【徹底解説】
日本航空のDDoS攻撃被害の実態と復旧プロセス

Share

概要

2024年12月26日、日本航空(JAL)はDDoS攻撃を受け、国内外のフライトで大規模な遅延が発生。国内線60便、国際線24便で30分以上の遅延が生じ、最大4時間2分の遅延が報告されました。攻撃はネットワーク機器への大量データ送信による過負荷が原因で、飛行計画や貨物重量計算システムが通信不能となりました。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?
Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策

DDoS攻撃とは?

DDoS攻撃とは、攻撃者が複数のコンピューターを利用し、標的のシステムに大量のデータを送りつけることでサービスを妨害する手法です。特に航空業界では、この攻撃が深刻な影響を及ぼすことがあります。日本航空(JAL)に対する攻撃もその一例であり、システムに過負荷をかけ、正常な運用を妨げました。

攻撃の詳細

このDDoS攻撃は、2024年12月26日午前7時24分に発生しました。この時間帯は多くのフライトが運航するピーク時であり、影響は甚大でした。日本航空(JAL)は、攻撃発生時に多くの乗客が移動中であったため、システムの混乱がさらに深刻化したと報告しています。DDoS攻撃の結果、JALの一部システムが一時的に停止し、フライトの遅延が発生しました。具体的には、国内線24便が30分以上遅延し、多くの乗客に影響を与えました。

システム復旧の過程

日本航空(JAL)は、発生したDDoS攻撃により、システムの不具合や航空券販売の停止、フライトの遅延などの影響を受けました。年末の繁忙期に多くの乗客が影響を受ける中、専門のサイバーセキュリティチームが迅速に対応し、ネットワークの一時遮断と復旧作業を実施。数時間でシステムは正常化し、フライトの安全性にも影響はありませんでした。復旧後、JALはセキュリティ対策を強化し、最新の防御技術を導入するとともに、従業員のサイバーセキュリティ教育を推進。今後の攻撃リスクを軽減し、乗客の安全確保を目指しています。

DDoS攻撃に対する今後の予防策

  1. 多要素認証の導入
    システムへのアクセス制限を強化し、不正アクセスを防止する
  2. 定期的なネットワークのストレステスト
    脆弱性を早期に発見し、攻撃時の影響を最小限に抑える
  3. サイバーセキュリティ意識の向上
    スタッフへの定期的なトレーニングや演習を実施し、攻撃の兆候を早期に察知できる体制を整備する
  4. インシデント対応計画の見直しと更新
    攻撃発生時の役割分担や連絡体制を明確化し、シミュレーションを通じて計画の実効性を確認する
  5. 過去の攻撃事例の分析と対策の最適化
    これまでの攻撃事例を検証し、より効果的な防御策を導入することで業務の継続性を確保する

これらの対策を実施することで、DDoS攻撃のリスクを軽減し、システムの安全性を高めることができます。

まとめ

今回の事件は、日本のサイバーセキュリティの脆弱性を浮き彫りにし、航空業界全体における防御強化の必要性を示しました。今後、日本は国際的な協力を強化し、より強固なサイバーセキュリティ対策を講じることが求められます。今回の事件を教訓に、防御策の強化が急がれています。


Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年2月12日(水)14:00~15:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2024年のサイバーセキュリティ振り返り
    -KEVカタログが示す脆弱性の実態-

    Share

    米サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency、以下CISA)が2021年から公開しているKEVカタログ(Known Exploited Vulnerabilities Catalog)は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

    ※本記事で扱うKEVカタログの情報は2024年12月10日(アメリカ現地時間付け)のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。(参考:2023年1月~12月…187件)

    KEVカタログに登録された脆弱性の概要

    KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

    表1 CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

    米国以外での悪用実態の反映

    2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の2件です。

    • CVE-2023-28461:Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
      KEVカタログ登録日:2024年11月25日
      JPCERT/CC注意喚起(2023年9月22日発行):https://www.jpcert.or.jp/at/2023/at230020.html

    SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

    • CVE-2023-45727:North Grid ProselfのXML外部エンティティ(XEE)参照の不適切な制限の脆弱性
      KEVカタログ登録日:2024年12月3日
      JPCERT/CC注意喚起(2023年10月26日発行):https://www.jpcert.or.jp/at/2023/at230022.html

    2024年11月にトレンドマイクロが公開したブログ*1では上記2件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

    なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

    ベンダ別登録数

    2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

    図1 KEVカタログ ベンダ別登録数(一部)

    図1KEVカタログベンダ別登録数(一部)
    ※KEVカタログの2024年1月1日~12月10日および2023年1月1日~12月31日の登録情報をベンダごとに集計。2024年の当該期間の登録数上位10位(同率10位が2件)までを表示

    なぜMicrosoftの登録数が多いのか

    Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94%となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

    企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア(ランサムウェア含む)を配置し、自身の目的(金銭や情報の窃取など)を達成することができます。

