SQLインジェクションの脆弱性、企業が問われる2つの責任とは

Share

この記事では、XSS(クロスサイトスクリプティング)と並ぶ、Webアプリケーションの代表的脆弱性といえる「SQLインジェクション」について解説します。

XSSとSQLインジェクションの違いや、SQLインジェクション攻撃が実際に行われるまでの手口、セキュリティ会社がどのようにSQLインジェクションの脆弱性の有無を判断しているかなどを解説します。また、SQLインジェクションを放置した責任を企業が問われた裁判の判決も紹介し、最後にSQLインジェクションの対策方法を考えます。

SQLインジェクションとは

「SQLインジェクション」とは、データベースを操作する「SQL」という言語を悪用して、Webアプリケーションの入力フィールドに悪意のあるSQL文を入力するなどして行うサイバー攻撃のことです。SQLインジェクション攻撃によって、なりすまし、Webサイトの改ざん、あるいはデータを盗んだり破壊したりといったことが可能になります。

XSSとSQLインジェクションの違い

もうひとつの代表的な脆弱性であるXSSは、Webサイトにアクセスしているユーザに対して攻撃を行います。一方、SQLインジェクションは、攻撃対象がユーザではなくデータベースです。データベースに登録されている全てのデータが攻撃対象になり得るという点で、SQLインジェクションの方が、被害が発生した場合の規模がより大きくなる傾向があります。管理者にとって見つかったらとても嫌な脆弱性のひとつです。

SQLインジェクション攻撃が行われる仕組み

SQLとはデータベースを操作するための言語です。MySQL、PostgreSQL、Oracleなど、さまざまなデータベースで広く使われており、これらのデータベースは、すべてSQLインジェクションの攻撃を受ける可能性があります。

「Shodan(ショーダン)」というちょっと変わった検索エンジンでは、Webサイトのコンテンツではなく、インターネットに存在するコンピュータやIoT機器を探せるのですが、このShodanで「sql」と検索すれば、サーバヘッダに「SQL」が入ったコンピュータやサーバの一覧が山ほどリストアップされます。

サイバー攻撃者は、しばしばこうした情報をもとに標的を探し出し、一覧の中から、SQLインジェクションの脆弱性が放置されているサーバをさまざまな方法で絞り込み、攻撃を実行します。

脆弱性診断の現場でSQLインジェクションはどのぐらい見つかるのか

弊社が実施しているWebアプリケーション脆弱性診断の2020年上半期統計(14業種延べ533企業・団体。4596システムの診断結果)では、SQLインジェクションは、検出される全脆弱性(システム全体の83.9%)のうち1%ほどとなっています。被害が発生した場合のインパクトが極めて大きな脆弱性ですので、これは決して小さい数字であるとは言えません。

SQLインジェクションを検出する方法

一般的なやり方としては、入力フィールドに本来許可してはいけない文字列を設定した場合にWebアプリケーションがどう反応するか、といったことを観察し、SQLインジェクションの脆弱性の有無を診断します。こうした文字列を「診断文字列」と呼ぶことがあります。ちなみに、SQLインジェクションの脆弱性が存在する場合に、個人情報の取得ができるかどうかまでを実際にやってみるのがペネトレーションテストです。

SQLインジェクションの脆弱性を突かれた被害事例、企業が負う2つの責任

SQLインジェクションの脆弱性への対策を怠った結果、Webサイトが攻撃を受けて被害が発生してしまった場合、企業はどのような責任を負うことになるのでしょうか。

運営責任

あるショッピングサイトの被害事例からご紹介しましょう。このサイトでは、SQLインジェクションによる攻撃を受け、クレジットカード情報を含む最大10万件の個人情報が漏えいしました。その結果、営業停止による機会損失に加え、顧客に対する賠償用買い物ポイントの付与、お詫び状送付、被害者対応、インシデントの調査などに多くの費用がかかりました。

これは、欠陥を含むシステムを運営していた代償であり、「運営責任」を問われたかたちです。

開発責任―東京地裁判決より

続いて、運営責任ではなく、システムの「開発責任」を問われた例として、2014年にあった裁判の判決(平成23年(ワ)第32060号)をご紹介します。

とある企業の依頼で開発、納品されたオンラインショッピングのシステムに、SQLインジェクションの脆弱性が存在し、その結果、不正アクセスによる情報漏えい事故が発生しました。開発を依頼した側の企業は、開発会社がセキュリティ対策を怠っていたことを債務不履行として裁判に訴えました。東京地方裁判所はそれを認め、開発会社には約2,200万円の損害賠償支払いが命じられました。

SQLインジェクションはより過失度が大きい脆弱性

情報漏えいとは? 代表的な原因や求められる対応策」で解説していますが、どんな情報が漏えいしたかによって、情報漏えいの深刻度は異なります。たとえば、メールアドレスとセットでそれに紐付くパスワードも漏えいしていたとしたら、メールアドレスのみが漏えいした場合と比べ、事態はより深刻です。

そして、データベースに保存されるのは重要な情報ですから、そこを攻撃対象とするSQLインジェクションは、対策の優先順位が非常に高い脆弱性だといえます。対策を怠り、事故を招いた場合、社会やユーザからは非常に厳しい目が向けられるでしょう。

たとえば、納品したオンラインショッピングのシステムにSQLインジェクションの脆弱性が存在していたら、上述のように債務不履行、納品物の瑕疵とみなされ、SQLインジェクションの脆弱性を放置したままWebサイトを運営していたら、管理義務を果たしていないとみなされる可能性があるのです。

さらに言えば、Webサイトの開発責任が他社にあり、他社から賠償を受けられたとしても、Webサイトの運営側ではエンドユーザに対してなんの申し開きも立ちません。たとえばこれは、食中毒を出したレストランが、顧客に対して「傷んでいた食材を納品した卸業者が悪い」と言えないのと同じことなのです。

SQLインジェクション対策

重要な情報が集まるデータベースは、守るべき優先度がきわめて高く、SQLインジェクション対策としてさまざまな取り組みが行われています。

まず、DevSecOpsの考えのもとでセキュアコーディングを行ったり、開発段階で脆弱性が作り込まれていないかソースコード診断を行ったりすることは、コストパフォーマンスの高い、きわめて有効な対策です。

さらに、近年、SQLインジェクションをはじめとするWebアプリケーション脆弱性に対処する仕組みが、アプリケーションやミドルウェア、開発環境側で整いつつあります。脆弱性のあるWebアプリケーションへの悪意ある通信をブロックするWeb Application Firewall(WAF)の普及も進んでいます。

2021年現在、最新のアプリケーションと開発環境を用いて新規にWebアプリケーションを開発するなら、たとえセキュリティを意識せずに開発に取り組んでいたとしても、SQLインジェクションの脆弱性が作り込まれることは少なくなってきているといえるでしょう。

しかしながら、すべての開発会社が最新の環境で開発を行える、ということはありません。DevSecOpsも、開発の考え方としてはまだ新しく普及はこれからという面があり、また、ソースコード診断を行うことができるような予算やスケジュールを確保できないことも多いでしょう。さらに、開発やリリース時点では脆弱性が存在しなかったとしても、Webサイトの機能追加や新しい攻撃手法の発見等によって、脆弱性は日々新たに生み出されていきます。

こうした実情に対して有効なのは、Webアプリケーションの定期的な脆弱性診断です。SQLインジェクションによるリスクを考えると、これはサイトを運営するならばぜひとも実施すべき対策、といえるでしょう。

まとめ

  • SQLインジェクションとはデータベースを操作する「SQL」という言語を悪用して行うサイバー攻撃、あるいはその脆弱性のことです。
  • Webサイトにアクセスしているユーザを狙うXSSと違って、Webサイトに登録済みのデータを狙うSQLインジェクションでは、より規模の大きい被害が発生する傾向があります。
  • 多くのデータベースではSQL言語が使われており、それらのデータベースはすべて潜在的にSQLインジェクションの攻撃を受ける可能性があります。
  • SQLインジェクション攻撃では、大規模な個人情報漏えいが起こる可能性が高く、そうなった場合、企業は運営責任を問われます。
  • SQLインジェクションの脆弱性を作り込んでしまった会社に損害賠償を命じる判決が下されたこともあります。
  • 最新の環境で開発を行えば発生しづらくなってはいるSQLインジェクションですが、リスクはゼロではありません。定期的な脆弱性診断は有効性の高い対策と考えてよいでしょう。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

「情報セキュリティ10大脅威」3年連続ベスト3入り、
ビジネスメール詐欺を防ぐ手立ては?

