#インターネット

2025年12月22日2025年12月22日

TLS設定の安全性と確認ポイント：古い暗号設定が引き起こすリスクと改善手順

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスを安全に運用するためには、TLS（暗号化通信）のバージョンや設定状況を正しく把握することが重要です。古いTLSバージョンや不十分な暗号設定を放置すると、通信の安全性が低下するだけでなく、攻撃リスクやサービス停止につながる可能性があります。

本記事では、TLS設定の安全性を判断するために押さえておくべき基本的な考え方と確認ポイントを整理します。具体的なバージョン確認や設定チェックの手順については、実践編の記事で詳しく解説しています。

ブラウザや外部ツールを使った TLSバージョンの具体的な確認手順については、
→ 「TLSバージョン確認と安全な暗号設定方法」で詳しく解説しています。

TLSとは？安全な通信を支える基本と目的

TLS（Transport Layer Security）は、インターネット上でやり取りされる通信を暗号化し、第三者による盗聴や改ざんを防ぐための仕組みです。Webサイトのログイン情報や個人情報、業務データなどを安全に送受信するための、通信の土台となる技術といえます。

かつてはSSLと呼ばれていましたが、現在はTLSが標準となっており、SSLはすでに非推奨です。TLSが正しく設定されていない場合、通信内容が外部から読み取られたり、不正に操作されたりするリスクが高まります。

TLSバージョンの違いと推奨設定

TLSには複数のバージョンが存在し、それぞれ安全性や対応状況が異なります。

TLS 1.0 / 1.1
すでに脆弱性が指摘されており、主要ブラウザやサービスでは非推奨・無効化が進んでいます
TLS 1.2
適切な暗号スイートを選択すれば安全に利用できます。
TLS 1.3
最新バージョンであり、セキュリティとパフォーマンスの両面で改善されています

基本方針としては、TLS 1.3を有効化し、古いバージョンを無効にすることが推奨されます。
現在どのバージョンが使われているかを把握することが、最初の重要なステップです。

実際の確認手順については、
→ 「TLSバージョン確認と安全な暗号設定方法：ブラウザ・ツールでのチェック手順」で詳しく解説しています。

TLSバージョンの利用率

ChromeやFirefoxなどの主要ブラウザ（クライアント）においては、2020年上半期をもってTLS 1.0/1.1が無効化され、相互接続の互換性維持目的でTLS 1.1以下をサポートするメリットは既になくなっています。加えて、常時HTTPS化という世界的な流れの中では、TLS 1.0/1.1が利用可能なWebサイトは「安全でない」とみなされる場合もあるでしょう。なお、SSL Pulseによる調査では、TLS 1.3の普及率は70.1%、TLS 1.2は99.9%にのぼっています（2024年5月時点のデータより）

最も普及しているのはTLS 1.2ですが、複数のプロトコルバージョンをサポートしている場合、サーバとブラウザの両者が使用可能なバージョンのうち、新しいものから優先的に使用するのが標準的なTLSの設定です。TLS 1.3およびTLS 1.2を有効にし、バージョンが新しいものから順に接続の優先度を高く設定してください。

TLS 1.3の導入のメリットと課題については以下の記事もあわせてご参照ください。
https://www.sqat.jp/kawaraban/19215/

また、IPA「TLS暗号設定ガイドライン」第3版からはプロトコルのバージョンだけでなく暗号スイートについても見直しが行われ、TLS 1.2に対してはPFS（Perfect Forward Secrecy）を有する鍵交換方式（ECDHE、DHE）を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号化技術です。TLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。

TLS暗号設定ガイドラインと基本設計方針

IPA「TLS暗号設定ガイドライン」第3.1.0版は電子政府推奨暗号の安全性の評価プロジェクト「CRYPTREC」が作成したWebサーバでのTLS暗号設定方法をまとめたガイドラインです。TLSサーバの構築者や運用者が適切なセキュリティを考慮して暗号設定を行うための指針として提供されています。

