前倒しで対処 -セキュリティを考慮したソフトウェア開発アプローチ「シフトレフト」とは-

Share

シフトレフトとは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。ソフトウェアの開発工程の各フェーズにおいてセキュリティが組み込まれていないと、後工程での手戻りが発生し、修正コストもかかってしまいます。本記事では、シフトレフトによるメリットや開発におけるセキュリティ対策の実施例について解説いたします。

シフトレフト(Shift Left)とは

セキュリティにおける 「シフトレフト(Shift Left)」 とは、より早期の段階でセキュリティに関する問題に対処する、ソフトウェアの開発や運用の考え方です。元々この概念は仕様を満たしているか等の検証に対するソフトウェアテストのジャンルで使われていた言葉ですが、近年セキュリティの世界で注目されています。

ソフトウェア開発の主要工程である「設計」→「開発」→「検証」→「運用」の各プロセスは、計画書や図などで、通常左から右に向けて記載されます。図の左側(レフト)、すなわち時間軸の早い段階で脆弱性を作り込まない対策を施した開発を行えば、セキュリティリスクを低減させるだけでなく、品質向上、期間短縮、トータルコスト低減などの効果があります。

セキュアなWebアプリケーション開発を推進する国際NPO「OWASP(Open Web Application Security Project)」もシフトレフトを推奨しており、Googleをはじめとする先進IT企業ではこの考え方を採用したシステム開発を行っています。

シフトレフトの考え方

シフトレフトの考え方では開発工程からセキュリティ診断を組み込むことで、スケジュールに与える影響を最小限に、また計画的かつ定期的に実施頂くことで費用面、人材面のコストを抑えつつセキュリティの堅牢性向上を見込むことができます。

「要件定義」や「設計」等の上流工程の段階からシステム運用までの各フェーズで、セキュリティへの配慮を取り入れることが、より安全なシステムを構築するうえで重要となります。

セキュリティを開発の最終段階で対応したのではすでに遅く、開発プロセスの全フェーズにおいて常にセキュリティ上の課題を先取りして解決しながら進めることが、テストやリリースといった最終段階での手戻りを防ぎ、結果的にトータルコストの削減と品質の向上に寄与します。

「シフトレフト」と「セキュリティ・バイ・デザイン」「DevOps」「DevSecOps」との違い・関係

シフトレフトと関連する言葉に、「セキュリティ・バイ・デザイン」「DevOps(デブオプス)」「DevSecOps(デブセックオプス)」などがあります。

「セキュリティ・バイ・デザイン(SBD:Security by Design)」とは、開発の企画・設計段階からセキュリティを考慮することです。

「DevOps(デブオプス)」は、ソフトウェア開発チーム(Developer)と運用チーム(Operations)が互いに協力し合い、ソフトウェアとサービスのクオリティを向上させます。「DevSecOps(デブセックオプス)」は、開発チームと運用チームに、セキュリティチーム(Security)が加わり、セキュリティを含めトータルコストを低減しつつ、さらなるクオリティ向上を実現する仕組みです。

セキュリティ・バイ・デザインは概念、DevSecOpsは体制運用、そしてシフトレフトは工程管理の考え方ですが、いずれも、事故やトラブルが起こってから、あるいは脆弱性が見つかってから、といった事後対応のセキュリティ対策ではなく、事前対応、すなわち前倒しで実践する点で一致しています。

シフトレフトによって向上する品質

たとえば、ビルを建てた後になってから、建物の基礎部分に問題が見つかったら改修は容易ではありません。また、社会的な信頼も大きく損なうことでしょう。ソフトウェアも同じで、問題発見が早いほど、改修に必要な労力、費用、時間は少なくてすみますし、信用失墜の危険性も軽減できます。

リリース直前の脆弱性診断でWebアプリケーションに脆弱性が発見されたら、手戻り分のコストがかかるだけではなく、リリース日の遅れや、機会損失の発生を招き、ステークホルダーのビジネスにまで影響を及ぼしかねません。シフトレフトの考え方でセキュリティに配慮しながら開発を進めれば、こうしたリスクを低減でき、ソフトウェアの信頼度が高まります。

シフトレフトによるトータルコスト低減メリット

セキュリティに配慮せず開発を行えば、短期的にはコストを抑え、開発期間を短くすることができるでしょう。しかし、リリース後の運用過程で、もしサイバー攻撃による情報漏えいや知的財産の窃取などが起こったら、発生した損失や対応費用など、長期的に見たコストはより大きくなるでしょう。

こうしたトータルコストの低減効果こそ、シフトレフトによるセキュアな開発および運用の真骨頂です。

シフトレフトとは、発生しうるトラブルに事前に備えるということです。病気にならないように運動をしたり、食生活に気をつけたりといった、ごくごくあたりまえのことです。

つまり、これまでのソフトウェア開発は、その当たり前をやっていなかったとも言えます。シフトレフト、セキュリティ・バイ・デザイン、 DevSecOpsという言葉がいろいろな場面で見られるようになったことは、開発現場が成熟してきた現れでもあります。今後、こういった開発プロセスが新常識となっていくことでしょう。

シフトレフトを普及させた裁判の判決とは

ここで、セキュリティ視点でのシフトレフトの考え方を日本に普及させるきっかけのひとつになったとされる、2014年の、ある裁判の判決をご紹介します。

とある企業の開発依頼で納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性があったことで、不正アクセスによる情報漏えい事故が発生しました。依頼した企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として提訴、東京地方裁判所がそれを認め、開発会社に約2200万円の損害賠償支払いを命じました( 平成23年(ワ)第32060号 )。ただし、全面的に開発会社の落ち度としたわけではなく、発注会社側が責務を果たしていない点については、相当程度の過失相殺を認めています。

この判決は、これまで技術者がいくらセキュリティの必要性を説いても首を縦に振らなかった、セキュリティよりも利益を重視していた「開発会社の経営管理層」と、セキュリティよりもコストと納期を重視していた「発注者」の考えを変えるインパクトを持っていました。

将来事故が起こらないよう、トータルコストを抑えセキュリティに配慮した開発を行う有効な方法としてシフトレフトが採用されたのは、ごく自然なことといえるでしょう。

シフトレフトに基づく開発におけるセキュリティ対策の実施例

シフトレフトに基づく開発におけるセキュリティ対策の実施例は以下のとおりです。

●セキュリティ・バイ・デザイン
まず、セキュリティ・バイ・デザインの考え方に基づいて、企画・設計段階からセキュリティを考慮しましょう 。

●セキュアな開発環境
開発は、脆弱性を作り込まないようにするフレームワークやライブラリなど、セキュアな開発環境を活用して行います。

●ソースコード診断
開発の各段階で、プログラムコードに問題がないかを適宜検証するソースコード診断を実施します。

●脆弱性診断
もし、どんなセキュリティ要件を入れたらいいかわからなくても、独立行政法人情報処理推進機構(IPA)などの専門機関がいくつもガイドラインを刊行しています。「このガイドラインを満たすような開発を」と依頼して、それを契約書に記載しておけばいいでしょう。ガイドラインの中身を完全に理解している必要はありません。

リリース前や、リリース後の新機能追加等の際には、必ず事前に脆弱性診断を行います。また、脆弱性が悪用された場合、どんなインシデントが発生しうるのかを、さらに深く検証するペネトレーションテストの実施も有効です。

シフトレフト視点での発注の仕方

シフトレフトは主に開発者側の考え方です。では、ソフトウェア開発を依頼する発注者はどうすればいいのでしょうか。

まず、発注の際には必ずセキュリティ要件を入れましょう。納品されたシステムやWebアプリケーションにセキュリティの問題が発見された際に対応を要求しやすくなります。

もしそれによって見積額が上がったら、トータルコストのこと、シフトレフトというこれからの新常識のことを思い出していただきたいと思います。

・安全なウェブサイトの作り方(IPA)
https://www.ipa.go.jp/security/vuln/websecurity.html

シフトレフトの実現に向けて

とはいえ、今回ご紹介したシフトレフトの考え方が社会に広く普及するまでには、もう少し時間がかかりそうです。

システムライフサイクルの早い工程(シフトレフト)でのセキュリティ対策の実施例の一つに、「ソースコード診断」があります。

実装工程でソースコードに作り込んでしまった脆弱性を検出するのが、「ソースコード診断」です。ソースコード診断では、他の種類の脆弱性診断では検出しづらい潜在的な脆弱性を、
開発ライフサイクルのより早い工程で洗い出すことが可能です。他の脆弱性診断に先駆けて実施されるべき診断と言えます。

セキュアコーディングを実践しつつ、ソースコード診断を効率的に行うためには、自動診断ツールを利用するのも有効です。静的コード解析を行うソースコード診断ツールの選定においては、以下のような点がポイントとなるでしょう。

