AWSを狙うランサムウェアCodefingerの脅威と
企業が取るべきセキュリティ対策

Share

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

はじめに

近年、クラウドサービスの利用が拡大する中で、新たなサイバー攻撃が注目を集めています。その中でもCodefingerというランサムウェアグループが、Amazon Web Services(AWS)のS3バケットを標的にした攻撃を展開していることが報告されています。この攻撃は、データの暗号化を通じて企業に多大な被害をもたらし、対策の重要性が浮き彫りになっています。

■関連記事
https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c

Codefingerによる攻撃の手口

Codefingerの攻撃は、AWSの認証情報を不正に入手するところから始まります。主にフィッシング攻撃や既知の脆弱性を利用して認証情報を取得した攻撃者は、その情報を使い、AWSの「Server-Side Encryption with Customer Provided Keys(SSE-C)」機能を悪用します。この機能は、ユーザーが独自の暗号鍵を用いてデータを暗号化するものですが、攻撃者はこれを逆手に取り、データを勝手に暗号化してしまいます。

さらに、攻撃者はS3 Object Lifecycle Management APIを使用し、データを自動的に削除するポリシーを設定します。この結果、被害を受けた企業は重要なデータにアクセスできなくなるばかりか、高額な身代金を要求される事態に陥ります。

攻撃の影響とリスク

この攻撃がもたらす影響は非常に深刻です。暗号化されたデータはAWS側にも復号化ができない仕組みになっており、攻撃者以外によるデータの復旧がほぼ不可能です。そのため、多くの場合、被害者は身代金を支払うか、データを諦める選択を迫られます。このような状況は、企業の業務停止や信頼失墜を引き起こし、さらには経済的損失にもつながります。また、Codefingerの攻撃手法は他のサイバー犯罪グループによって模倣される可能性があり、攻撃の拡大が懸念されています。クラウドサービスを利用する企業にとって、こうしたリスクは今後さらに高まるでしょう。

企業が取るべき防御策

このような攻撃に対抗するには、以下のような多層的な対策を講じることが重要です。

  • AWS環境での認証情報の管理の徹底
    AWSのセキュリティ設定を強化することも効果的です。例えば、SSE-Cの利用を制限するポリシーを設定することで、攻撃者による悪用を防ぐことができます。また、必要最低限の権限のみを付与する「権限の最小化」を徹底することで、万が一認証情報が漏洩しても被害を最小限に抑えることが可能です。
  • AWSセキュリティ設定の強化
    Codefingerによる攻撃は、AWSだけでなく、他のクラウドサービスプロバイダーにとっても警鐘となる事例です。業界全体で防御策を進化させる必要があり、クラウドサービスプロバイダーも不正なアクティビティを迅速に検出し、対応できる体制を構築する必要があります。さらに、顧客への迅速な通知体制を整えることも重要です。認証情報の漏洩が確認された場合、速やかに顧客に通知し、被害拡大を防ぐための具体的な対応策を提示することが求められます。

業界全体でのセキュリティ強化の必要性

Codefingerによる攻撃は、AWSだけでなく、他のクラウドサービスプロバイダーにとっても警鐘となる事例です。業界全体で防御策を進化させる必要があり、クラウドサービスプロバイダーも不正なアクティビティを迅速に検出し、対応できる体制を構築する必要があります。さらに、顧客への迅速な通知体制を整えることも重要です。認証情報の漏洩が確認された場合、速やかに顧客に通知し、被害拡大を防ぐための具体的な対応策を提示することが求められます。

まとめ

Codefingerの攻撃は、AWS環境におけるセキュリティリスクを浮き彫りにしました。このような脅威に対処するためには、認証情報の管理、多要素認証の導入、セキュリティ設定の強化など、企業が積極的に防御策を講じる必要があります。また、クラウドサービスプロバイダーも、不正アクセスを迅速に検出し、対応できる仕組みを強化することで、顧客の信頼を守ることが求められます。今回の事例を契機に、セキュリティ対策の見直しを検討してみてはいかがでしょうか。


Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    マルウェアの対策-マルウェア感染を防ぐための基本のセキュリティ対策のポイント-

    Share

    マルウェアの脅威は年々増大しており、企業・組織への影響は計り知れません。本記事では、マルウェアの具体的な被害事例を紹介し、感染時の症状や対処法について解説します。そして、セキュリティ対策の基本とマルウェア対策の基本的な考え方を押さえ、日々進化するサイバー脅威から自組織を守るために必要な知識を、わかりやすく解説していきます。

    マルウェア被害事例

    ウイルスの事例

    マルウェア「Emotet」による感染被害

    マルウェア「Emotet」は主にメールを介して広がり、その被害が深刻化しています。感染経路は、悪意のあるメールの添付ファイルやリンクを開くことにより、ユーザのPCに感染します。Emotetは巧妙な手口で、正規のメールを装うことで信頼性を高め、受信者に警戒させないようにします。感染後、企業や個人のPC内の情報が盗まれ、さらに他のマルウェアをダウンロードさせることもあります。関連企業では、業務停止やデータ流出による経済的損失が報告されています。特に日本国内の企業においても影響が広がり、国内通信事業者を含む複数の企業が注意喚起を行っています。

    ワームの事例

    ランサムウェアWannaCryによる感染被害

    2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

    トロイの木馬の事例

    GooglePlayのAndoroidアプリからマルウェア感染

    2021年11月、Google Playに登録されたアプリにバンキング型トロイの木馬が含まれていることが判明しました。このマルウェアは認証情報や金融情報を盗むことを目的とし、30万台以上の端末に影響を与えました。攻撃者は、最小限のフットプリント(アプリ稼働時に要するメモリ容量)でアプリを登録し、ドロッパー(マルウェアを感染させるプログラム)の存在を隠蔽、ダウンロード後のアップデートでマルウェアを展開するという手口を用いていました。感染経路は公式ストアからのダウンロード後のアップデートであり、完全な防御は困難とされています。影響を受けたアプリはすでに削除されています。

    PCがマルウェアに感染したら

    マルウェアに感染したときの症状には以下のようなものがあります。

    感染したときの症状

    パソコンの動作が遅い

    マルウェアに感染すると、システムリソースを過剰に消費するため、通常のタスクでもパソコンの動作が遅くなることがあります。これにより、プログラムの起動やファイルの読み込みが時間を要し、全体的なパフォーマンスが低下します。

    予期しないフリーズやクラッシュ

    マルウェアはシステムファイルを破壊したり、重要なプロセスを妨害したりすることで、突然のフリーズやクラッシュを引き起こします。これにより、作業中のデータが失われるリスクが高まります。

    原因不明のストレージ容量の減少

    マルウェアが悪意のあるプログラムをインストールし、大量のファイルをダウンロードするなど、ストレージ容量を消費します。突然、ストレージ容量が急激に減少する場合は感染が疑われます。

    迷惑なポップアップ

    アドウェアやスパイウェアなどのマルウェアは、感染後、ブラウザやデスクトップに不審なポップアップ広告を頻繁に表示させます。さらにブラウザを使用していない時でも突然表示されるため、ユーザの作業を妨げます。多くの場合、これらの広告は不適切な内容や詐欺的なオファーを含んでおり、クリックすると別のマルウェアに感染するリスクがあります。正規のウェブサイトを装った偽のポップアップにも注意が必要です。

    ポップアップによるエラーメッセージ

    マルウェアは偽のエラーメッセージを表示し、ユーザを混乱させることがあります。これらのメッセージは、実際のシステムエラーのように見えますが、偽のソフトウェアのダウンロードや個人情報の入力を促す悪意のあるプログラムを含むものです。正規のエラーメッセージとの区別が難しいため、ユーザが誤ってクリックしてしまい、別のマルウェアへの感染や情報漏洩のリスクが高まります。

    偽のウイルス警告が出力される

    突然、偽のウイルス警告が表示されることがあります。これらの警告は、ユーザを騙して不正なウイルス対策ソフトを購入させたり、さらなるマルウェアをインストールさせたりする目的で行われます。

    セキュリティ設定が変更される

    マルウェアは、システムのセキュリティ設定を無断で変更することがあります。これにより、ファイアウォールが無効化されたり、ウイルス対策ソフトが停止されたりすることで、さらに感染が拡大する恐れがあります。

    不審なソーシャルメディア投稿がされる

    感染した場合、マルウェアはユーザのアカウントにアクセスし、不審な投稿を自動的に行うことがあります。これにより、友人やフォロワーにウイルスが拡散されるリスクがあります。

    プログラムが同意なしに実行、終了される

    マルウェアは、ユーザの許可なくプログラムを起動したり、逆に正常なプログラムを強制終了させたりすることがあります。これにより、システムの安定性が損なわれます。

    不審なアプリケーションが表示される

    デスクトップやアプリケーションリストに見覚えのないソフトウェアが突然現れることがあります。これらはマルウェアによって密かにインストールされたものである可能性が高いです。

