2024年のサイバーセキュリティ振り返り
-KEVカタログが示す脆弱性の実態-

Share

米サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency、以下CISA)が2021年から公開しているKEVカタログ(Known Exploited Vulnerabilities Catalog)は、悪用が確認された既知の脆弱性情報をリスト化した、サイバーセキュリティの防御に重要なデータベースです。本記事ではこのKEVカタログをもとに、2024年に注目された脆弱性情報と悪用事例を振り返ります。

※本記事で扱うKEVカタログの情報は2024年12月10日(アメリカ現地時間付け)のものです。2024年12月10日までにKEVカタログに登録されたCVEは175件になります。(参考:2023年1月~12月…187件)

KEVカタログに登録された脆弱性の概要

KEVカタログに登録された脆弱性のうち、CVSSv3.0/3.1で算出された注 1)ベーススコアの平均値は8.37注 2)、中央値は8.6でした。CVSSv3.0/3.1のスコアレンジあたりのCVE数は以下の通りです。

表1 CVSSの深刻度に対するKEVカタログに登録されたCVEの件数

米国以外での悪用実態の反映

2024年はJPCERT/CCから以前注意喚起が行われた、日本を主要ターゲットとする脆弱性の悪用実態がKEVカタログに反映されています。直近で登録された脆弱性は以下の2件です。

  • CVE-2023-28461:Array Networks AGおよびvxAG ArrayOSに認証なしでSSL VPNゲートウェイ上のファイルシステムを閲覧可能にする脆弱性
    KEVカタログ登録日:2024年11月25日
    JPCERT/CC注意喚起(2023年9月22日発行):https://www.jpcert.or.jp/at/2023/at230020.html

SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。「緊急セキュリティ警告:ArrayOS AG における深刻な脆弱性 CVE-2023-28461

  • CVE-2023-45727:North Grid ProselfのXML外部エンティティ(XEE)参照の不適切な制限の脆弱性
    KEVカタログ登録日:2024年12月3日
    JPCERT/CC注意喚起(2023年10月26日発行):https://www.jpcert.or.jp/at/2023/at230022.html

2024年11月にトレンドマイクロが公開したブログ*1では上記2件についてはAPT10の関連組織による悪用とされており、メインターゲットは日本、そのほかに台湾とインドとされています。ヨーロッパのみで悪用されているケースについても比較的早い時期に掲載されるようになっています。最近のものでは以下が該当します。

なお、KEVカタログを提供するCISAはアメリカの政府機関となるため、アメリカ国内向けの情報が優先されます。一方でKEVカタログはCSV形式やjson形式でデータを公開しており、自動的な情報収集の一環に組み込みやすいという利点があります。JPCERT/CCや独BSIはそれぞれの国や地域の脅威情報をタイムリーに公開しており、KEVカタログと同時に利用することで情報の補完が図れるという利点があります。両者はHTMLファイルやPDFファイルなど、主に人が目で見ることを優先したデータの提供を各国言語で行っています。

ベンダ別登録数

2024年も、例年通りMicrosoftの登録数が圧倒的に多くなっています。

図1 KEVカタログ ベンダ別登録数(一部)

図1KEVカタログベンダ別登録数(一部)
※KEVカタログの2024年1月1日~12月10日および2023年1月1日~12月31日の登録情報をベンダごとに集計。2024年の当該期間の登録数上位10位(同率10位が2件)までを表示

なぜMicrosoftの登録数が多いのか

Microsoftの登録数が多い理由は、デスクトップ向けOSの大半をWindowsが占めているためです。直近の2024年11月の調査*2では全世界でのデスクトップ向けOSの市場占有率は72.94%となっています。企業向けのOSとしてWindows OSを選択するケースも多数に上ります。

企業では社内リソースへのアクセス制御のためにアイデンティティ管理が必要になりますが、Windows PCが主流の社内ネットワークでアイデンティティ管理といえばActive Directoryが不可欠になります。MicrosoftのKEVカタログへの登録数が多いのはActive Directory侵害が攻撃側にとって大きなマイルストーンとなるからです。Active Directoryを侵害することによって攻撃者は特権昇格やユーザー資格の奪取、アクセス権限の制御などを行い、マルウェア(ランサムウェア含む)を配置し、自身の目的(金銭や情報の窃取など)を達成することができます。

