国内大手フードデリバリーサービスを襲った暗号通貨マイニングマルウェア事件の全容~デジタル忍者の襲来:国内企業を震撼 (しんかん)させた史上最悪のサイバー攻撃~

Share

突如訪れた暗黒の10月25日

2024年秋、日本最大級のフードデリバリーサービスに前代未聞の危機が訪れた。全国の飲食店と消費者をつなぐ巨大プラットフォームが、見えない敵に攻撃されたのである。

静かなる侵略者「RedTail」の恐怖

その敵の名は「RedTail(レッドテイル)」。デジタル世界の暗殺者とも呼ぶべき最新のマルウェアである。RedTailはあたかも影の忍者のごとく、世界的に使用されているセキュリティシステム、Palo Alto Networks社の「PAN-OS」のわずかな隙をついて侵入を果たした。このデジタル忍者は、驚くべき潜伏能力を持っていた。システムの深部に潜み込み、暗号通貨をひそかに採掘しながら、その存在を巧妙に 隠蔽 (いんぺい) し続けたのである。まさに現代のサイバー戦争を象徴する出来事であった。

72時間の闘い:システムを守る最後の砦

事態が発覚した10月25日、技術者たちは直ちに非常事態体制に入った。しかし、敵はすでに複数のサーバーに潜伏しており、一つを制圧すれば別の場所で姿を現すという、まさに「もぐらたたき」のような戦いを強いられた。同月26日午後2時30分、ついに全システムの停止という苦渋の決断が下された。技術者たちは不眠不休でマルウェアの駆除と安全性の確認に従事し、72時間に及ぶ死闘の末、ようやくシステムを取り戻すことに成功したのである。

未曾有 (みぞう) の混乱がもたらした教訓

この事件による影響は甚大であった。数十万件に及ぶ注文のキャンセル、数千店舗の営業停止、そして配達員たちの収入機会の喪失。しかし、不幸中の幸いというべきか、個人情報の流出だけは免れた。

新時代のデジタルセキュリティへの挑戦

この事件を機に、企業は包括的なセキュリティ改革に着手した。システムの監視体制を強化し、従業員への教育を徹底。さらに、定期的な脆弱性診断とインシデント対応プロセスの刷新を行うことで、より強固なセキュリティ体制の構築を目指している。

警鐘:すべてのデジタルサービスへの警告

本事件は、現代のデジタル社会における脅威の深刻さを如実に示している。サイバーセキュリティはもはや企業の「選択肢」ではなく「生命線」である。そして、デジタル時代を生きるすべての企業への警鐘として長く記憶されることとなるだろう。


Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月20日(水)13:50~15:00
    サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    内部不正による情報漏えい-組織全体で再確認を!-

    Share

    国内の個人情報漏えい件数は年々増加傾向にあります。情報漏えい事故の原因の一つとして挙げられるのが、企業・組織内での内部不正行為によるものです。内部不正の脅威は、未然に防ぐことが難しく、インシデントが起こってしまうと、事業の根幹を揺るがすような事態にまで陥ってしまうことにあります。本記事では、内部不正の脅威と手口、そして発生を防ぐための対策方法について解説します。

    内部不正と人的要因

    2024年1月にIPA(情報処理推進機構)から発表された「情報セキュリティ10大脅威2024」において、「内部不正による情報漏えいなどの被害」という項目が、昨年度4位から順位を上げて3位となりました。また、昨年12月に発表されたその年のセキュリティに関する重要トピックスを取り上げるJNSA(日本ネットワークセキュリティ協会)による「JNSA 2023 セキュリティ十大ニュース」においては「元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策」というニュースが2位となりました。このように、セキュリティにおける内部不正の問題は、着実にその重要度を増しています。

    内部不正行為とは何か?

    内部不正行為とは、組織の従業員や元従業員、あるいは業務委託先といった関係者が、重要情報や情報システムといった情報資産の窃取、持ち出し、漏えい、消去・破壊を行うことを指します。「不正」という言葉からの連想で、悪意ある行動を結びつけてしまいがちですが、悪意がなくとも、組織における情報管理規則に反して情報を持ち出したことによって、紛失や漏えいにつながってしまったというケースも、内部不正に含まれるため注意が必要です。

    情報漏えいと人的要因

    数多くの情報漏えいインシデントが報告されていますが、その要因に目を向けると、企業・組織内の従業員・元従業員、そして関連先や委託先企業の担当者による情報資産の持ち出し、紛失など、人的要因の多さが浮かび上がってきます。

    東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」によると、情報の不正利用や持ち出しにより情報漏えいした件数は、前年の5件から約5倍に増加したといいます。実際、従業員が個人情報を不正に流出させたことによって刑事事件にまで発展したり、大手電力会社がグループの子会社を通じて顧客情報を不正に閲覧していたことが発覚したりと、様々な事故が起こりました。