IPA/NICTの本ガイドラインでは、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」（安全性上のリスクを受容してでも継続利用せざるを得ない場合の設定基準）という3つの設定基準が提唱されています。

高セキュリティ型: TLS 1.3およびTLS 1.2を使用し、強い暗号スイートのみを利用。
推奨セキュリティ型: 一般的に推奨される設定で、セキュリティとアクセス性のバランスが取れています。
セキュリティ例外型: TLS 1.3～TLS 1.0のいずれかで、アクセス性を確保しますが、セキュリティの強度は低下します。

（※セキュリティ例外型での設定内容は2029年度を目途に終了予定のため、速やかに推奨セキュリティ型への移行が推奨されます）

設定要求: 各設定基準に応じた具体的なプロトコルバージョンや暗号スイートの要求設定が示されています。これには、遵守項目と推奨項目が含まれ、安全性を確保するために満たすべき要件が詳細に説明されています。

チェックリスト: TLSサーバの構築者や運用者が設定を実施する際に利用できるチェックリストも用意されており、設定忘れを防ぐためのガイダンスを提供します。

まとめ

TLS設定は、Webサイトやサービスの安全性を支える重要な要素です。

TLSバージョンと暗号設定を把握する
古い設定を放置しない
定期的に確認・改善を行う

これらを意識することで、通信に関するリスクを最小限に抑えることができます。

実際のチェック方法については、
→「TLSバージョン確認と安全な暗号設定方法：ブラウザ・ツールでのチェック手順」もあわせて確認してください。

TLS暗号設定ガイドラインは、TLS通信における安全性考慮したセキュリティ設定基準を設けています。これにより、TLSサーバの構築者や運用者が実際の商業的背景やシステム要件に応じた適切な設定を行うための根拠を提供します。

本ガイドラインで提唱されている3つの設定基準（「推奨セキュリティ型」「高セキュリティ型」「セキュリティ例外型」）は、各種国際的標準（NIST SP800/PCI DSSv4.0/OWASP ASVS等）の指針に対応したものであり、準拠への取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをお勧めします。

TLS設定の見直しが必要かどうか判断に迷う場合や、自社だけでの確認が難しい場合は、第三者の視点で現状を整理することも有効です。通信設定を含めたWebサイト全体のセキュリティ状況を把握したい場合は、専門家によるセキュリティ診断や設定確認を検討するのも一つの方法です。

限定キャンペーン実施中！

今なら新規お申込みで 初回診断料金 10％OFF！
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2026年1月14日（水）13:00～14:00
【好評アンコール配信】
「今さら聞けない！ソースコード診断あれこれ」

2026年1月21日（水）14:00～15:00
「「対策は万全」のはずだったのに、なぜ被害は止められなかったのか？～大手飲料メーカーの会見内容と攻撃手口から読み解く、防げなかった理由とは～」

2026年1月28日（水）13:00～14:00
【好評アンコール配信】「直近のWeb改ざん事例にみる、改ざん攻撃の実態と早期発見の重要性」

最新情報はこちら

2025年4月24日2025年5月14日

IoTセキュリティのリスクと対策 -安全な運用のための5つのポイント-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

急速に普及が進むIoT（モノのインターネット）は、私たちの生活やビジネスに大きな利便性をもたらしています。一方で、サイバー攻撃や情報漏えいなど、IoT特有のセキュリティリスクも急増しています。本記事では、IoTセキュリティの基本的な考え方から、総務省・経産省が示すガイドラインに基づく5つの対策ポイントまでを解説。安全なIoT活用のために、今押さえておくべきポイントを整理します。

IoTとは

IoT（アイオーティー）とは「Internet of Things」の略称で「モノのインターネット」という意味です。これまでインターネットは、コンピュータやサーバ同士を接続するためのものでしたが、IoTでは、工場の制御システム、各種社会インフラ、医療機器、自動車、住宅、情報家電など、さまざまな「モノ」同士がインターネットを介して情報のやりとりを行うことで、新たな付加価値を創造します。また、IoTはAIなどと同様、デジタルトランスフォーメーションの核となる技術領域のひとつとして期待されています。