Share

今回の記事では、2017年末に日本の航空大手の海外法人が被害を受けたことで一気に警戒感が高まった「ビジネスメール詐欺」について解説します。ソーシャルエンジニアリングの手法を応用したビジネスメール詐欺の手口や攻撃プロセスを説明し、被害件数や被害額なども紹介しながら、どんな対策が有効性が高いのかを考えます。

ビジネスメール詐欺とは

ビジネスメール詐欺とは、入念に準備した偽の電子メールを企業・組織の従業員に送り、不正に送金などを行わせる犯罪です。英語は「Business E-mail Compromise」です。「BEC」と略され、「ビーイーシー」あるいは「ベック」と呼ばれることもあります。

ビジネスメール詐欺の種類

ビジネスメール詐欺にはどのような種類があるのでしょう。独立行政法人情報処理推進機構(IPA)による注意喚起では、詐欺の手口にもとづく、下記5タイプの分類が使用されています。

・取引先との請求書の偽装
・経営者等へのなりすまし
・窃取メールアカウントの悪用
・社外の権威ある第三者へのなりすまし
・詐欺の準備行為と思われる情報の詐取

なお、この分類は、米国政府系機関のIC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際のケースでは、しばしば上記に挙げた手口を複数組み合わせる形で攻撃が実施されます。

ビジネスメール詐欺は人の心理の弱点を突く

ビジネスメール詐欺では、メールアカウント窃取などで技術的な手口も使いつつ、人間の認知能力・心理などの弱みを突いた、巧みなソーシャルエンジニアリングが行われます。

得意先の担当者になりすまし「振込先の口座が今月から変更になった」と連絡する、海外出張中の社長を装い「緊急な案件で資金が必要だ」と確認の余地なく従わせる、「明日の正午までに」と時間を区切って切迫感を高める、頼れる知人のふりをして「君にしか相談できない」と内密感をかもし出し発覚を遅らせる、などなど、やり方は実に多彩です。攻撃者は、ある意味、人間心理を知り尽くした詐欺のプロフェッショナルとも言え、標的となった相手を信じ込ませるために、ありとあらゆる手段を総動員します。

ビジネスメール詐欺実行のプロセス

ビジネスメール詐欺では、詐欺メールの送り先となるターゲットは、職務等にもとづいてあらかじめ絞り込まれます(例:送金に関わる経理担当者など)。もし同じ職務を担当する社員が複数名いるなら、事前の情報収集で「より攻撃に弱い」とみなせる人物がターゲットになります。典型的な実施プロセスは下記の通りです。

1.標的とする企業の選定
2.フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
3.乗っ取った電子メールアカウントを用いた情報の収集・分析
 例:
 ・組織図や人事情報
 ・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
 ・企業の業務プロトコルや各種社内規定、企業文化
 ・毎月の経理処理のスケジュール
 ・主要取引先の担当者氏名・役職・権限、取引の詳細
 ・ターゲット候補に関する情報
 (性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など)
4.ターゲット、攻撃シナリオの決定
 例:経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
5.詐欺ドメインの取得
 例:大口取引先B社とよく似たドメインの取得、メールサーバの設定 他
6.なりすましメール送信
 例:A氏に対し、C氏を装った電子メールを送信
7.攻撃成功
(なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる)
 例:A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

ビジネスメール詐欺と標的型攻撃メールとの違い

ビジネスメール詐欺は、「ターゲットを絞り込む」という点で、「APT」と呼ばれる標的型攻撃で使われるメールと似ていますが、その目的をみると、両者には明らかな違いがあるといえます。 標的型攻撃の最終的な目標は、多くの場合、航空エンジン設計や新薬開発のような、莫大なお金と時間をかけて生み出された知的財産だったり、ときに重要な国家機密だったりします。一方、ビジネスメール詐欺は、単に「なるべくたくさんのお金をかすめ取る」ことでその目的が達成されます。金銭的報酬を最終目的に、ターゲットについて調べに調べたうえで実行されるのが、ビジネスメール詐欺といえるでしょう。

それぞれの攻撃シミュレーション

<標的型攻撃メール>
攻撃者のターゲットに対して、たとえば「名門大学の新卒学生や取引先を装い、人事担当者に対して履歴書PDF付きのメールや業務に関するファイルを添付したメールを送る」など、ターゲットとなる人物が思わず開封してしまうような内容のメールを送ります。

<ビジネスメール詐欺>
多くは、自分の上司、同僚や見知った人物などとのこれまでの業務上のやり取りに攻撃者が直接介入し、取引先になりすまして、通常の業務プロセスやスケジュールに添って、いつも通り(ただし、振込先の口座が違うなど、一部の情報が異なる)のメールを送ります。

ビジネスメール詐欺の被害件数、被害額

IPAが毎年発表している「情報セキュリティ10大脅威」では、「ビジネスメール詐欺による被害」は2018年に初登場し、いきなり第3位にランクインしました。その後、2019年は2位、2020年は3位です。こうした、上位に居座り続ける脅威には、対策が難しく、いざ発生すると被害が大きなものになりやすいという傾向があります。

では、具体的にはどのくらい被害が出ているのでしょう。前出の米国IC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)によると、2013年10月~2016年5月の統計では、米国内外における被害件数は22,143件、被害額は約31億ドルでした。その後、2016年6月~2019年7月の統計では被害件数166,349件、被害額は約262億ドルとなり、件数、被害額ともに大きく増加しています。*1

日本のデータとしては、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が2019年に実施した調査結果があります。国内企業12社を対象としたアンケートによると、詐欺メールによって請求された金額の合計は、約24億円にのぼったそうです(実際の被害が発生しなかったものも含めて計上)。

英語? 日本語? ビジネスメール詐欺の文面

日本でビジネスメール詐欺が注目を集めるきっかけになった被害事例は、大手企業の海外法人で起こったものでした。そのため「ビジネスメール詐欺は英語」とイメージしがちなのですが、2018年7月には日本語メールによるビジネスメール詐欺の攻撃事例が報告されています。その後、メールの日本語化は着実に進んでおり、2020年のIPAによる注意喚起でも、巧妙化する日本語の偽メールへの警戒が呼びかけられています。たとえ海外法人を持たず海外の取引先が一社もないとしても、安心はできないと考えておくべきでしょう。

ビジネスメール詐欺に有効な対策、ふたつのアプローチ

情報収集プロセスへの対策

ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、「ビジネスメール詐欺実行のプロセス」のフィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取りにも有効です。

実行プロセスへの対策

ビジネスメール詐欺を防ぐには、詐欺メールを見抜くための体系的な対策が求められます。教育によりセキュリティリテラシーの向上を図る、口座の変更などがあったら必ず社内承認を経るといった研修や運用面での対策、そして、偽メールを検知するために電子署名を付与したり、メールセキュリティ製品を導入したりするといった技術的対策、さらに、自社ドメインとよく似たドメインが第三者によって取得されていないか調査を実施するなど、多面的な取り組みが効果を高めるでしょう。

ビジネスメール詐欺ではどこまで自社の情報を集められるのか?

ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と前に述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

そこで求められるのが、前に述べた「ビジネスメール詐欺実行のプロセス」の、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

なお、SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。このサービスでは、攻撃が成功した場合に社内の情報が一体どこまで収集されてしまうのか、どこまで侵入を許し何を知られてしまうのか、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。 もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

まとめ

  • ビジネスメール詐欺とは偽物のメールを送って不正な送金等を行わせる犯罪です。
  • 人間の弱点を突く、という点でソーシャルエンジニアリングのひとつと言うことができます。
  • メールアカウントの乗っ取りなどを行い、企業・組織とそこで働く人について徹底的かつ緻密な調査を実施します。
  • 「情報セキュリティ10大脅威」のベスト3に3年連続ランクインしている極めてやっかいな脅威です。
  • ビジネスメール詐欺を防ぐには、詐欺メールに照準を合わせた対策を多面的に実施することが効果的ですが、一般的なセキュリティ対策も役立ちます。

ずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

企業が絶対にやってはいけないソーシャルエンジニアリング対策の「ある方法」とは

Share

今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせたり、機密情報を漏えいさせたりするサイバー攻撃です。情報収集やシステムへの不正アクセスなどを目的としています。

認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的(ソーシャル)」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込むサイバー攻撃全般のことだといえるでしょう。

脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリングとは、「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

ソーシャルエンジニアリングの具体的手法

以下に典型的なソーシャルエンジニアリングの手法を挙げます。

・ショルダーハッキング
  例)パスワード等をユーザの肩越しに覗き見る
・トラッシング(スカベンジング)
  例)清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
・なりすまし電話
 例)システム担当者などになりすましてパスワードなどを聞き出す
・ベイティング
 例)マルウェアを仕込んだUSBメモリを廊下に落とす
・フィッシング(ヴィッシング、スミッシング等 含む)
  例)信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
・ビジネスメール詐欺
 例)取引先などになりすまし、犯人の口座へ振込を行わせる
・標的型攻撃メール
 例)ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

ソーシャルエンジニアリングの最大の特徴とは

人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

オレオレ詐欺はソーシャルエンジニアリングか

権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか?