    ファイルがランダムに消える

    マルウェアはシステム内のファイルを破壊または削除することがあります。特に重要なファイルが意図せず消失する場合は、感染が疑われます。

    インターネット使用量の原因不明の増加

    突然のインターネット使用量の増加は、バックグラウンドでマルウェアが不正な通信を行っているサインかもしれません。これにより、インターネット速度が低下することもあります。

    スマホがマルウェアに感染したら

    スマホがマルウェアに感染したときの症状には以下のようなものがあります。

    バッテリー消費が激しい

    スマートフォンにマルウェアが感染すると、バックグラウンドで悪意のあるプロセスが常時稼働し続けるため、バッテリーの消耗が通常よりも急激に進むことがあります。頻繁な充電が必要になる場合、感染を疑うべきです。

    広告や警告のポップアップ表示

    感染後、ブラウザやアプリ内で不審な広告や偽の警告が頻繁に表示されることがあります。これらのポップアップは、別のマルウェアのインストールや詐欺サイトへの誘導を目的としています。

    アプリが頻繁に落ちる

    マルウェアは、システムリソースを過度に使用したり、アプリに悪影響を与えたりすることで、アプリが頻繁にクラッシュする原因となります。通常なら安定して動作するアプリが急に不安定になる場合、感染が疑われます。

    動作が重くなる

    マルウェアによるシステムリソースの過剰な消費やバックグラウンドでの不正な活動により、スマホ全体の動作が遅くなることがあります。アプリの起動や画面の切り替えが遅延する場合、注意が必要です。

    データ使用量の増加

    マルウェアは、不正なデータ通信をバックグラウンドで行うことがあり、その結果としてデータ使用量が急増することがあります。特にWi-Fiではなくモバイルデータを使用している場合、この症状は顕著です。

    カメラが勝手に起動

    スマホに感染したマルウェアは、ユーザが意図しないうちに勝手にカメラを起動し、写真や動画を撮影することがあります。この不審な動作は、プライバシーの侵害につながる重大なリスクです。

    身に覚えのない支払い請求が届く

    マルウェアは、ユーザの意図しないうちに高額なアプリやサービスを購入させることがあります。その結果、身に覚えのない請求が発生し、金銭的な被害が発生することがあります。

    感染した場合の対処法

    もしマルウェア感染したことが明らかであるならば、どのような対処をすればよいのでしょうか。速やかに対処すべきこととして以下のようなものがあげられます。

    マルウェアの検出

    マルウェア感染が疑われる場合、まずはウイルス対策ソフトを使用してシステム全体をスキャンし、マルウェアの存在を検出します。このスキャンは、感染の早期発見に繋がり、被害の拡大を防ぐために非常に重要です。定期的なスキャンとリアルタイムの監視が、予防と早期対応に不可欠です。

    ネットワークの遮断

    感染が確認された場合、まずネットワークから切り離すことが重要です。これは、マルウェアが他のデバイスに感染を広げ、外部に情報を送信したりするのを防ぐためです。ネットワークからの切断は、さらなる被害の拡大を防ぐための第一歩となります。

    感染源の特定

    メールの添付ファイル、ダウンロードしたアプリ、怪しいリンクなど、感染経路を突き止めることで、今後の再発を防ぐことが可能です。このプロセスは、同じ手口による再感染を防ぐために非常に重要です。

    マルウェア検出ツールによる削除

    検出されたマルウェアを専門の削除ツールで完全に除去します。ウイルス対策ソフトや専用のマルウェア削除ツールを使用することで、安全かつ確実にマルウェアを駆除し、システムを正常な状態に戻します。

    セキュリティ対策の基本

    セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    セキュリティ基本10項目

    • 標的型攻撃メール訓練の実施

    標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

    • 定期的なバックアップの実施と安全な保管(別場所での保管推奨)

    ランサムウェアによる被害からデータを保護するために、オフラインバックアップ(データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと)をサーバに行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

    • バックアップ等から復旧可能であることの定期的な確認

    バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

    • OS、各種コンポーネントのバージョン管理、パッチ適用

    システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段からの脆弱性関連情報収集やバージョン更新が求められます。

    • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)

    認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証(MFA)を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

    • 適切なアクセス制御および監視、ログの取得・分析

    システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

    • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認

    シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

    • 攻撃を受けた場合に想定される影響範囲の把握

    サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

    • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

    定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

    • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

    インシデント対応計画の策定

    インシデント対応計画の策定は、企業がサイバー攻撃や情報漏洩などの緊急事態に迅速かつ効果的に対応するために不可欠です。計画には、インシデント発生時の対応手順、責任者の明確化、コミュニケーション手段の確保、影響評価、そして復旧手順が含まれます。計画は定期的に見直し、訓練を行うことで、実際のインシデント時にスムーズに対応できる体制を整えることが重要です。

    マルウェア対策の基本的な考え方

    不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

    あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

    まとめ

    マルウェアは、Emotet、WannaCry、トロイの木馬など様々な形態で存在し、主にメールやウェブサイトを介して感染します。これらは個人情報や金融データの窃取、システムの暗号化、身代金要求などを目的としています。感染の症状には、パソコンの動作遅延、予期せぬフリーズ、ストレージ容量の減少、不審なポップアップの表示などがあります。スマートフォンでは、バッテリー消費の増加、アプリのクラッシュ、データ使用量の急増などが見られます。セキュリティ対策としてあげている基本的な10項目を組み合わせ、定期的な見直しと訓練を行うことで、セキュリティ対策の効果を高めることができます。またインシデント対応計画を策定や、マルウェア対策の基本的な取り組みを普段から実施し、サイバー攻撃のリスクに備えることが、組織全体のセキュリティを強化するために不可欠です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    侵入前提でのセキュリティ対策のポイント
    -サイバー攻撃への対策3-

    Share

    サイバー攻撃の被害から自組織を守るためにはどのような対策をとればよいのか?まずは何から実施すればよいのか?今回の記事では、基本的なセキュリティ対策の考え方から、業界別のセキュリティ対策のポイントやガイドラインを紹介しつつ、リスクを最小化するために有効なセキュリティ対策のポイントを解説いたします。

    企業のためのセキュリティ対策

    管理・経営者に向けた基本対策

    ・標的型攻撃メール訓練の実施
    ・定期的なバックアップの実施と安全な保管(別場所での保管推奨)
    ・バックアップ等から復旧可能であることの定期的な確認
    ・OS、各種コンポーネントのバージョン管理、パッチ適用
    ・認証機構の強化
     (14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
    ・適切なアクセス制御および監視、ログの取得・分析
    ・シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
    ・攻撃を受けた場合に想定される影響範囲の把握
    ・システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
    ・CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    また、セキュリティ対策の実践にはガイドラインの活用もおすすめです。ガイドラインがまとめられた背景には業界別のセキュリティ課題があることがわかります。今回いくつかガイドラインを紹介するにあたり、業界別のセキュリティ対策のポイントに触れます。

    業界別セキュリティ対策のポイント

    「自動車」「医療」「教育」の各業界に着目してみます。各業界のガイドラインがまとめられた背景および目的から、各業界のセキュリティに係る課題がわかります。

    自動車  自動車産業全体のサイバーセキュリティ対策のレベルアップや対策レベルの効率的な点検を推進
    医  療 医療情報システムの安全管理や情報通信の技術の利用に関する法律等への対策
    教  育 教育情報セキュリティポリシーの考え方および内容について解説

    各ガイドラインでは、それぞれの業界における以下のような業務について、外部ネットワークとの接続に言及しています。この外部ネットワークと接続するシステムが、各業界におけるセキュリティ対策のポイントといえるでしょう。

    自動車  ITインフラ環境や工場等の制御システムをはじめとして企業が管理する多くの情報システム
    医  療 外部の医療機関等や患者自身などと医療情報の共有や連携、医療情報の外部保存を行うシステム
    教  育 学校ホームページや教職員によるメールの活用、学習活動に使用されるシステム

    各業界のセキュリティガイドラインの紹介

    自動車

    自動車産業サイバーセキュリティガイドライン V2.0
    工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0

    医療業界

    厚⽣労働省における医療機関のサイバーセキュリティ対策にかかる取組について
    医療情報システムの安全管理に関するガイドライン
    医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

    教育業界

    教育情報セキュリティポリシーに関するガイドライン

    まずはリスクの可視化を

    サイバー攻撃への対策において、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは3つあります。

    「攻撃・侵入される前提」で取り組む

    侵入への対策
    目的:システムへの侵入を防ぐ
      侵入後の対策
    目的:侵入された場合の被害を最小化する
    ・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
    ・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
    ・VPNやリモートデスクトップサービスを用いる端末
    ・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
      ・社内環境におけるネットワークセグメンテーション
    ・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
    ・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
    ・SIEMなどでのログ分析、イベント管理の実施
    ・不要なアプリケーションや機能の削除・無効化
    ・エンドポイントセキュリティ製品によるふるまい検知の導入
    対策の有効性の確認方法
    ・脆弱性診断
    ・ペネトレーションテスト
      ・ペネトレーションテスト

    侵入を前提とした多層防御が重要

    「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。

    情報資産とは
    企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやUSBメモリなどのメディア、そして紙の資料も情報資産に含まれます。
    (総務省「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」より引用)