    一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性(主にゼロデイ)となります。

    Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
    Active Directoryを侵害から守るためのガイド

    Windows OSの脆弱性:古いテクノロジーの残存

    Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性(EdgeにおけるIEモードのサポート)の維持の目的で最新のOSでも残存しています。

    事例:CVE-2024-43573:Windows MSHTMLの脆弱性

    MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

    図2 CVE-2024-43573:Windows MSHTMLの脆弱性

    その他登録数上位のベンダ

    2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの5社になります。各ベンダについては以下をご参照ください。

    ベンダ名 説明
    Ivanti 旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
    Android Android OSなどを提供する米国Google社内のAndroid Open Source Project
    D-Link 台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
    Palo Alto Networks ファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
    VMware ハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

    製品タイプ別登録数

    2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています(40件、23%)。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も3位となっています(15件、9%)。そしてインフラストラクチャ管理製品が全体の10%(2位、18件)、エンドポイント管理製品が6%(4位、11件)を占めています。

    図3 製品タイプ別KEVカタログ登録数

    図3製品タイプ別KEVカタログ登録数
    弊社でKEVカタログに登録されたCVEを調査し、製品タイプ別に分けたものとなります。製品が複数の機能を含む場合は1.脆弱性が大きく影響を及ぼす機能、2.製品の主要な機能の順に振り分けを行っています。

    インフラストラクチャ管理製品の悪用

    インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

    ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用

    対象製品 CVE CWE 自動化
    FortiManager CVE-2024-47575*3 CWE-306
    重要な機能の使用に対する認証の欠如
    不可
    PAN-OSの管理インターフェース CVE-2024-0012*4 CWE-306
    重要な機能の使用に対する認証の欠如
    CVE-2024-9474*5 CWE-77
    OSコマンドインジェクション
    不可

    製品 製品概要 攻撃の概要注 3) 攻撃者
    FortiManager Fortinet製品の統合管理用のアプライアンス ・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得
    ・脅威アクターのデバイスをFortiManagerに登録
    不明

    備考

    IOCなどはこちらを参照。
    https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en

    PAN-OSの管理
    インターフェース
    PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。 ・WebShell(難読化)を使用して管理者権限を奪取
    ・管理アクションの実行や設定改ざん、特権昇格など
    不明

    備考

    IOCなどはこちらを参照。
    https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

    ITアセット統合管理ツールの脆弱性悪用

    対象製品 CVE CWE 自動化
    CyberPersons Cyber Panel CVE-2024-51378*6 CWE-276
    不適切なデフォルトパーミッション
    VMware vCenter Server CVE-2024-38812 CWE-122
    バッファオーバーフロー
    CVE-2024-38813 CWE-250
    不要な特権による実行
    不可
    CWE-273
    削除された特権に対する不適切なチェック
    不可

    製品 製品概要 攻撃の概要 攻撃者
    CyberPersons Cyber Panel オープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できる ミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7 Helldownランサムウェア*8
    VMware vCenter Server vSphereシリーズの大規模仮想化環境の運用管理支援ツール vCenter Server v7.0で導入されたPlatform Services Controller(PSC)によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9 不明

    EOL製品への対応

    ここでEnd-of-Life(サポート終了期限)と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL(End-of-Life、製品サポート終了)を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

    表2 2024年にKEVカタログに登録されたD-Link製品と推奨対策

    対象製品 CVE KEVカタログ登録日 推奨対策
    DIR-820 CVE-2023-25280 2024年9月30日 買い替え
    DIR-600 CVE-2014-100005 2024年5月16日 買い替え
    DIR-605 CVE-2021-40655 2024年5月16日 買い替え
    複数のNAS製品注 5) CVE-2024-3272 2024年4月11日 買い替え
    CVE-2024-3273 2024年4月11日 買い替え
    DSL-2750B CVE-2016-20017 2024年1月8日 製品型番を確認の上、必要に応じてパッチ適用

    CWE別登録数

    2024年のCWE別登録数のトップ10は以下の通りです。

    表3 CWE別KEVカタログ登録件数

    ランク CWE 概要 件数 CWE top 25ランク 2023年登録数 2023年登録数
    ランク
    1位 CWE-502 信頼できないデータのデシリアライゼーション 11 16 8 7
    1位 CWE-78 OSコマンドインジェクション 11 7 11 3
    3位 CWE-416 開放済みメモリの使用 10 8 16 2
    4位 なし CWEに該当する項目がないもの 9 22 1
    5位 CWE-22 パストラバーサル 8 5 4 15
    6位 CWE-287注 6) 不適切な認証 8 14 5 12
    7位 CWE-787 境界外書き込み 7 2 9 5
    8位 CWE-843 型の取り違え 6 ランク外 4 15
    8位 CWE-94 コードインジェクション 6 11 9 5
    10位 CWE-284注 7) 不適切なアクセス制御 5 ランク外 6 8

    ※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ1件としてカウントしています。

    2024年のCWE別登録数の傾向

    C言語起因の脆弱性の減少

    代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個(全体の約28%)から2024年は33個(全体の約19%)へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