IoTの活用事例

現在研究が進んでいる、5Gネットワークを活用した自動運転車は、IoT技術をクルマに活用した例です。その他にもIoTのセンサーを設置することで水道管の漏水や工場設備の故障を検知したり、ネットワークカメラでペットの様子を確認したりなど、私たちの周囲にも徐々にIoT機器・サービスが登場しはじめています。

IoTのセキュリティリスク

IoTの利便性の裏で、セキュリティ対策が後回しにされがちである点が大きな課題です。IoT機器が増えるほど、サイバー攻撃のリスクも高まり、IoTセキュリティの重要性は急速に高まっています。

IoT機器の多くはインターネットに常時接続されており、不適切な管理や設定によってサイバー攻撃の標的になりやすいという特性を持っています。加えて、IoT機器は小型・低コストであるがゆえに、セキュリティ対策が十分に施されていないまま市場に出回るケースも少なくありません。

特に企業においては、IoTデバイスが業務システムや重要データと連携している場合も多く、
ひとたびセキュリティ侵害が発生すれば、企業全体の業務停止や情報漏えいといった重大な被害につながる恐れがあります。このため、IoTセキュリティは単なる機器保護の枠を超えて、組織全体のリスクマネジメントとして取り組むべき重要課題なのです。

ITと異なるIoT特有のセキュリティリスク

IoTデバイスには、IT機器とは異なる脅威が存在します。例えば、長期運用を前提とした機器が多く、更新やパッチの適用が困難であること、また、処理性能や記憶領域が限られているため、従来のセキュリティソフトを導入できないケースもあります。さらに、ネットワーク経由で接続されるため、第三者による不正アクセスや悪用の可能性も高まります。

2016年7月に総務省・経済産業省・IoT推進コンソーシアムによって公開された『IoTセキュリティガイドライン』によれば、セキュリティを確保しながらIoTを利活用するには、下記のような「IoT特有の性質」を理解して対策を講じることが重要です。

1．脅威の影響範囲・影響度合いが大きい

2．IoT機器のライフサイクルが長い

3．IoT機器に対する監視が行き届きにくい

4．IoT機器側とネットワーク側の環境や特性の相互理解が不十分である

5．IoT機器の機能・性能が限られている

6.　あらゆるIoT機器が通信機能を持つため、開発者が想定していなかった接続が行われる可能性がある

IoTを狙ったサイバー攻撃の実例と脅威

IoT機器・サービスを狙ったサイバー攻撃はその急速な普及を背景に増加の一途をたどり、潜在するリスクも続々と報告されています。上記に挙げたようなIoT特有の性質から、ひとたび攻撃や悪用が起こると、その影響範囲はこれまでと比較にならないほど大きくなる恐れがあります。

有名な事例の一つに、IoTマルウェア「Mirai」の登場があります。MiraiはネットワークカメラやルーターなどのIoT機器に感染し、それらを踏み台にして大規模なDDoS攻撃を引き起こしました。

また、2019年には、アメリカで、防犯・監視カメラに攻撃者がアクセスし、子供や寝ている人に話しかけるという事件*4が起きました。同じメーカーが提供する玄関チャイムに、接続されているWi-Fiのパスワードが盗聴により漏えいする脆弱性があったことも報告*5されています。2020年には、音声アシスタントサービスを提供するAmazon Alexaに、音声履歴や個人情報等を盗み出せる脆弱性*6が存在することがイスラエルのセキュリティ企業の研究部門によって明らかになりました。

上記はいずれも家庭で使用されているIoT機器の例ですが、このような攻撃により、個人だけでなく企業やインフラ全体が深刻な影響を受ける可能性があります。IoTセキュリティは、社会的インフラの防衛にも直結する課題です。