    組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。

    これにより、システムへのマルウェアの侵入等の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。

    信頼できる第三者機関の脆弱性診断サービスを実施

    企業として実施できるサイバー攻撃への対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

    サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

    まとめ

    管理者や経営者へ向けた基本的なセキュリティ対策の実施項目として、標的型攻撃メールの訓練実施、定期的なバックアップ及びその保管、オペレーティングシステムやアプリケーションのバージョン管理、強固な認証メカニズムの導入、適切なアクセス制御と監視、シャドーITの監査、想定される攻撃の影響範囲の理解、システムのセキュリティ状況の定期的な確認、および全社的なインシデントレスポンス計画の策定と維持等が挙げられます。

    さらに、自動車、医療、教育各業界に特有のセキュリティ課題と、それに対応するための業界別ガイドラインを紹介しています。これらのガイドラインは、特に外部ネットワークに接続されるシステムのセキュリティ強化に注目しています。

    また、サイバー攻撃への対策として、侵入を前提とした多層防御、情報資産の可視化を推奨します。これにより、万が一侵入を許してしまった場合でも、被害を最小限に留めることが可能です。また、信頼できる第三者機関による脆弱性の定期的な診断を実施することも有効です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    IPA 情報セキュリティ10大脅威 2024を読み解く
    -サイバー脅威に求められる対策とは-

    Share
    暗い青にセキュリティの鍵マークが浮かんでいるイメージ

    2024年1月24日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2024」(組織編)を公表しました。各脅威が自身や自組織にどう影響するかを確認することで、様々な脅威と対策を網羅的に把握できます。多岐にわたる脅威に対しての対策については基本的なセキュリティの考え方が重要です。本記事では、脅威の項目別に攻撃手口や対策例をまとめ、最後に組織がセキュリティ対策へ取り組むための考え方について解説いたします。

    注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」

    注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」イメージ
    出典:独立行政法人情報処理推進機構(IPA)
    情報セキュリティ10大脅威 2024」(2024年1月24日)組織向け脅威

    2024年1月24日、独立行政法人情報処理推進機構(IPA)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。ここではその分析と解説、そして対策について述べていきます。

    まず注目すべき点として挙げられるのが、1位の「ランサムウェアによる被害」(前年1位)と3位の「内部不正による情報漏えい等の被害」(前年4位)です。

    「ランサムウェア感染」および「内部不正」は、日本ネットワークセキュリティ協会(JNSA)が発表している「2023セキュリティ十大ニュース」でも選考委員全員が関連事案をノミネートしたとされており、脅威の重大性が伺えます。

    そのほかの部分に目を向けると、脅威の種類は前年と変化はありませんでしたが、大きく順位が変動しているものがいくつかあります。これについては脅威を取り巻く環境が日々変動していることを反映していると考えられます。特に4位から3位に順位を上げた「内部不正による情報漏えい等の被害」と、9位から6位に順位を上げた「不注意による情報漏えい等の被害」について、どちらも人間に起因するところが大きい脅威であることは、注目に値するでしょう。

    「情報セキュリティ10大脅威 2024」 注目の脅威

    10大脅威の項目のうち、今回の記事では注目すべき脅威として、まず1位・3位・6位の脅威を取り上げて解説します。

    1位「ランサムウェアによる被害」

    ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求するといった挙動をするマルウェアです。

    2017年5月12日に発生したランサムウェア「WannaCry(ワナクライ)」によるサイバー攻撃では、世界中で過去最大規模の被害が発生し、日本でも感染が確認され、国内大手企業や組織等にも被害があったことを覚えてらっしゃる方も多いでしょう。近年では、より悪質な二重の脅迫(ダブルエクストーション)型のランサムウェアによる被害が拡大しており、国内の医療機関が標的となって市民生活に重大な影響を及ぼした事案や、大手自動車メーカーのサプライチェーンをターゲットとしたサイバー攻撃も発生しています。

    <攻撃手口>

    • メールから感染させる
    • Webサイトから感染させる
    • 脆弱性を悪用しネットワークから感染させる
    • 公開サーバに不正アクセスして感染させる

    関連事例
    2023年7月にランサムウェア感染により国内物流組織の全ターミナルが機能停止するというインシデントが発生しており、重要インフラ(他に代替することが著しく困難なサービスを提供する事業が形成する国民生活および社会経済活動の基盤とされるもの)へのサイバー攻撃の重大性を世に知らしめる結果となりました。またこの事例においては既知の脆弱性が悪用されたとの報道もあります。こちらは7位「脆弱性対策情報の公開に伴う悪用増加」についてもご参照ください。

    1位「ランサムウェアによる被害」
    出典:警察庁(令和5年9月21日)「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」 P.20
    3 ランサムウェア被害の情勢等 (2)企業・団体等におけるランサムウェア被害 より
    【図表21:ランサムウェア被害の企業・団体等の業種別報告件数】

    3位「内部不正による情報漏えい等の被害」

    「内部不正による情報漏えい等の被害」は、組織の従業員や元従業員など関係者による機密情報の漏えい、悪用等の不正行為のことで、組織に不満を持つ者や不正に利益を得ようとする者等により、機密情報や個人情報が第三者に不正に開示されることを指します。組織の社会的信用の失墜、損害賠償や顧客離れによる売上の減少といった金銭的被害、官公庁からの指名入札停止等による機会損失等、甚大な損害につながる恐れがあります。IPAの調査によると、中途退職者による情報漏えいだけでなく、現職従業員等の情報リテラシーやモラルが欠如しているために起こる不正事案も多く報告されています。

    内部不正に関してはIPAより「組織における内部不正防止ガイドライン」が作成され、現在改訂版第5版(2022年4月改定)が公開されています。改定ポイントの1番目に、内部不正による情報漏えいが事業経営に及ぼすリスクについての経営者に向けたメッセージの強化が挙げられています。こちらのガイドラインも参照し、経営者リーダーシップの元、必要な対応の実施を進めていただくことをおすすめします。

    <攻撃手口>

    • アクセス権限の悪用
    • 在職中に割り当てられたアカウントの悪用
    • 内部情報の不正な持ち出し

    関連事例
    2023年10月に大手通信会社の元派遣社員による約900万件の顧客情報が流出したというインシデントがありました。このケースでは2013年7月頃から10年にわたり、自治体や企業など59組織の顧客情報が持ち出され、第三者に流通させていた*1とのことで、影響は広範囲に及んだものと考えられます。

    3位「内部不正による情報漏えい等の被害」
    攻撃の手口(例)

    6位「不注意による情報漏えい等の被害」

    「不注意による情報漏えい等の被害」は3位の「内部不正による情報漏えい等の被害」と同様の人的要因による脅威です。代表的なものとしては「メールの誤送信」などが挙げられますが、これも細かく原因を見ていくと、メールアドレスの入力ミス、入力場所のミス、送信先アドレスのスペルミス、アドレス帳からの選択ミス、送信してはいけないファイルを勘違いして添付してしまう、送信者が気づかずに社外秘などの情報を伝達してしまうなど、原因は多岐にわたります。

    対策としては、社外に送信されるメールのフィルタリングや、添付ファイルのアクセス制限といったシステム側からの対策のほか、リテラシー教育の実施といった従業員等へのケアも重要となります。またメールの誤送信以外にも、クラウドの設定ミスや生成AIに機密情報を入力してしまうといった事例も起きており、こちらも注意が必要です。

    <要因>

    • 取り扱い者の情報リテラシーの低さ
    • 情報を取り扱う際の本人の状況
    • 組織規程および取り扱いプロセスの不備
    • 誤送信を想定した偽メールアドレスの存在

    関連事例
    2023年は、マイナンバーに他人の健康保険証情報や口座情報が紐づけられてしまうといった、マイナンバー関係のインシデントが相次いで発生しました。これを受け、デジタル庁は6月2日に「マイナンバー情報総点検本部」を設置*2し、マイナンバーに関する手続きの総点検を実施しました。点検対象となった約8200万件のうち、紐づけが間違っていた件数が約8400件あったと発表しました。その主な原因は、①目視と手作業による入力の際のミス、②各種申請時にマイナンバーの提出が義務化されておらず、提出がなかった場合の紐づけを氏名と性別だけで行っていた、③申請書に誤ったマイナンバーが記載されていた、④本人と家族のマイナンバーを取り違えた、と結論付けています。

    引き続き警戒が必要な脅威

    2位「サプライチェーンの弱点を悪用した攻撃」

    サプライチェーンの弱点を悪用した攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。攻撃手段としてランサムウェアやファイルレス攻撃などの様々な手段を用います。

    日本の会社は約9割を中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。そのため、サプライチェーン攻撃が大きな問題となっているのです。

    <攻撃手口>

    • 取引先や委託先が保有する機密情報を狙う
    • ソフトウェア開発元や MSP(マネージドサービスプロバイダ)等を攻撃し、標的を攻撃するための足掛かりとする

