手によるランサムウェア攻撃」は、従来の明確な標的を定めず無作為に感染を試みる攻撃とは異なり、より大金を得られるよう、組織だけでなくシステムや情報といった明確な“獲物”に狙いを定めて実行されます。新たなランサムウェア攻撃では、標的型サイバー攻撃全般で使用される攻撃手口が用いられることが考えられると、IPAは注意を呼び掛けています。

新しいタイプのランサムウェアについては、「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にもまとめていますので、あわせてご覧ください。

標的型サイバー攻撃の脅威

金融機関や決済サービスを標的としたサイバー攻撃は増加の傾向にあり、国内でも2020年8月から9月にかけて大規模な銀行口座不正利用が発生しました。その被害は、11の銀行で200件以上、被害総額は2,800万円以上にのぼると報告されています。*4オンライン取引の増加、サービスの電子化や政府主導のキャッシュレス決済の推進、クラウドサービスやAIのさらなる活用といった様々な環境変化によって利用者側のユーザビリティが高まる一方で、標的型サイバー攻撃の脅威は常に組織を脅かしています。例えば、世界中の金融機関に攻撃を仕掛けることで有名な“国家支援型”攻撃グループ「APT38」(「Lazarus」や「Hidden Cobra」とも) *5が、2020年、新たなマルウェア「BLINDINGCAN」を使用していることが発見されました。*6

ニューノーマル浸透に対するセキュリティ課題

さらに、新型コロナウイルス感染症(COVID-19)の影響を受け、金融機関でも政府の呼び掛けにより在宅勤務対応が急速に広まりました。先に紹介した日本銀行による調査*7でも、大手銀行のすべて、地方銀行の約半数が在宅勤務制度を設けていることが分かりました。在宅勤務というニューノーマルが浸透していく一方で、内部システムへの接続環境や業務に利用する端末(私用端末含む)、情報の授受方法(メール、ファイルダウンロード/アップロード、USB等の記憶媒体利用など)、Web会議サービスの利用、職員への教育……といったセキュリティ対策の様々な課題が浮き彫りになっています。

金融機関のセキュリティ対策における課題について、これまで当社が複数の地銀様・信金様よりお聞きしたところでは、共通して下記の問題点が確認されています。

1)十分に精通した専門家がいるわけではなく、対応要員の確保ができない
2)取引先・外部委託先まで含める必要があり、範囲が拡がる一方で対応が追いつかない
3)攻撃の複雑化・巧妙化に伴って対応も高度化しているため、コスト負担が非常に大きい
4)クラウド利用は増加の一途だが、そのセキュリティ対策まで十分に手が回らない

攻撃を前提としたセキュリティ対策へ

サイバー攻撃の昨今の傾向を鑑みると、完全な防御は難しいといえます。そのため、予防的対策に加えて攻撃発生を想定した対策とリスク評価が重要となります。攻撃の防御に努める一方で、万が一攻撃を受けた場合にも被害を最小限にとどめる必要があります。求められる対策には、例として以下が挙げられます。

・基本的なセキュリティ対策の実施
 (例)
 -OSやソフトウェア等のアップデートならびにセキュリティパッチの適用
  -セキュリティ診断の定期的な実施
  -適切なアクセス制御と監視、ロギング
  -定期的なバックアップと安全な保管 -推奨されるセキュリティ設定の適用 など
・攻撃回避と検知能力の向上
  (例)
  -悪用されうる機能やサービス等の無効化
  -ネットワーク分離
  -高度な機能を持つセキュリティソリューションの導入
  -監視とログ分析の強化 など
・業務継続の視点からのセキュリティ対策
  (例)
  -コンティンジェンシープランの整備
  -リスクの可視化
  -訓練・教育の強化
  -対策の実効性確認 など