答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメール標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

日本で起こったソーシャルエンジニアリングの被害実例

2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

ソーシャルエンジニアリング対策・防止策

では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

「ソーシャルエンジニアリングの具体的手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合(成功してしまった後)の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

企業が絶対にやってはいけないソーシャルエンジニアリング対策

ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

まとめ

  • ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
  • ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
  • ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
  • 環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
  • 懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

まずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

あのEmotetもフィッシング?
~ フィッシング詐欺を読みとき、企業がとるべき対策を考える

Share

いま、インターネットを「フィッシングとは」で検索すると、実にたくさんのサイトが見つかります。その説明を最大公約数的にまとめると、次のような感じです。

フィッシング詐欺とは、偽サイトを作ってオンラインバンキングなどのIDとパスワードを盗み不正送金等を行うもので、ユーザは騙されないように正しいURLかどうかを検証したり、メールの日本語に不自然な点はないかを慎重に確認することが求められます。

確かにそのとおり…なのですが、でも、「これで十分なのか?」と思いませんか? たとえば、「この日本語、完璧…。自分よりうまい」と、偽メールを見て感じたことはないでしょうか。また、偽サイトが作られた場合、本物のサイトを運営している企業はどうすればよいのでしょう。本記事では、フィッシングの最新の脅威動向を踏まえながら、法人視点でフィッシングへの対策を考えます。

フィッシングとは

フィッシングとは、電子通信において、信頼できる存在になりすまして、ユーザ名やパスワード、クレジットカード情報などの機密情報やデータを入手する詐欺的な行動のことを指すとされています。信頼できる存在になりすます点で、ソーシャルエンジニアリングのひとつです。魚釣りの「Fishing」の「F」を「Ph」にした「Phishing」と表記され、語源には諸説あります。

なお、日本では、「フィッシング詐欺」という言い方が使われることが多いです。「フィッシング」という言葉自体にすでに「詐欺」の意味が含まれているため厳密には重ね言葉なのですが、カタカナのみの語句よりも直感的な分かりやすさはあるといえるでしょう。

銀行が本腰を入れたフィッシング詐欺対策の成果

日本では、都市銀行や地方銀行などの金融機関が、フィッシング詐欺の危険性を訴える啓発キャンペーンを組織的に行ってきました。その結果、フィッシングといえば、偽サイトなどに誘い込んでIDとパスワードを不正に入手するサイバー攻撃であるというイメージが定着し、前述のような「正しいURLかどうかを点検する」「メールの日本語に不自然な点はないかを確認する」といった対策が普及してきました。しかし、これがフィッシングのすべてを表すわけではもちろんありません。

フィッシングの目的とは

サイバー攻撃の包括的フレームワークとして知られるMITRE ATT&CKでは、「フィッシング」は、メールの添付ファイル、メールのリンクのほか、ソーシャルメディア等のサードパーティサービスを用いて実行されると記載されています。また、その主な目的は、標的のシステム上で悪意のあるコードを実行すること、または、有効なアカウントを利用するためのクレデンシャル(身元識別に用いられるID、パスワードなどの情報)を収集すること、とされています。

あのEmotetがやっていることもフィッシング?

2020年に国内で多数の被害が確認されたマルウェア「Emotet」は、PCやブラウザに保存されたクレデンシャルを盗む活動を行ったり、「Trickbot」などのトロイの木馬をダウンロードして、「Ryuk」などのランサムウェアを展開することがわかっています。

Emotetは、ユーザをわざわざ偽サイトに誘導してからクレデンシャルを盗るような悠長なことはしません。ですから、IDとパスワードをうっかり入力して盗られて不正送金されて大変!という、都銀地銀が注意喚起するタイプのフィッシングとは異なりますが、 上記MITRE ATT&CKのフレームワークを踏まえると、明らかに「フィッシングを行うマルウェア」と言えるでしょう。

フィッシングの手法と手口

フィッシングでは、攻撃者は「信頼できる」とみなされる存在を何らかの形で装い、標的を罠にかけます。たとえば、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルなどがそうです。

なお、フィッシングの中でも、特定の企業や個人を狙ったものは「スピアフィッシング」と呼ばれており、攻撃側は、目的を達成するために、標的を徹底的に研究し、特定の相手にとって不自然さを感じさせないメールやフォームを作りこみます。なお、スピアフィッシングにおいて、上級管理職など、組織の重要人物を狙った攻撃は「ホエーリング(「捕鯨」の意)」と呼ばれます。

関連した手法として、DNSの設定を書き換えて偽サイトに誘導する「ファーミング」、電話などの音声通話を用いた「ヴィッシング」、SMSを使う「スミッシング」どもあり、その手口はさまざまです。

フィッシングのターゲットと被害件数

2020年6月にフィッシング対策協議会が公開した「フィッシングレポート2020」によると、フィッシングサイトのURL件数を用いた分析の結果、2019年において最も狙われたビジネス領域はクラウドコンピューティングサービス(2,106件)でした。次いでネットショップ・ECサイト(1,256件)、銀行(882件)、通信事業者(421件)、クレジットカード(350件)の順となっており、これら上位5つのビジネス領域で、件数全体の約8割を占めることが明らかになっています。トップのクラウドコンピューティングサービスが、2位以降を大きく引き離している点に注目しましょう。

「フィッシングと聞くと、銀行の不正送金を連想してしまう」という方は、認識のアップデートが必要かもしれません。なお、同協会に届け出られたフィッシング報告件数自体も、前年比2.8倍(55,787件)というペースで大きく伸びており、この点にも警戒が必要です。

企業にとっての2つのフィッシング脅威

企業にとってのフィッシングの脅威は、大きく2つに分けられるといえます。ひとつは、自社の従業員がフィッシングの餌食になってしまうこと、もうひとつは、自社ブランドをかたるフィッシングサイトが、世界のどこかの国のサーバに立ち上げられてしまうことです。前者においても大きな被害が発生する可能性はありますが、後者の場合は、自分たちのブランド名のもと多くのユーザが被害にあってしまうという点で、次元の違うインパクトを引き起こしかねません。

もし自社のフィッシングサイトが立ち上げられてしまった場合、本物のサイトを運営する自分たちに過失があったか否かにかかわらず、社会的信頼の失墜や、ユーザ離れなどが生じる可能性があります。

無料で依頼できるテイクダウン(閉鎖)

もしフィッシングサイトを立ち上げられてしまった場合、そのサイトを閉鎖するためのアクションを早急に行う必要があります。このアクションのことを「テイクダウン」と言いますが、実は、それに無料で対応してくれる機関があります。一般社団法人JPCERTコーディネーションセンターです。同センターでは、「インシデント対応依頼」という窓口を設けており、企業に代わって、サイト管理者へフィッシングサイトが公開されていることを連絡しフィッシングサイトの停止を依頼してくれます。フィッシングサイト以外にも、複数のインシデントへの対応依頼が可能ですので、ぜひ一度チェックしてみてはいかがでしょうか。

企業にとってのフィッシング対策

自社がフィッシングの標的となった場合に被害を未然に食い止め、もしフィッシングサイトが作られてしまったとしてもその被害を最小に食い止める――これは、Webサイトを持つすべての企業が取り組むべきセキュリティ課題といえるでしょう。では、具体的にどうすればよいのか。例として、フィッシング対策協議会による「重要5項目」をご紹介しましょう。

1.利用者に送信するメールには「なりすましメール対策」を施すこと
2.複数要素認証を要求すること
3.ドメインは自己ブランドと認識して管理し、利用者に周知すること
4.すべてのページにサーバ証明書を導入すること
5.フィッシング詐欺対応に必要な組織編制とすること

あなたの会社の取り組みは、いかがでしょうか?もし、どこから手を付けてよいのかわからない、ということであれば、セキュリティ専門企業に相談されることをおすすめします。

もしフィッシングの被害にあったら

それでは、自社の従業員がフィッシングの被害にあうことを防ぐにはどうすればいいでしょうか。

いわく「メールの送信元を確認する」「メールやSMSの文面に違和感がないかチェックする」「正しいURLか確認する」等々…。冒頭でも述べましたが、検索上位に並ぶこうした対策は、一昔前から変化がありません。もちろん、いずれも間違ってはおらず、こうした基本的啓発活動の重要さは今後も変わることはないのですが、攻撃者の技術力は日進月歩です。たとえば今日、偽メール文を見て日本語の不自然さをみじんも感じない、というケースは少なくありません。

基本対策を実践するのはまず当然として、今後は、「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提での対策も考える必要があります。BBSecでも、この認識のもと、「もしフィッシングにひっかかってしまった場合、どこまで企業の資産に被害が及ぶのか、その結果、どれだけビジネスインパクトがあるのか」を検証するサービスを提供しています。

まとめ

  • フィッシングとは、信頼できる存在を装って、守秘性の高いデータの取得を図るサイバー攻撃です。
  • フィッシングの一環として、悪意のあるコードを実行する活動が行われることもあります。その意味で、あのEmotetでやられていることもフィッシングといえます。
  • フィッシングの攻撃対象としては、銀行やECサイトが連想されがちですが、実はもっとも多いのはクラウドコンピューティングサービスです。
  • 自社ブランドのフィッシングサイトが立ち上げられてしまった場合、専門機関を介して閉鎖依頼をかけることができます。
  • フィッシングの手口は巧妙化・多様化しています。「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提で対策をとることが必要です。

まずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

Botの脅威!
IoT機器を踏み台にする新たなボットネットも登場

Share

いろいろな場面で「ボット(Bot)」という言葉を耳にします。今回の記事では、仕事や暮らしを便利にする「良いボット」ではなく、感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用される「悪いボット」について、その感染経路や、攻撃活動の種類、感染予防の対策などを解説します。また、近年問題になっているIoT機器に感染するボットの被害事例を紹介し、IoT機器のメーカーやユーザが実施すべき対策について考えます。

ボット(Bot)とは

「ボット」とは「ロボット」に由来する言葉で、特定の作業を自動で行うプログラムやアプリケーション、機器のことです。iPhoneに搭載されたSiriなどのチャットボットが身近な例として挙げられます。いずれのボットも、プログラムに従ってアルゴリズムやAIで判断を行い、定められたタスクを実行します。

人間の手間を減らし生活を便利にするのが本来のボットの役割ですが、サイバーセキュリティの世界には、コンピュータやネットワークに脅威を与える「悪いボット」がたくさん存在します。ひょっとしたら、この記事を読んでいるあなたのPCの中にも「悪いボット」が隠れているかもしれません。