一方でActive Directoryは外部に公開されるものではなく、社内向けの閉じたサービスとして存在するものです。このため攻撃者は別の手段を用いて社内のネットワークに侵入し、Active Directory環境内に入り込み、横展開をしながらActive Directory本体の侵害を目指して侵害活動を行います。この横展開における侵害活動で用いられるのがWindows OSの各種機能の脆弱性(主にゼロデイ)となります。

Active Directoryについて、過去のセキュリティトピックス解説動画では以下の内容で動画を公開中です。ぜひご覧ください。
Active Directoryを侵害から守るためのガイド

Windows OSの脆弱性:古いテクノロジーの残存

Windows OSは最新版でも互換性の問題からWindows 95やNT時代の古いドライバや機能を維持しています。Internet Explorerへの互換性やKerberos認証でのRC4、NTLM、PPTPなどが該当するのではないでしょうか。この中でも2023年6月にInternet Explorerはデスクトップアプリとしての使命を終えていますが、Internet Explorerを構成していたドライバは互換性(EdgeにおけるIEモードのサポート)の維持の目的で最新のOSでも残存しています。

事例:CVE-2024-43573:Windows MSHTMLの脆弱性

MSHTMLはInternet Explorerのレンダリングエンジンで、互換性の維持を目的にWindows 10/11でも現存しているドライバです。この脆弱性はユーザーには存在しないはずのInternet Explorerの機能を呼び出し、Internet Explorerの脆弱な保護機能を悪用してマルウェアをダウンロードさせることを目的とした攻撃に悪用されました。悪用の概要は下図の通りです。

図2 CVE-2024-43573:Windows MSHTMLの脆弱性

その他登録数上位のベンダ

2024年、特に増加が際立つのはIvanti、Android、D-Link、Palo Alto Networks、VMwareの5社になります。各ベンダについては以下をご参照ください。

ベンダ名説明
Ivanti旧LANDESKを中心とするインフラストラクチャ管理製品を提供する米国企業
AndroidAndroid OSなどを提供する米国Google社内のAndroid Open Source Project
D-Link台湾のネットワーク機器メーカー。家庭用や中小企業向けの市場で強みをもつ。
Palo Alto NetworksファイアウォールやVPN機器などの企業向けセキュリティネットワーク機器や関連製品を提供する米国企業。
VMwareハイパーバイザなどの仮想化製品とその管理ツールを提供する米国Broadcom社傘下の企業。

製品タイプ別登録数

2024年にKEVカタログに登録されたCVEを製品タイプ別に分類したグラフでみると、Microsoftの登録数が多いことから、当然、OS/カーネルの登録が多くなっています(40件、23%)。また攻撃の初期アクセスに悪用されることが多いネットワーク機器も3位となっています(15件、9%)。そしてインフラストラクチャ管理製品が全体の10%(2位、18件)、エンドポイント管理製品が6%(4位、11件)を占めています。

図3 製品タイプ別KEVカタログ登録数

図3製品タイプ別KEVカタログ登録数
弊社でKEVカタログに登録されたCVEを調査し、製品タイプ別に分けたものとなります。製品が複数の機能を含む場合は1.脆弱性が大きく影響を及ぼす機能、2.製品の主要な機能の順に振り分けを行っています。

インフラストラクチャ管理製品の悪用

インフラストラクチャ管理製品と大雑把にまとめましたが、ネットワーク機器の管理ツール、インベントリ管理ツールからサーバアセット管理ツールまで幅広いことから、以下の2タイプの脆弱性に絞って悪用実態をご紹介します。

ネットワーク機器の管理インターフェース/管理機能の脆弱性悪用

対象製品CVECWE自動化
FortiManagerCVE-2024-47575*3CWE-306
重要な機能の使用に対する認証の欠如
不可
PAN-OSの管理インターフェースCVE-2024-0012*4CWE-306
重要な機能の使用に対する認証の欠如
CVE-2024-9474*5CWE-77
OSコマンドインジェクション
不可
製品製品概要攻撃の概要注 3)攻撃者
FortiManagerFortinet製品の統合管理用のアプライアンス・管理対象アプライアンスの詳細な設定情報、ユーザー・パスワードの取得
・脅威アクターのデバイスをFortiManagerに登録
不明
備考