    • Apple登録件数…2023年21件→2024年7件
    • Samsung登録件数…2023年8件→2024年0件

    表4 C言語が関連するKEVに登録されたCVE一覧(2023年~2024年)

    C言語が主要な原因となるCWE 2024年にKEVに登録されたCVE 2023年にKEVに登録されたCVE
    CWE-119: バッファオーバーフロー CVE-2017-1000253, CVE-2023-6549 CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
    CWE-120: クラシックバッファオーバーフロー CVE-2023-33009, CVE-2023-33010, CVE-2023-41064
    CWE-122: ヒープベースのバッファオーバーフロー CVE-2024-38812, CVE-2024-49138, CVE-2024-30051 CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
    CWE-125: 範囲外メモリの読み取り CVE-2021-25487, CVE-2023-28204, CVE-2023-42916
    CWE-134: 制御されていないフォーマット文字列 CVE-2024-23113
    CWE-190: 整数オーバーフロー/アンダーフロー CVE-2022-0185, CVE-2024-38080 CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
    CWE-401: メモリリーク CVE-2023-26083
    CWE-416:解放後使用(Use After Free) CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586 CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
    CWE-787: 範囲外への書き込み CVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761 CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
    CWE-823: メモリ位置外へのポインタ参照 CVE-2021-25372

    これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

    登録件数上位のCWEと代表的な脆弱性

    表5 登録件数上位のCWEと代表的な2024年の脆弱性

    CWE CVE ベンダ・
    製品名
    脆弱性概要 攻撃者の情報 自動化
    CWE-78 CVE-2024-40711 Veeam Backup & Replication 非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10 ランサムウェア(Akira, Fog, Frag)*11
    CWE-78 CVE-2024-1212 Progress Kemp LoadMaster 非認証ユーザーによるOSコマンドインジェクション*12 不明
    CWE-22 CVE-2024-8963 Ivanti Cloud Services Appliance (CSA) 管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。 不明

    備考

    ただしIOCや悪用の詳細についてはFortinet社から公開されている。
    https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa

    脆弱性悪用の自動化の可否

    2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization(ステークホルダー固有の脆弱性の分類、略称SSVC)に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル(アプリケーションや機器を実環境で使っている人が対象のモデル)では脆弱性に対するAutomatable(自動化の可否)の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

    SSVC(Stakeholder-Specific Vulnerability Categorization)について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
    脆弱性診断は受けたけれど~脆弱性管理入門

    表6 2024年にKEVカタログに掲載された脆弱性の自動化可否

    自動化可否 件数
    可能 75
    不可 86
    データなし 14
    出典:https://github.com/cisagov/vulnrichmentよりデータを取得

    ランサムウェアグループの悪用が判明しているもの

    2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

    表7 ランサムウェアグループによる悪用の判明

    ランサムウェアグループの悪用 件数
    判明している 22
    不明 153

    注:
    1) CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
    2) CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
    3) https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
    およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/(2024年12月13日参照)
    4) PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
    5) 対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
    6) CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
    7) CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

    ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    サイバー攻撃者は何を狙うのか?~サイバー攻撃の準備段階~
    第1回 侵入するための偵察活動

    Share

    攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動(初期アクセス)の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

    偵察活動の例

    ランサムウェア攻撃グループ「LockBit」

    2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*13

    Cobalt Strikeを悪用するランサムウェアグループ

    本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

    Volt Typhoon

    ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ(AD)に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

    JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター(ASD’s ACSC)主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

    偵察活動の一覧

    最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    表の見方

    • MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID
    • 名称:MITRE ATT&CKが活動に対して付与した名称
    • 備考:記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

    偵察活動の一覧

    MITRE ATT&CK ID 名称 備考
    T1595 アクティブスキャン
    0.001 IPブロック(パブリックIP)のスキャン
    0.002 脆弱性スキャン
    備考

    攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。

    0.003 ワードリストスキャン 注 1)
    T1592 ターゲットのホスト情報の収集
    0.001 ハードウェア
    0.002 ソフトウェア
    備考

    攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報(Webブラウザ関連の情報)の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。

    0.003 ファームウェア
    0.004 クライアント設定 注 2)
    T1592 ターゲットの認証・個人情報の収集 注 3)
    0.001 認証情報
    備考

    攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。

    0.002 メールアドレス
    備考

    攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。

    0.003 従業員名
    備考

    攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。

    T1592 ターゲットのネットワーク情報の収集
    0.001 ドメインプロパティ 注 4)
    0.002 DNS
    0.003 ネットワークの信頼関係 注 5)
    0.004 ネットワークトポロジー
    0.005 IPアドレス
    0.006 ネットワークセキュリティアプライアンス
    T1591 ターゲットの組織情報の収集
    0.001 物理ロケーションの推定
    0.002 取引関係の推定
    備考