    4位「標的型攻撃による機密情報の窃取」

    標的型攻撃とは、明確な意思と目的を持った攻撃者が特定の企業・組織・業界を狙って行うサイバー攻撃を指します。不特定多数の相手に無差別にウイルスメールやフィッシングメールを送信する攻撃とは異なり、特定の企業・組織・業界をターゲットにし、明確な目的を持って、保有している機密情報の窃取や、システム・設備の破壊・停止をする攻撃が行われます。長時間継続して行われることが多く、攻撃者が標的とする組織内部に数年間潜入して活動するといった事例もあります。

    <攻撃手口>

    • メールへのファイル添付やリンクの記載
    • Webサイトの改ざん
    • 不正アクセス

    5位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」

    ゼロデイ攻撃とは、修正プログラム提供前の脆弱性を悪用してマルウェアに感染させたり、ネットワークに不正に侵入したりする攻撃です。セキュリティ更新プログラムが提供されるよりも早く攻撃が仕掛けられるため、ソフトウェア利用者には脅威となります。また、通常ではサポートが終了した製品には更新プログラムの提供はないため、使用を続ける限り“常にゼロデイ攻撃の脅威にさらされている”ということになります。サポートが終了した製品を継続利用している組織や個人は、サポートが継続されている後継製品への速やかな移行が必要です。

    <攻撃手口>

    • ソフトウェアの脆弱性を悪用

    「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」について、SQAT.jpでは以下の記事で解説しています。
    こちらもあわせてご覧ください。
    IPA情報セキュリティ10大脅威にみるセキュリティリスク―内在する脆弱性を悪用したゼロデイ攻撃とは―

    7位「脆弱性対策情報の公開に伴う悪用増加」

    ソフトウェアやハードウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を製品の利用者に広く呼び掛けることができるメリットがありますが、一方で、攻撃者がその情報を悪用して、当該製品への脆弱性対策を講じていないシステムを狙って攻撃を実行する可能性があります。近年では脆弱性関連情報の公開後から、攻撃が本格化するまでの時間も短くなってきています。

    修正パッチや回避策が公開される前に発見されたソフトウェアの脆弱性をゼロデイ脆弱性と呼びますが、修正プログラムのリリース後から、実際に適用されるまでの期間に存在する脆弱性は「Nデイ脆弱性」と呼ばれます。ソフトウェアの管理が不適切な企業は、対応されるまでの時間が長くなるため、被害に遭うリスクが大きくなります。

    8位「ビジネスメール詐欺による金銭被害」

    ビジネスメール詐欺は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を欺いて送金取引に関わる資金を詐取する等の金銭被害をもたらす攻撃です。ビジネスメール詐欺では、経営幹部や取引先などになりすましたメールが使われることがありますが、攻撃の準備として、企業内の従業員等の情報が狙われたり、情報を窃取するウイルスが使用されたりします。

    <攻撃手口>

    • 取引先との請求書の偽装
    • 経営者等へのなりすまし
    • 窃取メールアカウントの悪用
    • 社外の権威ある第三者へのなりすまし
    • 詐欺の準備行為と思われる情報の窃取

    9位「テレワーク等のニューノーマルな働き方を狙った攻撃」

    2020年新型コロナウイルス対策として急速なテレワークへの移行が求められ、自宅等社内外からVPN経由での社内システムへのアクセス、Zoom等によるオンライン会議等の機会が増加しました。こうしたテレワークの業務環境に脆弱性があると、社内システムに不正アクセスされたり、Web会議をのぞき見されたり、PCにウイルスを感染させられたりする恐れがあります。

    テレワークのために私物PCや自宅ネットワークの利用、VPN等のために初めて使用するソフトウェアの導入等、従来出張用や緊急用だったシステムを恒常的に使っているというケースでは、セキュリティ対策が十分であるかの確認など、特に注意が必要です。

    <攻撃手口/発生要因>

    • テレワーク用製品の脆弱性の悪用
    • テレワーク移行時のまま運用している脆弱なテレワーク環境への攻撃
    • 私有端末や自宅のネットワークを利用

    10位「犯罪のビジネス化(アンダーグラウンドサービス)」

    犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取引され、これらを悪用した攻撃が行われています。攻撃手法は、脆弱性の悪用やボットネットによるサービス妨害攻撃、ランサムウェアの感染など攻撃者が購入したツールやサービスによって多岐にわたります。

    攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがあります。ランサムウェアやフィッシング攻撃を含め、様々なサイバー攻撃の高度化や活発化の原因にもなっている脅威です。

    <攻撃手口>

    • ツールやサービスを購入し攻撃
    • 認証情報を購入し攻撃
    • サイバー犯罪に加担する人材のリクルート

    「犯罪ビジネス化(アンダーグラウンドサービス)」について、SQAT.jpでは以下の記事で解説しています。
    こちらもあわせてご覧ください。
    IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―

    脅威への対策

    世の中には今回ご紹介したIPA「情報セキュリティ10大脅威」以外にも多数の脅威が存在し、脅威の種類も多岐にわたりますが、セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    セキュリティ基本10項目

    • 標的型攻撃メール訓練の実施
    • 定期的なバックアップの実施と安全な保管(別場所での保管推奨)
    • バックアップ等から復旧可能であることの定期的な確認
    • OS、各種コンポーネントのバージョン管理、パッチ適用
    • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
    • 適切なアクセス制御および監視、ログの取得・分析
    • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
    • 攻撃を受けた場合に想定される影響範囲の把握
    • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
    • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    組織全体で対策へ取り組みを

    サイバー攻撃は手口がますます巧妙化し、手法も進化を続けています。基本対策を実践するのはまず当然として、被害前提・侵入前提での対策も考える必要があります。

    侵入への対策
    目的:システムへの侵入を防ぐ
      侵入後の対策
    目的:侵入された場合の被害を最小化する
    ・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
    ・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
    ・VPNやリモートデスクトップサービスを用いる端末
    ・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
      ・社内環境におけるネットワークセグメンテーション
    ・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
    ・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
    ・SIEMなどでのログ分析、イベント管理の実施
    ・不要なアプリケーションや機能の削除・無効化
    ・エンドポイントセキュリティ製品によるふるまい検知の導入

    リスクの可視化をすることで実際にどこまで被害が及ぶのかを把握し、実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

    BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。sqat.jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

    SQAT脆弱性診断

    BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

    ペネトレーションテスト

    「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

    ウェビナー開催のお知らせ

    ゼロトラストセキュリティ
    -今、必須のセキュリティモデルとそのポイント-

    Share

    クラウドサービスを導入して業務に活用する企業が約7割となった現代、自組織の情報資産を守るために、これまでのセキュリティモデルとは異なる考え方として、ゼロトラストモデルが注目されています。ゼロトラストでは「すべてを疑う」とし、境界内外問わず、すべての情報資産に対してのセキュリティの確保が求められます。本記事では、ゼロトラストとは何か? どのような考え方か? なぜ必要なのか? そして、実装のためのポイントとして現状把握の重要性について解説します。

    ゼロトラストとは

    「ゼロトラスト」は、「守るべき情報資産に対するあらゆるアクセスを信頼せず、すべて検証する」という原則に基づくセキュリティモデルです。

    従来のセキュリティモデルである「境界型セキュリティ」とは異なり、ネットワーク境界(ネットワークの内側と外側)における信頼度を前提にしません。境界型セキュリティではネットワーク内部を信頼し、外部との境界を守ることが主眼としますが、ゼロトラストではすべてのアクセスに対して徹底的な検証を行います。ユーザやデバイスがネットワークに接続しようとする際に、その正当性を継続的かつ厳格に確認するのです。これにより、内部ネットワークへの侵入や権限の乱用を最小限に抑え、セキュリティを向上させることが期待できます。

    境界型セキュリティの限界

    ゼロトラストの根底にあるのは、境界の内側が必ずしも安全ではないという認識です。ゼロトラストという概念が生まれた背景として、以下のような事情による、境界型セキュリティの限界があります。

    クラウド利用/テレワークの普及

    国内企業におけるクラウド利用は7割超、テレワークの普及率は約5割とのことです(下図)。従来の境界型セキュリティの考え方では、社内ネットワークの内側は信頼できる領域であり、従業員もその領域内にいるものとされてきました。しかし、クラウドサービスは社外からアクセスでき、テレワークでは社外にいる従業員が企業・組織のシステムやデータにアクセスできるため、「ユーザは社内におり、社内の環境はセキュリティが確保されているから安全である」という前提が崩れてきています。

    企業におけるクラウドサービスの利用状況
    総務省「情報通信白書令和5年版 データ集」より
    テレワーク導入率の推移
    総務省「情報通信白書令和5年版 データ集」より

    サイバー攻撃の高度化

    攻撃者は、標的型攻撃やゼロデイ攻撃など、様々なやり方で境界防御の突破を狙ってきます。そして、その手法はどんどん高度化・巧妙化しています。これに対して、境界型セキュリティでは、侵入させないためにファイアウォールを実装して、IPS(侵入防御システム)も実装して…と境界の壁を強固にすることを考えますが、技術が進歩してくなかで壁を強固にする側とそれを破ろうとする側のいたちごっこになるばかりで、結局のところ、無敵の壁をつくることは不可能といえます。