    また、JIPDEC(日本情報経済社会推進協会)「2022年度 個人情報の取扱いにおける事故報告 集計結果」によれば、「誤配達・誤交付」が43.0%、「誤送信」が24.7%、「紛失・減失・き損」が11.2%となり、ここでもやはり人的要因の多さが目立ちます。

    なぜ人的要因が脅威になるのか

    人的要因による情報漏えいは、組織の技術情報や顧客情報などが持ち出されて、不特定多数に公開、あるいは競合他社に提供など、内部以外の人の目に触れることで被害が発生します。企業・組織においては、このような重要情報の管理責任が問われ、技術情報が漏えいしたことで競争力が著しく低下するなどの影響が考えられます。悪意のあるなしに関わらず、漏えいした情報の重要性や規模によっては、事業の根幹を揺るがす事態になりかねません。特に悪意がある内部の人間による不正では、被害が容易に大きくなることや、悪意のない不正によるものは未然に防ぐことは難しいといったことも脅威に繋がります。加えて、重要情報を持ち込まれた側の企業・組織においても、不正に取得された情報であることを知りながらも第三者に公開・提供した場合は、刑事罰を受ける可能性があることも覚えておく必要があります。

    内部不正はなぜ起きるのか

    内部不正の中で、特に人が故意に不正を行う要因についての理論の1つに、「不正のトライアングル」というものがあります。

    不正のトライアングル

    例として、「Aさんが顧客情報を、同業他社の転職先に持ち込んでしまった」という行為をしたとします。ここに、「機会」「動機」「正当化」という3つの要素を当てはめてみます。

    • 「機会」:Aさんは、顧客データをいつでも大量に持ち出せる状況にありました。
    • 「動機」:Aさんは、同業他社に転職するので情報を転職先にもっていき、転職先での業務を有利に進めたいと考えました。
    • 「正当化」:以前、先輩が情報を持ち出したという噂があり、自分も同様に黙認されるはず、と考えました。

    このように、「機会」「動機」「正当化」という3つの要素が相互に作用することで、不正が発生しやすくなるというのが「不正のトライアングル」の考え方です。

    内部不正の手口

    ここからは、代表的な内部不正の手口についてみていきましょう。

    付与されているアクセス権限の悪用

    担当業務よりも不用意に高い権限が付与されていて、それを悪用するという手口です。先のAさんの例でいえば、業務上必要な最低限の顧客情報にのみアクセスできる設定であることが適切であったのにもかかわらず、業務では不必要な情報までアクセスできる権限が付与されており、その結果、大量の顧客情報にアクセスできてしまった、というようなことが当てはまります。アクセス権は必要最小限のユーザにのみ付与し、業務に応じて適切な操作だけを可能にする管理が必要です。また、アクセス権限についての定期的な棚卸をして、現状に照らして適切な設定となっているか確認をすることも重要です。

    在職中に割り当てられたアカウントの悪用

    こちらは在職中に割り当てられたアカウントが退職後も削除されていなかったことを悪用し、そのアカウントで社内システムに不正にアクセスし、情報を入手してしまうというような手口です。営業秘密の漏えいについては、中途退職者によるものが多くを占めていることがわかっています。また、契約満了後または退職した契約社員による漏えいも発生しています。こうしたことから、在職中に使用していたアカウントが退職後も削除されていないと、内部不正の原因となることがわかります。

    組織で利用を認めていないクラウドや外部記憶媒体等による不正な情報持ち出し

    これはUSBメモリやHDD、SSDといった外部記憶媒体での持ち出しや、メールやクラウドストレージへの送信・アップロードによる持ち出し、スマホカメラでの撮影や、紙媒体にコピーしての持ち出し、といったものが含まれます。メールやクラウドについては、手軽に利用しやすいこともあり、私物のPCやスマホなどにメール送信したり、個人で契約しているクラウドサービスにアップロードしたりなど、悪意なく機密情報を持ち出すようなことが起こりえます。

    これらの手口が実行に移されるのは、付与されている権限やアカウントが必要ではないタイミングでも有効になっている状況や、外部に情報を持ち出すことができる状況の場合です。この状況は不正のトライアングルにおける「機会」にあたります。

    一方、「動機」や「正当化」については、当事者の内面が強くかかわってくるため、組織として対応するのは難しいところとなります。しかし、「機会」に関しては、従業員のセキュリティ意識向上はもちろんですが、情報の持ち出しができないよう、組織側でクラウドや外部記憶媒体の利用に制限を設けることができるため、対策が可能となります。

    内部不正に関連する法律

    もし内部不正行為によって技術情報や顧客情報を漏えいされた場合、漏えいした情報によっては個人情報保護法などによる法的なペナルティが科される可能性があります。組織として内部不正に意識を向け、内部不正行為をすると組織および行為者がどのような影響を受けるのかも含めて周知することが推奨されます。