マルウェア、ウイルスとボットの違い

ボットはマルウェア、ウイルスの一種です。「『マルウェア』とは何か?」の記事で説明したトロイの木馬と同様に、感染したPCにバックドアを作り、PCを外部から遠隔操作可能な状態にします。PCのユーザは感染に気づかないことが多く、ボットオーナーの意のままにPCが操られます。

感染端末への外部からの遠隔操作は、C&C(シー・アンド・シー)またはC2(シー・ツー)などと呼ばれるサーバを通じて行います(C&C、C2とは「Command and Control:指示と制御」の略です)。

ボットウイルスに感染した端末を「ゾンビPC」と呼ぶこともあります。たとえばDDoS攻撃などに悪用されるボット化した大量のPCのイメージが、ホラー映画に登場するゾンビの群れに似ていることから名付けられたと言われています。

ボットの予防対策と感染経路、検知、駆除

ボットの感染対象は、近年PCだけでなく、スマホやIoT機器にまで及んでいます。感染経路は通常のマルウェアと変わりません。PCやスマホの場合はメールの添付ファイル、URLのクリック、Webサイトの閲覧で感染することもあります。

ボット感染の予防対策は、PCやスマホについてはOSやソフトを最新の状態にアップデートしたり、アンチウイルスソフトを最新の状態にすることが求められます。これも通常のマルウェア対策と変わりません。アンチウイルスにパターンファイルが存在するボットであるなら、検知して駆除することができます。また、「ランサムウェア」の記事で説明したEDRを使うことで、ボットによって実行される攻撃活動を検知できる場合もあります。

しかし、どんなに対策をとっていたとしても、亜種が次々と開発され、攻撃手法も変化し、常にすべてを防げるとは限らない点も通常のマルウェアと一緒です。

スパム送信やDDoS攻撃、ボットの活動の種類

ボットは、宿主であるPCなどの機器のインターネット接続とCPU資源を用いて、スパムメール送信やDDoS攻撃など、コンピュータとインターネットにおけるさまざまな反社会的活動を行います。近年は、スマホアプリの中で動作し、不正や詐欺などを行うボットも存在します。

ボット化した端末が大量に集められ、制御下におかれた状態を「ボットネット」「ボットネットワーク」と呼びます。ボットネットは、スパムメール送信やDDoS攻撃など、規模がものを言うサイバー攻撃のインフラとして悪用されます。単なるトロイの木馬とボットとの違いは、このボットネットを形成するかどうかという点にあります。

近年、IoT機器に感染を広げ形成される、大規模なボットネットが問題となっています。

なぜボットはPCだけではなくIoT機器を狙うようになったのか

2016年、当時セキュリティの歴史上最大と言われたDDoS攻撃を行ったのが、「Mirai」と呼ばれるマルウェアによって形成されたボットネットでした。Miraiの特徴は、ネットワークカメラやルータなど、家庭内のIoT機器を主要ターゲットとしていたことです。なぜ家庭内のIoT機器が狙われたのでしょう。

それは、IoT機器がPCなどと比較して、1)工場出荷時のままで使用されることが多い、2)PCより圧倒的に台数が多い、3)外部からの接続を許容することが多い、という3条件がそろっていることが背景にあります。これらの条件がそろうと、犯罪者は単一の手法で一気に大量の機器を感染させることが可能となり、大規模なDDoS攻撃などを成立させることができるのです。

IoTボットの感染経路:Miraiの場合

悪名高いMiraiマルウェアの場合、Telnetに割り当てられるTCPの23番ポートが開いていないか探索したり、管理画面に辞書攻撃(「ブルートフォース攻撃」の記事を参照)などを行って不正にログインするなどして、ボットがインストールされました。

しかし、これらの感染経路や攻撃の特徴も、日々アップデートされ変化していきます。さすがに、本稿執筆時の2020年時点で、TCP23番ポートの開放は少なくなっており、かわりにUniversal Plug and Play(UPnP)が利用するポートを狙う攻撃などが観測されています。

メーカー/ユーザ別、IoT機器のボット感染対策

IoTボット感染対策としてIoT機器メーカーは、「パスワードをデフォルトで使えないようにする」「telnetが利用する23番ポートやUPnPが利用するポートなど、悪用される可能性があるポートに外部からアクセスできないようにしておく」などの対策を行うことが求められます。また、販売後のサポート体制の一環としてセキュリティパッチを継続して一定期間提供し続けることや、セキュリティパッチの自動適用の機能を搭載するといったことも必要でしょう。

一方、ユーザ側は、まずは「パスワードをデフォルトで使わない」「パスワードを長くする」「メーカーのセキュリティパッチが出たらすぐに当てる」など基本対策が大事です。しかし、セキュリティパッチの適用は一般のご家庭ではなかなか実行が難しいところではないでしょうか。また、TCP23番ポートのインターネットへの開放など、攻撃に悪用される可能性のある設定の修正も推奨されますが、これもまた一般のご家庭での対応は難しいところではないかと思います。

自分でセキュリティパッチが当てられない、設定の変更は難しいといった状況でIoT機器を購入される際は、セキュリティパッチの自動適用機能の有無や、セキュリティ上の懸案事項が出た場合のメーカーの対応などもチェックするとよいでしょう。また、古いネットワークカメラやルータなどのIoT機器については、サポート期限が切れている場合や、セキュリティパッチ自体の提供ができない・終わっているといったものがあります。こういった機器については(特にテレワークで在宅勤務をされている場合には)早急に買い替える必要があります。

IoTボットに狙われる脆弱性の検知事例

SQAT.jpを運営する株式会社ブロードバンドセキュリティは、脆弱性診断ペネトレーションテストをはじめとして、APIIoT機器まで、さまざまなセキュリティ診断サービスを提供しています。

診断対象のTCP23番ポートが外部に向けて開いていたというのは、脆弱性診断で数年前であればたびたび指摘される項目でした。最近ではTCP23番ポートの開放が指摘されるケースはまれですが、代わりにIoT機器がDoS攻撃等の脆弱性がある古いバージョンのファームウェアを使っていたことを指摘するといったケースが出ています。社内で利用するPCやIoT機器に、ボットの侵入や悪用を許す弱点がないかを判断するためには、日頃の基本対策だけでなく、第三者による脆弱性診断やペネトレーションテストが役に立ちます。

まとめ

  • ボットとは、特定の作業を自動で行うプログラムやアプリのことです。チャットボットに代表される「良いボット」とサイバーセキュリティ上の脅威となる「悪いボット」があります。
  • 「悪いボット」はウイルスやマルウェアの一種で、ボットネットと呼ばれる感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用されます。
  • ボットネットは、スパムメール送信やDDoS攻撃など、大規模なサイバー攻撃に悪用されます。
  • 攻撃の容易さや台数が多いことから、PCだけでなくIoT機器を狙うボットが増えています。
  • ボットの感染予防として、他のマルウェア同様、OSのアップデートやソフトウェアを最新に保ち、不要なポートを閉じるなど基本対策が有効です。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

DXとセキュリティ

Share

今回は、デジタル技術を活用して経済にイノベーションをもたらすDXと、そのセキュリティについて考えます。「DX」と「IT化」との違いや、日本企業のDXを阻害すると考えられている「2025年の崖」とは何か、そして、政府によるDX推進のための補助金などを紹介します。

また、DXと歩みを同じくするように進化を続けるサイバー犯罪に対応するための心構えについても、今回は考えてみたいと思います。

DXとは

DXは、Digital Transformation(デジタルトランスフォーメーション)の略称です。Trans(トランス)には「交差する」という意味があり、「Trans」を「X」と表記することがあるため(「X」は線が交差しているから)、「DT」でなく「DX」と略されます。

DXとは、デジタル技術を活用してビジネスやサービスを変革し、イノベーションを推進することです。

単なる「IT化」と「DX」の違い

これまでの「IT化」は、既存のビジネスにITを導入することによって、「効率化」「省力化」「高速化」を行いました。既存のビジネスプロセスや商習慣は大きく変わることなく、IT技術はあくまで「手間を減らすため」「少ない人数でできるようにするため」「以前よりも速くするため」に奉仕する存在でした。

一方でDXは、従来の方法を単に強化してサポートするだけではなく、デジタル技術が生み出すイノベーションによって、全く新しいビジネスモデルを生み出す点が異なります。

レガシーに足を取られて前進できない~DXを阻む「2025年の崖」とは

経済産業省は2018年、「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」と題した報告書を公開し、日本経済のDXを阻害する要因に対して警鐘を鳴らしました。「2025年の崖」とは、過去の「IT化」によって生み出されたシステムのメンテナンスに予算と人員がとられて、日本経済が停滞してしまうという予測です。

森喜朗首相(当時)によって「IT革命」が叫ばれた西暦2000年頃、NHFを代表とするシステムインテグレータ企業は、日本企業の複雑かつときに奇怪にすら見えたビジネス慣習に、いかに寄り添って微細にカスタマイズをして納品するか、その腕前を競い合いました。こうして複雑にカスタマイズされたシステムが年を経て技術が時代遅れになり、ブラックボックス化して機能追加もままならなくなり、管理も属人化してしまいました。

経産省のレポートでは、こうした新しい価値を生まないシステムの維持のために、IT投資の9割が使われ、それによって日本経済が停滞すると予測しています。まさに砂漠に水を撒き続けるような状態です。

技術的な負債となり得るIT投資

(出典:経済産業省「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」)