    攻撃者は、ターゲティングに利用できる取引関係の情報情報(ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など)を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。

    0.003 ビジネスのテンポの推定 注 6)
    0.004 役職などの推定
    備考

    攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。

    T1598 情報収集のためのフィッシング
    0.001 スピアフィッシングサービス 注 7)
    0.002 悪意のあるコードなどを含む添付ファイルによるスピアフィッシング
    備考

    スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.003/td>

    リンクを悪用したスピアフィッシング
    備考

    スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.004 音声によるスピアフィッシング
    備考

    音声通信(電話)を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。

    T1597 閉鎖的・限定的な情報源からの情報収集 注 8)
    0.001 脅威インテリンジェスベンダー 注 9)
    0.002 技術データの購入 注 10)
    T1596 公開技術データベースの検索 注 11)
    0.001 DNS/Passive DNS
    0.002 WHOIS
    0.003 デジタル証明書
    0.004 CDN
    0.005 公開スキャンデータベース
    T1593 公開Webサイト・ドメインの検索
    備考

    公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。

    0.001 ソーシャルメディア
    備考

    攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。

    0.002 検索エンジン
    0.003 コードレポジトリ
    備考

    攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報(認証情報・ソースコード)を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。

    T1594 ターゲット所有のWebサイトの検索
    備考

    企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) 一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
    2) Office 365のテナントからターゲットの環境情報を収集する例などがあります。
    3) 秘密の質問やMFA(多要素認証)の設定なども含まれる。
    4) ドメイン情報から読み取れる情報(氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報)、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
    5) ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
    6) 営業時間、定休日、出荷サイクルなどの情報。
    7) サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報(認証情報など攻撃への悪用ができる情報)を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
    8) 評価の高い情報源や有料購読の情報源(有料の時点である程度の品質が期待される)、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
    9) 脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
    10) 評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
    11) 公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

    ウェビナー開催のご案内

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    もし不正アクセスされたら?すぐにとるべき対処法

    Share

    不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。あなたの会社で不正アクセスが生じた場合、その対応を誤ったり、対処が遅れたりすることで、事業への損害、評判の低下といった重大な事態につながる恐れがあります。本稿では、不正アクセスの主な手口を紹介し、被害を防ぐための対策、実際に被害にあってしまった場合の対処方法を解説します。

    「不正アクセス」とは

    「不正アクセス」と聞くと、本来その権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為をイメージしますが、厳密にどのような行為を指すのかは、1999年に公布(最新改正は2013年)された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」で規定されています。同法では、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。

    不正アクセス禁止法では、単に他人のIDやパスワード(「識別符号」と呼ばれる)を無許可で使用する行為だけでなく、他の情報を利用してWebサービスやサーバなどのシステム(「特定電子計算機」と定義されている)を操作する行為も「不正」と定義されています。この点には特に留意する必要があります。

    また、不正アクセスを助長する行為としてID・パスワードの不正取得が禁じられているほか、
    ID・パスワードの不正な保管行為も同法に抵触します。違反した場合は、3年以下の懲役又は100万円以下の罰金が処せられます。

    「不正アクセス禁止法」の定義とリスク

    なお、不正アクセス禁止法の定義に関しては、アクセスが事前の「承諾」を得ていなければ、
    その行為は不正とみなされる点にも注意が必要です。例えば、システムのセキュリティ診断において、株式会社ブロードバンドセキュリティが運営するSQAT.jpは、Webアプリケーションや社内ネットワークの脆弱性診断やペネトレーションテストを行う際、システムを管理する企業からアクセスに対する承諾をいただいたうえで実施しています。

    脆弱性診断やペネトレーションテストを行うツールは多数存在しており、だれでも無料で利用すること可能です。しかし、これらのツールの使用には慎重になる必要があります。もしもセキュリティ診断ツールを事前承諾なしに他社のシステムに使用した場合、たとえそれが善意に基づくものであったとしても、不正アクセス禁止法に抵触する可能性があり、刑事罰の対象となることがあります。

    万が一あなたの会社の技術者が、運用管理や保守、攻撃耐性の確認等の目的で他社のシステムを対象に、セキュリティ診断ツールを使用している場合には、適切な手続きを踏む必要があることを理解することが重要です。

    不正アクセスの手口と被害例

    では、そもそも悪意を持った、攻撃者による不正アクセスの手口にはどのようなものがあるのでしょう。典型的なのは、「盗んだIDとパスワード、あるいは推測したパスワードを使って、システムに不正にログインする」というものです。ID・パスワードの組み合わせを総当り的に試してログインを図る「ブルートフォース攻撃」、辞書にある語句を利用する「辞書攻撃」、不正に入手したログイン情報を利用する「パスワードリスト攻撃」などが知られています。

    中でも近年特に話題を集めているのは「パスワードリスト攻撃」です。背景には、数十万~数億件規模のID・パスワードがセットで売買されていたり、インターネット上に公開されていたりする事態があちこちで確認されており、攻撃者が不正アクセスのための情報を容易に手に入れやすくなっている状況があります。また、もし複数のシステムに対して同じID・パスワードが使いまわされている場合、1件の情報を入手することで複数のシステムへのログインが可能になるという点も、攻撃者を引き付けています。