標的型攻撃リスク診断 SQAT®APT デモ動画

セキュリティ対策の実効性を確認するには、訓練や演習、定期的なセキュリティ診断が効果的です。実際に攻撃を受けた場合に、どこまで被害が及ぶのか、対応のための体制や仕組みは十分か、といった点を評価できます。マルウェア対策にしても、アンチウイルスソフトをはじめとする対策ソリューションを導入しているからといって完全に安心できるわけではありません。近年ではそれらを掻い潜る攻撃が増加していることも広く知られています。そこで、例えば実際の攻撃を想定したシナリオに基づく疑似的なペネトレーションテストを実施し、より現実的なリスクを可視化するという方法があります。当社のお客様の8割はマルウェア対策ソリューションを導入していますが、その上でペネトレーションテストサービスを利用するのには、こうした背景があるからにほかなりません。

2020年12月、経済産業省より「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」*8が発行されました。サイバー攻撃によって発生した被害への対応は企業や組織の信頼に直接関わる重要な問題であることが強調されており、さらなる対策の強化と徹底が求められています。

参考情報:金融機関向けセキュリティガイドライン等の紹介


■金融分野におけるサイバーセキュリティ強化に向けた取組方針
金融庁
https://www.fsa.go.jp/news/30/20181019/cyber-policy.pdf

■金融機関等におけるセキュリティポリシー策定のための手引書(第2版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000154.php

■金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/004426.php

■金融機関等におけるコンティンジェンシープラン策定のための手引書
公益財団法人金融情報システムセンター ※一般公開なし
https://www.fisc.or.jp/publication/book/000120.php

■製品分野別セキュリティガイドライン 金融端末(ATM)編
一般社団法人重要生活機器連携セキュリティ協議会(CCDS)
https://www.ccds.or.jp/public/document/other/guidelines/[CCDS]ATM%E7%B7%A8%E5%88%A5%E5%86%8A_%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E6%A4%9C%E8%A8%8E%E5%AE%9F%E8%B7%B5%E3%82%AC%E3%82%A4%E3%83%89_Ver2.0.pdf

■Financial Crime Guideline
FCA(金融行為規制機構)
https://www.handbook.fca.org.uk/handbook/FCG.pdf

■金融分野における個人情報保護に関するガイドライン
金融庁
https://www.ppc.go.jp/files/pdf/kinyubunya_GL.pdf


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Share

狙われる医療業界
―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

Share

いま、医療機関を標的としたランサムウェア攻撃が増え続けています。
足元で顕著になっているのは、攻撃による被害インパクトが大きい特定のシステム・事業を狙い、「より確実に、より高額の」身代金を得ることをもくろむ、手の込んだ持続的な攻撃です。事業継続に直結するシステムや機微情報等が保存されているシステム、事業が中断・停止した場合に甚大な影響をもたらす重要インフラなどが標的にされやすく、医療機関のシステムはその最たるものといえます。本記事では、医療機関を狙うランサムウェアの現状を紹介し、取りうる対策について考えます。

勢いづく攻撃、日本も「対岸の火事」ではない

米国では、2020年秋、数週間のうちに20を超える医療機関でランサムウェア攻撃が確認されました。*9下記にその一部を紹介しますが、パンデミック下で医療現場が逼迫(ひっぱく)する中、追い打ちをかけるように攻撃の勢いが増しているのです。10月末には、米CISA、FBI、米保健福祉省が共同でセキュリティ勧告を発する事態となっています(後述)。

表1:医療機関を狙ったランサムウェア被害(一部)

2020年9月 Universal Health Services(米国の医療サービス最大手)
がシステム停止*2
ニュージャージー州の大学病院が患者データを暗号化
され、一部データを不正に公開される*3
2020年10月 オレゴン州の病院でコンピュータシステムが使用不能に*4
ニューヨーク州の複数の病院でシステムが使用不能に*5

なお、日本では2018年10月、近畿地方の公立病院がランサムウェア攻撃の被害を受け、一部の患者カルテ情報が暗号化されてしまい、診療記録等の参照ができない状況に陥りました。今後攻撃者がターゲットを広げ、米国のように日本国内でも被害が活発化するのは、もはや時間の問題かもしれません。