IOCなどはこちらを参照。
https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en

PAN-OSの管理
インターフェース
PAN-OSが搭載されている機器の管理インターフェース。今回はWebインターフェースが対象。・WebShell(難読化)を使用して管理者権限を奪取
・管理アクションの実行や設定改ざん、特権昇格など
不明
備考

IOCなどはこちらを参照。
https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

ITアセット統合管理ツールの脆弱性悪用

対象製品CVECWE自動化
CyberPersons Cyber PanelCVE-2024-51378*6CWE-276
不適切なデフォルトパーミッション
VMware vCenter ServerCVE-2024-38812CWE-122
バッファオーバーフロー
CVE-2024-38813CWE-250
不要な特権による実行
不可
CWE-273
削除された特権に対する不適切なチェック
不可
製品製品概要攻撃の概要攻撃者
CyberPersons Cyber PanelオープンソースのWebホスティング管理ツール。バックアップやWordPressの管理がWebブラウザで実行できるミドルウェアによる入力値の検証の欠如による管理者権限へのアクセス権獲得・機微情報の取得注 4)および任意のコマンド実行*7Helldownランサムウェア*8
VMware vCenter ServervSphereシリーズの大規模仮想化環境の運用管理支援ツールvCenter Server v7.0で導入されたPlatform Services Controller(PSC)によりバックエンドプロセスがDCERPCプロトコルに依存する形態となっているところに、認証ワークフローまたはSOAP APIのエンドポイントに対して細工されたリクエストを送ることで初期アクセスを達成し、その後特権昇格と永続化を行っていると予想されている*9不明

EOL製品への対応

ここでEnd-of-Life(サポート終了期限)と脆弱性への対応についても触れておきます。以下は2024年にKEVカタログに登録されたD-Link製品の脆弱性に関する推奨対策の一覧です。登録された脆弱性6件中5件がEOL(End-of-Life、製品サポート終了)を迎えている製品の脆弱性でした。これらのEOLを迎えている製品についてD-Linkからは新たなパッチを提供せず、買い替えを推奨しています。

表2 2024年にKEVカタログに登録されたD-Link製品と推奨対策

対象製品CVEKEVカタログ登録日推奨対策
DIR-820CVE-2023-252802024年9月30日買い替え
DIR-600CVE-2014-1000052024年5月16日買い替え
DIR-605CVE-2021-406552024年5月16日買い替え
複数のNAS製品注 5)CVE-2024-32722024年4月11日買い替え
CVE-2024-32732024年4月11日買い替え
DSL-2750BCVE-2016-200172024年1月8日製品型番を確認の上、必要に応じてパッチ適用

CWE別登録数

2024年のCWE別登録数のトップ10は以下の通りです。

表3 CWE別KEVカタログ登録件数

ランクCWE概要件数CWE top 25ランク2023年登録数2023年登録数
ランク
1位CWE-502信頼できないデータのデシリアライゼーション111687
1位CWE-78OSコマンドインジェクション117113
3位CWE-416開放済みメモリの使用108162
4位なしCWEに該当する項目がないもの9221
5位CWE-22パストラバーサル85415
6位CWE-287注 6)不適切な認証814512
7位CWE-787境界外書き込み7295
8位CWE-843型の取り違え6ランク外415
8位CWE-94コードインジェクション61195
10位CWE-284注 7)不適切なアクセス制御5ランク外68

※登録件数は同一CVEで複数のCWEに該当する場合、それぞれ1件としてカウントしています。

2024年のCWE別登録数の傾向

C言語起因の脆弱性の減少

代表的なC言語に起因する脆弱性、メモリハンドリング関連の脆弱性は2023年の52個(全体の約28%)から2024年は33個(全体の約19%)へ減少しました。一因は2023年に本カテゴリでKEVに登録された多数の脆弱性のうち、スマートフォンやタブレット端末のベンダとしておなじみのAppleとSamsungの登録件数が減少していることにあります。