総務省・経産省が提示するIoTセキュリティガイドライン：5つの基本方針

前掲の『IoTセキュリティガイドライン』では、IoT機器やIoTを使ったサービスを手掛ける事業者に対して、下記「IoTセキュリティ対策の5指針」に沿った対策を講じるように促しています。

1．IoTの性質を考慮した基本方針を定める

2．IoTのリスクを認識する

3．守るべきものを守る設計を考える

4．ネットワーク上での対策を考える

5．安全安心な状態を維持し、情報発信・共有を行う

IoT機器・サービスを手掛ける事業者は、IoT機器のライフサイクルを踏まえながら、上記指針に沿って設計や製造、サービス提供のあり方を見直し、必要な措置をとることが求められます。

実装すべきセキュリティ機能を『IoTセキュリティチェックリスト』で把握

押さえておきたいリソースとして、もう1つ、セキュリティ専門機関である一般社団法人JPCERTコーディネーションセンターが2019年に公開した『IoTセキュリティチェックリスト』をご紹介しましょう。これは、IoT機器の開発や製造、IoTサービス提供に関わる事業者を対象にしたもので、IoTデバイスを安全に運用するために実装しておきたいセキュリティ機能がチェックリスト形式でまとめられています。

リストには、「ユーザ管理」「ソフトウェア管理」「セキュリティ管理」「アクセス制御」「不正な接続」「暗号化」「システム設定」「通知」の8つのカテゴリに分類された39の機能が記載されています。さらに、それぞれの機能が、Sensor（センサー）、Aggregator（センサーからのデータを集約する機能）、Communication Channel（通信チャネル）といった、IoTシステムを構成する基本単位のいずれに対応するのかも一目でわかるようになっており、自組織のIoTセキュリティ対策に取り組むうえでぜひ活用することをお勧めします。

IoTセキュリティの落とし穴

なお、IoTのセキュリティでは、自組織で対策を講じるだけでは十分ではありません。IoTサービスにおいては、IoT機器を開発製造する企業、それを活用したサービスを設計する企業、サービスを提供するためのアプリケーションを開発する企業、サービスの運用を行う企業など、複数の当事者が存在、相互に依存しあっており、それぞれの当事者にリスクが存在します。つまり、複数の企業間で、共通した同水準のセキュリティレベルを維持することが求められるのです。これは、従来のITサービスの場合に比べても決して楽なことではなく、最もセキュリティ対策の手薄な企業がいわば｢弱い鎖｣となって、攻撃を許すことにもなりかねません。

また、自社で対応が難しい場合は、第三者機関による脆弱性診断の実施やセキュリティコンサルティングの活用も検討すべきです。IoT診断を通じて、IoTデバイスのセキュリティリスクを複数の当事者が理解し、適切な対策を講じることで、サイバー攻撃のリスクを最小化することができます。

さらに、国や地域によって異なる法規制への対応が必要になることもあります。IoTによって企業間のつながりが特定の地域を超える可能性があるためです。例えば、日本国内での販売やサービス提供はOKでも、ヨーロッパではGDPR（EU一般データ保護規則）、アメリカではCCPA（カリフォルニア州消費者プライバシー法）等のプライバシー関連法規に抵触するケースなどもありえます。日本の個人情報保護法もグローバルな動きの影響を受け今後変更される可能性もあります。法規制対応に関する注意も怠ってはなりません。

IoTセキュリティ診断、相場料金の現状は？

IoTは、Webアプリケーションやイントラネットのようないわば均質化した診断対象とは異なり、その利用用途がスマート家電から工場、社会インフラまで実に幅広いという特徴があります。OSやファームウェア、ASIC、FPGA、各種モジュール、アプリケーションの組み合わせはほぼ無限です。この点が、IoTのセキュリティ診断とその他のセキュリティ診断を分かつ最大の違いといえます。例えば、Webアプリケーション診断のように「1リクエストいくら」といった形で料金が提示されることはめったにありません。