SQAT.jp を運営する株式会社ブロードバンドセキュリティが、リリース直前のWebサービスに脆弱性診断を行うと、山のように脆弱性が発見されることがあります。

その脆弱性の中には、2014年の裁判で開発会社の債務不履行とされたSQLインジェクションのような、極めて重大なものが含まれていることも多くあります。

業界が成熟し、シフトレフトによるセキュリティ対策が実践されていけば、脆弱性診断というサービスの位置づけ自体が将来変わることすらあるかもしれません。たとえば自動車のような、安全規格に基づいて設計製造された製品における出荷前の品質チェック、あるいは監査法人による会計監査のように、「きちんと行われている前提」で実施する広義のクオリティコントロール活動の一環になるかもしれません。

SQAT.jp は、そんな未来の到来を少しでも早く実現するために、こうして情報発信を行い続けます。

まとめ

・シフトレフトとは上流工程でセキュリティを組み込み、トータルコストを抑えるという考え方
・セキュリティを考慮せずにWebサービスを開発し提供するのは、たとえるなら建築基準法を考慮せずにビルを建ててテナントを入居させるようなもの
・セキュリティをコストととらえ費用を惜しむと、将来的により高い出費を余儀なくされる可能性がある
・シフトレフトによるセキュリティ対策には、セキュリティ・バイ・デザイン、セキュリティ要件の明示、セキュアな開発環境、早期段階から適宜に実施する各種セキュリティ診断等がある

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

侵入前提でのセキュリティ対策のポイント
-サイバー攻撃への対策3-

Share

サイバー攻撃の被害から自組織を守るためにはどのような対策をとればよいのか?まずは何から実施すればよいのか?今回の記事では、基本的なセキュリティ対策の考え方から、業界別のセキュリティ対策のポイントやガイドラインを紹介しつつ、リスクを最小化するために有効なセキュリティ対策のポイントを解説いたします。

企業のためのセキュリティ対策

管理・経営者に向けた基本対策

・標的型攻撃メール訓練の実施
・定期的なバックアップの実施と安全な保管(別場所での保管推奨)
・バックアップ等から復旧可能であることの定期的な確認
・OS、各種コンポーネントのバージョン管理、パッチ適用
・認証機構の強化
 (14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
・適切なアクセス制御および監視、ログの取得・分析
・シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
・攻撃を受けた場合に想定される影響範囲の把握
・システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
・CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

また、セキュリティ対策の実践にはガイドラインの活用もおすすめです。ガイドラインがまとめられた背景には業界別のセキュリティ課題があることがわかります。今回いくつかガイドラインを紹介するにあたり、業界別のセキュリティ対策のポイントに触れます。

業界別セキュリティ対策のポイント

「自動車」「医療」「教育」の各業界に着目してみます。各業界のガイドラインがまとめられた背景および目的から、各業界のセキュリティに係る課題がわかります。

自動車  自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進
医  療医療情報システムの安全管理や情報通信の技術の利用に関する法律等への対策
教  育教育情報セキュリティポリシーの考え方および内容について解説

各ガイドラインでは、それぞれの業界における以下のような業務について、外部ネットワークとの接続に言及しています。この外部ネットワークと接続するシステムが、各業界におけるセキュリティ対策のポイントといえるでしょう。

自動車  ITインフラ環境や工場等の制御システムをはじめとして企業が管理する多くの情報システム
医  療外部の医療機関等や患者自身などと医療情報の共有や連携、医療情報の外部保存を行うシステム
教  育学校ホームページや教職員によるメールの活用、学習活動に使用されるシステム

各業界のセキュリティガイドラインの紹介

自動車

自動車産業サイバーセキュリティガイドライン V2.0
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0

医療業界

厚⽣労働省における医療機関のサイバーセキュリティ対策にかかる取組について
医療情報システムの安全管理に関するガイドライン
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

教育業界

教育情報セキュリティポリシーに関するガイドライン

まずはリスクの可視化を

サイバー攻撃への対策において、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは3つあります。

「攻撃・侵入される前提」で取り組む

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

侵入を前提とした多層防御が重要

「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。

情報資産とは
企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやUSBメモリなどのメディア、そして紙の資料も情報資産に含まれます。
(総務省「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」より引用)

組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。

これにより、システムへのマルウェアの侵入等の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。

信頼できる第三者機関の脆弱性診断サービスを実施

企業として実施できるサイバー攻撃への対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

まとめ

管理者や経営者へ向けた基本的なセキュリティ対策の実施項目として、標的型攻撃メールの訓練実施、定期的なバックアップ及びその保管、オペレーティングシステムやアプリケーションのバージョン管理、強固な認証メカニズムの導入、適切なアクセス制御と監視、シャドーITの監査、想定される攻撃の影響範囲の理解、システムのセキュリティ状況の定期的な確認、および全社的なインシデントレスポンス計画の策定と維持等が挙げられます。

さらに、自動車、医療、教育各業界に特有のセキュリティ課題と、それに対応するための業界別ガイドラインを紹介しています。これらのガイドラインは、特に外部ネットワークに接続されるシステムのセキュリティ強化に注目しています。

また、サイバー攻撃への対策として、侵入を前提とした多層防御、情報資産の可視化を推奨します。これにより、万が一侵入を許してしまった場合でも、被害を最小限に留めることが可能です。また、信頼できる第三者機関による脆弱性の定期的な診断を実施することも有効です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

被害事例から学ぶサイバー攻撃対策
-サイバー攻撃への対策2-

Share

自分の会社がもしもサイバー攻撃を受けてしまった場合、どのような影響があるのか?もし被害に遭ってしまったら、まずどうすればよいのか?今回の記事では、サイバー攻撃の被害事例に着目し、どのような影響やリスクがあるのかについて解説する。

サイバー攻撃を受けるとどうなる?

サイバー攻撃を受けてしまうと、情報漏洩、システム停止・事業継続リスク、信用失墜、金銭的損失・経済的影響といった様々なリスクに晒されます。

情報漏洩リスク

情報漏洩とは、企業や組織が管理する重要な情報が、意図せず外部に流出してしまうことです。クレジットカード情報や個人情報などの機密データが盗まれ不正使用された場合、個人情報保護法違反に該当し、企業の信頼を損ない、経済的な損失や法的な問題を引き起こす可能性があります。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調査によれば、2023年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは175社、漏洩した個人情報は約4,090万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2023年は社数では過去2番目、事故・事件の件数は2012年以降の12年間で過去最多を更新しました。

東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査画像
出典:東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査

関連リンク:「情報漏えいの原因と予防するための対策

金銭的損失・経済影響

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。データ侵害によりかかる世界平均コストも増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。

IBM「2023年「データ侵害のコストに関する調査」画像
出典:IBM「2023年「データ侵害のコストに関する調査」

システム停止・事業継続リスク

システム停止・事業継続リスクとは、サイバー攻撃によって企業・組織の業務システムが停止したり、サービスが利用できなくなったりすることで、事業継続が困難になるリスクを指します。システムが停止すると、業務プロセスやサービス提供が滞り、顧客に影響を及ぼす可能性があります。さらに顧客の個人情報情報漏洩やデータ損失が発生すると、企業の信頼性が損なわれる恐れもあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭(身代金)を要求するものの総称です。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。ランサムウェア攻撃の対象がクライアント(従来のランサムウェア攻撃の対象)から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

関連記事:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

信用失墜リスク

信用失墜リスクは、企業がサイバー攻撃によりブランドイメージが損なわれ、信頼性が失われる可能性のことを指します。もしも顧客データが漏洩した場合、顧客からの信頼を損なうだけでなく、将来的に新たなビジネスチャンスを逸することにもつながります。さらに、パートナーとの信頼関係を取り戻すのに時間がかかることも、信用失墜リスクの一環として考慮する必要があります。

日本国内で発生したサイバー攻撃の事例

Log4Shellは、Javaのログ処理ライブラリApache Log4j2に見つかったリモートコード実行の脆弱性*1です。攻撃者は攻撃文字列を送り、脆弱性のあるLog4j2のシステム上で任意のコードを実行させます。脆弱性を悪用した攻撃は2021年12月、日本でも確認されました。

Log4Shellの脆弱性を悪用したランサムウェア「NightSky」による攻撃も確認されました。2022年1月、国内ITサービス企業がランサムウェア「Night Sky」によるサイバー攻撃を受けました*2。攻撃者は2021年10月から侵入を開始し、12月31日にランサムウェアを使用し社内のファイルを暗号化しました。感染させたことで、社内システムの情報が流出し、一部はインターネット上で公開されました。この攻撃により、同企業は一部業務の復旧に数日を要し、セキュリティ強化策を講じました。

マルウェア「Emotet」による攻撃

Emotetはメールアカウントやパスワード、アドレス帳、メール本文といった情報窃取と、感染拡大を引き起こすマルウェアです。感染したシステムは、Emotetギャングらに情報を盗まれるばかりか、さらに悪質なプログラムをインストールされる恐れがあります。Emotetは、メールを介したマルウェア感染で知られ、添付ファイルやリンクを通じてシステムに侵入します。