    個人情報氏名、生年月日、住所、顔写真などにより生存する特定の個人を識別できる情報(他の情報と容易に照合でき、それにより特定の個人を識別できるものも含む)、「個人識別符号」が含まれる情報、要配慮個人情報、個人情報データベース 等個人情報保護法の対象
    安全保障貿易管理に関する重要技術情報武器、原子力、化学兵器、生物兵器、ミサイル、先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサ、航法装置、海洋関連、推進装置、機微品目 等
    例)暗号技術、炭素繊維、半導体、情報セキュリティ技術、量子コンピュータ 等
    外為法により規制の対象
    営業秘密/限定提供データ秘密管理性、有用性、非公知性を満たし、秘密として管理されている情報
    例)製造方法、設計図、事業戦略 等
    限定提供性、電磁的管理性、相当蓄積性を満たし、秘密として管理されていない情報
    例)市場調査データ、ソフトウェア 等
    不正競争防止法の保護対象

    また、内部不正を行った者は、組織の規定により解雇等の懲戒処分を受ける可能性があります。このほか、内部不正の内容によっては、例えば以下のような法律に抵触し、罰則や損害賠償を負う可能性があります。

    • マイナンバー法:特定個人情報を提供したり業務で知りえたマイナンバーを第三者に提供・盗用したりすることによる罰則
    • 刑法:窃盗罪、横領罪、背任罪 等
    • 労働契約法:労働契約違反による解雇・懲戒処分 等
    • 民法:契約上の債務不履行もしくは 不法行為に基づく損害賠償 等
    • 労働法:秘密保持義務違反、競業避止義務違反 等

    内部不正防止の基本原則

    内部不正対策を考えるには、先に紹介した「不正のトライアングル」の3要素が揃ってしまわないようにすることが重要となります。「機会」「動機」「正当化」の3要素を完成させないための考え方の一つに、IPAが提唱している「内部不正防止の基本原則」がありますので、下に紹介いたします。

    このように、当該3要素をそれぞれ低減するという視点で、組織内で対策を検討する必要があります。特に「機会」の低減は検討すべき要素が多いため、重点を置くべき項目です。

    内部不正の事例

    「元従業員による経費精算システムへの不正アクセスの事例」を紹介します。

    2023年、元勤務先(A社)に不正アクセスして取得した情報をもとに、A社の取引先(B社)に対して誹謗中傷を流布していた男性が逮捕されたとの報道がありました。その元従業員の男性は、A社に個人的な恨みを持っていて、在籍中に使用したテスト用のアカウントでA社の経費精算システムに不正アクセスして、経費精算状況などをダウンロードした後、発信元を匿名化して通信できるTorを利用して、A社を誹謗中傷するメールをB社に送ったとのことです。その後、誹謗中傷メールを受信したB社が、A社に連絡したため犯行が発覚したようです。事件発生の原因は、テスト用のアカウントが削除されずに残っていたことです。このため、ID/パスワードを記憶していた元従業員に不正アクセスを許してしまいました。不正のトライアングルでいうところの『動機』を持っていた人物に対して、『機会』を与えてしまったということになります。

    そのほかの内部不正事例

    時期概要
    2022年2月自治体職員が住民基本台帳を不正に検索して得た個人情報を漏えいさせたことが判明し、同年11月5日、住民基本台帳法違反容疑により逮捕*1
    2022年9月飲食チェーンA社から飲食チェーンB社へ転職して、社長に就任した人物が転職の前後に元勤務先であるA社のデータを持ち出し、転職先のB社で両社の原価を比較する資料を作成させ、不正競争防止法違反容疑により逮捕*2
    2023年10月国内大手通信関連会社から、元派遣社員によって約900万件の顧客情報が流出したため、不正競争防止法違反容疑で逮捕。*3
    2023年12月国内大手部品メーカーの元社員が不正競争防止法違反の容疑で警視庁により逮捕*4

    内部不正の発生を防ぐための対策

    前提として、内部不正対策には経営層の積極的な関与が必要となります。サイバーセキュリティと同様に内部不正は経営課題の一つであり、内部不正対策の責任は経営者にあります。内部不正から組織を守るためには、組織全体で横断的な管理体制を構築する必要があるため、経営層の関与が不可欠です。また、従業員側はこれを理解し、内部不正の組織および個人に与える影響を理解して、行動する必要があります。悪意をもって内部不正に走るのはもってのほかですが、悪意はなくとも、規約に反して安易に情報を持ち出すような行動は厳に慎まなければなりません。

    【経営層】

    • 内部不正対策の体制と仕組みの構築
    • 事業リスクを理解した的確な意思決定

    【従業員】

    • 内部不正の定義とその影響を理解
    • 内部不正を起こさない行動の実践

    内部不正が起こってしまったら

    しかしながら、内部不正は絶対に発生しないと言い切ることができないのもまた事実です。このため、万が一、発生してしまった場合の対応について、知っておく必要があります。内部不正の被害を最小限に抑え、再発を防止するためには、「適切な報告/連絡/相談」「インシデント対応体制」「内部不正者に対する適切な処罰」を実現することが重要です。