IoTのセキュリティ診断を実施するにあたっては、実施の都度、対象の機器、システムの構成を踏まえたうえで、目的や予算、期間を考慮して診断内容を決定することが求められます。専門業者の診断サービスを利用する場合には、「さまざまな診断手法を熟知しているか」、「十分な診断実績はあるか」、といった点を判断指標に選定することをお勧めします。

IoTセキュリティ対策の第一歩は「見える化」から

多くの企業で問題となっているのは、現状のIoT機器の稼働状況やリスクが把握できていない点です。まずは社内で使用されているIoTデバイスを洗い出し、ネットワークのどこに、どのような機器が接続されているのかを「見える化」することが、対策の出発点となります。現状を可視化することで、どこに脅威があるのかが明確になり、優先順位をつけたセキュリティ対策が可能になります。

まとめ

IoTとは、「モノのインターネット」のことです。クルマや家電などのモノがインターネットに接続され、情報をやり取りすることで、生活やビジネスに新たな価値をもたらします。
IoT機器はライフサイクルが長く、インシデント発生時の影響も大きいため、IT機器とは異なる視点でセキュリティ対策を講じる必要があります。
マルウェア感染や家庭用監視カメラへの不正アクセス、産業用機器への攻撃など、IoTを狙ったサイバー攻撃が多発しています。
IoTセキュリティには、機器の設計・製造から運用まで、関係者それぞれが責任を持って対策を進めることが求められます。
IoTのセキュリティ診断は、OSやファームウェアなど構成が多様なため、目的・予算・期間を事前に明確にして実施する必要があります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年4月30日（水）13:00～13:30
「CVSSとSSVCで実践する次世代脆弱性管理：サイバー攻撃対策セミナー2024」

2025年5月14日（水）14:00～15:00
「クラウド利用の落とし穴と対策とは？今こそ見直すべきクラウドセキュリティ対策-セキュリティ設定診断の活用方法をご紹介- 」

2025年5月21日（水）14:00～15:00
「Webサイト改ざん攻撃の手口と防御策とは？リアルタイム検知で守るセキュリティ」

最新情報はこちら

2024年7月1日2025年5月12日

クラウドサービスとは
-クラウドサービスのセキュリティ1-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

現代のビジネス環境では、利便性や柔軟性などのメリットがある、クラウドサービスの利用が急速に広がっています。クラウドサービスは、インターネットを通じて提供される様々なサービスです。本記事では、クラウドサービスの基本概念から提供形態、さらにクラウドサービスの種類やクラウドサービスを利用することで得られるメリットについて解説します。

クラウドサービスとは

クラウドサービスとは、インターネット環境で提供される様々なサービスのことを指します。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。

クラウドという名称は、ネットワークの模式図上で、インターネットなどの外部ネットワークを雲（Cloud）のような形状で表現していたことに由来しています。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

従来、コンピュータのハードウェアやソフトウェアは利用者が自ら保有・管理していましたが、クラウドサービスは、物理的なサーバや設備を利用者側で管理する必要がなく、利用者が必要なときに必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態

クラウドサービスは、パブリッククラウドとプライベートクラウドという提供形態に分かれます。それぞれの特性を理解し、企業のニーズに合ったクラウドサービスを選択することが重要です。

パブリッククラウド

クラウド事業者が同じアプリケーションや環境を利用者に提供し、利用者が共有して使用する形態。初期費用が不要で、運用管理もクラウド事業者に任せることが可能です。パブリッククラウド（クラウド事業者）の内、特に世界的にシェアの高い3大クラウドと言われているのが以下のクラウド事業者です。

・AWS（Amazon Web Service）
　2006年開始の老舗クラウド。圧倒的なサービス種類の豊富さと拡張性の高さを誇る。
・Microsoft Azure
　機能が多く、WindowsやMicrosoft OfficeなどのMicrosoft製品との親和性が高い。
・GCP（Google Cloud Platform）
　Googleがクラウド上で提供するサービス群。GmailやYouTube基盤として実績あり。