攻撃者はなぜ医療業界を狙うのか

もちろん、攻撃を受けた場合の被害インパクトが大きい(=高額の身代金を設定し得る)重要インフラとみなされるのは、医療のみではありません。日本では、医療のほか、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、水道、物流、化学、クレジット、石油という、計14分野が重要インフラと位置づけられています。では、なぜ攻撃者は医療業界に目をつけるのでしょう。それは、次のような特徴があるためです。

  • 患者に関する情報はブラックマーケットで特に高額で売買される
  • 「事業の停止が直接生命に関わる」という点が、身代金要求に応じさせるうえでの強力な要因になる
  • 地域医療連携など医療機関同士のやり取りでは、インターネットVPNやインターネット(TLS 1.2)、またはIP-VPN(地域医療連携専用閉域ネットワーク)が採用されており、 連携先の端末のセキュリティ対策がされていない、情報共有が上手くされていないという課題がある
  • 診断・医療に用いられるシステムは多くの場合非常に高額で長期使用を前提として作られており、コスト・技術的理由などから、古いまま使われ続けている傾向がある
  • 情報セキュリティの三要素(C(機密性)、I(完全性)、A(可用性))のうち、医療では可用性が何よりも重視される傾向があり、相対的に他の2要素への対応がおろそかになりがち

また、昨今の医療情報は、患者のデータだけではなく、IoT等の新技術やサービス等の普及により、様々な端末とつながっている場合があり、攻撃者側からすれば、「カネになるビジネス」として狙われるターゲットとなり得ます。

なお、弊社が2020年8月、国内のIT担当者を対象に実施した「脆弱性管理に関するアンケート」の結果では、医療業界は、情報システム部門を持たず別部門の担当者が兼務している状況が他業種よりも顕著で、かつ、情報システム部門を有する場合もその規模が小さいことが明らかになっています。セキュリティへの対応に十分なリソースを避けないという構造的な問題も、攻撃者を引き付ける一因といえるでしょう。

【参考情報】
医療機関では古いシステムが使われ続けている傾向が強い

新型コロナウイルス感染症拡大に伴い利用が急増しているG SuiteやMicrosoft 365については、セキュリティのチェックリストや推奨設定例が公開されていますので、以下にご紹介します。古いシステムが使われ続けているという傾向に関し、医療システムに関する世界最大規模の業界団体HIMSS(Healthcare Information and Management Systems Society)による年次調査の結果を紹介しましょう(下図)。 組織内で何らかの旧式化したシステム(レガシーシステム)を使っている、という回答は、2020年において8割に達しています。最も多いのはWindows Server 2008で50%の組織に存在、昨年サポートが終了したWindows 7は49%、さらに前の世代のWindows XPは35%です。この業界が攻撃者に特に好まれることに納得する結果といえないでしょうか。


「2020 HIMSS Cybersecurity Survey」より
出典:https://www.himss.org/sites/hde/files/media/file/2020/11/16/2020_himss_cybersecurity_survey_final.pdf

なお、身代金目的とは異なりますが、このパンデミック下、ワクチン開発競争を背景に研究情報を狙った国家ぐるみのサイバー攻撃が活発化しているという点も、医療機関に対する攻撃増加の追い風になっているとみられます。

ランサムウェア攻撃の変貌2020

従来のランサムウェアでは、ウイルスを添付したメールのばらまき、悪意あるWebページへの誘導などにより、不特定多数を対象に広範な攻撃を行うことで身代金獲得を狙う、というやり方が主流でした。現在も依然としてそうした形の攻撃は存在しますが、前述のように、「より確実に、より高額の」身代金を獲得することを狙った変化が目につきます。最近のランサムウェアの特徴として指摘されているのは主に次の2点です。

人手による攻撃 ‐標的を定めて周到に準備‐

ランサムウェアを自動化されたやり方で幅広くばらまくのではなく、特定の組織を標的にして手動で侵入を試み、侵入成功後はネットワーク内に潜伏してさまざまな活動を行い、攻撃の成果を最大化することを狙います。こうした人手による攻撃には、APT(Advanced Persistent Threat:持続的標的型攻撃)との類似点が多く、その結果、ランサムウェア攻撃への対策にはAPTと同水準の取り組みが求められるようになっています。