あなたの会社が今やろうとしていることは、このようなIT投資になっていないでしょうか。DXを進める際に注意したいポイントです。

DXの成功事例、Uberは何が革新的だったのか

配車サービスのUberは、DXの成功事例のひとつといえるでしょう。乗り合いサービスを提供したいドライバーと利用者をマッチングするアプリは、世界各国で使われています。GPSと地図、マッチングと評価の機能、Uberが用いているのは特段新しい技術ではありません。Uberが行ったのは、新しいビジネスモデルの創出なのです。

一方でUberは、ロンドンやニューヨークをはじめとする世界中で、タクシー業界を壊滅させるサービスとして猛反発を受けています。既存の業界やビジネスプロセス、商習慣に対して、ときに破壊的インパクトを与えるのもDXの特徴のひとつといえるかもしれません。

2025年の崖にも、DXによる解決方法はきっとあるはずです。

税金や補助金など、DX優遇あれこれ

人口減少社会に突入した日本経済の起爆剤として、政府はDXを強力に推進しています。2020年10月には、大手経済紙が、2021年度の税制改正で、DXを進める企業への税制優遇策を政府が検討していると報じました。

税制優遇は詳細がまだ明らかにはなっていませんが、その他にも「IT導入補助金」「DX認定制度」など、DXを推進するためのさまざまな施策が政府の後押しで行われています。あなたの会社でも利用できるものがあるかどうか、一度調べてみてもいいかもしれません。なお、2020年度の「IT導入補助金」交付申請締め切りは、2020年12月18日17時です。

革新が進むサイバー攻撃

残念ながら、サイバー攻撃もまた、DXによってイノベーションが進んでいます。これまでもサイバー攻撃は進化を続けてきましたが、サイバー犯罪にも質的変化や革新が起こりました。

たとえばランサムウェアは、1989年に初めて発見され、長らくパッとしないサイバー犯罪のひとつとして存在し続けていました。しかし2013年、身代金受け取りにビットコイン等の仮想通貨を用いるというビジネスモデルの刷新によって、一転「収益を生むサイバー犯罪」に変わりました。近年、暗号化して人質にしたデータの復号だけでなく、データを一般公開すると脅し二度金銭を要求したり、大事なデータをオークションで販売するなど、ランサムウェアは悪質化の一途を辿っています。

「DX with Cybersecurity」、SQAT.jpが考える3つのキーワード

内閣サイバーセキュリティセンター(NISC)は、報告書「サイバーセキュリティ2020 」の中で、「DX with Cybersecurity」として「サイバーセキュリティ対応能力の効果・効率を向上させるためにDXを推進する」と記載しています。

なかなか難しい「DXとセキュリティ」というテーマではありますが、SQAT.jpとしてあえて3つのキーワードを挙げてみましょう。

1.担当者だけではない

デジタル技術そのものが新しい価値と利益を生み出すDXでは、セキュリティは情報システム部門やセキュリティ部門、あるいは品質管理部門や経営企画だけが担えばよいものではなく、すべての部門が自分事として取り組む必要があります。事業会社であるなら、たとえ間接部門に所属していても全部署の人が利益を考えて活動しなければならないことと同じように、全社員がセキュリティを考えて動く必要があります。

2.能動的セキュリティ

これまでセキュリティは、攻撃を未然に防ぐよう対策を行い、万一事故が発生したらそれを受けて対応するのが常でした。しかしこれからのDX時代は違います。企画段階からセキュリティバイデザインで要件定義を行い、将来脆弱性を生まないように、コード診断を行いながらDevSecOpsで開発をスピーディに進めるなど、先手先手でセキュリティの試みを能動的に行うようになるでしょう。「シフトレフト」があたりまえになって、その言葉すらなくなるかもしれません。

3.持続・継続性

DXによって生み出されるサービスの多くでは、「新時代の石油」と呼ばれる「データ」、つまり、位置情報や決済情報、健康情報等と結びついた個人情報が、渦となって集積することになるでしょう。セキュリティを担保する活動を定常的に行い続けることが、DX時代の企業の新しい存在意義のひとつになると考えられます。そこでは、クラウドの活用や自動化の推進、優秀な人材の確保が欠かせません。また、SQAT.jpが提唱してきた「セキュリティのかかりつけ医」的な会社との関係を構築することも鍵になるのではないでしょうか。

DX時代もセキュリティの本質は変わらない

DX時代、セキュリティ業務はその対象をIoTやAPIにまで拡大し、その方法も様変わりしていくことが予想されます。しかし、脆弱性診断で隠れたセキュリティホールを探したり、脆弱性が報告されたらすばやくパッチをあてたり、日々パスワード管理を行ったりするなど、安全を守るための活動を日々積み重ねていくことの重要性に変わりはありません。

DXの時代はむしろ、全社にセキュリティの重要性が認識され、受け身だった仕事に能動的な側面が増えることで、セキュリティの業務の価値がいっそう高まっていくでしょう。

まとめ

  • DXとは、デジタル技術を活用してビジネスにイノベーションをもたらすことです。
  • 既存のビジネスにITを導入するだけの「IT化」とDXは異なります。
  • 複雑にカスタマイズされてブラックボックス化した既存システムは企業のDXを阻害します。
  • 政府は優遇税制や補助金などを用意してDXを推進しています。
  • サイバー犯罪もまた革新と進化を続けています。
  • しかしDX時代とはいえ、セキュリティ業務の本質は何ら変わるものではありません。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

ランサムウェア その被害と対応策、もし感染したら企業経営者はどう向き合うべきか

Share

企業内のデータを勝手に暗号化して使用不能にし、元に戻すための身代金を要求するサイバー攻撃「ランサムウェア」について解説します。人命に関わる事態を引き起こした、海外のランサムウェア被害事例や、20年以上前から存在していたランサムウェアが、近年これほど多く被害が報告されるようになった理由を考え、感染経路と対策方法、注意事項をお知らせします。

ランサムウェアとは

ランサムウェアとは、PCのハードディスクやファイルサーバのデータ等を攻撃者が暗号化し、大事なデータにアクセスできないようにしたうえで、元に戻してやるからと称して「身代金(Ransom)」を支払うよう個人や企業を脅迫・恐喝するマルウェアです。

たとえば、ある日全データが使えなくなってしまったら、業務が止まって組織の存続に関わる影響が生じます。

身代金はビットコインなどの仮想通貨で要求されることがほとんどです。ただし、支払ってもデータ等が必ず元に戻るとは限りません。また、暗号化されたファイルのパスワードを解析して、自力で元に戻すことは、ほぼ不可能です。

ランサムウェア感染事例、間接的な死亡者も

2017年5月、「WannaCry(ワナクライ)」と呼ばれるランサムウェアが世界中で猛威を振るい、日本の大手企業も被害を受けたことが新聞やテレビで大きく報道されました。この報道でランサムウェアを知ったという方もいらっしゃるのではないでしょうか。

今年に入ってからもランサムウェアの被害は増え続けており、2020年7月には、スポーツ用のスマートウォッチで知られる米ガーミン社がランサムウェアの攻撃を受け、サービスが一部停止しました。

つづく2020年9月には、ドイツの病院のシステムがランサムウェアに感染、搬送予定だった患者の受け入れができなくなることで、治療が遅れ、その結果亡くなるという痛ましい事件も起こっています。

ランサムウェアの歴史と隆盛の理由

世界初と考えられている「AIDS(エイズ)」と呼ばれるランサムウェアは1989年に発見されました。それから20年以上にわたってランサムウェアは、サイバー犯罪の地味な手法のひとつに過ぎませんでした。

しかし、その後、2013年に発見された「CryptoLocker(クリプトロッカー)」のように、ビットコインなどの仮想通貨を用いることで、警察などの追跡から逃れやすくなるとともに世界中から身代金を請求できるようになるという革新が起き、グローバルで急速に蔓延するようになりました。FBIによれば、2013年10月1日~2019年11月7日のおよそ6年間でビットコインだけで約1億4400万アメリカドルが身代金として支払われるなど、大きな被害を生んでいるのです。

ランサムウェアの新しい傾向「暴露型」「破壊型」とは?