プライベートクラウド

企業や組織が自社専用のクラウド環境を構築し、社内やグループ会社に提供する形態。プライベートクラウドにはさらに二つのタイプがあります。

オンプレミス型
自社内でインフラの構築を行い、データセンターで運用します。カスタマイズ性が高いのが特徴です。ITリソースを完全にコントロールできるため、機密性の高いデータを扱う企業に向いています。ただし、初期投資と維持費用が高く、専門のITスタッフが必要です。

ホスティング型
外部のクラウド事業者が社内専用のクラウド環境を提供します。自社での管理負担を軽減しつつ、セキュリティとカスタマイズ性を確保できます。オンプレミス型よりもコスト効率が良く、運用管理はクラウド事業者に依存するため、企業のリソースを他の業務に集中できます。

クラウドサービスの主な種類

企業や組織で多く使われるクラウドサービスには、主に3つの種類があります。

IaaS(Infrastructure as a Service)

IaaSは「Infrastructure as a Service」の略で、利用者が選択したスペックやOSに合わせた、仮想的なマシン（インフラ）を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。AWS、Microsoft Azure、Google Compute Engineなどが代表的なサービスの例です。

PaaS(Platform as a Service)

PaaSは「Platform as a Service」の略称で、IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームです。PaaSは開発者にインフラの管理をせずにアプリケーションの構築、テスト、デプロイ、管理を行える環境を提供します。これにより、開発者はインフラの複雑な設定やメンテナンスから解放され、開発に集中できます。AWSのElastic Beanstalk、Google App Engine、Microsoft AzureのApp Servicesなどが代表的なサービスの例です。

SaaS(Software as a Service)

SaaSは「Software as a Service」の略で、クラウド上でソフトウェアを提供するサービスです。ユーザはソフトウェアをインストールする必要がなく、インターネットを介してアクセスするだけで利用できます。SaaSの利点は、どこからでもアクセスできること、常に最新のソフトウェアを利用できること、そしてメンテナンスやアップデートがプロバイダーによって管理されることです。Google Workspace、Microsoft Office 365、Salesforce、Dropbox、Zoomなどが代表的なサービスの例です。SaaSは手軽さとコスト効率の高さから、企業で幅広く利用されています。

クラウドサービスの特徴

クラウドサービスには5つの特徴があります。

柔軟なリソース管理：システムの拡張・縮小が迅速に行えます。必要なときに必要なリソースを追加・削減することが可能です。

オンデマンド・セルフサービス：ユーザ自身でWeb画面からシステム設定ができ、必要なサービスやリソースを自由に変更できます。

リソースの共有：複数のユーザが同じリソースを共有することで、コストの最適化が図れます。

従量課金制：サービス利用量を常に計測し、使った分だけ支払う仕組みで、コストを抑えることができます。

場所を問わないアクセス：インターネットさえあれば、どこからでもアクセスでき、リモートワークや外出先での利用が可能です。

クラウドサービス利用のメリット

企業や組織などでクラウドサービスの利用が飛躍的に進んだ主な理由には、以下のような効果があることが挙げられます。これらはパブリッククラウド上でクラウドサービスを提供する側からみた恩恵ですが、結果的に、利用するユーザ側のメリットにもつながります。

※主要なパブリッククラウド事業者を利用した場合の標準的なメリットであり、利用するサービスや契約内容により異なる場合があります。

まとめ

クラウドサービスは、インターネットを介して提供される様々なサービスの総称です。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。クラウドという名称は、ネットワークの模式図で外部ネットワークを雲のように描いたことに由来します。

従来のコンピュータハードウェアやソフトウェアは利用者が自ら管理していましたが、クラウドサービスでは物理的なサーバや設備を管理する必要がなく、必要な時に必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態は、パブリッククラウドとプライベートクラウドに分かれます。パブリッククラウドは、クラウド事業者が提供する共用のクラウド環境で、初期費用が不要で運用管理を任せることができます。主要なパブリッククラウド事業者には、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)があります。プライベートクラウドは、企業や組織が自社専用のクラウド環境を構築し、オンプレミス型とホスティング型の2タイプがあります。