  • Apple登録件数…2023年21件→2024年7件
  • Samsung登録件数…2023年8件→2024年0件

表4 C言語が関連するKEVに登録されたCVE一覧(2023年~2024年)

C言語が主要な原因となるCWE2024年にKEVに登録されたCVE2023年にKEVに登録されたCVE
CWE-119: バッファオーバーフローCVE-2017-1000253, CVE-2023-6549CVE-2017-6742, CVE-2022-22706, CVE-2023-4966
CWE-120: クラシックバッファオーバーフローCVE-2023-33009, CVE-2023-33010, CVE-2023-41064
CWE-122: ヒープベースのバッファオーバーフローCVE-2024-38812, CVE-2024-49138, CVE-2024-30051CVE-2023-23376, CVE-2023-27997, CVE-2023-28252, CVE-2023-36036, CVE-2023-4911
CWE-125: 範囲外メモリの読み取りCVE-2021-25487, CVE-2023-28204, CVE-2023-42916
CWE-134: 制御されていないフォーマット文字列CVE-2024-23113
CWE-190: 整数オーバーフロー/アンダーフローCVE-2022-0185, CVE-2024-38080CVE-2023-2136, CVE-2023-21823, CVE-2023-32434, CVE-2023-33107, CVE-2023-6345
CWE-401: メモリリークCVE-2023-26083
CWE-416:解放後使用(Use After Free) CVE-2024-9680, CVE-2024-4671, CVE-2012-4792, CVE-2024-43047, CVE-2024-38107, CVE-2024-38193, CVE-2024-36971, CVE-2024-1086, CVE-2024-4610, CVE-2022-2586CVE-2016-9079, CVE-2019-8526, CVE-2021-25394, CVE-2021-29256, CVE-2022-22071, CVE-2022-3038, CVE-2022-38181, CVE-2023-0266, CVE-2023-21608, CVE-2023-21674, CVE-2023-28205, CVE-2023-29336, CVE-2023-32373, CVE-2023-33063, CVE-2023-36802, CVE-2023-4211
CWE-787: 範囲外への書き込みCVE-2023-34048, CVE-2024-21762, CVE-2024-0519, CVE-2023-7024, CVE-2024-23225, CVE-2024-23296, CVE-2024-4761CVE-2021-25372, CVE-2023-20109, CVE-2023-26369, CVE-2023-28206, CVE-2023-32435, CVE-2023-42917, CVE-2023-4863, CVE-2023-5217
CWE-823: メモリ位置外へのポインタ参照CVE-2021-25372

これらの脆弱性は汎用OSやスマートフォンOS、ネットワーク機器やチップセットのファームウェアなどの脆弱性が中心です。KEVカタログに掲載される脆弱性は攻撃者にとって都合の良いOSやネットワーク機器の脆弱性が多いため、各ベンダのC言語系統での開発比重の変動にともない、逓減ていげんしていくと予想されます。

登録件数上位のCWEと代表的な脆弱性

表5 登録件数上位のCWEと代表的な2024年の脆弱性

CWECVEベンダ・
製品名
脆弱性概要攻撃者の情報自動化
CWE-78CVE-2024-40711Veeam Backup & Replication非認証ユーザーによる任意コードの実行につながるデシリアライゼーションの脆弱性*10ランサムウェア(Akira, Fog, Frag)*11
CWE-78CVE-2024-1212Progress Kemp LoadMaster非認証ユーザーによるOSコマンドインジェクション*12不明
CWE-22CVE-2024-8963Ivanti Cloud Services Appliance (CSA)管理ユーザー認証の回避と任意のコマンドの実行につながるパストラバーサル。CVE-2024-8190のコマンドインジェクションの悪用につなげる目的で使用されたと推測される。不明
備考

ただしIOCや悪用の詳細についてはFortinet社から公開されている。
https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa

脆弱性悪用の自動化の可否

2024年5月から米CISAはVulnrichmentという脆弱性情報の充実プログラムを公開し始めました。これはStakeholder-Specific Vulnerability Categorization(ステークホルダー固有の脆弱性の分類、略称SSVC)に必要な付加情報の提供などを目的に公開されているもので、SSVCによる脆弱性のトリアージに利用できる有効な情報源が加わったことで、脆弱性管理がしやすくなるというものです。SSVCのトリアージのうち、デプロイヤーモデル(アプリケーションや機器を実環境で使っている人が対象のモデル)では脆弱性に対するAutomatable(自動化の可否)の評価が必要となりますが、Vulnrichmentではこの評価も併せて公開されています。攻撃者にとっては脆弱性悪用をツール化することで流通させることが可能となる点や、ツールの利用で技術力が特に問われずに利用できる点などから、自動化の可否は悪用されやすさの一つの指標として注目すべきものがあります。

SSVC(Stakeholder-Specific Vulnerability Categorization)について、SQAT.jpでは以下の記事でも紹介しています。こちらもあわせてご覧ください。
脆弱性診断は受けたけれど~脆弱性管理入門

表6 2024年にKEVカタログに掲載された脆弱性の自動化可否

自動化可否件数
可能75
不可86
データなし14
出典:https://github.com/cisagov/vulnrichmentよりデータを取得

ランサムウェアグループの悪用が判明しているもの

2024年もランサムウェアによる被害が後を絶たない一年となりました。KEVカタログではランサムウェアグループの悪用が特定されたかどうかについても情報が掲載されていますので、ぜひこの機会にご参考にされてみてはいかがでしょうか。

表7 ランサムウェアグループによる悪用の判明

ランサムウェアグループの悪用件数
判明している22
不明153

注:
1) CVSS3.0及び3.1はベーススコア算出用のメトリクスに相違がないため、同一のスコアとして比較対象としています。なお、CVSS4.0はベーススコア算出用のメトリクスが異なるため、比較対象としていません。
2) CVSSスコアはCISA Vulnrichmentから取得できたものを優先し、CISA Vulnrichmentに登録がないものはNVD検索を行っています。なお2024年12月12日時点でCISA Vulnrichmentに登録がない、2024年にKEVカタログに登録されたCVEは19件となっています。
3) https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
およびhttps://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/(2024年12月13日参照)
4) PoCの詳細となるhttps://attacke.rs/posts/cyberpanel-command-injection-vulnerability/を参照
5) 対象製品は次のリンク先を参照。https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
6) CWE-287は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-287の詳細ページのVulnerability Mapping Notesをご覧ください。なお、詳細ページでは代わりにCWE-1390またはCWE-309を使用するよう推奨されています。
7) CWE-284は現実世界での脆弱性へのマッピングが非推奨となっているCWEです。詳細はMITREによるCWE-284の詳細ページのVulnerability Mapping Notesをご覧ください。詳細ページでは代わりにCWE-862、CWE-863、CWE-732、CWE-306、CWE-1390、CWE-923を使用するよう推奨されています。

ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    【CWE TOP 25 2024年版】にみる新たなセキュリティ脅威と指針

    Share

    最も危険なソフトウェアエラー 「CWE TOP 25」2024年版発表

    2024年11月22日、米MITREが運営するHSSEDIと米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「2024 CWE TOP 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTOP25 2024年版)」を発表しました。

    CWE TOP 25は過去1年間に報告された3万件を超える脆弱性データを分析し、深刻度や影響範囲が大きい脆弱性タイプをランク付けしたものです。セキュリティ対策の優先順位を定め、効率的にリスクを軽減するための重要な指針として注目されています。

    順位脆弱性名昨年順位
    1クロスサイトスクリプティング(CWE-79)2
    2範囲外の書き込み(CWE-787)1
    3SQLインジェクション(CWE-89)3
    4クロスサイトリクエストフォージェリ(CWE-352)9
    5パストラバーサル(CWE-22)8
    6範囲外の読み取り(CWE-125)7
    7OSコマンドインジェクション(CWE-78)5
    8解放したメモリの使用(CWE-416)4
    9認可の欠如(CWE-862)11
    10危険なタイプのファイルのアップロード許可(CWE-434)10
    11コードインジェクション(CWE-94)23
    12不適切な入力検証(CWE-20)6
    13コマンドインジェクション(CWE-77)16
    14不適切な認証(CWE-287)13
    15権限管理の不備(CWE-269)22
    16不適切なデータ逆シリアル化(CWE-502)15
    17権限を持たないユーザへの機密情報の漏洩(CWE-200)30
    18不適切な認可(CWE-863)24
    19サーバーサイドリクエストフォージェリ(CWE-918)19
    20メモリバッファ境界内での不適切な処理制限(CWE-119)17
    21NULLポインター逆参照(CWE-476)12
    22ハードコードされた資格情報の使用(CWE-798)18
    23整数のオーバーフローまたはラップアラウンド(CWE-190)4
    24制御されていないリソース消費(CWE-400)37
    25重要な機能の使用に対する認証の欠如(CWE-306)20