従来はファイルを暗号化して身代金を要求するだけだったランサムウェアですが、新しい傾向として「暴露型」と「破壊型」と呼ばれる類型のものが出てきています。

「暴露型」のランサムウェア攻撃とは、暗号化する前にデータを盗み出し、身代金に加え、企業の機密情報をインターネットに公開するぞと、二重に脅迫を行う新しい手法です。

また、「ランサム(身代金)ウェア」とは、そもそも「お金を払えばデータは元に戻る」という想定のもとに成り立つ犯罪ですが、近年、その想定を外れる、「破壊型」などと呼ばれるランサムウェア攻撃の例も報告されています。

「破壊型」は、システムやビジネス、施設等にダメージを与えることを目的としてデータの暗号化を行うもので、内閣サイバーセキュリティセンターが2018年に公開した資料では、こうしたランサムウェアは「機微な情報や重要な社会インフラ等を取り扱う組織にとって(中略)機能停止を引き起こす別次元の攻撃となり得る」と言及されています。

ランサムウェアだから身代金を支払えば済むと思っていたら、ファイルを暴露されたり、システムを破壊されたり・・・そんなケースが起こりうるのです。

ランサムウェアの感染経路

ランサムウェアは、すでに感染したUSBメモリやCD-ROMなどの可搬媒体の使用によって感染することもありますが、最も注意すべき感染経路は、電子メールとWeb閲覧のふたつ、つまり、電子メールに含まれた悪意ある添付ファイルを開くことと、本文中のURLをクリックすることによる感染です。

中でも知っておきたいのが、マルウェアを介してランサムウェアに感染するというケースです。たとえば、「Emotet(エモテット)」に感染したとしましょう。Emotet自体はランサムウェアではなくマルウェアで、ご存じの通りメールアカウントの乗っ取りや、過去のメールデータを盗み出すことで知られています。しかしEmotetはこれ以外に、「Trickbot(トリックボット)」「Qbot(キューボット)」などのトロイの木馬ウイルスをダウンロードすることでも知られています。

それらをダウンロードした後どうなるかというと、たとえばTrickbotであれば、Trickbot自体のランサムウェアとしての機能があり、その機能を使ったランサムウェア攻撃を行うことがあります。また、Trickbotは他のランサムウェア、たとえば「Ryuk(リューク)」「Conti(コンティ)」などを追加でダウンロードしたうえでランサムウェア攻撃を実行することもあります。

このように、1つのマルウェアに感染することで様々なランサムウェアに感染する可能性があり、攻撃のパターンも複数あるということを認識しておく必要があります。

EDR、SIEM、標的型攻撃メール訓練がランサムウェア対策に有効

ランサムウェアの対策として、EDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)製品を活用して、早期検知とブロックを行う方法がよく知られていますが、最大の感染経路のひとつである「メール」を対象にした訓練を行うことも有効でしょう。

ランサムウェア対策のメール訓練としては、「定型のメールを一斉送信し、部署毎に開封率のレポートを出す」ことに加え、事前に会社の組織図や業務手順等のヒアリングを行ったうえで、よりクリックされやすいカスタマイズした攻撃メールを作成し、添付ファイルや危険なURLをクリックすることで最終的にどんな知財や資産に対してどんな被害が発生するか、具体的なリスク予測までを実施することをおすすめします。

セキュリティ企業のサービスを検討する際は、こうした対応が行えるかどうかを選定の条件にするとよいでしょう。さらに、ひとたび社内に入り込んだマルウェアやランサムウェアがどのように感染拡大する可能性があるかを診断するサービスを利用することも、対策を立てるうえでの選択肢として考慮すべきでしょう。

以前、不正アクセスに関する記事の解説で、「かかりつけ医」ならぬ「かかりつけセキュリティ企業」を持つことの、有事の際の心強さをご説明しましたが、こうしたサービスの利用をきっかけとして、信頼できるセキュリティ企業を見つけるのもいいかもしれません。

なお、ブロードバンドセキュリティでは、標的型メール訓練、標的型攻撃リスク診断「SQAT®APT」ほか、多彩なラインナップで、ランサムウェア対策への取り組みをご支援しています。

感染したときのための無料復号ツール

ランサムウェアで暗号化されたデータを復号する無料ツールが、インターネットにいくつも公開されています。欧州刑事警察機構(ユーロポール)やセキュリティ企業による共同プロジェクト「No More Ransom」によるものなどが有名です。

こうしたツールを使用してデータ復旧を試みることはもちろん可能です。しかし、そのデータが企業にとって重要であればあるほど、デジタルフォレンジックを行う専門企業の支援を受けるのが最善の対応であると、SQAT.jpは考えます。

セキュリティインシデント対応の経験がない技術者がランサムウェアの対応をするのは、全く得策ではありません。その理由は、証拠保全ができなくなり説明責任を果たせなくなる可能性があること、感染経路がわからなくなることで対策が打てなくなり、その結果、企業として自信を持って終息宣言を出せなくなることなど、いくつか挙げられます。

また、もし暴露型のランサムウェア攻撃の場合、データが暴露されることで被害を受けるステークホルダーは、グループ会社や取引先など多岐にわたり、もはや自社だけの問題ではなくなります。そもそも暴露型であることなど、攻撃の初期段階ではわからないのです。

ランサムウェアの身代金を支払うとマネーロンダリングの犯罪に?

なんらかの理由で攻撃者に対して身代金を支払うという決定を組織が行った場合、たとえばアメリカ合衆国財務省はランサムウェアへの身代金支払いをマネーロンダリングの一種、すなわち違法行為とみなすことがあり、事前に米財務省への申請が必要になる場合があることをご存じでしょうか。支払いのためのアドバイザリーが公開されていますので、外資系企業や米国子会社のある企業は注意しましょう。

また、たとえ日本企業であっても、反社会的勢力に対して金銭を供与するという事実は何ら変わりません。事前の充分な法的配慮が必要となることは言うまでもないでしょう。

なお、支払っても元に戻るとは限らないことをここで再度申し上げておきます。

まとめ

  • ランサムウェアとは大事なデータを暗号化して元に戻す際に身代金(Ransom)として、お金の支払いを要求するマルウェアのことです。
  • 世界中でランサムウェアの被害が報告されており、ドイツの病院のランサムウェア攻撃事例では死者が出ています。
  • 身代金支払いにビットコインなどの仮想通貨を用いるなど、ランサムウェアは進化し、世界中で大流行するようになりました。
  • データを暗号化するだけでなく、データを盗み出してインターネットに公開する「暴露型」など、新しいランサムウェア攻撃の事例も報告されています。
  • ランサムウェアの主な感染経路のひとつがメールであるため、ランサムウェア対策には、EDR、SIEMに加え、標的型攻撃メール訓練が有効です。
  • アメリカではランサムウェアの身代金を支払うと、マネーロンダリングに加担したとみなされることがあるので、注意が必要です。

まずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

クラウドとテレワーク時代、企業に二要素認証・多要素認証の利用が求められる理由

Share

二要素認証とは、IDとパスワードだけでなく、パスワードに加えてトークンや指紋など、計2つの要素を用いて本人確認を行うことです。今回の記事では、認証に用いられる3つの要素に触れながら、「多要素認証」「二段階認証」との違い、実際の使用例、アメリカ国立標準技術研究所(NIST)の認証に関するガイドラインなどを解説し、企業がこうした認証方式をどのような場合に用いるべきかを提案します。

二要素認証とは

インターネットにおける「認証」とは、たとえば、あるWebサービス等を利用しようとしているユーザが、本当にその本人であるか、その正しさを確認するプロセスや行為のことです。「二要素認証」とは、セキュリティ水準を高めるために、ふたつの要素を用いて認証を行うことです。

「KNOW」「HAVE」「ARE」、認証に用いる3要素とは

「要素」とは、認証に用いる情報等のことです。たとえば、あるWebサービスの利用時、IDとパスワードの入力が求められるのであれば、それは「IDを持つ人がこの人であるかどうかを確認するためにパスワードという要素が用いられている」ということになります。

要素には、パスワードのような「ユーザが知っていること(something you know」、部屋のカギのような「ユーザが所持しているもの(something you have」、指紋や虹彩(眼球の瞳の周辺にある膜)のような「ユーザ自身であるもの(something you are」などがあり、このうちどれかふたつの要素を用いて認証を行うことを二要素認証と呼びます。

二要素認証を行えば、従来のようなパスワードだけを用いた認証よりも、セキュリティ水準を高めることができます。

「二要素認証」と「二段階認証」「多要素認証」の違い

過去に日本国内で普及していた認証方法に「二段階認証」があります。これは、パスワード入力の後に「秘密の質問」などを設けて、ユーザが知っていることを用いてもう一回認証を行い、セキュリティを高めようとするものです。

「多要素認証」とは、「ユーザが知っていること(something you know)」「ユーザが所持しているもの(something you have)」「ユーザ自身であるもの(something you are)」のうち、ふたつ以上の要素を用いて認証を行うことで、二要素認証は多要素認証に含まれます。

なお、多要素認証は英語では「MFA(Multi-Factor Authentication)」と表記され、2つの要素を用いる場合に「Two-Factor Authentication」という呼称が使われることがあります。

よくある「秘密の質問」は、セキュリティ的にはどうなのか

余談になりますが、「秘密の質問」を用いるタイプの二段階認証は、2020年現在、ユーザの認証手段に常時使われることは望ましくない、というのが多くの専門家の認識となっており、多要素認証が利用できない場合の非常代替手段として、またはアカウントの回復に用いる認証の一部として、限定的に用いられることが望ましいとされています。

もし秘密の質問を使う場合には、「(何年たっても思い出せる程度に)記憶できる」「(何年間も答えが変わらず)一貫性がある」「(どんなユーザでも)回答可能である」「(攻撃者が答えを知ることがない程度に)機密性が高い」「(どのユーザでもわかるように)明確である」という5つの条件を満たすことが望まれます(*)

基準となるNISTのガイドライン

アメリカ国立標準技術研究所(NIST)が公開しているガイドライン「SP 800-63」(最新版は2017年公開の第三版「SP 800-63-3」)は、オンラインで行われる認証に関して最も参照されるドキュメントのひとつです。

同書は、NISTが考える「電子認証はこうあるべき」を記載したもので、「SP 800-63A」「SP 800-63B」「SP 800-63C」から構成されています。

SP 800-63Aでは認証やIDの管理全般について記述し、SP 800-63Bはトークン等の認証器の仕様として「AAL1」「AAL2」「AAL3」の三種類を定め、SP 800-63Cではフェデレーション認証について記述しています。