    この2020年8月には、日本企業約40社において、VPN(Virtual Private Network)のID・パスワードが盗まれ、インターネットに公開されるという事件が発生しました。VPNは、本来、セキュリティを確保したうえで企業ネットワークへアクセスするために使われる「安全性の高い入口」です。そこにログインするためのID・パスワードが盗まれることが極めて大きな被害につながり得ること、裏を返せば、攻撃者にとって極めて大きな利得につながり得ることは、論をまたないでしょう。

    もちろん、不正アクセスのための攻撃は、ID・パスワードを狙ったものだけではありません。ID・パスワードの入手につながる脆弱性も格好の標的になります。例えば、Webアプリケーションや公開Webサーバの脆弱性はその最たるものです。攻撃者はしばしばSQLインジェクションの脆弱性クロスサイトスクリプティングの脆弱性などを悪用して個人情報を不正に入手し、ID・パスワードを特定してシステムへの侵入を試みます。

    ID・パスワードの保護に加え、結果としてID・パスワードの特定につながる脆弱性を放置しないことが、不正アクセスを防ぐためには最重要といえるでしょう。

    不正アクセスされたかどうか調べる方法 警告とサイン

    「あなたの会社が不正アクセスされています」などの警告は、突然きます。

    実際に不正アクセスが行われた場合でも、自社内では気づくことは少なく、外部からの警告によって初めて認識する場合が多いです。例えば、クレジットカード情報が盗まれた場合、カード会社から直接情報漏えいや不正利用の兆候がある等の連絡がきます。また、サイバー犯罪の捜査過程で、あなたの会社に不正アクセスが行われていることが発覚した場合、さらには、それが他の会社での被害につながっていることが発覚した場合には、警察やセキュリティ事故発生時の調整を行う機関など(一般社団法人 JPCERT コーディネーションセンター等)から連絡がくることもあります。

    なお、サイバー攻撃が起こることを想定した組織体制がない場合、やってきた連絡が正当なものであるかの判断自体がつかない場合もあるかもしれません。実在する機関を装い、虚偽の不正アクセス事案を連絡する犯罪が発生する可能性も想定し、連絡の真偽は必ず確認するようにしましょう。

    不正アクセスされたらすぐにとるべき対応

    以前の記事「情報漏えいの原因と予防するための対策」では、「情報漏えい事故の報告書と収束までの流れ」として、事故発生時の報告書作成の注意点について解説しました。今回は、不正アクセスされた直後の対応や、真相究明を行う社内の組織体制構築でのポイントをご紹介します。

    不正アクセス事故対応のチーム作り

    セキュリティ事故対応を行う専門部署であるCSIRTが社内にない場合は、事故対応チームを速やかに組織しなければなりません。どのような編成を想定すべきか、参考として、モデル的な図解を下記に示します。

    https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf より当社作成

    もちろん、セキュリティ専門企業でない限り、ほとんどの組織にとってはここまでの編成をとることは合理的とはいえません。既存の組織・人員の状況に応じて、下記のような事項をポイントにチームを編成し、自組織の業種業態、慣習、人材、文化等を踏まえながら継続的にチームの発展・強化に取り組むことをお勧めします。

    • CSIRTがインシデント発生時における最終判断(システム停止も含む)までを担う場合は、責任を担う経営陣を参画させる。
    • 現体制におけるキーマンを特定し、そのキーマンを必ずメンバーに加える。
    • 現体制で実施できている役割がないか確認する(「実施できている役割は踏襲する」という判断も重要)。
    • 技術的な知識、経験、人材を持たない場合は、最低限CSIRTに必要な機能(=有事の報告、伝達を的確に行い、意思決定者へ早期伝達すること)を有する、「コーディネーション機能に重点を置いたCSIRT」を目指す。

    取引先、関係者、個人情報保護委員会への連絡

    あなたの会社のステークホルダーに対して、現時点で判明している事故の事実関係を連絡します。規制業種の場合は所轄官庁への報告義務があります。なお、個人情報保護法では、個人情報漏えい等の場合、本人通知や監督官庁への報告を努力義務としていますが、2022年に施行予定の改正個人情報保護法では一定範囲においてこれが義務化されるため注意が必要です。

    不正アクセスの原因究明

    続いて取り組むべきは、原因究明です。不正アクセスを受けた場合、侵入経路の特定や証拠保全などは自社でどこまで可能なのでしょう。監視やSOC(セキュリティオペレーションセンター)サービスの契約などによって保存してあるログを解析可能な場合、「不正アクセスの発端と展開過程がわかるから、自経路の解析や被害範囲の特定もできる」と考えてしまうかもしれません。しかし、火事場のように混乱する事故発生直後は、日頃から備えをしていた企業ですら、一刻を争う状況下で解析すべき情報の膨大さに圧倒されるものです。また、刑事事件として告発を行う場合や損害賠償請求を行う場合には証拠保全が必要となりますが、混乱し、慣れない状況下で証拠保全を念頭に調査や対応を行うのは大きな負荷となります。