    媒体経由感染/内部犯行等のリスク

    攻撃者はネットワークへの不正アクセスに成功した場合、社内ネットワーク内を移動してマルウェア感染を広げるなど侵害を拡大させますが、境界型セキュリティではこれを防ぐことはできません。そもそも、外部からの侵入者に限らず、USBメモリ等の物理媒体を経由したマルウェア感染や内部犯行による情報窃取のリスクに対して、従来の境界型セキュリティでは、十分な対策を講じることは困難です。

    VPN利用に係るリスク

    先に触れたテレワークの普及に伴い、そのセキュリティ対策としてVPNの利用が拡大しました。しかし、VPN機器における脆弱性の放置がIPAやJPCERT/CC等からもたびたび注意喚起されており、これらの脆弱性を悪用した攻撃は境界型セキュリティで防御することが困難です。また、VPNを介した通信量の急増により、帯域不足やパフォーマンスの低下が発生する可能性があり、セキュリティを維持しながら利便性を享受することがしづらいケースもみられます。

    進むゼロトラストの普及

    日本も含め、世界中でゼロトラストの実装が進んでいることがうかがえる調査結果があります(下図)。

    クラウド利用やテレワークの普及、DXの推進といった業務効率化・利便性を阻害せず、セキュリティを向上させる仕組みが必要とされる昨今、ゼロトラストの導入は待ったなしであり、今後もあらゆる業種において進んでいくと考えられます。

    進むゼロトラストの普及
    Okta「ゼロトラストセキュリティの現状 2023」より

    ゼロトラストの基本原則

    ゼロトラストの考え方の基本原則は、2020年にNIST(米国立標準技術研究所)より発行された「NIST SP 800-207 Zero Trust Architecture」で定義されています。以下に7つの基本原則をご紹介します。

    ゼロトラストの基本原則
    出典:「NIST SP 800-207 Zero Trust Architecture」(2020/8/11) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdfより当社和訳・要約

    ゼロトラストの適用方針

    ゼロトラストアーキテクチャをどのように適用していくか、という点については、デジタル庁発行の「ゼロトラストアーキテクチャ適用方針」も参考になります。同文書では、以下のような6つの適用方針が示されています。

    ゼロトラストの適用方針
    出典:デジタル庁「ゼロトラストアーキテクチャ適用方針」(2022年(令和4年)6月30日)https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630_resources_standard_guidelines_guidelines_04.pdfより当社要約

    ゼロトラストを実現するためのポイント

    ゼロトラストの考え方について述べてきましたが、実際にゼロトラストアーキテクチャを構築・運用するにあたってはどういった要素があるのでしょうか。ここでは実現するためのポイントとして、5つの例をご紹介します。

    ゼロトラストを実現するためのポイント
    ※表内に挙げた技術はゼロトラストの複数の要素に当てはまるものも含まれます。選別・適用にあたっては、組織の状況に応じてご検討ください。

    まずはセキュリティ状況の可視化と有効性の確認を

    境界型セキュリティは、機器やシステム、アプリケーションといった単位でセキュリティ対策を講じる発想でした。つまり、各リソースを単一点(シングルポイント)としてとらえて保護する形です。しかし、これでは様々な形態のアクセスを想定したIT環境において、十分なセキュリティ対策を講じることは困難です。もし、境界型セキュリティのみに依存している場合は、これまでの脆弱性対策やセキュリティポリシーの内容および運用の見直しが求められそうです。

    とはいえ、ゼロトラスト導入にはそれなりのコストがかかることは間違いありません。また、これまでのセキュリティ対策とは根本的に考え方が異なるセキュリティモデルを実装するため、導入するには課題もあります。そこで、まず取り組めることとして、以下のようなセキュリティ対策の基本から始めることが重要です。

    ・セキュリティ状態の可視化
    セキュリティコンサルや各種脆弱性診断などにより、自組織の状態を明確に把握する
    ・実装済みのセキュリティ対策の有効性評価
    ペネトレーションテストやログ分析などにより、実装したセキュリティ対策が有効に機能しているか確認する

    こうして自組織内の情報資産の状態を把握することで、万が一サイバー攻撃を受けてしまっても、被害を最小限に抑えることが可能になります。組織の状況に応じて、適切な対策を実施していくことが、セキュリティ向上への第一歩となるでしょう。

    BBSecでは

    SQAT脆弱性診断

    自システムの状態を知る

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    ペネトレーションテスト

    攻撃を受けてしまった場合の対策の有効性を確認

    完全に防ぎきることは難しくても、「攻撃・侵入される前提の取り組み」を行うことで、攻撃を受けてしまった場合にも被害を最小化する対策をする、「多層防御」が重要です。SQATペネトレーションテストでは実際に攻撃者が侵入できるかどうかの確認を行うことができます。

    【コラム】
    ゼロトラストに対する疑問

    ゼロトラストについて、様々な疑問を持っておられる方もいらっしゃるでしょう。ここでは、ゼロトラストへの理解を進めるために、そういった疑問の例と、それに対する回答をピックアップしました。


    ゼロトラストとはどのようのツールや技術?
    ゼロトラストは特定の技術やツール、ソリューションを指す言葉ではありません。ゼロトラストは、セキュリティのアプローチや考え方を表す概念です。

    ゼロトラストモデルか境界型セキュリティのどちらがいい?
    ゼロトラストは境界型セキュリティを否定するものではありません。システムの特性や業務上の要件によって、両者を使い分けるとよいでしょう。境界型セキュリティが有効な場面として、ゼロトラストモデルへの移行が困難なレガシーシステムや特定の業界標準要件への対応、セキュリティ対策の構築・運用コストとの兼ね合いなどの事情が考えられます。

    何を実装すればゼロトラストを達成できたと言える?
    これを行えばゼロトラストを実現できている、という絶対的な答えがあるわけではありません。組織の実情に応じて異なるアプローチが必要です。ゼロトラストは単一の技術や手法ではなく、包括的なセキュリティモデルを指すためです。ゼロトラストモデルの具体的な適用ポイントについては先に述べた「ゼロトラストの適用方針」をご参照ください。

    ゼロトラストの導入でシステムの利便性が落ちるのでは?
    むしろ利便性を損なわずにセキュアな環境を提供することを目指すのが、ゼロトラストです。適切な設計・実装により、境界型セキュリティの制約から解放され、柔軟かつ安全なリモートアクセス環境を築くことが可能です。


    ウェビナー開催のお知らせ

    APIのセキュリティ
    ―Webアプリでもスマホアプリでも安全なAPI活用を―

    Share

    APIはAI、IoT、モバイル、クラウド利用において今や必要不可欠です。利便性があり、利用者も増える一方で、APIを狙ったサイバー攻撃の数も増加傾向にあります。本記事では、APIとは?API連携の仕組みやスマホアプリとの関連、活用のメリットについて触れつつ、APIのセキュリティ対策の一つとして、脆弱性対応の方法ついて解説します。

    APIとは

    APIとは「Application Programming Interface」の略です。プログラムの機能をその他のプログラムでも利用できるようにするための仕組みです。

    ソフトウェアやアプリ、プログラム同士を、APIを介して機能連携させるのが「API連携」です。あるソフトウェアに他のソフトウェアの機能を埋め込むイメージです。API連携によってソフトウェア同士が相互にデータと機能を共有できるようになります。

    APIとはの概要図

    【APIの活用例】

    社内業務システム : チャットAPIを活用してコミュニケーション
    会員サービスサイト : SNSアカウント認証APIでログイン
    ネットショップ : クレジットカード・認証APIで決済
    飲食店サイト : 地図情報APIで店舗位置情報表示 × 予約受付APIで予約対応

    API活用のメリット

    APIには、以下のようなメリットが考えられます。

    API活用のメリットの概要図

    Web API

    「Web API」は、HTTPやHTTPSといったWeb技術により実現される、インターネットを介して情報をやりとりするAPIです。連携するAPI同士が異なるプログラミング言語で構築されていても通信でき、Webブラウザ上でも稼働するWeb APIは汎用性が高く、最も多く活用されているAPIです。

    複数のWeb APIを組み合わせて新しいサービスを生み出す”マッシュアップ”が多く行われており、多くの人々が、日々その恩恵を受けていると言えるでしょう。インターネット上には膨大な数のWeb APIが公開されており、今後もマッシュアップは続くものと考えられます。

    スマホアプリとAPI

    Web APIは、Webアプリケーションばかりでなく、スマートフォンアプリ(スマホアプリ)でも多く活用されています。

    例えば、経路案内アプリでは交通機関・運賃・時刻等の情報を的確に検索してくれるAPIが、家計簿アプリでは電子マネーによる決済やクレジットカード決済などの情報を取得して計算してくれるAPIが使用されています。

    スマホアプリは、外部との通信をせずにスマホ端末単体で動作するものよりも、インターネットに接続しながら使用するものが圧倒的に多く、ユーザが利用している画面の裏でインターネットを介してサーバとのやりとりが行われており、そこでWeb APIが稼働しているのです。