日本の経済産業省の規格も「SP 800-63-3」を参照して作られています。

LINE、Google、Facebook、Slack ~ 二要素認証・多要素認証を使用した具体例

すでに、LINEやGoogle、Facebook、LinkedIn、Slackなどの大手ITサービスでは、二要素認証・多要素認証が利用されています。スマートフォンやメールアドレス宛にパスコードを送る、「Authenticator」と呼ばれる認証用アプリにパスコードなどを表示させるなど、方法もさまざまです。

以前「ブルートフォース攻撃」に関する記事で解説したとおり、サイバー攻撃の激化・高度化にともなって、パスワードだけで認証する時代はもう終わりを迎えています。今後、二要素認証・多要素認証は上記に挙げた大規模なサービスにとどまらず、企業内でも積極的に活用されていくことでしょう。では、どんな場面でこれを用いればいいのでしょうか。

「企業が二要素認証・多要素認証を使うべき」2つのシナリオとは

SQAT.jpでは、「セキュリティのレベルが異なる領域間でのアクセスや通信」に対して、二要素認証・多要素認証を使うことをおすすめしています。

具体的な例を挙げると、「クラウドサービスを利用するために、社外のクラウドサービスのアカウントに社内からアクセスするとき」、そして、「テレワーク等の実施のために、社外からイントラネットなど社内にアクセスするとき」のふたつです。

特に、社外からイントラネットなど社内にアクセスするときは、トークンを使った多要素認証を用いたVPN接続をおすすめします。

なお、SNSやメールサービスなどのSaaSで、ユーザ本人のアクセスであることを確認する必要性が高いサービスなどでも、多要素認証が用いられることが多いといえます。社内からこうしたサービスにアクセスしている場合、当該サービスが多要素認証を適用しているか、適用できるような設定になっているかも確認してみてはどうでしょう。

クラウドサービス利用時はアイデンティティアクセス管理等、認証まわりに注意

SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、主要クラウド(IaaS)を対象としたセキュリティ診断サービスも提供していますが、診断の結果リスクを指摘される事項の大半が、認証に関わる問題です。クラウドサービスを、つい「オンプレミス環境の延長」あるいは「オンプレミス環境と同じ」と考えてしまうことで、誤った設定がなされてしまうことがあるようです。詳細は、「診断結果にみるクラウドセキュリティの今」で詳しく解説していますので、ぜひご覧ください。

まとめ

  • 二要素認証とは、「KNOW」「HAVE」「ARE」という3つの認証要素の中の2つを用いて認証を行うことです。
  • 二要素認証は多要素認証に含まれます。
  • 二要素認証・多要素認証を行うことでセキュリティ強度を高めることができます。LINE、Google、Facebookなど多くのサービスでこの認証方式が使われています。
  • NISTが公開したガイドライン「SP 800-63-3」は認証に関して世界で最も参照されるドキュメントのひとつです。
  • セキュリティのレベルが異なる領域間でのアクセスや通信には、二要素認証・多要素認証を使うことをおすすめします。
  • クラウドサービスを利用する場合は、認証関係の設定ミスに注意しましょう。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

クロスサイトリクエストフォージェリ(CSRF)はサイバー攻撃の「名脇役」?
脆弱性診断におけるCSRFの検出頻度と対策

Share

今回は、XSSのような「大物の脆弱性」と比較すると、一見地味に見えてしまう「CSRF」の意外な危険性について解説します。

CSRFが脆弱性診断の現場で検出される頻度や、見つかった際に行うべき対応、そもそもCSRFの脆弱性をアプリケーションに作り込まないための予防策、また、脆弱性を放置するとGoogle Chromeなどの主要ブラウザでWebサイトを閲覧できなくなることなどを説明します。

CSRFとは

Webアプリケーションの脆弱性のひとつであるCSRFは、「Cross Site Request Forgery(クロスサイトリクエストフォージェリ)」の略称です。読み方は「シーサーフ」です。英語で「Cross」は「X」と表記することがあるため、CSRFを「XSRF」と表記することもあります。

「クロスサイト」は「Webサイトをまたぐ」という意味で、「リクエスト」はユーザがWebアプリケーションなどに処理を要求すること、「フォージェリ」には「偽造品」などの意味があります。CSRFは、攻撃者が罠として用意した偽造サイトを用いて、ユーザが意図していないリクエストを強制的に行わせるサイバー攻撃です。

CSRFとXSSの違い

クロスサイトリクエストフォージェリと似た名前の脆弱性に「クロスサイトスクリプティング(XSS:Cross Site Scripting)」があります。どちらもサイトを横断(Cross Site)してサイバー攻撃が行われる点が共通していますが、それ以外は何ら同じところはない別物で、発見される頻度や攻撃による影響、対策方法は異なります。

脆弱性診断の現場でCSRFはどのぐらい発見されるか

あなたがいまご覧になっているサイト「SQAT.jp」を運営する株式会社ブロードバンドセキュリティでは、日々、さまざまなお客様のシステムに対して脆弱性診断を行っています。

ブロードバンドセキュリティが2020年上半期に総数4,596のシステムに対して行った脆弱性診断の結果、CSRFを含む「セッション管理関連の脆弱性」は17%のシステムで検出され、その中にCSRFは12%含まれていました。つまりCSRFの脆弱性が存在したシステムは17%×12%、全体の約2%になります。ここで2%という数字をどうとらえたらよいのか、このあと、CSRFの攻撃例やリスクを紹介しながら考えていきます。

CSRFによる攻撃と被害例

CSRFの脆弱性を悪用した攻撃事例としては、掲示板等に本人が全く意図していない書き込みをさせた例(「遠隔操作ウイルス事件」や「はまちちゃん事件」が有名)があります。

もしCSRFが脆弱性診断で見つかったら、すぐに対応が必要な場合もあります。特に、個人情報の登録や変更などに関わるログイン後のページで発見された場合は、すぐに修正を行わなければなりません。

意図しない掲示板の書き込み以外にも、CSRFの脆弱性を悪用すれば、たとえば「サイトAにログインして会員登録を行っているつもりが、実際には攻撃者が罠として用意したサイトBにログインしており、そこで個人情報を抜き取られる」ような攻撃が行われる危険性もあります。もしそうなれば、サイト運営者としての責任が厳しく問われることは間違いありません。

対策を怠ると他サイトへの遷移ができなくなる可能性も

また、主要なWebブラウザは、XSSやCSRFなどからの保護のために、脆弱性のあるWebサイトをブラウザに表示させない仕様を整えつつあります。たとえばGoogle Chromeは、Chrome 80以降、サイトを越えてCookie情報をやり取りするためのSameSite属性に対して制限を加え、CSRFを防御可能な設定値のみを許容する方向へと段階的に進んでいます*2 。CSRFを防御可能な設定値については他の主要ブラウザも同様の方向に進んでおり、Webアプリケーション開発においてCSRF対策は(他の対策とともに)取らないわけにはいかないものの一つとなりつつあります。

セキュリティ企業が見るCSRFのリスクとは

なお、わたしたちセキュリティ診断サービス会社にとってCSRFとは、一定頻度で検出されるものの、CSRF単体ではそれほどリスクは大きくない脆弱性です。事実、CSRFだけを使った攻撃事例はあまり多くないのです。

CSRFで注意すべきは、他のサイバー攻撃手法と組み合わされることでリスクや被害が大きくなることです。

たとえば「セッションフィクセーション」と呼ばれるセッションIDを強制・固定化する攻撃と、CSRFの脆弱性を悪用した攻撃を組み合わせることで、「セッションハイジャック」と呼ばれるサイバー攻撃が成立すれば、セッションの乗っ取りが行われ、オンラインバンキングでの不正送金などにつながる可能性があります。

CSRFのリスクは低い? 高い?

CSRFだけを考えてしまうとリスクはそれほど高くないため、対応は後回しにされがちです。しかし実際のサイバー攻撃はそう単純ではなく、いくつもの方法が複合されて行われます。「見つかったらすぐに対応が必要な脆弱性のひとつ」とわたしたちが考える理由がそこにあります。

CSRFは、単体では攻撃者にとってそれほど使い勝手の良い脆弱性ではありません。しかし、CSRFはいわば、自身では主役は張れないものの、サイバー攻撃の主役を引き立てるために機能する、名脇役のような脆弱性と言えるかもしれません。

CSRFの対策とトークンによる保護

CSRFの脆弱性を悪用した攻撃で最も警戒すべきはログインしたユーザをターゲットとした攻撃になります。この場合、ログインしたユーザからの正しいリクエストであることを証明するために、「トークン」と呼ばれる推測困難な文字列を使って確認を行うことや再度の認証を行うこと*2などで攻撃を防ぐことができます。

事実、PHP、Java、ASP.NET等の開発言語で提供されている、Webアプリケーションフレームワーク(Laravel、Spring等)は、CSRFの脆弱性を悪用した攻撃を防ぐために、ユニークなトークンを発行する仕組みを持つようになっています。しかし、それでもなおCSRFの脆弱性が見つかることがあるのです。これはどうしてでしょう。

なぜCSRF攻撃対策のトークンは発行されないのか

開発フレームワークがトークンを発行する機能を持っているのにWebアプリケーションでCSRFの脆弱性が発見される理由は、単純そのもので「そもそもトークンを発行するための1行がかかれていない」*3から、ということが多いのです。「機能があるから大丈夫だろう」という思い込みが思わぬリスクを招きます。

前半で、ブロードバンドセキュリティが行った脆弱性診断の結果、約2%でCSRFの脆弱性が検出されたとお伝えしましたが、リスクを知り、適切な対策を確実に実装することで、この数字をもっと少なくすることができるでしょう。

まとめ

  • CSRFとは、「シーサーフ」と呼ばれる、攻撃者が罠として用意したサイトを用いて、ユーザが意図しないリクエストを強制的に行わせることを可能にする脆弱性です。
  • CSRFとXSSは、どちらもサイトを横断してサイバー攻撃を行う点だけは共通していますが、発見頻度やリスク、対策方法は異なります。
  • もし、個人情報の登録などに関わるログイン後のページでCSRFの脆弱性が発見された場合、すぐに修正する必要があります。
  • Google Chromeほかの主要ブラウザでは近年、CSRFの対策に有効とされる制限を開始しています。対応しない場合にはWebサイトがブラウザに表示されなくなる可能性もあります。
  • CSRFは他のさまざまなサイバー攻撃と組み合わされて利用されることが多いので、たとえCSRF単体のリスクが低くても確実に対策を行うことが重要です。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

ブルートフォース攻撃 ~ IDとパスワードだけのセキュリティはもうオワコン?