クラウドサービスの利用は、迅速性・柔軟性、コスト抑制、高い利便性、高い可用性などのメリットがあり、これらが利用するユーザ側の利便性向上につながっています。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年6月6日2025年5月12日

RaaSの台頭とダークウェブ
～IPA 10大セキュリティ脅威の警告に備える

Security NEWS TOPに戻る
バックナンバー TOPに戻る

RaaS（Ransomware as a Service）の普及により、サイバー攻撃が容易に実行可能になり、攻撃者層が広がっています。IPAが発表した「情報セキュリティ10大脅威」でも脅威の一つに取り上げられているように、「犯罪のビジネス化」が進んでおり、脅威を一層深刻化させています。本記事では、サイバー攻撃の準備段階から、攻撃者に利用される情報、対策に焦点を当て、ダークウェブの実態と防御策について解説します。また自組織がサイバー攻撃の対象にならないための備えについて提唱します。

サイバー攻撃の準備段階

かつて、サイバー攻撃を実行するには高度なITスキルが必要だというイメージが一般的でした。しかし、近年は状況が大きく変わってきています。特に「RaaS」の登場により、サイバー攻撃の敷居は大幅に低くなりました。RaaSとは、ランサムウェアをサービスとして提供するビジネスモデルのことで、専門的な知識や技術を持たない人々でも、簡単にランサムウェア攻撃を実行できるツールやサービスをビジネスとして提供するというものです。

こうした背景から、サイバー攻撃を実行する層の間口が広がり、誰でも手軽に攻撃を行えるようになってきています。これにより、サイバーセキュリティの脅威はますます深刻化しています。IPA（情報処理推進機構）が発表した情報セキュリティ10大脅威の一つとしても、「犯罪のビジネス化（アンダーグラウンドサービス）」が取り上げられていることからも、この問題の重要性と注目度の高さがうかがえます。

SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―」

サイバー攻撃者は、実際に攻撃を行う前に綿密な偵察行為をします。特に、オープンソースインテリジェンス（OSINT）と呼ばれる公開情報をもとにした諜報活動が盛んに行われています。OSINTでは、インターネット上に公開されている情報を駆使してターゲットの情報を収集し、その情報をもとに攻撃の計画を立てます。

また、攻撃者が情報収集に使用するツールの一つとしてダークウェブが利用されていることも、重要な要素です。

ダークウェブとは

ダークウェブとは、通常のインターネット検索ではアクセスできない匿名性の高いサイトの集合体です。アクセスには特別なソフトウェアなどが必要であり、その匿名性ゆえに違法な活動が横行しています。ダークウェブでは、非合法な情報やマルウェア、物品などが取引されることも多いという特徴があります。

インターネットに存在するWebサイトは、アクセスする方法や環境によって「サーフェスウェブ」、「ディープウェブ」、「ダークウェブ」に分類されます。サーフェスウェブは、一般的な検索エンジンでアクセス可能な部分を指しており、私たちが日常的に利用しているWebサイトが含まれています。一方、ディープウェブは一般的な検索エンジンでは表示されない領域であり、例えば、ログインが必要な企業の内部資料や学術データベースなどといったものが該当します。そして、ダークウェブはさらにその奥深くに位置し、特殊なアクセス手段を必要とする領域となります。

この3つの関係はよく氷山に例えられます。サーフェスウェブは氷山の水面上に見える部分であり、ディープウェブとダークウェブは水面下に広がる巨大な部分を示します。そしてダークウェブは、一般のユーザにはほとんど見えない深層に存在しており、その内容は一般には公開されていない情報が多く含まれるのです。

ダークウェブで取得可能な情報

前述の通り、ダークウェブでは、違法な情報が数多く取引されています。代表的なものとして、会員制サイトのID・パスワードのリストやクレジットカード番号といった個人情報が挙げられます。これらの情報は、データ漏洩や不正アクセスの結果として流出したものが多く、攻撃者が購入することでさらなるサイバー攻撃に悪用されます。