    さらに、「サイバー攻撃を行う5つの主体と5つの目的」で解説した「APT攻撃」が行われるケースも想定しておく必要があります。APTでは、侵入の痕跡を消されることが少なくなく、そのような場合、侵入経路の特定や証拠保存は難しくなります。しかし、日々ログの収集を行っていたとしたら、その痕跡からデジタルフォレンジックを実施することが可能です。

    不正アクセス防止のための日常的なセキュリティ対策

    日頃からWebサービスやサーバのセキュリティ強化に取り組むことで、不正アクセスの発生を抑え、万が一不正アクセスが発生した場合にも早期あるいは即時に把握することが可能になります。

    例えば、サーバに対するアクセスログを収集・保存し、同一IPからの複数回ログインに対するアラートをルール化する等の設定をしておくことで、誰かが不正ログインを行っていることを早期に知り、ブロックするなどの対処を行えるようになります。

    不正アクセス対策としてのセキュリティ企業との連携

    不正アクセス事故に備えるためには、日常的なアクセスログの収集や分析、SOCサービスの契約、さらにはCSIRT組織の設置など、日頃からの備えが重要です。不正アクセスを未然に防ぐと同時に、万一発生した場合の対応力を高める役割を果たします。

    そして、もう一つ有効な取り組みは、信頼できるセキュリティ企業との関係構築です。「かかりつけ医」のセキュリティ企業を持つことは、事故発生時に迅速かつ効果的に対応できる可能性があります。それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などを一から説明する必要が生じ、対応に時間がかかってしまいます。わずかな時間も惜しまれるインシデント対応の現場では大きなリスクとなります。

    脆弱性診断やインシデント対応などのセキュリティサービスを提供する企業に依頼をする際には、その企業が単に技術力があるかどうかだけでなく、信頼できる企業かどうか、いざというときにサポートしてくれるかどうかを慎重に考慮して選ぶことが重要です。提供サービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン

    まとめ

    • 不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。不正アクセス禁止法の違反者は、3年以下の懲役又は100万円以下の罰金に処せられます。
    • たとえ悪意がなくても、セキュリティ診断ツールなどを使用することで不正アクセス禁止法に抵触することがあります。
    • ID・パスワードの管理だけでなくWebアプリケーションやサーバの脆弱性管理も重要です。
    • 不正アクセスが実際に起こってしまったら、早急に対応チームを組織し、ステークホルダーへの連絡や原因究明を行います。
    • いざ不正アクセス事故が起きたときの対応力を高めるには、日頃からのアクセスログ収集や分析、SOCサービスの契約、CSIRT組織の設置、「かかりつけ」セキュリティ企業との関係構築などが有効です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ペネトレーションテストとは?

    Share

    サイバー攻撃の数は年々増加し続けており、その手口は高度化・巧妙化しています。特に金融、医療、政府機関、ITサービス業界の企業の経営者においては、システムのセキュリティリスクの状態を把握や適切なセキュリティ対策の実施などが重要課題となっています。ペネトレーションテストでは、システムに存在するリスクが実際に悪用可能か確認することが可能です。本記事では、ペネトレーションテストとは何か、なぜ重要なのか、そして脆弱性診断との違いについて解説します。

    ペネトレーションテストとは

    ペネトレーションテストとは、主に企業ネットワークや、Webアプリケーションなどに不正に侵入することができるかどうかをテストすることです。英語の「 penetration 」には「貫通」、「 penetrate 」には「貫く」「見抜く」などの意味があります。「ペンテスト」と略されたり、「侵入テスト」と呼ばれることもあります。

    サイバー攻撃者はまず不正侵入し、その後、情報を盗んだり、バックドアを仕掛けたり、あるいは破壊工作などを行います。それらすべての端緒となる不正侵入を許すかどうかを調べるのが、ペネトレーションテストの役割です。

    ペネトレーションテストは、システムやネットワークに対する不正侵入や攻撃が可能かどうかを確認するためのテスト手法です。このテストは、単に脆弱性を見つけるだけではなく、それらが実際に悪用される可能性があるかどうかを判断することに重点を置いています。これにより、システムのセキュリティ状態の把握や実装されているセキュリティ対策の有効性を検証することができます。

    ペネトレーションテストが必要な業界と業種

    ペネトレーションテストは、特にセキュリティが重要視される業界や業種で必要とされます。
    金融、医療、政府機関、ITサービスなど、機密情報を扱うすべての業界で、ペネトレーションテストの実施は必要不可欠です。これらの業界では、データ漏洩やシステム障害が重大な結果を招く可能性があるため、定期的なテストが推奨されます。