Share

ブルートフォース攻撃とは、不正アクセスを行うために、パスワードを総当たりで試すことです。今回は、辞書攻撃やパスワードスプレー攻撃など、さまざまなパスワードへの攻撃を紹介しながら、ユーザと管理者が行うべき対策、そして最新のWebアプリケーションの検証基準であるOWASP ASVS 4.0にも記載のある多要素認証やリスクベース認証を説明し、これからのアカウント保護について考えます。

ブルートフォース攻撃とは

ブルートフォース(Brute Force)とは「力任せ」という意味です。サイバーセキュリティの用語「ブルートフォース攻撃(Brute Force Attack)」とは、パスワードに対する攻撃のことを表し、たとえば数字四桁のパスワードなら「0000」からはじまり「0001」「0002」「0003」…と順に「9999」まで試すことで、いつかは正しいパスワードを確実に探し当てることができる、まさに力づくの攻撃手法です。

知識が不要で、誰でもできる難易度が低い攻撃です。ブルートフォース攻撃を行うためのツールが出回っている点も難易度を引き下げる要因となっています。

辞書、パスワードリスト、リバースブルートフォース、パスワードスプレー…、パスワードを破るサイバー攻撃の手法は多種多様

IDとパスワードだけでログインできるシステムの場合、そのふたつさえ明らかになれば不正アクセスが成立します。そのため、不正アクセスのためにパスワードを破る攻撃は多種多様な工夫が行われ、進化を遂げています。いくつか代表的なパスワード破りの攻撃を紹介しましょう。

・辞書攻撃
全く意味のない文字列を暗記するのは難しいため、多くの場合人間は意味のある言葉をパスワードに用います。辞書攻撃は、一般的な単語やあるいはよくパスワードに使われる言葉(「123456」「qweryty」「password」etc.)を試していく攻撃方法です。ブルートフォース攻撃よりも時間がかかりません。

・パスワードリスト攻撃
たとえば同一のメールアドレスで、A、B、C三つのWebサービスに登録しており、WebサービスAの情報漏えいによってIDとパスワードのリストが流出した場合、パスワードを使い回していた場合、サービスBとCにも不正アクセスされてしまう可能性があります。すべてのサービスでパスワードを別々に管理することが難しい点を突いた攻撃です。

・リバースブルートフォース攻撃
ブルートフォースと「逆(リバース)」の攻撃、つまり「123456」や「password」など、非常にしばしば用いられる文字列にパスワードの方を固定して、IDをさまざまなメールアドレス等に変えてログインを試みます。

・パスワードスプレー攻撃
パスワードスプレー攻撃はよく使われるパスワードを大量のアカウントへのログインに試す攻撃で、一種の辞書攻撃ともいえます。一般的にほとんどのWebサービスや各種の認証機構は現在、パスワード入力を何度か間違えるとロックされて一定時間操作ができなくなる、同一IPアドレスからの接続を遮断するというブルートフォース攻撃への対策が取られています。しかし、パスワードスプレー攻撃は、大量のアカウントに対してロックされない最大の回数のパスワード試行を、時間をおいて、ときには数ヶ月もの期間、「low-and-slow」ともいわれる方法でくりかえし行うことで、一般的なブルートフォース攻撃対策を潜り抜ける点に特徴があります。

診断会社がブルートフォース攻撃を業務として行うとき

SQAT.jpを運営する株式会社ブロードバンドセキュリティは、セキュリティ診断サービスを提供しており、お客様からのご希望に基づき、オプションとしてパスワードへの模擬攻撃を行うことがあります。たとえば、認証系の攻撃テストの項目のひとつに疑似ブルートフォース攻撃が含まれていたりします。

ブルートフォースや辞書攻撃はパスワード解析ツールなどを稼働させて診断を行いますが、PCの負荷が高くなるため、診断を行う技術者はその作業中、PCで別の作業がほとんどできなくなったりすることがあります。

なお、こうしたセキュリティ診断業務としてのブルートフォース攻撃等は、すべてお客様からの依頼に基づいて、事前にヒアリングを行い、書面で契約を締結して実施されます。一般の方が、ネットで見つけたパスワード解析ツールを企業のWebサイトなどに対して勝手に使用したりすると、即「不正アクセス行為の禁止等に関する法律」に抵触する犯罪となることをここに記載しておきます。

パスワードの黄昏、IDとパスワードのみの認証はもうオワコン?

これまでのセキュリティに関する記事や読み物ならば、このあたりで、ユーザ向けなら「強いパスワードを作る方法」「サービス毎の別々のパスワード管理」等を紹介し、システム管理者向けなら「パスワードを流出させない対策」「万が一事故が起こったときのためのパスワードのハッシュ化とソルトによる不可逆暗号化」などを提案して終わりにしたことだと思います。

しかし本稿執筆の2020年の今、それだけで十分ではないのでは?とわたしたちは考えます。

どんなに強いパスワードを設定していても、ハッシュ値で保護していても、「レインボーテーブル」と呼ばれるハッシュ化されたパスワードの解析ツールを用いてしまえばパスワードが解析されてしまいます。もちろんパスワードのハッシュ化に加えてソルトやストレッチといった方法でさらに保護することも必要ですが、ソルト、ストレッチが複雑化・多重化されていなければハッシュ同様に解析されてしまう可能性も否定できません。

さらに、パスワードリスト攻撃に使われるIDとパスワードのセットは、大手サービスの情報漏えいなどで流出したデータ等が用いられますが、これらはアンダーグラウンド市場などで、数億件のIDとパスワードのセットを低価格で購入することができますし、一定の方法で検索するとネットに落ちていることすらあります。

パスワードだけで認証する時代はもう終わったと捉えるべき時期に来ています。パスワードの適切な管理の重要性は今後もまったく変わりませんが、それだけでなんとかなった時代にはもう戻れないのです。

認証のセキュリティ対策に求められる要件は?Webセキュリティの国際検証基準「OWASP ASVS 4.0」

Webアプリケーションセキュリティに関する国際的コミュニティOWASP(Open Web Application Security Project)は、アプリケーションの設計や開発、脆弱性診断などにおいて必要となるセキュリティ要件の検証基準としてASVS(Application Security Verification Standard)を公開しています。最新版のOWASP ASVS v4.0 では、従来に比べて認証に関する記載がいっそう細かくなっています。

いわく「パスワードの長さを12文字以上にしなさい」「将来パスフレーズに利用できるようUnicodeを受け入れなさい」「ブルートフォースのような認証系攻撃のためにレート制限などの対策をしなさい」等々。そのなかでも目を引くのは、多要素認証とリスクベース認証の推奨です。

多要素認証とリスクベース認証~ひとつの方法でアカウントを守る時代の終わり

多要素認証とは、ワンタイムパスワードなどに代表されるトークンや、指紋や虹彩等の生体認証など、IDとパスワードに代表される「あなたが知っているもの」以外の複数の要素(「あなたが持っているもの」「あなた自身の何か」)を用いて行う認証方法のことで、オンラインバンキングや、LINEやGmail等のサービスで使ったことがある読者もいるかもしれません。

リスクベース認証は、ログインを試みようとしている時刻やIPアドレス、ブラウザなどの情報を元に、そのユーザの通常の行動と照らし合わせて、いつもと異なっていたら、追加の要素による認証を求め確実な本人確認を行う方法です。新しいパソコンを購入した直後に、いつもはIDとパスワードだけでログインできていたサービスが、ショートメッセージでスマホに送られたパスコードの入力を求めるといった事象に遭遇したことがあると思いますが、それがリスクベースの認証の一例になります。

くり返しますが、これからは、ひとつの手段でアカウントを守るのではなく、複数の手段でアカウントを守ることが普通になります。

まとめ

  • ブルートフォース攻撃とは総当たりでパスワードを破ろうとするサイバー攻撃で、難易度が低く攻撃ツールも出回っています。
  • 不正アクセスのためにパスワードリスト攻撃やリバースブルートフォース攻撃など、パスワードを破る攻撃は多様な進化を遂げてきました。
  • 強いパスワードの設定、パスワードのハッシュ化とソルトによる不可逆暗号化などはとても大事ですが、それだけでアカウントを守ることは難しい時代になっています。
  • OWASP ASVSの最新版であるv4.0は、多要素認証とリスクベース認証を推奨しています。
  • 多要素認証やリスクベース認証など、これからは複数の手段でアカウントを守ることが普通になります。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share