<IPAに寄せられたメール被害事例>

・docファイル添付型
・URL記載型
・zipファイル添付型
・PDF閲覧ソフトの偽装
・ショートカットの悪用
・Excelファイルの悪用

参考:https://www.ipa.go.jp/security/emotet/situation/index.html

また、警察庁の解析によると、EmotetはGoogle Chromeに保存されたクレジットカード情報を盗み出す新機能が追加されました。この機能は、Chromeに暗号化されて保存されたクレジットカード番号、名義人氏名、有効期限を外部に送信します。Emotetはこれに加えて、情報を復号するための鍵も盗むため、感染した場合、クレジットカード情報が第三者に漏洩する危険があります。

https://www.npa.go.jp/bureau/cyber/koho/detect/20201211.html

サプライチェーン攻撃の脆弱性を悪用した攻撃

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました*3この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫(いわゆる「二重脅迫」)も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

病院を狙ったランサムウェア攻撃

【医療機関を狙ったランサムウェアによる被害事例】
年月地域被害概要
2021/5大阪府医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*4
2021/10徳島県電子カルテを含む病院内のデータが使用(閲覧)不能となった*5
2022/1愛知県電子カルテが使用(閲覧)できなくなり、バックアップデータも使用不能な状態となった*6
2022/4大阪府院内の電子カルテが一時的に使用(閲覧)不能となった
2022/5岐阜県電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*7
2022/6徳島県電子カルテおよび院内LANシステムが使用不能となった*8
2022/10静岡県電子カルテシステムが使用不能となった*9
2022/10大阪府電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用(閲覧)不能となった*10

2023年に影響の大きかったサイバーセキュリティ脅威

「情報セキュリティ10大脅威 2024」

2024年1月24日、独立行政法人情報処理推進機構(IPA)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。

注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」イメージ
出典:独立行政法人情報処理推進機構(IPA)
情報セキュリティ10大脅威 2024」(2024年1月24日)組織向け脅威

サイバーセキュリティ対策の必要性

セキュリティ対策がなぜ必要か?

事業活動・日常生活にかかせないIT環境では様々な個人情報や機密情報等が保管・やりとりされており、業界問わず、あらゆる組織・企業がサイバー攻撃の脅威にさらされています。万が一サイバー攻撃を受けた場合、顧客情報の漏えいやシステムの停止による経済損失、コストの発生など様々な被害・影響があります。日本でも経済産業省などからサイバーセキュリティ対策の強化について注意喚起*11が出されています。リスクを少しでも低減するために組織でセキュリティ対策を実施することが求められます。

サイバーセキュリティ対策が必要な理由は、情報技術の進化に伴い保護すべき情報量が増加し、サイバー攻撃が高度化しているからです。サイバー攻撃は、データの取得、改ざん、破壊を目的とし、企業や個人に甚大な損害を与える可能性があります。企業では、紙の文書だけでなく、デジタルデータも徹底して保護する必要があります。一度情報漏洩が起こると、信用問題や多額の損害賠償に繋がる可能性があるため、適切なセキュリティ対策を講じることが重要です。

まとめ

サイバー攻撃は企業や組織にとって深刻なリスクをもたらし、情報漏洩、システム停止、事業継続の困難、信用失墜、金銭的損失や経済的影響などを引き起こします。情報漏洩では、クレジットカード情報や個人情報などの機密データが外部に流出し、企業の信頼を損なうと共に経済的損失や法的問題を引き起こすことがあります。またサイバー攻撃による業務システムの停止は、業務プロセスやサービス提供に大きな影響を与え、システム停止や事業継続のリスクを高めます。さらに、サプライチェーン攻撃や医療機関を狙ったランサムウェア攻撃など、特定の業界を狙った攻撃も報告されており、これらは企業や組織に深刻なダメージを与える可能性があります。

サイバー攻撃に備えるためには、組織でセキュリティ対策の実施に取り組むことが重要です。適切なセキュリティ対策を講じることで、リスクを低減し、情報漏洩やその他の被害を防ぐことが可能です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

サイバー攻撃とは何か -サイバー攻撃への対策1-

Share

サイバー攻撃とは何か?どのような攻撃の種類があるのか?について紹介しつつ、なぜ対策をしなければならないのかを理解するため、今回の記事では、言葉の定義や目的について解説する。

サイバー攻撃とは

経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」によると、サイバー攻撃とは、「コンピュータシステムやネットワークに、悪意を持った攻撃者が不正に侵入し、データの窃取・破壊や不正プログラムの実行等を行うこと。」とあります。

サイバー攻撃を受けてしまった場合、情報窃取、不正アクセス、データ改ざん、破壊といった様々なリスクに晒されます。

情報窃取

顧客情報、機密情報など、組織にとって重要な情報が窃取され、悪用される可能性があります。これにより、個人情報の漏えい等のインシデント発生にもつながり、企業の信用失墜や顧客離れ、さらには多額の損害賠償責任を負う可能性があります。

不正アクセス

システムやネットワークに不正アクセスされると、管理者のアカウントのなりすまし・乗っ取りなどのリスクがあります。不正アクセスは、業務停止や経済的損失、情報漏洩などの二次被害を引き起こす可能性もあります。

データ改ざん

攻撃者よってデータが意図的に改ざんされてしまうと、情報の信頼性が損なわれ、顧客との信頼関係に影響を及ぼす可能性があります。またデータ改ざんはサイバー攻撃によるものだけでなく、システムエラーによっても発生する可能性があります。

破壊

攻撃者によりシステムやデータが故意に破壊されることで、業務停止や経済的損失、情報漏洩などの被害が発生する可能性があります。システムの復旧には膨大な日数とコストがかかることになります。

近年、サイバー攻撃は巧妙化、多様化しており、企業や組織にとって深刻な被害を引き起こす可能性があります。攻撃の形態は多岐にわたりますが、結果として経済的損失、ブランドイメージの損失、顧客信頼度の低下などが発生することがあります。経済的損失は、直接的な金銭的損失のほか、事後のインシデント調査費用などが含まれます。特に、顧客情報が漏洩した場合、顧客からの信頼を失い、顧客離れにつながる可能性があります。また、ブランドイメージの損失は、長期的に企業の価値を下げ、新規顧客の獲得や既存顧客の維持が困難になることもあります。サイバー攻撃によって企業の業務システムが狙われた場合、業務の継続性が脅かされ、長期的な運営に支障をきたすこともあります。これらの理由から、サイバー攻撃の予防と対策は、企業・組織にとって非常に重要な課題となっています。

サイバー攻撃は多種多様

事業活動に欠かせないIT環境では、様々な個人情報や機密情報等が保管・やりとりされており、サイバー攻撃者にとってそれらは宝の山です。そのため、今この瞬間もあらゆる企業・組織がサイバー攻撃の脅威にさらされています。

警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」の調査によれば、令和5年上半期におけるサイバー空間の脅威の情勢やサイバー事案の検挙状況の要点として、「DDoS攻撃による被害とみられるウェブサイトの閲覧障害」、「クレジットカード不正利用被害額及びインターネットバンキングに係る不正送金被害の増加」、「ノーウェアランサム」による被害」等について、被害が増加するなど特に注視すべき脅威として捉え、取り上げて紹介しています。

サイバー攻撃の手口は進化し続けている

サイバー攻撃の手口は、時間とともに大きく進化し、より複雑かつ高度になっています。

初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

サイバー攻撃の種類

サイバー攻撃は多岐にわたり、その目的やターゲットによって様々に分類されます。以下では、目的別とターゲット別の主要なサイバー攻撃の種類を説明します。

  • マルウェア攻撃
  • ランサムウェア攻撃
    あらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃。APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
  • 標的型攻撃
    特定のターゲットに的を絞り、実行されるサイバー攻撃
  • サプライチェーン攻撃
    様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする。最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
  • フィッシング攻撃
    偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
  • ゼロデイ攻撃
    修正プログラムが提供される前の、修正パッチ未適用なソフトウェアやアプリの脆弱性(ゼロデイ脆弱性)を悪用した攻撃
  • DDos攻撃
    ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃
  • 総当たり攻撃(ブルートフォース)
    不正アクセスを行うために、パスワードを総当たりで試しログインを試みる攻撃
  • SQLインジェクション攻撃
    データベースを操作する「SQL」という言語を悪用して、Webアプリケーションの入力フィールドに悪意のあるSQL文を入力するなどして行うサイバー攻撃

有名なサイバー攻撃事例を振り返る

世界のサイバー攻撃事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障をきたす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

国内のサイバー攻撃事例

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました。この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。本事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

まとめ

サイバー攻撃は、悪意ある攻撃者がシステムやネットワークに不正に侵入し、データの盗難、破壊、または不正プログラムを実行することを指します。企業や組織はこのような攻撃を受けると、重要な情報が盗まれる、システムが乗っ取られる、データが改ざんされる、または破壊されるなどのリスクにさらされます。これらは、顧客情報の流出、信用失墜、業務停止、経済的損失など、深刻な結果を招く可能性があります。