二重の脅迫 ‐より悪質なやり方で被害者を追い詰める‐

「身代金を払え」という脅迫に加え、「身代金を支払わないと機密データを公開するぞ」という脅迫を重ねて行い、支払いを迫ります。実際にデータを公開されてしまったという事例が複数確認されているほか、データが破壊されてしまったケースも出ており、攻撃を受けた場合のダメージの大規模化、深刻化がみられます。 現在、こうした特徴を持つ新しいタイプのランサムウェアがいくつも生み出され、世界各地で猛威を振るっているのです。詳細については「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にまとめていますので、ぜひこちらもあわせてご覧ください。

ランサムウェア対策への取り組み ‐医療情報システムに関するガイドライン‐

先に触れたとおり、ランサムウェア攻撃の活発化を受け、米CISA、FBI、米保健福祉省はセキュリティ勧告「Ransomware Activity Targeting the Healthcare and Public Health Sector」を公表しました。同勧告では、各種ランサムウェアの分析結果を踏まえ、下記のようなベストプラクティスを提示しています。

図:ネットワークセキュリティ・ランサムウェア対策に関するベストプラクティス

Ransomware Activity Targeting the Healthcare and Public Health Sector」より

こうしたベストプラクティスを遂行するうえで重要なのが、ステークホルダー間の効果的な連携です。医療機関では、部門や職務によって異なる企業の製品やサービスが用いられており、システム連携はしばしば複雑です。いま、医療業界が攻撃者の明確な標的となる中、医療機関、および医療機関向けにサービスや製品を提供する事業者は、自らの責任範囲を理解したうえで、これまで以上に緊密な連携を図り、システムのセキュリティ強化に取り組んでいく必要があります。

なお、日本においては、医療情報システムの安全管理に関し、技術・制度的な動向を踏まえてガイドラインの継続的な策定・更新が行われており、現時点で医療機関、事業者のそれぞれを対象とした下記2種が提示されています。責任分界点の考え方や合意形成の考え方など、連携をより効果的にするための課題も取り上げられており、目を通しておきたい資料です。

表2:医療情報システムの安全管理に関するガイドライン

1)厚生労働省
医療情報システムの安全管理に関するガイドライン」(第5版、2017年5月)
  • 対象読者は、医療情報システムを運用する組織の責任者
  • 医療情報の扱いを委託したり情報を第三者提供したりする場合の責任分界点の考え方を示し、医療システムを安全に管理するために求められる対応を規定
2)経産省・総務省
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2020年8月)
  • 対象読者は、医療システムやサービスを提供する事業者。なお、医療機関等と直接的な契約関係のない事業者も医療システム等のサプライチェーンの一部として機能している場合、このガイドラインの適用範囲となる
  • 事業者に求められる義務と責任の考え方、医療機関等への情報提供と合意形成の考え方、リスクマネジメントの実践やリスク対応のための手順などを規定

APTと同水準の対策を立て、全方位での備えを

繰り返しになりますが、現在活発化しているランサムウェア攻撃の手口は高度かつ執拗です。守る側には、従来よりも踏み込んだ、APTと同水準の対策が求められます。そこで鍵になるのは、「侵入される」「感染する」ことを前提とした取り組みです。想定される被害範囲をあらかじめ洗い出し、優先順位をつけて対策をとりまとめていくことで、万一攻撃を受けた場合でもその被害を最小化することが可能になります。

なお、こうした対策を立てるにあたっては、セキュリティ専門企業が提供しているサービスもうまく活用しましょう。たとえば、想定される被害範囲を把握する際は、システムへの擬似攻撃等をメニューに含んだサービスを利用すると、精度もスピードも高められるでしょう。 激化するランサムウェア攻撃から医療システムを守るため、医療機関、関連事業者をはじめとするステークホルダーが連携し、全方位的なセキュリティに取り組むこと。それは、日々現場で闘う医療者を支えるための社会的ミッションともいえるでしょう。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share