    ペネトレーションテストが必要な3つの業種

    脆弱性診断の結果見つかった脆弱性を悪用して、攻撃が本当に成功するのかを検証するために、ペネトレーションテストが実施されることがあります。あくまで一般論ですが、ペネトレーションテストが必要な業種や事業として、以下の3つが挙げられます。

    1.生命・生活に直接影響を与える事業やサービス
    第一に、生命や生活に影響を及ぼす業種が挙げられます。具体的には、水道・電気・ガス・道路・交通等の社会インフラや、病院、ビル管理、工場のシステムなどです。

    2.資産に影響を与える個人情報を扱うサービス
    個人情報を保有する事業やサービスにも、ペネトレーションテストが必要な場合が多いでしょう。とりわけ銀行や証券会社、クレジットカード、仮想通貨取引所などの金融、大規模なWebサービスやECサイト、住民データを扱う自治体や官公庁などが挙げられます。

    3.事業継続に影響を与える機密情報を扱うシステム
    重要な営業機密や知的財産を保有する企業もペネトレーションテストの実施が望ましいといえるでしょう。

    特に、クローズモデルの知財戦略に基づいて特許を取得しない方針の企業が、サイバー攻撃によって機密情報を盗まれ、他の企業に国内外で特許申請・取得された場合、事業継続に関わる重大な影響が懸念されます。

    また、データ自体に価値はあるが、特許法や不正競争防止法では保護対象とならないようなデータについては、セキュリティ対策によって保護を図る必要があります。

    ペネトレーションテストの重要性

    主に以下のような理由により、企業・組織において、ペネトレーションテストを実施することは重要です。

    • 実際の攻撃シナリオの検証
    • セキュリティ対策の有効性評価
    • コンプライアンス要件の遵守
    • ビジネスリスクの低減

    脆弱性診断とは異なり、ペネトレーションテストは単に脆弱性を発見するだけでなく、それらが実際に悪用される可能性があるかどうかを重視します。これにより、システムのセキュリティ状態を詳細に把握し、実装されているセキュリティ対策の有効性を検証することができます。

    特に金融、医療、政府機関、ITサービス業界など、高度なセキュリティが要求される分野では、セキュリティ対策の一環としてペネトレーションテストが法令やガイドラインで義務付けられている場合があります。

    脆弱性診断との違い

    ペネトレーションテストは、脆弱性診断とは異なるアプローチを取ります。

    脆弱性診断はシステムの脆弱性を特定することに焦点を当てていますが、ペネトレーションテストはその脆弱性を利用して実際に攻撃を試み、システムのセキュリティを実際に検証します。この違いは、単にリスクを特定するのではなく、そのリスクが実際にどのように悪用され得るかを理解することにあります。

    ペネトレーションテストと脆弱性診断の違いと使い分け

    ペネトレーションテストと脆弱性診断には共通する部分があるため、違いがよく理解されていません。特によく見られる勘違いは、「ペネトレーションテストをやりたい」という要望だったものの、ヒアリングしてみると、実際にはペネトレーションテストでなく脆弱性診断が必要であった、というケースです。

    以下に「対象」「目的」「範囲」、必要な「期間」の4つの観点から、ペネトレーションテストと脆弱性診断の違いを示します。

    ペネトレーションテスト 脆弱性診断
    対象 脆弱性診断同様、ネットワークやWebアプリケーションを対象にしますが、ときに警備員をあざむいて建物に侵入できるかどうか等の物理的侵入テストが行われることもあります。 ネットワークやWebアプリケーションが対象となります。
    目的 脆弱性診断は脆弱性を発見して報告することが主な業務ですが、ペネトレーションテストは脆弱性をもとに不正アクセスし、ネットワーク等に侵入することが目的となります。 脆弱性を検知・検出すること。
    範囲 広い範囲の網羅性を重視する脆弱性診断と異なり、ペネトレーションテストは侵入することが目的であるため、脆弱性診断とは反対に、狭く深く、ときに針の穴のような侵入できる一点を探します。 広く網羅的に脆弱性の有無を探します。
    期間 ペネトレーションテストは、とにかく侵入が成功するまでトライし続ける作業であるため、脆弱性診断よりも長い期間を要する場合が少なくありません。ただし、一般論として、優秀なペネトレーションテストサービスであればあるほど、短い期間で侵入が成功します。 探すものが事前に決まっているためペネトレーションテストよりも通常は短い期間で完了します。

    ペネトレーションテスト実施のステップ

    ペネトレーションテストサービスは提供する企業によってそれぞれ個性がありますが、大きく分けると下記の手順で実施されます。

    Step1.ヒアリング

    目的に応じ、たとえば「顧客データベース」など、ペネトレーションテストを行う対象を決定します。そして「顧客データベース」が外部から攻撃されるのか、あるいは内部犯行なのか、想定する攻撃シナリオを作成し、最後に、ペネトレーションテストを行う期間を決定します。