    出典:https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.htmlより弊社翻訳

    CWEとは

    CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。ソフトウェアやシステムに存在する脆弱性を体系的に分類・整理したデータベースであり、開発者やセキュリティ専門家が脆弱性の回避や修正を行うための知識を提供します。

    このデータベースを基に作成されたCWE TOP 25は、影響の深刻度や頻度を基準に順位付けされています。前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。

    2024年度の全体的な傾向

    2024年版のTOP25では、クロスサイトスクリプティング(XSS)が最も危険な脆弱性として1位に返り咲きました。昨年は2位だったXSSが再びトップとなったことで、この脆弱性が依然として攻撃者にとって非常に有用であり、深刻なリスクをもたらしていることが浮き彫りとなっています。さらに、範囲外メモリへの書き込みやSQLインジェクションも上位にランクインしており、依然として攻撃手段に活用されている実態が明らかになりました。これらの脆弱性はシステムへの不正アクセスやデータ漏洩を引き起こす可能性があり、引き続き厳重な警戒と対策が求められます。

    まとめ

    CWE TOP 25は、ソフトウェアセキュリティにおける脆弱性を特定し、効果的な対策を講じるための指針として機能します。開発者にとっては、脆弱性を事前に予測し、修正作業を効率化するための実用的なツールであり、セキュリティ専門家にとっては、リスク評価や診断の基準を提供します。さらに企業にとっては、このリストを活用することで、セキュリティ戦略を再構築し、組織やシステムのセキュリティ体制を強化するための基盤となります。

    CWE TOP 25が提供する洞察は、企業や組織が脆弱性を未然に防ぎ、安全なソフトウェアやシステムを構築するための重要なステップとなります。特に、攻撃の高度化が進む現代では、このリストを活用してリスクの排除や対策の強化を図ることが、企業の存続と顧客信頼の維持に直結します。CWE TOP 25をもとに、最新のセキュリティ対策を実施することが今後さらに重要になるでしょう。


    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    2023年に最も深刻な影響を与えた脆弱性Top15
    -Five Eyes共同調査分析レポート公開-

    Share

    概要

    海外5か国(米国、英国、オーストラリア、ニュージーランド、カナダ)で構成されたFive Eyesによる共同調査で、2023年、特に深刻な影響を与えた脆弱性15件が特定されました。本記事では、該当の脆弱性をカテゴリ別に分類して展開。効果的な脆弱性対策についてご説明します。

    脆弱性の分類と影響度

    ネットワークインフラストラクチャ関連

    Cisco IOS XE

    1.CVE-2023-20198
    2.CVE-2023-20273

    影響:特権昇格、リモートコード実行
    深刻度:Critical (CVSS: 9.8)

    Citrix NetScaler

    3.CVE-2023-3519
    4.CVE-2023-4966

    影響:認証バイパス、情報漏洩
    深刻度:Critical (CVSS: 9.1)

    VPNおよびリモートアクセス関連

    Fortinet FortiOS/FortiProxy SSL-VPN

    5.CVE-2023-27997

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.3)

    データ管理システム

    MOVEit

    6.CVE-2023-34362

    影響:SQLインジェクション
    深刻度:Critical (CVSS: 9.8)

    Atlassian Confluence

    7.CVE-2023-22515

    影響:特権昇格
    深刻度:Critical (CVSS: 10.0)

    ロギング・監視システム

    8.CVE-2021-44228

    影響:リモートコード実行
    深刻度:Critical (CVSS: 10.0)
    特記:脆弱性「Log4Shell」として広く知られ、長期的な影響が継続