    具体的に従業員ができることとしては、内部不正に気付いたら躊躇なく適切なエスカレーション先に報告/連絡/相談すること、インシデント対応チームによるヒアリングの実施や情報提供の要請があれば、きちんと対応することが大切です。経営層は、こうしたセキュリティ対応がスムーズに行える社内のセキュリティ文化の醸成といったことも視野に入れる必要があります。また、これは従業員や経営層共に言えることですが、内部不正者に対して、法律や社内規程で定められた処罰でない、個人的な謝罪を強制するような対応は慎みましょう。

    インシデント対応体制

    内部不正を含めた、インシデントが発生してしまったら、迅速にインシデント対応を行う必要があります。インシデント対応の目的は、インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにすることです。ただし、その達成に向けてのアプローチは企業ごとに異なります。

    BBSecのインシデント対応準備支援サービスは、これまで多数のお客様のインシデント対応体制構築をご支援してきた経験とノウハウに基づき、ITやセキュリティ専任者が不在の企業におけるインシデント体制構築から、CSIRTが設置されている企業やCSIRTの組成・運営を目指す企業まで、お客様のニーズやフェーズにあわせた最適なサービスを選択できるように豊富なインシデント対応準備支援メニューをご用意しています。
    インシデント初動対応準備支援はこちら

    内部不正による情報漏えいは、組織にとって重大なリスクとなります。しかし、適切な対策を講じることで、そのリスクを大幅に低減することが可能です。従業員一人一人がセキュリティ意識を持ち、組織全体で内部不正防止に取り組むことが求められます。

    BBSecでは

    サイバーインシデント緊急対応
    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説
  • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

    SQATチャンネルはこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    事例でみるクラウドサービスのセキュリティ
    -クラウドサービスのセキュリティ2-

    Share

    クラウドサービスの利用は利便性などのメリットがある一方で、セキュリティリスクも伴います。サイバー攻撃の被害に遭った場合、データの漏洩やサービス停止に追い込まれてしまうなどのリスクがあります。実際、国内外でもクラウドサービス(SaaS)のセキュリティ設定ミスなどを原因としたセキュリティインシデントが発生しており、その影響は深刻です。本記事では、クラウドサービスの利用時におけるセキュリティリスク、具体的なインシデント事例、サプライチェーンでのセキュリティについて解説します。

    クラウドサービス利用時のセキュリティリスク

    クラウドサービスの利用が拡大する一方で、組織を脅かす要因(脅威)や様々なリスクが存在します。

    【要因(脅威)】

    • 不正アクセス:クラウド上のデータやシステムに対する未承認のアクセスは、企業情報の漏洩や改竄につながる可能性があります。
    • サイバー攻撃:DDoS攻撃やマルウェアの拡散は、サービスの停止やデータの破壊を引き起こすことがあります。
    • 内部不正:従業員や内部関係者が意図的に不正行為を行うケースがあり、これは情報の盗難や破壊に直結します。
    • 設定/管理の不備:アクセス権限の設定ミスやセキュリティパッチの適用漏れは、攻撃者にとって格好の侵入経路となります。

    【リスク】

    • 情報漏洩:クラウド上に保存されたデータが外部に流出することです。不正アクセスやサイバー攻撃、内部不正によって機密情報が漏洩すると、企業の信用が大きく損なわれ、顧客や取引先との信頼関係が崩壊する危険性があります。
    • 情報改竄(消失・破壊):クラウド上のデータが不正に改竄されたり、消失・破壊されたりすることです。サイバー攻撃や内部不正が原因でデータの整合性が失われると、業務運営に重大な支障をきたし、最悪の場合、ビジネスの継続が困難になることもあります。
    • システム停止:クラウドサービス自体が停止するリスクです。DDoS攻撃や設定/管理の不備によってシステムがダウンすると、サービス提供が一時的に停止し、顧客対応や取引が滞ることになります。これにより、企業の収益に直接的な影響を与え、長期的なビジネス成長にも悪影響を及ぼす可能性があります。

    クラウドサービスのセキュリティインシデントの例

    近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。以下に、国内で実際に発生したインシデントを例に挙げ、その原因、被害状況などを紹介します。

    日本国内のクラウドセキュリティインシデントの報告事例(2023年)

    報告年月業種原因概要
    2023年12月総合IT企業設定ミス利用するクラウドサービス上で93万5千人以上の個人情報を含むファイルが公開設定となっており、閲覧可能な状態だった*5
    2023年6月地方公共団体設定ミス利用するクラウドによるアンケートフォームの設定ミスにより、申込者の個人情報が漏洩していた。*2
    2023年5月自動車メーカー設定ミス関連会社が運用するクラウド環境に設定ミスがあり、管理委託する顧客約215万人分に係る情報が、外部より閲覧可能な状態だった。*3
    2023年4月空調
    設備メーカー
    不正アクセス利用するクラウド型名刺管理サービスで従業員になりすました不正アクセスが確認され、約2万件の名刺情報が第三者に閲覧された可能性*4