サイバー攻撃はますます巧妙で多様化しており、特にIT環境が事業活動に不可欠な今日では、あらゆる企業や組織が攻撃の脅威にさらされています。攻撃手法には、マルウェア攻撃、ランサムウェア攻撃、標的型攻撃、フィッシング攻撃などがあり、攻撃者は常に新しい手口を開発し続けています。

有名なサイバー攻撃の例としては、2017年に世界的な被害をもたらしたランサムウェア「WannaCry」や、国内大手自動車メーカーがサプライチェーン攻撃により全工場の稼働を停止させた事例が挙げられます。これらの事例は、サイバーセキュリティの重要性と、システムの定期的な更新やセキュリティ対策の強化がいかに重要かを示しています。サイバー攻撃から保護するためには、企業や組織が予防策を講じ、最新のセキュリティ情報に常に注意を払うことが必要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策

Share

DoS攻撃とは一度に膨大なアクセス要求などを行うことで、インターネットを通じて提供するサービスを不能状態に陥れるサイバー攻撃です。本稿では、DoS攻撃とDDoS攻撃の違いや、史上最大規模となった攻撃の事例、攻撃の特徴などを解説し、すぐにできるDoS攻撃/DDoS攻撃の対策方法をご紹介します。

Dos攻撃とは

「DoS」とは「Denial of Service」の略で「サービス拒否」を意味します。「DoS攻撃」とは、Webサービスを提供するサーバなどに向けて大量の通信等を発生させることで負荷をかけ、本来のユーザがサービス提供を求めた際に、提供を拒否されるようになることを目的に行うサイバー攻撃です。この攻撃により、対象のシステムは過剰な負荷によって正常なサービスの提供をすることができなくなります。

DDos攻撃とは・Dos攻撃との違い

複数の分散した(Distributed)拠点からDoS攻撃を行うものが、「DDoS(Distributed Denial of Service)攻撃」と呼ばれます。

DoS攻撃が単一の攻撃源によって仕掛けられるのに対し、DDoS攻撃は分散された複数の攻撃源から仕掛けられる点が主な違いです。DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

関連記事:「DoS攻撃/DDoS攻撃の脅威と対策

Dos攻撃/DDos攻撃の特徴

攻撃難易度の低さ

DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

社会・政治的動機

DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

DoS攻撃/DDoS攻撃の発生に気づくのが難しい

そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

マルウェア「Mirai」による史上最大のDDos攻撃

古くは攻撃者が大量のリクエストを送ることでサーバなどをサービス停止状態に陥らせるタイプの攻撃が主流でしたが、近年では、分散化・大規模化が進んでいます。例えば、IoTのリスクと求められるセキュリティ対策で紹介した「Mirai」は、IoT機器に感染し、それらの機器をサイバー攻撃の踏み台として悪用することによって、史上最大のDDoS攻撃を引き起こしました。

また、単純なサービス妨害からより複雑化した犯罪へという変化もみられます。例えば、JPCERTコーディネーションセンターでは、2019年、DDoS攻撃の実行を示唆して仮想通貨を要求する脅迫型メールが国内外の複数の組織で確認されていることを報告し、注意喚起を行っています。

DoS(サービス拒否)型の攻撃はサイバー攻撃の手法としては最も古いものの1つですが、その大規模化・複雑化は日々進行しているのです。

脆弱性や設定不備を狙ったDoS攻撃は防ぐことが可能

DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

診断会社あるある「すわ、DoS攻撃?」

ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

実は、診断実施に伴って事業部門等が「DoS攻撃が発生した!」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

DoS攻撃/DDoS攻撃への対策

DoS攻撃、特にDDoS攻撃の対策としては、CDN(Content Delivery Networks)の利用、DDoS攻撃対策専用アプライアンス、WAF(Webアプリケーションファイアウォール)などが威力を発揮します。

DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

1.必要のないサービス・プロセス・ポートは停止する
2.DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3.脆弱性対策が施されたパッチを適用する

Webアプリケーション脆弱性診断バナー

いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

まとめ

  • DoS攻撃とはサーバなどに負荷をかけてサービスを提供できなくするサイバー攻撃です。
  • 攻撃実行の難易度が低く、人々の意思表明のために大規模に行われることもあります。
  • 脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策することができます。
  • 必要のないサービス・プロセス・ポートの停止、などの基本的対策がDoS攻撃/DDoS攻撃にも有効です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェアに感染したら?対策方法とは -ランサムウェアあれこれ 3-

Share
「ランサムウェアに感染したら?対策方法とは」アイキャッチ画像(パソコンをウイルスから保護するイメージ)

この記事では、ランサムウェア攻撃の具体的な被害事例を通じて、被害に遭った場合の影響と対処法について触れながら、最後に、ランサムウェア対策の基本となるポイントを紹介します。この記事を通じて、ランサムウェアの脅威に対する理解を深め、基本的な対策を講じることの重要性を学んでいただければ幸いです。

ランサムウェア攻撃の被害事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

2021年10月には、日本国内の医療機関がランサムウェア攻撃によって被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。

関連リンク:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

主に企業・団体に向けたサイバー攻撃の被害として、ランサムウェアでの被害がありますが、令和4年上半期以降、高い水準で推移しています(棒グラフ参照)。

企業・団体等におけるランサムウェア被害の報告件数の推移

被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重恐喝(ダブルエクストーション)の割合が多く、手口を確認できたもののうちの約8割を占めている。また、データを暗号化せずに対価を要求する「ノーウェアランサム」による被害も新たに確認されました。感染経路としては、前年と同様、脆弱性を有するVPN機器等や、強度の弱い認証情報等が設定されたリモートデスクトップサービスが原因となる事例が多かった(円グラフ参照)。

ランサムウェア被害の感染経路

2023年7月4日、国内物流組織がランサムウェア攻撃を受け、名古屋港の統一ターミナルシステムに障害が発生し、7月6日夕方の作業完全再開までのあいだ業務が一時停止する事態になりました。本件は、サイバー攻撃により港湾施設が操業停止に追い込まれた国内初の事例と報じられています。

この事件を受け、国土交通省は、安全で安定的な物流サービスの維持・提供に資することを目的として、対策等検討委員会を設置しました。2023年9月に公開された調査資料「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」によれば、感染経路はVPN機器からの侵入が有力とされています。そして主な原因として、「保守作業に利用する外部接続部分のセキュリティ対策が見落とされていたこと」「サーバ機器およびネットワーク機器の脆弱性対策が不十分であったこと」などが挙げられています。

ランサムウェアによる被害の影響

ランサムウェア攻撃を受けた場合、企業への被害の影響は、以下のようなものがあります。

身代金による金銭の損失

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかの選択を迫られます。身代金を支払った場合、その金額は数百万円から数億円に上ることもあります。また、身代金を支払ったとしても、データが復旧できないこともあるため、金銭的な損失は避けられません。

事業での業務が停止

ランサムウェア攻撃により、企業のシステムやデータが暗号化され、業務プロセスが停止することがあります。これにより、本来行われる業務が滞るため、生産性が低下します。業務が停止している期間が長引けば、競争力の低下や市場シェアの減少も懸念されます。

顧客の喪失

ランサムウェア攻撃により、顧客データが漏洩した場合、顧客の信頼を失い、顧客を喪失する可能性があります。また、攻撃によるシステムの停止や業務の遅延などによって顧客に損害を与えた場合、損害賠償請求を受ける可能性もあります。

影響範囲

ランサムウェア攻撃は、企業の規模や業種を問わず、あらゆる企業が標的となる可能性があります。また、攻撃対象は、企業のITインフラや業務システム、顧客データなど、多岐にわたります。そのため、攻撃を受けた場合の影響範囲は、企業によって大きく異なります。

莫大なコストの発生

ランサムウェア攻撃による被害コストは、身代金の支払い以外にも、システム復旧や顧客対応など、多岐にわたります。そのため、被害コストは数千万円から数億円に上ることもあります。

ランサムウェアに感染したら

マルウェア感染(特にランサムウェア感染)に気づいた場合、以下のステップに従って対処することが重要です。

コンピューターウイルスに感染してしまった女性のイラスト
  1. ネットワークの切断:インターネットの接続を切断し、感染を広げないようにします。感染がネットワーク内に広がるのを防ぎ、攻撃者の操作を制限します
  2. コンピュータのシャットダウン:感染したコンピュータを即座にシャットダウンし、データへのアクセスをブロックします。これにより、攻撃者がデータの暗号化を続行するのを防ぎます
  3. 被害状況の報告:インシデント対応チームや情報セキュリティの担当者にすぐに報告し、被害の詳細を共有します。早急な対応が感染拡大を防ぎます
  4. バックアップの確認:バックアップからデータを復旧できるよう、バックアップを確認し、感染前のデータのコピーが利用可能であることを確認します
  5. 身代金の支払いはしない:攻撃者に身代金を支払わないようにしましょう。身代金を支払っても、データの復号が保証されないことがあります
  6. ランサムウェアの種類を特定:攻撃されたランサムウェアの種類を特定し、解析情報をセキュリティ専門家に提供します。これにより、未来の攻撃を防ぐための情報が得られます
  7. ノーモアランサム(No More Ransom):ランサムウェアの解除ツールが提供されている場合、それを利用してデータを復号化します。ノーモアランサムは、解除ツールを提供するプロジェクトの一例です