    セキュリティアプライアンス

    Barracuda ESG Appliance

    9.CVE-2023-2868

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:バックドアの埋め込みリスクあり

    システム管理ツール

    Zoho ManageEngine

    10.CVE-2022-47966

    影響:認証なしリモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:複数の製品に影響

    印刷管理システム

    PaperCut MF/NG

    11.CVE-2023-27350

    影響:リモートコード実行
    深刻度:Critical (CVSS: 9.8)
    特記:認証バイパスによる特権昇格の可能性

    Windows環境

    Microsoft Netlogon

    12.CVE-2020-1472

    影響:ドメイン特権の昇格
    深刻度:Critical (CVSS: 10.0)
    特記:Zerologon脆弱性として知られる

    継続的インテグレーション/デプロイメント

    JetBrains TeamCity

    13.CVE-2023-42793

    影響:認証バイパス
    深刻度:Critical (CVSS: 9.8)
    特記:ビルドシステムへの不正アクセスのリスク

    メールクライアント

    Microsoft Office Outlook

    14.CVE-2023-23397

    影響:特権昇格、NTLM資格情報の漏洩
    深刻度:Critical (CVSS: 9.8)
    特記:標的型攻撃で悪用される可能性が高い

    クラウドストレージ

    ownCloud graphapi

    15.CVE-2023-49103

    影響:認証バイパス
    深刻度:High (CVSS: 8.8)
    特記:データアクセス制御の迂回が可能

    脆弱性カテゴリ別の分布分析

    上記の脆弱性を分析すると、以下のような特徴がみられます。

    攻撃タイプの傾向

    • リモートコード実行: 38%
    • 認証バイパス: 31%
    • 特権昇格: 23%
    • その他: 8%

    影響を受けるシステム領域

    • ネットワークインフラ: 31%
    • アプリケーションサーバー: 23%
    • セキュリティ製品: 15%
    • エンドユーザーアプリケーション: 31%

    対策の優先度付けのポイント

    • クライアントアクセス性: 高い順
    • パッチ適用の容易さ: 考慮が必要
    • ビジネスインパクト: 重要度評価
    • 実現可能な緩和策の有無

    推奨される対策措置

    組織のセキュリティ責任者向け

    即時対応が必要な施策

    • 重要システムの脆弱性評価の実施
    • パッチ適用計画の策定と実行
    • セキュリティ監視の強化

    中期的な対策

    セキュリティツールの導入・更新

    • DR(エンドポイント検知・対応)システム
    • WAF(Webアプリケーションファイアウォール)
    • ネットワーク監視・分析ツール

    開発者・ベンダー向けガイドライン

    設計フェーズでの対策

    • SP 800-218に基づくSSDF(安全なソフトウェア開発フレームワーク)の導入
    • DevSecOpsの実践によるセキュリティシフトレフト

    実装フェーズでの対策

    • セキュアコーディング規約の徹底
    • 継続的なセキュリティテストの実施

    運用フェーズでの対策

    • 脆弱性開示プログラムの確立
    • インシデント対応体制の整備

    リスク軽減のためのベストプラクティス

    システム管理者向け

    • 定期的な脆弱性スキャンの実施
    • パッチ管理の自動化
    • セキュリティ設定の定期監査

    エンドユーザー向け

    • セキュリティ意識向上トレーニング
    • インシデント報告手順の周知
    • アクセス権限の定期見直し

    まとめ

    これらの脆弱性に対する効果的な対策には、組織全体での継続的な取り組みが不可欠です。本レポートで示した対策を確実に実施し、定期的な見直しと更新を行うことで、セキュリティリスクの最小化を図ることができます。

    注)本記事に記載されている脆弱性情報やPoCの取り扱いには十分な注意を払い、悪用防止に努めてください。


    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 2024年12月4日(水)13:00~14:00
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年12月11日(水)14:00~15:00
    ランサムウェア攻撃の実態と対策:2024~脅威に備える最新の対策法を解説~
  • 2024年12月18日(水)14:00~15:00
    脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    サイバー攻撃者は何を狙うのか?~サイバー攻撃の準備段階~
    第1回 侵入するための偵察活動

    Share

    攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動(初期アクセス)の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