    2023年5月に公表された国内自動車メーカーの事例について判明した内容は以下のとおりです。顧客に関する情報が、長いものでは約10年もの間、外部から閲覧可能な状態となっていました。

    公表日外部から閲覧された
    可能性のある情報
    対象閲覧可能になっていた期間
    5月12日車載端末ID、車台番号、車両の位置情報、時刻2012年1月2日~2023年4月17日の間、該当サービスを契約していた約215万人2013年11月6日~2023年4月17日
    5月12日法人向けサービスで収集されたドライブレコーダー映像(非公開)2016年11月14日~2023年4月4日
    5月31日車載端末ID、更新用地図データ、更新用地図データ作成年月該当サービスに契約した顧客、および該当サービス契約者のうち、2015年2月9日~2022年3月31日の間に、特定の操作を行った顧客2015年2月9日~2023年5月12日
    5月31日住所、氏名、電話番号、メールアドレス等日本を除くアジア・オセアニア2016年10月~2023年5月

    本件に対しては個人情報保護委員会からの指導が入り、2023年7月には同社より以下に示した再発防止策が明示されています。サプライチェーンである委託先関連会社とも共有され、管理監督すると公表されました。自社のみならず、委託先についてもクラウド設定にセキュリティ上の不備がないか注意する必要があります。

    • 技術的安全管理措置の強化
    • 人的安全管理措置の徹底
    • 機動的な委託先管理のための見直し

    また、2023年12月7日、スマホアプリなどを提供している国内総合IT企業が、Googleドライブで管理していた一部ファイルが外部から閲覧可能な状態だったと公表しました。ファイルへのリンクを知っていれば、誰でもインターネット上でアクセス可能な状態だったといいます。インシデントの原因は、Googleドライブの閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」にしていたことで、設定がされてから6年以上もの間、閲覧可能な状態となっていました。

    クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービス利用者側でのセキュリティの当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。

    サプライチェーンにおけるクラウドサービスのセキュリティ

    クラウド上でソフトウェアを提供するサービス「SaaS」の利用が拡大するにともない、セキュリティに関するインシデントが多く報告されています。IPA(情報処理推進機構)が2023年7月に公開した「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」によると、セキュリティインシデントの主な原因として、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が挙げられています。また、サプライチェーン全体のセキュリティ管理の不備も大きな課題となっています。特に、クラウドサービスの利用状況の可視性が低く、インシデント発生時の対応が遅れることが、被害を拡大させる要因となっています。

    さらに、同調査では、セキュリティ対策の強化が急務であるとする回答が多く寄せられました。具体的な対策としては、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際、迅速に対応ができる体制の構築が重要であると強調されています。

    今回のアンケート調査の結果は、サプライチェーン全体でのセキュリティ意識の向上と、具体的な対策の実行が不可欠であることを示しています。

    まとめ

    クラウドサービスの利用が拡大する一方で、様々なセキュリティリスクが存在します。主な脅威としては、不正アクセス、サイバー攻撃、内部不正、設定や管理の不備が挙げられます。これらの脅威により、情報漏洩、情報改竄、システム停止といったリスクが生じる可能性があります。

    クラウドサービスのセキュリティインシデントの例として、日本国内での具体的な事例が報告されています。例えば、総合IT企業では設定ミスにより93万5千人以上の個人情報が閲覧可能となっていたり、地方公共団体や自動車メーカーでは設定ミスにより申込者や顧客の個人情報が漏洩したりする事態が発生しています。

    クラウドサービスのセキュリティインシデントの主な原因としては、クラウドサービス事業者のセキュリティ対策の不足や、利用者側のセキュリティ意識の欠如が指摘されています。セキュリティ対策の強化が急務であり、クラウドサービス提供者との連携強化、セキュリティ教育の徹底、サプライチェーン全体のセキュリティ監査の実施などが求められています。特に、サプライチェーン全体でのセキュリティ基準の統一と、インシデントが発生した際には、迅速な対応ができる体制の構築が重要です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    約90%に脆弱性? BBSec脆弱性診断結果からみえる脆弱性対策のポイント

    Share

    近年、サイバー攻撃は激化し、組織や個人に甚大な被害をもたらしています。情報漏洩やシステム停止など、社会に与える影響は深刻化し、組織存続に関わるリスクにも発展しかねません。増え続ける脆弱性に対処するために、脆弱性対策を実施することが重要です。本記事では脆弱性対策の重要性と実施のためのポイントを解説します。