これらの手順は、マルウェア感染に対処する基本的な対処手順です。セキュリティ対策の実施においては、セキュリティ専門家のアドバイスや組織内のポリシーに従うことも重要です。

ランサムウェアの対策方法

ランサムウェアの基本的な対策は、以下のとおりです。

【システム管理者側での対策】

  • 標的型攻撃メール訓練の実施
  • 定期的なバックアップの実施と安全な保管(別の場所での保管推奨)
  • バックアップ等から復旧可能であることの定期的な確認
  • OS、各種コンポーネントのバージョン管理、パッチ適用
  • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
  • 適切なアクセス制御および監視、ログの取得・分析
  • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
  • 攻撃を受けた場合に想定される影響範囲の把握
  • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
  • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

【ユーザ側での対策】

  • 不審なメールに注意し、容易にリンクをクリックしたり添付ファイルを開いたりしない
  • 適切な認証情報の設定(多要素認証の有効化・パスワードの設定)
  • OSおよびソフトウェアを最新の状態に保つ
  • データを定期的にバックアップしておく
  • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
  • セキュリティアップデートの通知を設定する
  • 不審なアクティビティを検出した場合には、社内へ報告する

基本的な対策こそが重要

ランサムウェアはRaaSの登場などによる犯罪のビジネス化により、攻撃のハードルが下がったことで、高度な技術力を持たなくても攻撃者が参入しやすくなり、攻撃の数は増えるかもしれません。しかし、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

ランサムウェア攻撃は、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。
※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」および「石油」の14分野を特定している。

たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。ランサムウェア攻撃への備えとして、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェアの攻撃手口・脅威
-ランサムウェアあれこれ 2-

Share
水色の背景に歯車とお金を持っている手のアイコンイラスト

この記事では、ランサムウェアの攻撃手口、特にサプライチェーン攻撃の概念、標的型攻撃の特徴、そしてこれらの攻撃による被害事例を紹介します。また、ランサムウェアの脅威には、多重脅迫や「ノーウェアランサム」などの新たな形態が含まれており、これらによる被害事例も紹介します。最後にランサムウェアのビジネスモデル「Ransomware as a Service(RaaS)」について、その仕組みと活発化した背景を解説します。

ランサムウェアの攻撃手口

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

さらに、最新の傾向として「サプライチェーン攻撃」が注目されています。サプライチェーン攻撃では、攻撃者は直接ターゲット組織に攻撃を仕掛けるのではなく、その組織が依存しているサプライチェーンの一部を攻撃します。

サプライチェーン攻撃によるランサムウェア被害

サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(取引先や関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。この攻撃手法では、攻撃者はターゲット企業のセキュリティ対策が厳しい場合、よりセキュリティが手薄なサプライチェーンの一部を利用して攻撃を行います。サプライチェーン攻撃は、悪意のあるライブラリやコンポーネントの注入など、さまざまな形態をとり、機密データの窃取やシステムの遠隔操作などの被害をもたらす危険性があります。

サプライチェーン攻撃におけるランサムウェアのリスクは、データの暗号化や情報窃取などがあります。ランサムウェア攻撃においては、攻撃者が被害者のデータを暗号化し、復元の対価として身代金を要求することが一般的です。しかし、近年の攻撃では、単にデータを暗号化するだけでなく、データを盗み出し、そのデータを公開するといった脅しをすることで、被害者にさらなる圧力をかけるケースが増えています。

関連リンク:「拡大するランサムウェア攻撃! ―ビジネスの停止を防ぐために備えを―

サプライチェーンとは

サプライチェーンとは、製品やサービスが消費者に届くまでの一連の流れやプロセスを指す言葉です。これには、原材料の調達から製造、流通、販売に至るまでのすべての段階が含まれます。

例えば、コンビニチェーンでは生産者や農協などからお米を仕入れ食品工場でオーダー通りのおにぎりを製造します。オーダー通りのおにぎりが完成後、出荷されコンビニエンスストアの店舗に並び、最終的に消費者に届けられます。このように、おにぎりが私たちの手元に届けられるまでには、サプライチェーンを構成する様々なプレーヤーの活動があり、それが連なって成り立っています。

サプライチェーン攻撃による被害事例

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました。この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫(いわゆる「二重脅迫」)も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

標的型攻撃によるランサムウェア被害

標的型攻撃とは

標的型攻撃は、特定の個人や組織を狙って行われるサイバー攻撃です。攻撃者は、ターゲットの情報を収集し、その情報をもとに巧妙に偽装したメールやファイルを送信することで、ターゲットを騙してマルウェアに感染させ、機密情報の窃取やシステムの乗っ取りなどの被害をもたらします。

標的型攻撃の特徴

高度なカスタマイズ性と、ターゲットに対する詳細な知識に基づいた攻撃方法にあります。また、攻撃の隠密性と持続性も、標的型攻撃の重要な特徴の一つです。標的型攻撃の一般的な方法には以下のものがあります。

標的型メール攻撃
攻撃者は、取引先を装い、関心を引くような内容の電子メールを送信し、受信者がリンクや添付ファイルを開くように誘います。これらのメールは、巧妙に作成されているため、一見正当に見えることがあります。
水飲み場攻撃
攻撃者はターゲットが日常的にアクセスするWebサイトに悪意のあるコードを仕込み、それを通じてウイルス感染やマルウェア感染を引き起こします。この手法は、日常的に訪れるサイトに危険が潜んでいるため、特に検出が困難です。

標的型ランサムウェア攻撃

標的型ランサムウェア攻撃は、ランサムウェア自体の進化と並行していますが、特に2010年代半ば以降に顕著になりました。

標的型ランサムウェア攻撃と従来の「バラマキ型」ランサムウェア攻撃の主な違いは、その精度と戦略性にあります。バラマキ型攻撃は、ランダムに大量のターゲットに対して行われる無差別的な攻撃ですが、標的型攻撃では、攻撃者は特定の組織や企業を慎重に選び、そのセキュリティ体制やネットワークの弱点を狙って攻撃を行います。また、身代金の要求額は被害組織の財務状況や重要性に基づいて計算されることが多く、通常のバラマキ型攻撃よりもはるかに高額に設定される傾向があります。

標的型攻撃による被害事例

標的型ランサムウェア攻撃の契機となったランサムウェアはいくつかありますが、代表的なものには、2018年に登場した「Ryuk」などが挙げられます。このランサムウェアは、米国の医療業界をターゲットにした事例で知られ、患者のカルテ情報などの重要なデータが暗号化されたため、システムが停止する事態となりました。

2021年10月、国内の医療機関がランサムウェア「LockBit」により被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。さらに、2023年11月には、米国大手医療機関のシステムが大規模にダウンしました。LockBitは患者のケアを妨害しないように病院のシステムを暗号化することはありませんでした。代わりに、7Tb以上の医療データを含む1000万以上のファイルを盗み出しました。また、同時期に米国内の他の医療機関も同様の攻撃の対象となりました。

このように、生命維持にも関わってくる病院を狙う冷酷なギャングも台頭しています。

ランサムウェアの脅威

警察庁の調査「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、国内では令和4年上半期以降、ランサムウェアによるサイバー攻撃の被害は高い水準で推移しています。被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重脅迫(ダブルエクストーション)の割合が多く、手口を確認できたもののうちの約8割を占めています。また、二重脅迫以外にも三重、四重といった「多重脅迫」やデータ暗号化すらせずに対価を要求する「ノーウェアランサム」による被害も新たに確認されています。以下にランサムウェアの脅威の特徴についての例をいくつかご紹介します。

多重脅迫

昨今は身代金要求の条件として、従来の「データの暗号化」に加えて、暗号化前に窃取した「データの暴露(公開)」という二重の脅迫を行う手法が主流になっています。さらに、データを窃取した企業のウェブサイトやサービスに対してDDoS(分散型サービス拒否)攻撃を行う三重脅迫、窃取したデータの所有者であるビジネスパートナーや顧客に通知を送り、攻撃者に圧力を与える四重脅迫など、様々な多重脅迫の手法があります。