    Step2.実施

    対象によってさまざまな実施方法があります。公開されているWebアプリケーションであればリモートから実施することができます。内部犯行の危険性をテストする場合ならオフィス内から実施することもあるでしょう。

    Step3.完了

    「侵入に成功したとき」あるいは反対に、「侵入に成功できないまま期間が終了したとき」のいずれかをもってペネトレーションテストは完了します。どちらの結果にも意味があります。侵入に成功した場合は、その報告を受けて防御力を高める必要性を認識することになり、侵入に失敗した場合は、一定の防御力を保持できている目安となります。

    Step4.報告

    ペネトレーションテスト事業者からの報告書提出や報告会が行われます。具体的にどういうプロセスで、どういう技術を用いて侵入し、重要なデータがどこまで閲覧可能だったのか、どんなことができてしまう危険性があったのか、など管理者の気にかかることが詳細に報告されます。


    ペネトレーションテスト 日本と海外の違い

    海外では本番環境で稼働するシステムに対して、直接攻撃を行うような荒っぽいペネトレーションテストが行われることもありますが、日本国内ではそういったケースは多くありません。日本では業務やサービスの運用への影響を回避しつつ、安全に配慮しながら設計・実施されるのが主流です。

    ペネトレーションテストを実施する会社の適切な選び方

    ペネトレーションテストを実施する際には、専門知識と経験を持つ信頼できる会社を選ぶことが重要です。セキュリティテストの専門家であること、業界の最新の脅威に精通していること、そして過去の成功事例を持つことが、良いサービスプロバイダーの特徴です。また、テストの範囲、方法、報告の詳細さなど、サービスの質にも注意を払う必要があります。

    ペネトレーションテストは経験とセンスが求められる仕事であるため、優良事業者選びはとても重要です。前述したとおり「優秀なペネトレーションテストサービスであればあるほど、短い期間でテストが終了(=侵入に成功)」します。ペネトレーションテストの見積額はエンジニアの拘束時間とも相関しますので、予算にもかかわってきます。大きく以下の3つのポイントを、いいペネトレーションテスト会社選びの参考にしてください。

    1.丁寧なヒアリングにもとづいてシナリオを考えてくれるか

    システム構成や業務手順、ときには組織構成など、実際のサイバー攻撃を行う際に参照するとされる、さまざまな情報をもとにして、実施するサービスの適用範囲、留意事項、制限などを聞き、顧客の目的や要望、要件に沿ったペネトレーションテストの攻撃シナリオを考えてくれる会社を選びましょう。

    2.技術者の経験と勘、クリエイティビティ

    ペネトレーションテストはときに針の穴を通すような隙間を見つけ出して侵入を成功させる業務です。技術者のこれまでの経験、保有資格などを確かめ、技術者の層が厚い会社を選びましょう。

    3.診断実績

    過去のペネトレーションテストの実施社数や件数、リピート社数なども、いいペネトレーションテスト会社選びの参考になります。

    ペネトレーションテストのツール

    ここまで述べてきたとおりペネトレーションテストとは、丁寧なヒアリングのもとで作成した攻撃シナリオに基づいて、経験豊かな技術者が実施するクリエイティブな手作業です。ペネトレーションテストをすべて自動で行うツールは存在しません。

    ただし、ペネトレーションテストを行う技術者が、いわば「工具」「道具箱」のように用いるツールは数多くあります。代表的なものとして、オープンソースプロジェクトである Metasploit が提供する、さまざまなツール群が挙げられます。

    セキュリティ企業に依頼せずに、自分でMetasploit が提供するツールを用いて、公開されている脆弱性などを用いて攻撃を実行することは可能です。しかし、その結果を読み解いたり、優先順位をつけたりするノウハウには経験と知見が必要とされます。

    また、自宅に置いたサーバに研究目的でツールを走らせるような場合でも、不用意にこうしたツールを使用したり、不適切な方法で攻撃用のエクスプロイトを取得・保管したりすると「不正アクセス行為の禁止等に関する法律」「不正指令電磁的記録に関する罪(刑法刑法168条の2及び168条の3)」等にも触れる犯罪となる危険性もあることを忘れてはいけません。

    ペネトレーションテストの料金相場

    ペネトレーションテストの料金は、対象とする範囲や、攻撃シナリオによって変動します。あくまで一般的な相場として「脆弱性診断の1.5倍から2倍」程度、金額として数十万円から数千万円の開きがあります。

    まとめ

    ・ペネトレーションテストとは、システム・ネットワークへの不正侵入や攻撃が成立するか確
     認するテスト手法の一つ
    ・特にセキュリティが重要視される業界や業種、金融、医療、政府機関、ITサービス業界など

     で、ペネトレーションテストの実施が必要不可欠
    ・脆弱性の有無を判定する脆弱性診断と異なり、ペネトレーションテストでは脆弱性自体を見

     つけることよりも不正侵入や攻撃が成立するかどうかの判断を優先する
    ・事前ヒアリングが丁寧で、優秀な技術者が在籍する、診断実績の多い会社を探す

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像