    脆弱性による脅威

    近年、ますますサイバー攻撃は巧妙化、高度化しており、組織や個人に甚大な被害をもたらしています。2023年の不正メール、不正サイト、マルウェアといった脅威の検知数が2021年と比較して1.7倍に増加しているとの報告もあり、情報漏洩やシステム停止など、社会全体に与える影響は深刻なものとなっています。JNSAの発表によれば、2016~2018年の個人情報漏洩一人あたりの平均損害賠償額は28,308円にのぼり、大規模な情報漏洩が発生した場合には、企業にとって致命的な損失となる可能性があります。さらに、サプライチェーンにおける取引停止、ブランドイメージ低下、風評被害など、被害は多岐にわたり、組織存続に関わるリスクにも発展しかねません。

    このような状況下で、サイバー攻撃から組織を守るために、セキュリティ対策は必要不可欠といえます。組織存続に関わるリスクにも発展するため、サイバー攻撃への対策は必要不可欠といえます。そして、サイバー攻撃への備えとして重要となるのが脆弱性への対策です。脆弱性とは、ソフトウェアやシステムに存在する欠陥であり、攻撃者にとって格好の標的となります。攻撃者は脆弱性を悪用して、システムへの不正アクセス、情報漏洩、ランサムウェア攻撃など、様々な攻撃を実行することが可能となるのです。しかし、脆弱性対策が十分であるとはいいがたい現状があります。

    下の図表は弊社のシステム脆弱性診断の結果から、脆弱性の検出率を半期ごとに集計したものとなりますが、過去から常におよそ90%のシステムに脆弱性が存在するという状況が続いています。さらに、2023年下半期ではそのうち17.0%が危険性の高い脆弱性となっています。

    弊社診断結果を掲載したレポートの詳細ついては、こちらをご確認ください。

    近年のサイバー攻撃インシデントの例

    発表時期攻撃概要原因影響
    2023年11月*5不正アクセスにより通信アプリ利用者の情報が漏洩一部のシステムを共通化している韓国の企業を通じて不正アクセスが発生通信アプリ利用者の情報およそ51万件が不正アクセスで流出
    2023年8月*2内閣サイバーセキュリティセンターが不正侵入被害メーカーにおいて確認できていなかった、電子メール関連システムによる機器の脆弱性が原因令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏洩した可能性がある
    2023年7月*3名古屋港統一ターミナルシステム(NUTS)がランサムウェア攻撃により停止したリモート接続用VPN機器の脆弱性から侵入されて、ランサムウェアに感染NUTSシステム障害により、コンテナ搬出入作業停止など港湾の物流運営に支障をきたした

    近年の脆弱性情報の例

    発表時期CVE対象製品(範囲)影響
    2024年2月*4CVE-2023-46805
    CVE-2024-21887
    Ivanti Connect Secure Ivanti Policy Secure 22系、9系のバージョンが影響を受ける 脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性がある
    2023年9月*5CVE-2022-42897
    CVE-2023-28461
    Array Networksが提供するVPNアプライアンス「Array AGシリーズ」 ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン 2022年5月以降、少なくとも関連する6件のVPN機器におけるリモートコード実行といった攻撃活動が報告されている
    2023年7月*6CVE-2023-3519,
    CVE-2023-3466,
    CVE-2023-3467
    NetScaler ADC (旧Citrix ADC) および NetScaler Gateway (旧Citrix Gateway) NetScaler ADC および NetScaler Gateway 13.1 13.1-49.13 より前 NetScaler ADC および NetScaler Gateway 13.0 13.0-91.13 より前 NetScaler ADC 13.1-37.159 より前の NetScaler ADC 13.1-FIPS NetScaler ADC 12.1-55.297 より前の NetScaler ADC 12.1-FIPS NetScaler ADC 12.1-NDcPP 12.1-55.297 より前 クロスサイトスクリプティング、ルート権限昇格、リモートコード実行といった攻撃が発生する可能性がある

    脆弱性対策の重要性

    ここで今一度、脆弱性とは何なのかを改めて考えてみましょう。脆弱性とは、ソフトウェアやシステムに存在する欠陥のことを指します。プログラムのバグや設計上の欠陥などが原因で発生し、サイバー攻撃者にとって格好の標的となります。そして、脆弱性を悪用されると、攻撃者はマルウェアなどを使ってWebサイトへ不正アクセスし、内部データの盗取、改竄、悪用などが可能になります。その結果、情報漏洩やシステム停止、ランサムウェア感染といった、組織にとって致命的な被害につながる可能性があります。

    では、脆弱性をなくせばよいということになりますが、現実的には脆弱性を完全に「なくす」ことは困難です。しかし、「攻撃される的」を減らすことで、リスクを大幅に低減することができます。

    これらのリスクを低減するためには、ソフトウェアやシステムのアップデート、セキュリティパッチの適用、脆弱性診断の実施、セキュリティ教育の実施、セキュリティ体制の整備といった対策が重要です。特に、日々変化する脅威に対して、システムのセキュリティ状態を正しく把握するためには、脆弱性診断が効果的です。脆弱性診断を実施することで、システムの脆弱性を洗い出し、適切な対策を実施することが可能となります。システムの状態を知り、必要な対策を怠らないことが、Webサイトやシステムを守ることにつながります。