暗号化しない「ノーウェアランサム」

データ暗号化すらせずに対価を要求する「ノーウェアランサム」による被害も新たに確認されています。

暗号化しない「ノーウェアランサム」
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

二重脅迫型のランサムウェアによる攻撃の被害事例

二重脅迫型ランサムウェアは、2019年頃から出現しました。特にこの手法を用いているランサムウェアの代表として知られるのが、「Revil」、「Clop」、「Conti」です。 Revilは2021年6月、海外の食肉加工大手企業を狙った攻撃で影響を与え、食肉工場の操業が停止になりました。そして、Clopは2020年から2021年にかけ、ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェアグループで、教育機関や通信企業等を狙った攻撃で、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させました。また、Contiは、特に医療機関などを含む多くの組織に影響を与えています。アイルランドの保健サービス委員会やニュージーランドのワイカト地区保健局などの医療機関への攻撃が確認されており、被害によって医療サービスの提供に深刻な影響が出ました。

これらのランサムウェアギャングは、業界を問わず、大手企業を中心に狙い、新たな手法を用いながら、様々な手段で脅迫を実行します。

ランサムウェアのビジネスモデル Ransomware as a Service(RaaS)

Ransomware as a Service (RaaS)は、ランサムウェアの開発者が、ランサムウェアのツールやサービスを攻撃の実行犯(アフィリエイト)に販売またはリースするビジネスモデルです。攻撃の実行犯は、RaaSプラットフォームからランサムウェアをダウンロードして攻撃を実行します。これにより、高度な技術の知識がなくても、RaaSプラットフォームに登録してランサムウェアを入手すれば、誰でもランサムウェア攻撃を実行できるようになります。これにより、サイバー犯罪のハードルが低下し、犯罪者が容易にランサムウェア攻撃を行える環境が生まれています。

RaaSは、サブスクリプションベースまたは利益分配モデルを採用しています。仕組みは、以下のとおりです。

  1. ランサムウェアの開発者が、攻撃の実行犯にランサムウェアやインターフェイスを提供
  2. 攻撃の実行犯(アフィリエイト)は、RaaSプラットフォームで提供されるツールやサービスを利用し、攻撃対象の組織のコンピュータやネットワークにランサムウェア攻撃を仕掛ける
  3. 攻撃対象の組織は、ランサムウェア攻撃グループ(開発者)に対して、ファイルの暗号解除と引き換えに要求された身代金を支払う
  4. 攻撃が成功した場合、ランサムウェア攻撃グループ(開発者)は成功報酬として、攻撃の実行犯(アフィリエイト)に支払われた身代金の一部を還元する

RaaSの利用料金は、プラットフォームによって異なりますが、月額数万円から数十万円程度が一般的です。

RaaSが活発化した背景には以下のような特徴が挙げられます。

  • TTPの融合
    多くのランサムウェア開発者等が同時に複数のRaaSで提供することで、複数の攻撃者が類似のツールを共有。その結果、Tactics(戦略)・Techniques(テクニック)・Procedures(手順)が統合
  • 拡張ツールの提供
    一部のRaaSが、ランサムウェア自体の開発だけでなくデータ奪取ツールのカスタマイズも提供
  • リブランド(再構築)
    多くの注目を集めた一部のグループは、痕跡を隠すため、リブランドすることで、活動を再開
  • IABとの連携
    ランサムウェア攻撃の実行犯は、初期アクセスブローカー(IAB:Initial Access Broker)と協力し、彼らが侵入後のランサムウェア展開に専念することができるように、事前にネットワークへの侵入方法や身代金の一部を提供

この記事が、進化し続けるランサムウェア攻撃の手口について理解を深め、適切な対策を講じるための一助となれば幸いです。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

ランサムウェアとは何か -ランサムウェアあれこれ 1-

Share
水色の背景にデータとお金の袋を背負っている男性のアイコンイラスト

ランサムウェアはマルウェアの一種です。この記事では、ランサムウェアの基本的な概念から、語源等について解説します。さらに、ランサムウェアがどのようにしてシステムに侵入し、被害を引き起こすのか、特に昨今知られるVPN機器やリモートデスクトップ接続からの感染について解説します。

ランサムウェアには様々な攻撃手法、ランサムウェア攻撃グループが次々に登場しています。攻撃の手口が「バラマキ型」から「標的型攻撃」になるなど、進化し続けています。しかし、セキュリティ対策を講じることで、攻撃を未然に防ぐことも可能です。脆弱性対策や認証管理、従業員教育などセキュリティ対策の基本が効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

このシリーズを通じて、ランサムウェアの知識を深めることで、企業・組織がサイバー攻撃に備えるための対策を講じることができるようになることを目指します。

マルウェアの一種である「ランサムウェア」

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭(身代金)を要求するものの総称です。

マルウェアとは、ユーザのコンピュータやネットワークに侵入し、損害を与えるか、被害者から情報を盗む目的で設計されたソフトウェアです。ランサムウェア以外の代表的なマルウェアとしては、以下のようなものが挙げられます。

  • ウイルス…ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行う
  • ワーム…ワームだけで自己増殖が可能で、感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散する
  • トロイの木馬…無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェア。ウイルスやワームと異なり自己増殖することはなく、主にバックドアと呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり、別のプログラムをダウンロードするなどの動きをする
  • スパイウェア…個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信したりすることを目的としたマルウェア
  • アドウェア…多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示する。すべてが違法とは言えない場合もある

関連リンク:「マルウェアに感染したら-マルウェアの種類と対策、ウイルスとの違いは-

ランサムウェアは他のマルウェアと比較すると、主な目的が金銭の獲得であることに特徴があります。

ランサムウェアの語源

ランサムウェアの語源(初心者マークに手を添えた画像)イメージ

「ランサムウェア」とは、英語の「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。

Ransom」…身代金のこと。誰かまたは何かを人質に取り金銭や他の条件を要求する行為
Software」…コンピュータに動作を指示するプログラムやアプリケーションの総称

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化…ランサムウェアは感染したコンピュータやファイルのデータを暗号化し、ユーザのデータにアクセスできないようにします。データが暗号化されてしまうと元の内容を読み取れなくなるため、業務に大きな支障をきたすことになります。

身代金の要求…データが暗号化された後、攻撃者は被害者に通知を送り、データの復号(元の読み取り可能な状態に戻すこと)のために身代金を要求します。身代金の支払い方法には、仮想通貨などの匿名性の高い方法が用いられることもあります。身代金を支払ったとしても、データが完全に復旧する保証はありません。

ランサムウェアの種類

様々な攻撃手法(ランサムウェア攻撃グループ)が次々に登場しています。以下はその一部です。

Avaddon2020年初頭に登場。2020年6月に日本をターゲットにした攻撃を実施し、複数の企業や団体が被害を受けた
DearCry2021年に存在が確認され、Microsoft Exchange Serverの脆弱性を悪用することで多くの企業や組織が影響を受けた
EKANS産業制御システム(ICS)関連の機能を停止させる能力がある。2019年12月に発見され、2020年6月には国内の大手自動車メーカーで工場が停止してしまう被害をもたらした。被害に遭った自動車メーカーを狙った標的型攻撃の可能性があるといわれる
Revil2019年に登場。攻撃者はRaaS(Ransomware as a Service)を利用して攻撃を実行する。2021年に米ITシステム管理サービスを標的としたランサムウェアサプライチェーン攻撃により大規模な被害をもたらした後、活動を停止していたが、同年9月に活動を再開している
Conti2020年5月に確認され、データの暗号化に加え、データを公開することを脅迫する「二重脅迫」の手口を使用することが特徴で、特に医療機関などを含む多くの組織に影響を与えている
LockBit2019年に初めて確認され、現在も攻撃手法を進化し続けている。2021年にはLockBitの進化版である「LockBit 2.0」、2022年には「LockBit 3.0」が登場し、2023年7月には国内物流組織への攻撃、11月には米国の病院施設への攻撃に使用され、サービス停止に追い込まれる事態が発生した
BlackMatter2021年7月に確認され、エネルギーインフラ企業など狙ったランサムウェア「DarkSide」の攻撃手法を引き継ぎ、発展させたものといわれている。米国の主要食品供給会社がBlackMatterによるランサムウェア攻撃の被害に遭った
Night Sky2021年末から2022年初頭にかけて登場。Apache Log4jの脆弱性を悪用し、国内の企業を対象に大きな被害の影響を与えた。

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア(ランサムウェア)の主な感染経路

マルウェア(ランサムウェア)の主な感染経路
出典:ACTIVE「マルウェアについて知る

昨今ではこれ以外の感染経路として、VPN機器・リモートデスクトップ接続からの侵入が知られている。

VPN機器からの侵入
VPN機器の脆弱性を悪用して、ネットワークに侵入。主な原因は、未修正の脆弱性や脆弱性な認証情報の使用など
リモートデスクトップ接続からの侵入
外部に公開されているリモートデスクトップに対し、攻撃を仕掛け、ユーザの認証情報を使用し、不正にアクセス。これにより、接続先のコンピュータの管理者アカウントが乗っ取られ、マルウェアをダウンロードされる恐れがある。主に接続する端末に脆弱性がある場合などが原因