    スマホアプリとAPIの概要図

    スマホアプリのセキュリティについて、SQAT.jpでは以下の記事で解説しています。こちらもあわせてご覧ください。
    SQATⓇ 情報セキュリティ瓦版「攻撃者が狙う重要情報の宝庫! ―スマホアプリのセキュリティ―

    増え続けるAPI活用

    国をあげてDXの取り組みが推進されている昨今、AI、IoT、モバイル、クラウド利用において、APIの積極的な活用は不可欠です。

    クラウド環境上で動作するアプリ、クラウドネイティブアプリケーションを例にとると、APIを使用している割合は高く、今後さらに増大することが予想されるとの調査結果があります(下図)。

    APIに対するセキュリティ脅威

    利便性が高いAPIですが、利用が増えれば、そこに存在する様々なデータを攻撃者が狙ってきます。APIに対するセキュリティ脅威の例は以下のとおりです。

    APIに対するセキュリティ脅威の概要図

    APIによって機能や取り扱う情報はそれぞれですが、金融情報のような資産に紐づくデータ、医療情報のような機微情報に関するデータなど、流出して悪用されると深刻な被害につながりかねません。APIを開発・利用する上で、セキュリティは必ず考慮する必要があるということです。

    APIのセキュリティ脅威について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてご覧ください。
    SQATⓇ 情報セキュリティ玉手箱「APIのセキュリティ脅威とは

    APIを狙ったサイバー攻撃の増加

    APIに対する攻撃は増加傾向にあるとの観測結果が報告されています(下グラフ)。

    APIを狙ったサイバー攻撃の増加の概要図

    なお、このグラフで多くの割合を占めている「ローカルファイルインクルージョン」は、攻撃者が対象システムのローカル上のファイルを読み込ませることで、領域外のファイルやディレクトリにアクセスできるようにしてしまう脆弱性です。情報漏洩、任意のコード実行、認証回避、DoS(サービス運用妨害)などの被害につながる恐れがあります。攻撃されたAPIサーバを「踏み台」とした内部/外部ネットワークへのさらなる攻撃やマルウェア感染などが想定されるため、危険度の高い脆弱性と言えます。

    また、100ヶ国を対象にしたアンケート調査では、API攻撃による情報漏洩を経験している組織が90%以上にのぼるとの結果も報告されています(下グラフ)。

    APIを狙ったサイバー攻撃の増加の概要図(アンケート調査)

    OWASP API Security Top 10

    APIセキュリティについて、Webアプリケーションセキュリティに関する国際的コミュニティであるOWASP(Open Web Application Security Project)が、2023年6月に「OWASP API Security Top 10 2023」をリリースしています。APIセキュリティにおける10大リスクをピックアップして解説したもので、今回は2019年の初版リリースから4年ぶりの第二版となります。

    APIのセキュリティ対策

    ここまで見てきたAPIセキュリティ脅威を踏まえると、以下のようなポイントにおいて脆弱でないことが重要と考えられます。

    APIのセキュリティ対策のポイント図

    開発中、リリース後、更新時といったいかなる状況においても、適切な脆弱性管理・対応ができているかどうかが、鍵となります。

    APIのセキュリティ対策の概要図

    APIの開発にあたっては、DevSecOpsを適用して脆弱性を作り込まないようにすること、APIリリース後も、新たな脆弱性が生まれていないか、APIセキュリティ診断などを通じて確認を継続することが重要です。

    また前段の「スマホアプリとAPI」でも述べたように、APIはスマホアプリでも多く活用されています。誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。スマホアプリのセキュリティ対策の一つとしては、信頼できる第三者機関による脆弱性診断の実施があげられます。第三者の専門家からの診断を受けることで、網羅的な確認ができるため、早急に効率よく対策を実施するのに役立つでしょう。

    BBSecでは

    スマホアプリ脆弱性診断

    悪意ある第三者の視点で、対象アプリに影響を及ぼす恐れのある脅威と関連リスクをあぶり出します。実機を使った動的解析とAPK(Android)・IPA(iOS)ファイルの静的解析を実施します。

    スマホアプリ脆弱性診断バナー

    Webアプリケーション脆弱性診断

    また、APIを含むWebアプリケーションに対する脆弱性診断サービスを利用して、第三者視点から、自組織のシステムで使用されているAPIのセキュリティを定期的に評価することもお勧めします。弊社診断エンジニアによる、より広範囲で網羅的な診断を検討している方は、手動で診断する、「Webアプリケーション脆弱性診断」がおすすめです。

    Webアプリケーション脆弱性診断バナー

    ウェビナー開催のお知らせ

    もし不正アクセスされたら?すぐにとるべき対処法

    Share

    不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。あなたの会社で不正アクセスが生じた場合、その対応を誤ったり、対処が遅れたりすることで、事業への損害、評判の低下といった重大な事態につながる恐れがあります。本稿では、不正アクセスの主な手口を紹介し、被害を防ぐための対策、実際に被害にあってしまった場合の対処方法を解説します。

    「不正アクセス」とは

    「不正アクセス」と聞くと、本来その権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為をイメージしますが、厳密にどのような行為を指すのかは、1999年に公布(最新改正は2013年)された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」で規定されています。同法では、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。

    不正アクセス禁止法では、単に他人のIDやパスワード(「識別符号」と呼ばれる)を無許可で使用する行為だけでなく、他の情報を利用してWebサービスやサーバなどのシステム(「特定電子計算機」と定義されている)を操作する行為も「不正」と定義されています。この点には特に留意する必要があります。

    また、不正アクセスを助長する行為としてID・パスワードの不正取得が禁じられているほか、
    ID・パスワードの不正な保管行為も同法に抵触します。違反した場合は、3年以下の懲役又は100万円以下の罰金が処せられます。

    「不正アクセス禁止法」の定義とリスク

    なお、不正アクセス禁止法の定義に関しては、アクセスが事前の「承諾」を得ていなければ、
    その行為は不正とみなされる点にも注意が必要です。例えば、システムのセキュリティ診断において、株式会社ブロードバンドセキュリティが運営するSQAT.jpは、Webアプリケーションや社内ネットワークの脆弱性診断やペネトレーションテストを行う際、システムを管理する企業からアクセスに対する承諾をいただいたうえで実施しています。

    脆弱性診断やペネトレーションテストを行うツールは多数存在しており、だれでも無料で利用すること可能です。しかし、これらのツールの使用には慎重になる必要があります。もしもセキュリティ診断ツールを事前承諾なしに他社のシステムに使用した場合、たとえそれが善意に基づくものであったとしても、不正アクセス禁止法に抵触する可能性があり、刑事罰の対象となることがあります。

    万が一あなたの会社の技術者が、運用管理や保守、攻撃耐性の確認等の目的で他社のシステムを対象に、セキュリティ診断ツールを使用している場合には、適切な手続きを踏む必要があることを理解することが重要です。

    不正アクセスの手口と被害例

    では、そもそも悪意を持った、攻撃者による不正アクセスの手口にはどのようなものがあるのでしょう。典型的なのは、「盗んだIDとパスワード、あるいは推測したパスワードを使って、システムに不正にログインする」というものです。ID・パスワードの組み合わせを総当り的に試してログインを図る「ブルートフォース攻撃」、辞書にある語句を利用する「辞書攻撃」、不正に入手したログイン情報を利用する「パスワードリスト攻撃」などが知られています。

    中でも近年特に話題を集めているのは「パスワードリスト攻撃」です。背景には、数十万~数億件規模のID・パスワードがセットで売買されていたり、インターネット上に公開されていたりする事態があちこちで確認されており、攻撃者が不正アクセスのための情報を容易に手に入れやすくなっている状況があります。また、もし複数のシステムに対して同じID・パスワードが使いまわされている場合、1件の情報を入手することで複数のシステムへのログインが可能になるという点も、攻撃者を引き付けています。

    この2020年8月には、日本企業約40社において、VPN(Virtual Private Network)のID・パスワードが盗まれ、インターネットに公開されるという事件が発生しました。VPNは、本来、セキュリティを確保したうえで企業ネットワークへアクセスするために使われる「安全性の高い入口」です。そこにログインするためのID・パスワードが盗まれることが極めて大きな被害につながり得ること、裏を返せば、攻撃者にとって極めて大きな利得につながり得ることは、論をまたないでしょう。

    もちろん、不正アクセスのための攻撃は、ID・パスワードを狙ったものだけではありません。ID・パスワードの入手につながる脆弱性も格好の標的になります。例えば、Webアプリケーションや公開Webサーバの脆弱性はその最たるものです。攻撃者はしばしばSQLインジェクションの脆弱性クロスサイトスクリプティングの脆弱性などを悪用して個人情報を不正に入手し、ID・パスワードを特定してシステムへの侵入を試みます。