    脆弱性診断を活用した予防措置

    攻撃者はより悪用しやすく成果をあげやすい脆弱性を狙ってきます。そうしたことを踏まえ、自組織のWebアプリケーション・システムに脆弱性が存在するのか、また存在した場合どういったリスクのある脆弱性なのかを知り、脆弱性対策を行うことは組織として重要なことです。

    脆弱性を悪用したサイバー攻撃への備えとして、BBSecとしては、脆弱性診断を推奨しております。下図の攻撃方法は一例となりますが、影響範囲として機会損失から業務停止まで引き起こされる可能性がある、という実態はどの攻撃方法でも同じです。脆弱性を悪用された場合、どの攻撃方法であってもそういった被害が出る可能性があるため、悪用されやすい脆弱性は早急に対応しなければなりません。

    SQAT® Security Reportについて

    弊社では年に2回、セキュリティトレンドの詳細レポートやセキュリティ業界のトピックスをまとめて解説する独自レポート「SQAT® Security Report」を発行しています。こちらは弊社で行われたセキュリティ診断の統計データが掲載されていることが主な特徴となります。

    SQAT® Security Reportでは、半期のセキュリティ診断で得られたデータから、検出された高リスク以上の脆弱性ワースト10といった情報や、その分析を掲載しています。

    2023年下半期高リスク以上の脆弱性ワースト10

    他にも、カテゴリ別脆弱性の検出状況や、業界別のレーダーチャートも掲載しております。

    2023年下半期Webアプリケーション診断結果業界別レーダーチャート 製造業

    過去のバックナンバーもSQAT.jpにて掲載しておりますので、ぜひ、お役立てください。特集記事や専門家による解説などもございますので、併せてセキュリティ向上の一助となれば幸いです。

    半期(6か月)毎にBBSec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。

    最新号「2024年春夏号」のダウンロードはこちら

    SQAT脆弱性診断サービス

    Webアプリケーション脆弱性診断-SQAT® for Web-

    Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

    Webアプリケーション脆弱性診断バナー

    ネットワーク脆弱性診断-SQAT® for Network

    悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。ネットワークを標的とした攻撃のリスクを低減するため、脆弱性を徹底的に洗い出し、システムの堅牢化をご支援します。システムの導入・変更・アップグレード時のほか、運用中のシステムに対する定期チェックにご活用いただけます。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

    ネットワーク脆弱性診断のサービスバナー

    ウェビナー開催のお知らせ

    最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    クラウドセキュリティとは
    -セキュリティ対策の責任範囲と施策-

    Share
    クラウド(雲)とネットワークのイメージ

    クラウドセキュリティ、当事者はだれか?

    セキュリティ対策をクラウド事業者任せにしてはいませんか?クラウドサービス利用でも、セキュリティ対策はオンプレミス同様、重要な課題です。本記事では、クラウドセキュリティの責任範囲と対策実施の施策について解説いたします。

    クラウドサービスの利用状況

    総務省が公開する「令和4年通信利用動向調査の結果」(令和5年5月29日公表)によれば、クラウドサービスを全社および一部でも利用している企業の割合は2022年時点で72.2%にのぼるとされています。このことから、現代では組織のクラウド活用は一般的なものとなっており、様々な業種・業態での利用が広がっていることが読み取れます。こうして普及しているクラウドですが、セキュリティには適切な注意が払われているでしょうか。クラウドサービス利用でも、セキュリティ対策はオンプレミス環境と同様かそれ以上に、重要な課題です。

    クラウドセキュリティとその責任範囲

    クラウドセキュリティとは、クラウド環境におけるデータやシステムを保護するためのセキュリティ対策のことを指します。クラウドサービスを提供する事業者は、セキュリティに配慮した安全な環境を提供することに注力していますが、責任共有という考えにもとづいて、クラウドで実行されるアプリケーションやデータを保護する責任は、クラウドの利用者にあるとされているのが一般的です。つまり、クラウドセキュリティにおいては、クラウドサービス事業者とクラウドサービスユーザ、双方に責任があるということになります。そしてクラウドサービス事業者の責任範囲とユーザの責任の範囲はクラウドサービスの提供形態によって変化します。詳細は以下の表のとおりです。

    クラウドサービスを利用して業務を行う場合は、自組織が責任を負う設定や管理の範囲がどこまでかをよく確認し、適切にクラウドサービス事業者が提供するセキュリティサービスを設定して、利用者自身が必要なセキュリティ対策を講じる必要があります。

    クラウド環境のセキュリティリスク

    クラウドを利用することは、「コストの削減」「納期・システム開発期間短縮」「拡張性・柔軟性」「オンデマンドセルフサービス」「利便性や機能向上」「事業継続性」といった、多数の魅力的なメリットが存在しますが、一方で、注意するべきリスクも存在します。