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年上半期に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は103件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、49件の回答があり、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています。

VPN機器・リモートデスクトップ接続からの侵入

VPN機器・リモートデスクトップ接続からの侵入(セキュリティの画像)イメージ

昨今VPN機器とリモートデスクトップ接続からのランサムウェア感染が知られてきたのは、2020年の新型コロナウイルス感染拡大の影響を受け、多くの企業がテレワークを導入したことが主な背景にあると考えられます。テレワークを導入したことで、従業員が自宅等からオフィスネットワークにアクセスする必要が生じ、VPN機器とリモートデスクトップがより頻繁に使用されるようになりました。攻撃者は、VPN機器やリモートデスクトッププロトコルに存在する脆弱性を悪用し、システムに侵入します。未修正の脆弱性が攻撃の入口となり、感染が広がります。さらにテレワーク環境下では、自宅のルータがデフォルトの設定のままであったり、外部からの業務システム利用のために導入したクラウドサービスのアクセス制限に不備があったりするなど、セキュリティ上の弱点があるため、リスクを増大させます。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

ランサムウェア攻撃の対象がクライアント(従来のランサムウェア攻撃の対象)から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

ランサムウェアの脅威は日々進化しており、その対策もまた常に更新される必要があります。この記事が、ランサムウェアの理解を深め、適切なセキュリティ対策を促進する一助となれば幸いです。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

クロスサイトリクエストフォージェリ(CSRF)の脆弱性 
-Webアプリケーションの脆弱性入門 4-

Share

「クロスサイトリクエストフォージェリ(CSRF)」は、Webアプリケーションの脆弱性の一つです。この記事では、クロスサイトリクエストフォージェリが何であるか、その攻撃の具体的な仕組みや流れ、想定されるリスクについて解説します。またクロスサイトスクリプティング(XSS)の脆弱性との違い、実際にどのような予防策を取るべきかについても触れます。そしてどのようにして自分のWebサイトやアプリケーションを保護するかについて解説します。

前回までの内容

セッション管理の不備は、Webアプリケーションの脆弱性の一つです。セッションIDが日付・誕生日・ユーザ名など、推測可能なもの作られたりしているなどの問題があると、セッションハイジャック(攻撃者が他のユーザのセッションIDを盗み取り、そのIDを使用してユーザのアカウントに不正アクセスする行為)のリスクを高めます。セッションハイジャックが成立するリスクを高める要因となる脆弱性および攻撃方法には、セッションIDの固定化(セッションフィクセーション)やセッションIDの推測などがあります。脆弱性を悪用した攻撃を防ぐためには、セッションIDを推測困難な値にする、ログイン・ログアウト時に新しいセッションIDを発行する、ワンタイムトークン付与やIPアドレスによる確認などの対策が必要です。

アクセス制御の不備は、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。これにより権限昇格やパストラバーサル(パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスする行為)などのリスクが生じます。主な対策方法として、権限に基づく機能制限、適切なアクセス制御ポリシーの実装などが挙げられます。

セキュリティ対策の実施は常に最新のセキュリティ情報を踏まえて見直し、強化していくことが重要です。セキュリティ専門家に相談するなどして、適切な対策を実施しましょう。

前回記事「セッション管理の不備/アクセス制御の不備の脆弱性 -Webアプリケーションの脆弱性入門 3-」より

クロスサイトリクエストフォージェリ(CSRF)とは

クロスサイトリクエストフォージェリ(CSRF)とは(困る女性)イメージ

クロスサイトリクエストフォージェリ(CSRF)は、攻撃者が罠として用意した偽サイトを用いてリンクや画像をクリックさせることで、ユーザが意図していないリクエストを強制的に行わせることができる脆弱性です。例えば、SNS(ソーシャルネットワーキングサービス)で「いいね!」をする、銀行の振り込み操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。

クロスサイトリクエストフォージェリ(CSRF)攻撃とは

クロスサイトリクエストフォージェリ攻撃の仕組みは、Webサイトでログインしたユーザからのリクエストがそのユーザが意図したリクエストであるかどうかを識別する仕組みがない場合、外部サイトを経由してユーザが意図しないリクエストを送信させ、それをサーバに受け入れさせるというものです。例えば、銀行のサイトにログインしている状態で攻撃者が仕掛けた罠サイトのリンクURLをクリックすると、ユーザの意図しない送金処理などが実行されてしまう恐れがあります。

クロスサイトリクエストフォージェリ(CSRF)攻撃のリスク

クロスサイトリクエストフォージェリ攻撃の特徴は、攻撃者によってユーザが意図しないリクエストを実行させられ、強制的に、情報の変更や購入処理を実行させられてしまうところにあります。注意すべきは、クロスサイトリクエストフォージェリは、システムやアカウントが保有する機能や権限によって様々な被害を受ける可能性があることです。例えば、ユーザの意図しない売買成立での金銭請求、ログイン情報の変更によるアカウントの乗っ取り、データ削除処理の実行によるデータ消失などがあげられます。

クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)の違い

クロスサイトスクリプティングとクロスサイトリクエストフォージェリは、Webアプリケーションのセキュリティ脅威として知られていますが、その仕組みや対策には明確な違いがあります。クロスサイトスクリプティングの基本的な手法は、悪意のあるスクリプトをWebページに挿入し、他のユーザがそのページを閲覧する際にスクリプトが実行される攻撃です。主に出力に対するエスケープ処理の不備が原因で発生します。一方、CSRFは、ユーザがログインしている状態で、攻撃者が仕掛けた誘導URLをクリックさせることで、ユーザの意図しない操作を実行させる攻撃です。この攻撃は、セッション管理やトークンの処理が不適切な場合に主に発生します。企業や開発者は、これらの違いを理解し、それぞれの脅威に対する徹底的な対策や対応を導入することが求められます。注意深くシステムの保護と保守を行い、ユーザの情報を守ることが重要です。

クロスサイトリクエストフォージェリの原因

脆弱性が発生する原因は、Webサイト側でユーザからの正規のリクエストと外部サイトを経由して偽造されたリクエストを区別できないことにあります。セッション管理のためにCookie、Basic認証、またはSSLクライアント認証を使用しているWebサイトでは、このような問題が発生する可能性があります。特に、影響を受けるWebサイトのうち、ログイン後に重要な処理等を行うサイトは、大きな被害につながる可能性があるため、注意が必要です。

クロスサイトリクエストフォージェリ攻撃の対策

クロスサイトリクエストフォージェリ(CSRF)攻撃の対策として、送信されたリクエストが正しい画面遷移によるものであることを確認し、不正な場合には処理を実行しない仕組みを実装してください。画面遷移の制御に利用可能な要素としては、下記が挙げられます。

1. 推測困難かつランダムな文字列(トークン)

2. Originヘッダやカスタムヘッダの値

3. 再認証による本人確認

トークンはセッション単位のリクエストごとに有効とし、別のリクエストに対して使用不可としてください。

セキュリティ対策の取り組み

セキュリティ対策の取り組み(アンケートバインダー)イメージ

このような攻撃を理解し適切な対策を導入することは、Webセキュリティを保護する上で非常に重要です。また、クロスサイトスクリプティング攻撃により、クロスサイトリクエストフォージェリの緩和策が無効化される場合もあるため、多方面からの脆弱性対策の実施も重要です。企業担当者はこの攻撃の仕組みを理解し、常に最新の対策情報を取得して、安全な環境を保持する必要があります。特に自社のWebサイトを運営する場合、定期的な調査や検証を行い、対策を強化することが求められます。

まとめ

クロスサイトリクエストフォージェリ(CSRF)は、ユーザがログイン状態のWebサイトにおいて、攻撃者が偽造したリクエストを送信させることで、強制的に情報の変更や購入処理等を行わせるものです。例えば、SNSで「いいね!」をする、銀行の振り込み操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。この攻撃を防ぐためには、サイトが正規のリクエストと偽造されたリクエストを区別するために、正しい画面遷移によるリクエストであることを確認する仕組みを実装することが推奨されます。また、企業やサイトの運営者は、この問題をよく知って、対策をしっかりと行う必要があります。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

セッション管理の不備/アクセス制御の不備の脆弱性
-Webアプリケーションの脆弱性入門 3-

Share

セッション管理の不備やアクセス制御の不備が存在すると、情報漏えいや不正アクセスのリスクが高まります。本記事では、セッション管理とアクセス制御についての基本的な知識から、脆弱性の概要、脆弱性を悪用した攻撃の手口、そして攻撃を防ぐための対策方法についてご紹介します。