    ID・パスワードの保護に加え、結果としてID・パスワードの特定につながる脆弱性を放置しないことが、不正アクセスを防ぐためには最重要といえるでしょう。

    不正アクセスされたかどうか調べる方法 警告とサイン

    「あなたの会社が不正アクセスされています」などの警告は、突然きます。

    実際に不正アクセスが行われた場合でも、自社内では気づくことは少なく、外部からの警告によって初めて認識する場合が多いです。例えば、クレジットカード情報が盗まれた場合、カード会社から直接情報漏えいや不正利用の兆候がある等の連絡がきます。また、サイバー犯罪の捜査過程で、あなたの会社に不正アクセスが行われていることが発覚した場合、さらには、それが他の会社での被害につながっていることが発覚した場合には、警察やセキュリティ事故発生時の調整を行う機関など(一般社団法人 JPCERT コーディネーションセンター等)から連絡がくることもあります。

    なお、サイバー攻撃が起こることを想定した組織体制がない場合、やってきた連絡が正当なものであるかの判断自体がつかない場合もあるかもしれません。実在する機関を装い、虚偽の不正アクセス事案を連絡する犯罪が発生する可能性も想定し、連絡の真偽は必ず確認するようにしましょう。

    不正アクセスされたらすぐにとるべき対応

    以前の記事「情報漏えいの原因と予防するための対策」では、「情報漏えい事故の報告書と収束までの流れ」として、事故発生時の報告書作成の注意点について解説しました。今回は、不正アクセスされた直後の対応や、真相究明を行う社内の組織体制構築でのポイントをご紹介します。

    不正アクセス事故対応のチーム作り

    セキュリティ事故対応を行う専門部署であるCSIRTが社内にない場合は、事故対応チームを速やかに組織しなければなりません。どのような編成を想定すべきか、参考として、モデル的な図解を下記に示します。

    https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf より当社作成

    もちろん、セキュリティ専門企業でない限り、ほとんどの組織にとってはここまでの編成をとることは合理的とはいえません。既存の組織・人員の状況に応じて、下記のような事項をポイントにチームを編成し、自組織の業種業態、慣習、人材、文化等を踏まえながら継続的にチームの発展・強化に取り組むことをお勧めします。

    • CSIRTがインシデント発生時における最終判断(システム停止も含む)までを担う場合は、責任を担う経営陣を参画させる。
    • 現体制におけるキーマンを特定し、そのキーマンを必ずメンバーに加える。
    • 現体制で実施できている役割がないか確認する(「実施できている役割は踏襲する」という判断も重要)。
    • 技術的な知識、経験、人材を持たない場合は、最低限CSIRTに必要な機能(=有事の報告、伝達を的確に行い、意思決定者へ早期伝達すること)を有する、「コーディネーション機能に重点を置いたCSIRT」を目指す。

    取引先、関係者、個人情報保護委員会への連絡

    あなたの会社のステークホルダーに対して、現時点で判明している事故の事実関係を連絡します。規制業種の場合は所轄官庁への報告義務があります。なお、個人情報保護法では、個人情報漏えい等の場合、本人通知や監督官庁への報告を努力義務としていますが、2022年に施行予定の改正個人情報保護法では一定範囲においてこれが義務化されるため注意が必要です。

    不正アクセスの原因究明

    続いて取り組むべきは、原因究明です。不正アクセスを受けた場合、侵入経路の特定や証拠保全などは自社でどこまで可能なのでしょう。監視やSOC(セキュリティオペレーションセンター)サービスの契約などによって保存してあるログを解析可能な場合、「不正アクセスの発端と展開過程がわかるから、自経路の解析や被害範囲の特定もできる」と考えてしまうかもしれません。しかし、火事場のように混乱する事故発生直後は、日頃から備えをしていた企業ですら、一刻を争う状況下で解析すべき情報の膨大さに圧倒されるものです。また、刑事事件として告発を行う場合や損害賠償請求を行う場合には証拠保全が必要となりますが、混乱し、慣れない状況下で証拠保全を念頭に調査や対応を行うのは大きな負荷となります。

    さらに、「サイバー攻撃を行う5つの主体と5つの目的」で解説した「APT攻撃」が行われるケースも想定しておく必要があります。APTでは、侵入の痕跡を消されることが少なくなく、そのような場合、侵入経路の特定や証拠保存は難しくなります。しかし、日々ログの収集を行っていたとしたら、その痕跡からデジタルフォレンジックを実施することが可能です。

    不正アクセス防止のための日常的なセキュリティ対策

    日頃からWebサービスやサーバのセキュリティ強化に取り組むことで、不正アクセスの発生を抑え、万が一不正アクセスが発生した場合にも早期あるいは即時に把握することが可能になります。

    例えば、サーバに対するアクセスログを収集・保存し、同一IPからの複数回ログインに対するアラートをルール化する等の設定をしておくことで、誰かが不正ログインを行っていることを早期に知り、ブロックするなどの対処を行えるようになります。

    不正アクセス対策としてのセキュリティ企業との連携

    不正アクセス事故に備えるためには、日常的なアクセスログの収集や分析、SOCサービスの契約、さらにはCSIRT組織の設置など、日頃からの備えが重要です。不正アクセスを未然に防ぐと同時に、万一発生した場合の対応力を高める役割を果たします。

    そして、もう一つ有効な取り組みは、信頼できるセキュリティ企業との関係構築です。「かかりつけ医」のセキュリティ企業を持つことは、事故発生時に迅速かつ効果的に対応できる可能性があります。それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などを一から説明する必要が生じ、対応に時間がかかってしまいます。わずかな時間も惜しまれるインシデント対応の現場では大きなリスクとなります。

    脆弱性診断やインシデント対応などのセキュリティサービスを提供する企業に依頼をする際には、その企業が単に技術力があるかどうかだけでなく、信頼できる企業かどうか、いざというときにサポートしてくれるかどうかを慎重に考慮して選ぶことが重要です。提供サービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン

    まとめ

    • 不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。不正アクセス禁止法の違反者は、3年以下の懲役又は100万円以下の罰金に処せられます。
    • たとえ悪意がなくても、セキュリティ診断ツールなどを使用することで不正アクセス禁止法に抵触することがあります。
    • ID・パスワードの管理だけでなくWebアプリケーションやサーバの脆弱性管理も重要です。
    • 不正アクセスが実際に起こってしまったら、早急に対応チームを組織し、ステークホルダーへの連絡や原因究明を行います。
    • いざ不正アクセス事故が起きたときの対応力を高めるには、日頃からのアクセスログ収集や分析、SOCサービスの契約、CSIRT組織の設置、「かかりつけ」セキュリティ企業との関係構築などが有効です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ペネトレーションテストとは?

    Share

    サイバー攻撃の数は年々増加し続けており、その手口は高度化・巧妙化しています。特に金融、医療、政府機関、ITサービス業界の企業の経営者においては、システムのセキュリティリスクの状態を把握や適切なセキュリティ対策の実施などが重要課題となっています。ペネトレーションテストでは、システムに存在するリスクが実際に悪用可能か確認することが可能です。本記事では、ペネトレーションテストとは何か、なぜ重要なのか、そして脆弱性診断との違いについて解説します。

    ペネトレーションテストとは

    ペネトレーションテストとは、主に企業ネットワークや、Webアプリケーションなどに不正に侵入することができるかどうかをテストすることです。英語の「 penetration 」には「貫通」、「 penetrate 」には「貫く」「見抜く」などの意味があります。「ペンテスト」と略されたり、「侵入テスト」と呼ばれることもあります。

    サイバー攻撃者はまず不正侵入し、その後、情報を盗んだり、バックドアを仕掛けたり、あるいは破壊工作などを行います。それらすべての端緒となる不正侵入を許すかどうかを調べるのが、ペネトレーションテストの役割です。

    ペネトレーションテストは、システムやネットワークに対する不正侵入や攻撃が可能かどうかを確認するためのテスト手法です。このテストは、単に脆弱性を見つけるだけではなく、それらが実際に悪用される可能性があるかどうかを判断することに重点を置いています。これにより、システムのセキュリティ状態の把握や実装されているセキュリティ対策の有効性を検証することができます。

    ペネトレーションテストが必要な業界と業種

    ペネトレーションテストは、特にセキュリティが重要視される業界や業種で必要とされます。
    金融、医療、政府機関、ITサービスなど、機密情報を扱うすべての業界で、ペネトレーションテストの実施は必要不可欠です。これらの業界では、データ漏洩やシステム障害が重大な結果を招く可能性があるため、定期的なテストが推奨されます。

    ペネトレーションテストが必要な3つの業種

    脆弱性診断の結果見つかった脆弱性を悪用して、攻撃が本当に成功するのかを検証するために、ペネトレーションテストが実施されることがあります。あくまで一般論ですが、ペネトレーションテストが必要な業種や事業として、以下の3つが挙げられます。

    1.生命・生活に直接影響を与える事業やサービス
    第一に、生命や生活に影響を及ぼす業種が挙げられます。具体的には、水道・電気・ガス・道路・交通等の社会インフラや、病院、ビル管理、工場のシステムなどです。

    2.資産に影響を与える個人情報を扱うサービス
    個人情報を保有する事業やサービスにも、ペネトレーションテストが必要な場合が多いでしょう。とりわけ銀行や証券会社、クレジットカード、仮想通貨取引所などの金融、大規模なWebサービスやECサイト、住民データを扱う自治体や官公庁などが挙げられます。