さらに、ダークウェブ上ではランサムウェアなどのマルウェアを開発するためのツールキットの販売や、「RaaS」と呼ばれるサービスが提供されています。これらを利用することで専門知識が乏しくともランサムウェア攻撃を行うことが可能になっているのです。また、脆弱性情報やサーバへ不正アクセスするための情報なども取引されており、サイバー攻撃を計画するためのあらゆるリソースがそろっています。

具体的には以下のような情報が取引されています。

流出アカウント情報：ユーザ名やパスワードなどの認証情報を使用して不正アクセスが行われます。
機密情報：組織の重要な情報が盗まれ、悪用されることがあります。
侵入方法：特定のシステムやネットワークに侵入するための手法やツールなどといった情報が提供されます。
脅威情報：DDoS攻撃や攻撃計画などの情報が含まれます。
攻撃情報：エクスプロイトツールやゼロデイ脆弱性といった、特定のソフトウェアやシステムの脆弱性を悪用するための情報です。

ダークウェブは、サイバー犯罪者にとって非常に有益なリソースとなっており、その存在は現代のサイバーセキュリティにおいて密接に脅威と結びついています。こうした取引が行われることで、サイバー攻撃の手口が高度化し、被害が拡大しているのです。

アンダーグラウンドサービスの例


サービス内容	説明
ランサムウェア攻撃（RaaS）	データを暗号化し、復旧のための身代金を要求するサービス。
DDoS攻撃（DDoS攻撃代行）	大量のトラフィックを送信して、ウェブサイトやサービスを停止または遅延させるサービス。
フィッシング攻撃（PhaaS）	偽のメールやウェブサイトで個人情報を窃取するサービス。
不正アクセス（AaaS）	リモートアクセス可能な権利を提供するサービス。

サイバー攻撃へ備えるために

サイバー攻撃への備えとして、最も重要なことは攻撃者に攻撃の機会（隙）を与えないことです。サイバー攻撃者にとって攻撃対象にしづらいシステムを構築することが効果的です。そのためには、まず自組織のセキュリティ状況を見直し、リスク状況を把握することが不可欠です。

自組織のセキュリティ状況を把握するためには、定期的なセキュリティ診断や脆弱性評価を行い、システムの弱点を特定することが必要です。これにより、システムのどの部分が攻撃者にとって狙いわれやすいかを明確にすることで、対策を講じることができます。例えば、不要なポートを閉じる、推測されにくい強固なパスワードポリシーを実装する、そしてシステムやソフトウェアを最新の状態に保つことなどが挙げられます。

さらに、攻撃者が事前にする偵察行為の段階でハッカーから攻撃対象にされにくいシステムにしておくことも重要です。これは、OSINTを活用して公開情報を収集する攻撃者に対抗するための施策となります。現在自組織が置かれている状況を踏まえたうえで、公開情報を最小限に抑え、内部情報が外部から容易に取得できないようにすることが求められます。また、定期的に従業員に対するセキュリティ教育を実施し、フィッシング攻撃などのソーシャル・エンジニアリングをもちいた攻撃に対する認識を高めることも効果的です。

このような対策を講じることで、攻撃者にとって魅力的な攻撃対象でなくなることが期待できます。結果として、攻撃のリスクを低減し、サイバー攻撃から自組織を守ることができるのです。セキュリティ対策は一度行えば終わりというものではなく、常に最新の脅威情報に基づいて見直し、更新していくことが必要となります。

BBSecでは

サイバー脅威情報調査サービス

サイバー脅威情報調査サービスの詳細はこちら

ウェビナー開催のお知らせ

2024年6月12日（水）13:00～14:00
「クラウド時代に対応必須のセキュリティあれこれ -クラウドセキュリティについて-」

2024年6月19日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！
-ツール診断と手動診断の比較-」

最新情報はこちら

Youtube動画公開のご案内

ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

SQATチャンネルはこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る