    リスクとして挙げられるのが、悪意ある第三者に侵入され、機密データやシステムにアクセスされる「不正アクセス」、サービス終了後に物理的アプローチによる完全なデータ消去が難しいことに起因する「情報漏洩リスク」、クラウドサービスの機能変更によって設定が変更されるなどして、低いセキュリティレベルで運用されてしまい、その結果インシデントが発生してしまう「設定ミスによるインシデント」、インシデントが発生した際に、クラウド事業者から十分な対応が受けられない「インシデント対応の不十分性」といったリスクです。こうしたリスクはクラウド固有のものではなく、オンプレミスと同様に、セキュリティに関連するリスクであり、サービスユーザが適切なセキュリティ対策を施したり、サービス提供事業者と連携したりすることで、リスク緩和を図ることが可能です。

    国内のクラウドセキュリティ設定ミスによるセキュリティインシデント事例

    近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。このように、クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービス利用を利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。前述しましたとおり、クラウドセキュリティでは、クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービスユーザ側で、セキュリティ実施者としての当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。

    日本国内のクラウドセキュリティインシデントの報告事例(2020年12月~2023年5月)

    時期事業者概要
    2020年12月ECサイト運営会社セキュリティ設定不備により、不正アクセスが発生し、148万件を超える個人情報が流出した可能性あり*7
    2021年1月ホビーメーカーセキュリティ設定不備により、不正アクセスが発生し、約150名の顧客情報が流出した可能性あり*2
    2021年2月ソフトウェアベンダ権限設定不備により、個人情報を含む2,800件超えの情報が第三者によってアクセス可能に*3
    2021年8月医療機関グループの公開設定不備により、業務メールや非公開情報が外部から閲覧可能に*4
    2021年11月教育サービス会社自治体より委託された事業の申込フォームの設定不備により、他の申込者の個人情報が閲覧可能に*5
    2022年5月ITサービスベンダアクセス設定不備により、採用に関する個人情報が6年間にわたり外部から閲覧可能に*6
    2023年5月自動車
    ITサービスベンダ
    セキュリティ設定不備により、車台番号、車両の位置情報が外部から閲覧可能に*7

    クラウドセキュリティの対策例

    では、セキュリティ対策として、どのような対策を実施すればよいのでしょうか。まず、クラウドのセキュリティではオンプレミスと同様の「基本的なセキュリティ対策」とクラウドに応じた「クラウド環境のセキュリティ対策」に分かれます。

    前者の基本的なセキュリティ対策の具体的内容は、以下の図のとおりです。

    前提として押さえておくべきポイントは、「クラウドサービスというものは、組織外部での利用が前提であり、環境によって管理する内容も異なるため、従来のオンプレミス環境でのセキュリティ対策に加え、クラウド環境特有のセキュリティ対策が必要となる」という点です。これを踏まえて、基本的なセキュリティ対策をおろそかにしないことが重要です。

    そして、クラウド環境のセキュリティ対策については、以下の図のとおりです。

    クラウドのセキュリティ対策の方法としては、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があることも補足しておきます。これは各クラウドベンダから公開されているもので、日本語版も用意されています。また、CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインも存在しています。ただし、これらは網羅性が高く、項目も多いため、必要な項目を探すには労力が必要となる可能性があります。

    国内クラウドセキュリティガイドラインの紹介

    自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。

    ■クラウドサービス提供者向け
    総務省
    クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
    ■クラウドサービス利用者・提供者向け
    IPA
    中小企業の情報セキュリティ対策ガイドライン」付録6:中小企業のためのクラウドサービス安全利用の手引き
    総務省
    クラウドサービス利用・提供における適切な設定のためのガイドライン
    経済産業省
    クラウドセキュリティガイドライン 活用ガイドブック

    クラウドセキュリティの対策実施のまとめ

    最後に、繰り返しとなりますが、クラウドサービスを利用する際には、クラウド事業者とクラウドユーザの双方がセキュリティ対策に取り組む必要があります。セキュリティは単なるクラウド事業者の課題ではなく、クラウドユーザ自身の重要な責務であることを認識し、適切な対策を講じることが重要です。

    クラウドサービスのセキュリティ対策は、基本的な対策では従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容も異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。

    ● 関連記事リンク
     「押さえておきたいクラウドセキュリティ考慮事項―クラウドへ舵を切る組織のために―

    BBSecでは

    BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

    クラウドセキュリティ設定診断サービス

    CISベンチマークテストのほか、主要クラウド環境におけるベストプラクティスにもとづく評価や、クラウド環境上でお客様が用意されているプラットフォームの診断(オプション)も可能です。ワンストップで幅広いサービスをご利用いただけます。

    クラウドセキュリティ設定診断のサムネ

    <次回ウェビナー開催のお知らせ>

    ・2023年9月27日(木)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2023』
    ~セキュリティ診断による予防的コントロール~

    最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像