    3.事業継続に影響を与える機密情報を扱うシステム
    重要な営業機密や知的財産を保有する企業もペネトレーションテストの実施が望ましいといえるでしょう。

    特に、クローズモデルの知財戦略に基づいて特許を取得しない方針の企業が、サイバー攻撃によって機密情報を盗まれ、他の企業に国内外で特許申請・取得された場合、事業継続に関わる重大な影響が懸念されます。

    また、データ自体に価値はあるが、特許法や不正競争防止法では保護対象とならないようなデータについては、セキュリティ対策によって保護を図る必要があります。

    ペネトレーションテストの重要性

    主に以下のような理由により、企業・組織において、ペネトレーションテストを実施することは重要です。

    • 実際の攻撃シナリオの検証
    • セキュリティ対策の有効性評価
    • コンプライアンス要件の遵守
    • ビジネスリスクの低減

    脆弱性診断とは異なり、ペネトレーションテストは単に脆弱性を発見するだけでなく、それらが実際に悪用される可能性があるかどうかを重視します。これにより、システムのセキュリティ状態を詳細に把握し、実装されているセキュリティ対策の有効性を検証することができます。

    特に金融、医療、政府機関、ITサービス業界など、高度なセキュリティが要求される分野では、セキュリティ対策の一環としてペネトレーションテストが法令やガイドラインで義務付けられている場合があります。

    脆弱性診断との違い

    ペネトレーションテストは、脆弱性診断とは異なるアプローチを取ります。

    脆弱性診断はシステムの脆弱性を特定することに焦点を当てていますが、ペネトレーションテストはその脆弱性を利用して実際に攻撃を試み、システムのセキュリティを実際に検証します。この違いは、単にリスクを特定するのではなく、そのリスクが実際にどのように悪用され得るかを理解することにあります。

    ペネトレーションテストと脆弱性診断の違いと使い分け

    ペネトレーションテストと脆弱性診断には共通する部分があるため、違いがよく理解されていません。特によく見られる勘違いは、「ペネトレーションテストをやりたい」という要望だったものの、ヒアリングしてみると、実際にはペネトレーションテストでなく脆弱性診断が必要であった、というケースです。

    以下に「対象」「目的」「範囲」、必要な「期間」の4つの観点から、ペネトレーションテストと脆弱性診断の違いを示します。

    ペネトレーションテスト 脆弱性診断
    対象 脆弱性診断同様、ネットワークやWebアプリケーションを対象にしますが、ときに警備員をあざむいて建物に侵入できるかどうか等の物理的侵入テストが行われることもあります。 ネットワークやWebアプリケーションが対象となります。
    目的 脆弱性診断は脆弱性を発見して報告することが主な業務ですが、ペネトレーションテストは脆弱性をもとに不正アクセスし、ネットワーク等に侵入することが目的となります。 脆弱性を検知・検出すること。
    範囲 広い範囲の網羅性を重視する脆弱性診断と異なり、ペネトレーションテストは侵入することが目的であるため、脆弱性診断とは反対に、狭く深く、ときに針の穴のような侵入できる一点を探します。 広く網羅的に脆弱性の有無を探します。
    期間 ペネトレーションテストは、とにかく侵入が成功するまでトライし続ける作業であるため、脆弱性診断よりも長い期間を要する場合が少なくありません。ただし、一般論として、優秀なペネトレーションテストサービスであればあるほど、短い期間で侵入が成功します。 探すものが事前に決まっているためペネトレーションテストよりも通常は短い期間で完了します。

    ペネトレーションテスト実施のステップ

    ペネトレーションテストサービスは提供する企業によってそれぞれ個性がありますが、大きく分けると下記の手順で実施されます。

    Step1.ヒアリング

    目的に応じ、たとえば「顧客データベース」など、ペネトレーションテストを行う対象を決定します。そして「顧客データベース」が外部から攻撃されるのか、あるいは内部犯行なのか、想定する攻撃シナリオを作成し、最後に、ペネトレーションテストを行う期間を決定します。

    Step2.実施

    対象によってさまざまな実施方法があります。公開されているWebアプリケーションであればリモートから実施することができます。内部犯行の危険性をテストする場合ならオフィス内から実施することもあるでしょう。

    Step3.完了

    「侵入に成功したとき」あるいは反対に、「侵入に成功できないまま期間が終了したとき」のいずれかをもってペネトレーションテストは完了します。どちらの結果にも意味があります。侵入に成功した場合は、その報告を受けて防御力を高める必要性を認識することになり、侵入に失敗した場合は、一定の防御力を保持できている目安となります。

    Step4.報告

    ペネトレーションテスト事業者からの報告書提出や報告会が行われます。具体的にどういうプロセスで、どういう技術を用いて侵入し、重要なデータがどこまで閲覧可能だったのか、どんなことができてしまう危険性があったのか、など管理者の気にかかることが詳細に報告されます。


    ペネトレーションテスト 日本と海外の違い

    海外では本番環境で稼働するシステムに対して、直接攻撃を行うような荒っぽいペネトレーションテストが行われることもありますが、日本国内ではそういったケースは多くありません。日本では業務やサービスの運用への影響を回避しつつ、安全に配慮しながら設計・実施されるのが主流です。

    ペネトレーションテストを実施する会社の適切な選び方

    ペネトレーションテストを実施する際には、専門知識と経験を持つ信頼できる会社を選ぶことが重要です。セキュリティテストの専門家であること、業界の最新の脅威に精通していること、そして過去の成功事例を持つことが、良いサービスプロバイダーの特徴です。また、テストの範囲、方法、報告の詳細さなど、サービスの質にも注意を払う必要があります。

    ペネトレーションテストは経験とセンスが求められる仕事であるため、優良事業者選びはとても重要です。前述したとおり「優秀なペネトレーションテストサービスであればあるほど、短い期間でテストが終了(=侵入に成功)」します。ペネトレーションテストの見積額はエンジニアの拘束時間とも相関しますので、予算にもかかわってきます。大きく以下の3つのポイントを、いいペネトレーションテスト会社選びの参考にしてください。

    1.丁寧なヒアリングにもとづいてシナリオを考えてくれるか

    システム構成や業務手順、ときには組織構成など、実際のサイバー攻撃を行う際に参照するとされる、さまざまな情報をもとにして、実施するサービスの適用範囲、留意事項、制限などを聞き、顧客の目的や要望、要件に沿ったペネトレーションテストの攻撃シナリオを考えてくれる会社を選びましょう。

    2.技術者の経験と勘、クリエイティビティ

    ペネトレーションテストはときに針の穴を通すような隙間を見つけ出して侵入を成功させる業務です。技術者のこれまでの経験、保有資格などを確かめ、技術者の層が厚い会社を選びましょう。

    3.診断実績

    過去のペネトレーションテストの実施社数や件数、リピート社数なども、いいペネトレーションテスト会社選びの参考になります。

    ペネトレーションテストのツール

    ここまで述べてきたとおりペネトレーションテストとは、丁寧なヒアリングのもとで作成した攻撃シナリオに基づいて、経験豊かな技術者が実施するクリエイティブな手作業です。ペネトレーションテストをすべて自動で行うツールは存在しません。

    ただし、ペネトレーションテストを行う技術者が、いわば「工具」「道具箱」のように用いるツールは数多くあります。代表的なものとして、オープンソースプロジェクトである Metasploit が提供する、さまざまなツール群が挙げられます。

    セキュリティ企業に依頼せずに、自分でMetasploit が提供するツールを用いて、公開されている脆弱性などを用いて攻撃を実行することは可能です。しかし、その結果を読み解いたり、優先順位をつけたりするノウハウには経験と知見が必要とされます。

    また、自宅に置いたサーバに研究目的でツールを走らせるような場合でも、不用意にこうしたツールを使用したり、不適切な方法で攻撃用のエクスプロイトを取得・保管したりすると「不正アクセス行為の禁止等に関する法律」「不正指令電磁的記録に関する罪(刑法刑法168条の2及び168条の3)」等にも触れる犯罪となる危険性もあることを忘れてはいけません。

    ペネトレーションテストの料金相場

    ペネトレーションテストの料金は、対象とする範囲や、攻撃シナリオによって変動します。あくまで一般的な相場として「脆弱性診断の1.5倍から2倍」程度、金額として数十万円から数千万円の開きがあります。

    まとめ

    ・ペネトレーションテストとは、システム・ネットワークへの不正侵入や攻撃が成立するか確
     認するテスト手法の一つ
    ・特にセキュリティが重要視される業界や業種、金融、医療、政府機関、ITサービス業界など

     で、ペネトレーションテストの実施が必要不可欠
    ・脆弱性の有無を判定する脆弱性診断と異なり、ペネトレーションテストでは脆弱性自体を見

     つけることよりも不正侵入や攻撃が成立するかどうかの判断を優先する
    ・事前ヒアリングが丁寧で、優秀な技術者が在籍する、診断実績の多い会社を探す

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像