前回までの内容

SQLインジェクションは、Webアプリケーションの脆弱性の一つです。攻撃者は不正なSQL文を挿入してデータベースを操作することにより、データベースの内容を改ざんし、顧客の情報を不正に取得します。SQLインジェクション攻撃はSQL文の組み立て方法に問題があり、攻撃者が挿入した不正なSQL文を誤った命令文として認識してしまうことで発生します。攻撃を受けてしまった場合、顧客情報や決済履歴などの機密情報が漏洩する恐れがあり、企業の信用やブランドイメージに大きなダメージを与えます。対策方法ととして、プレースホルダを使用したSQL文の構成、特殊文字のエスケープ処理、SQLエラー情報の非表示化、アカウントの適切な権限付与などがあります。これらの対策は、データベースのセキュリティを維持し、攻撃を防ぐために重要です。また、SQLインジェクションの脆弱性を検出する方法として、入力フィールドに本来許可されていない文字列を設定し、Webアプリケーションの反応を観察する方法があります。このようなテストを通じて、企業のセキュリティ担当者がSQLインジェクションの脆弱性に対する問題を理解し、社内で情報を共有し、適切な対策とることで、攻撃を未然に防ぐことが可能になります。また、Webサイトの機能追加や新しい攻撃手法の発見等によって生まれた新たな脆弱性には、定期的にセキュリティ診断を実施することで適切な脆弱性対策をすることができます。

前回記事「SQLインジェクションの脆弱性 -Webアプリケーションの脆弱性入門 2-」より

セッションとは

セッションとは、クライアントがサーバに接続してから切断(あるいはログインしてからログアウト)するまでの一連の流れのことです。この一連の流れを管理することをセッション管理と呼びます。セッション管理はユーザの識別や状態の維持のために必要とされます。例えば、オンラインショッピングサイトで商品をカートに追加した際、その情報はセッションとして保存されます。

セッション管理の不備とは

セッション管理の不備/アクセス制御の不備の脆弱性(2人とデータの紙アイコンマーク)イメージ

Webアプリケーションの中には、セッションID(ユーザを識別するための情報)を発行し、セッション管理を行うものがあります。このときセッションIDを固定化できたり、日付・誕生日・ユーザ名で作られたりしているなど、有効なセッションIDが推測可能であるといったセッション管理の不備があると、セッションハイジャックと呼ばれる攻撃が成立する危険性があります。これにより、攻撃者が本来のユーザになりすまして権利を行使することで、プライベートな情報の閲覧や、設定の変更などが行われる可能性があります。

セッション管理の不備の脆弱性を悪用した攻撃

セッションハイジャック

セッションハイジャックは、攻撃者が他のユーザのセッションIDを盗み取り、そのIDを使用してユーザのアカウントに不正アクセスする行為を指します。有効なセッションIDを推測あるいは奪取する手段が存在している場合に、セッションハイジャックが成立するリスクが高まります。

セッションハイジャックが成立するリスクを高める要因となる脆弱性および攻撃方法には、以下のようなものがあります。

セッションIDの固定化(セッションフィクセーション)

攻撃者が事前にセッションIDを設定し、そのIDをユーザに強制的に使用させることができる脆弱性を悪用してユーザのセッションを乗っ取る攻撃方法です。この攻撃は、ユーザがログインする前にセッションIDが設定され、その後も変更されない場合に発生します。

セッションIDの推測

セッションIDが日付や誕生日、ユーザ名で構成されていたり、連番で発行されていたりするなど、簡単に予測できるものであった場合、攻撃者はそのIDを推測してユーザのアカウントにアクセスできてしまいます。また、セッションハイジャックの原因は多岐にわたり、他の脆弱性を悪用されることで有効なセッションIDが奪取される場合もあります。

Webアプリケーション/ネットワークの脆弱性の悪用

攻撃者によりWebサイトの脆弱性を突かれ、不正にユーザとWebサイトの間に介入されたり、ネットワークを盗聴されたりするなどして、ユーザのセッションIDを奪取される可能性があります。代表的な攻撃手法のひとつには、以前の記事で解説した「クロスサイトスクリプティング」も挙げられます。また、通信のやり取りではセッションIDが暗号化されておらず、平文のままデータのやり取りをしている場合にも、攻撃者に狙われやすくなります。

セッション管理の不備の脆弱性を悪用した攻撃を防ぐための対策方法

セッションIDの取り扱いや、セッションの有効期限の設定などに問題がある場合、攻撃者がセッションを乗っ取ることが容易になり、機密情報を盗み見られたり、不正な操作をされたりするなどのリスクが発生します。では攻撃を防ぐためにどのような対策方法をとればよいのでしょうか。以下に例をご紹介いたします。

セッションIDを推測困難なものにする

攻撃者によってセッションIDを推測されてしまった場合、そのユーザになりすまして、本来アクセスできないサイトに第三者がアクセスできてしまう恐れがあるため、セッションIDは推測困難な値にする必要があります。

ログイン、ログアウトといった処理を行う際は、新しいセッションIDを発行する

ログイン時にセッションIDの正当性を検証することで、攻撃者があらかじめ用意したセッションIDを強制的に使用させられることを防ぎます。

セッションハイジャック対策

有効なセッションIDを奪われないようにすることだけでなく、セッションIDを奪われたとしてもセッションハイジャックを成立させないような環境を作るのが対策のポイントです。

  • セッションIDとワンタイムトークン付与によるユーザの確認:セッションIDとは別にログイン成功後にワンタイムトークンを発行し、画面遷移ごとにサーバ側で管理しているトークンと照合します。発行するワンタイムトークンは、推測困難かつランダムな文字列で構成する必要があります。
  • IPアドレスによるユーザの確認:ユーザを特定する情報として、IPアドレスを使用することが可能です。さらに、セッションIDをCookieで管理している場合には、Cookieにsecure属性およびHttpOnly属性を設定することで、攻撃者によるCookie情報奪取のリスクを緩和できます。

対策例としては、上記のとおりですが、セキュリティ専門家への相談も重要です。現在の技術環境では、常に新しい脅威が出現するため、対策は継続的に見直し、強化する必要があります。

アクセス制御の不備とは

アクセス制御の不備とは、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。例えば、一般ユーザとしてログインした際に管理者としての権利を行使できてしまう権限昇格、パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスすることが可能となるパストラバーサルなどです。不正アクセスや意図しない情報の公開をはじめとした、様々なリスクが生じます。

アクセス制御の不備の脆弱性

権限昇格

ログインすることなくユーザとしてシステムに対する操作を実行できたり、一般ユーザが本来与えられていない上位権限(管理者権限等)を一時的に取得することで、システムに対する不正な操作や機能の実行が可能になったりする問題。

パストラバーサル

外部からのパラメータでWebサーバ内のファイル名を直接指定するWebアプリケーションにおいて、URLパラメータを操作して不正なパス名を渡すことで、本来アクセスを許可されていないディレクトリやファイルに対して、攻撃者がアクセス可能になる問題。

不適切な情報の出力

本来権限が与えられているユーザのみアクセスできるものに対して、不正なユーザが本来許可されていない特定のURLにアクセスしたり、操作を行ったりすることで、外部に公開されていない情報(機密情報・ユーザ情報)が閲覧可能になる問題。

アクセス制御の不備を悪用した攻撃を防ぐための対策方法

主な対策方法は以下の通りです。

権限昇格

権限管理を行う際は、外部から値を操作可能なパラメータは使用せずサーバ側で行う実装とし、権限による機能制限を実装する際には、各機能へのアクセス時に実行者のアカウントと権限のチェックを実施します。

パストラバーサル

アプリケーションが取得するファイルは既定のディレクトリに保存し、アクセスするファイルパスを操作できないようにし、サーバ上でアプリケーションを実行するアカウントのアクセス権限を見直します。また、あらかじめ定義したホワイトリストに基づいた入力値検証を実施し、ファイル名に不正な文字列が含まれる場合は、適切なエラー処理を行うことが推奨されます。

不適切な情報の出力

外部への公開が不要なディレクトリやファイルは、外部からアクセスできないように適切なアクセス制御を行います。ログイン認証によるアクセス制御を実施する場合には、適切なセッション管理を伴った認証機構を実装してください。また、アプリケーションの動作に必要がないディレクトリやファイルは削除することを推奨します。

まとめ

セッション管理の不備/アクセス制御の不備の脆弱性(3人と上部にランプがついたアイコンマーク)イメージ

セッション管理の不備は、セッション管理に不備があることで、ユーザになりすまし、プライベートな情報の閲覧や、設定の変更などができてしまう問題です。対策方法としては、セッションIDを容易に推測できないものにし、ワンタイムトークンの発行やIPアドレスによるユーザの確認を行うなど、適切なセッション管理を実装することで、ユーザの情報やデータを安全に保護することができます。

アクセス制御の不備は、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。ユーザに対して、あらかじめ与えられた権限から外れた操作を実行できないようにポリシーを適用することにより、情報の漏えいやシステムの不正操作を防ぎます。

セキュリティ対策を適切に実施することが、Webアプリケーションの安全性を高めるための鍵となります。ユーザの情報やデータを保護するために、セキュリティ専門家への相談、常に最新のセキュリティ情報の収集をすることなどが重要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像