    偵察活動の例

    ランサムウェア攻撃グループ「LockBit」

    2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*13

    Cobalt Strikeを悪用するランサムウェアグループ

    本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

    Volt Typhoon

    ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ(AD)に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

    JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター(ASD’s ACSC)主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

    偵察活動の一覧

    最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

    弊社では11月20日(水)13:50より、「中小企業に迫るランサムウェア!サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT&CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら

    表の見方

    • MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID
    • 名称:MITRE ATT&CKが活動に対して付与した名称
    • 備考:記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

    偵察活動の一覧

    MITRE ATT&CK ID名称備考
    T1595アクティブスキャン
    0.001IPブロック(パブリックIP)のスキャン
    0.002脆弱性スキャン
    備考

    攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。

    0.003ワードリストスキャン 注 1)
    T1592ターゲットのホスト情報の収集
    0.001ハードウェア
    0.002ソフトウェア
    備考

    攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報(Webブラウザ関連の情報)の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。

    0.003ファームウェア
    0.004クライアント設定 注 2)
    T1592ターゲットの認証・個人情報の収集 注 3)
    0.001認証情報
    備考

    攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。

    0.002メールアドレス
    備考

    攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。

    0.003従業員名
    備考

    攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。

    T1592ターゲットのネットワーク情報の収集
    0.001ドメインプロパティ 注 4)
    0.002DNS
    0.003ネットワークの信頼関係 注 5)
    0.004ネットワークトポロジー
    0.005IPアドレス
    0.006ネットワークセキュリティアプライアンス
    T1591ターゲットの組織情報の収集
    0.001物理ロケーションの推定
    0.002取引関係の推定
    備考

    攻撃者は、ターゲティングに利用できる取引関係の情報情報(ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など)を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。

    0.003ビジネスのテンポの推定 注 6)
    0.004役職などの推定
    備考

    攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。

    T1598情報収集のためのフィッシング
    0.001スピアフィッシングサービス 注 7)
    0.002悪意のあるコードなどを含む添付ファイルによるスピアフィッシング
    備考

    スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.003/td>リンクを悪用したスピアフィッシング
    備考

    スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。

    0.004音声によるスピアフィッシング
    備考

    音声通信(電話)を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。

    T1597閉鎖的・限定的な情報源からの情報収集 注 8)
    0.001脅威インテリンジェスベンダー 注 9)
    0.002技術データの購入 注 10)
    T1596公開技術データベースの検索 注 11)
    0.001DNS/Passive DNS
    0.002WHOIS
    0.003デジタル証明書
    0.004CDN
    0.005公開スキャンデータベース
    T1593公開Webサイト・ドメインの検索
    備考

    公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。

    0.001ソーシャルメディア
    備考

    攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。

    0.002検索エンジン
    0.003コードレポジトリ
    備考

    攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報(認証情報・ソースコード)を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。

    T1594ターゲット所有のWebサイトの検索
    備考

    企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

    出典:MITRE ATT&CK®https://attack.mitre.org/tactics/TA0043/)を元に弊社和訳、備考欄追記

    注:
    1) 一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
    2) Office 365のテナントからターゲットの環境情報を収集する例などがあります。
    3) 秘密の質問やMFA(多要素認証)の設定なども含まれる。
    4) ドメイン情報から読み取れる情報(氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報)、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
    5) ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
    6) 営業時間、定休日、出荷サイクルなどの情報。
    7) サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報(認証情報など攻撃への悪用ができる情報)を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
    8) 評価の高い情報源や有料購読の情報源(有料の時点である程度の品質が期待される)、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
    9) 脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
    10) 評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
    11) 公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

    ウェビナー開催のご案内

  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    APIとは何か(3)
    ~APIセキュリティのベストプラクティス~

    Share

    APIセキュリティは、適切な認証と認可が鍵です。本記事では、APIのセキュリティを強化するための基本的な対策からベストプラクティスまで解説します。脅威に対抗するための対策案を紹介し、セキュアなAPI運用のポイントを提供します。

    前回記事はこちら。
    シリーズ第1回目「APIとは何か(1)~基本概念とセキュリティの重要性~
    シリーズ第2回目「APIとは何か(2)~APIの脅威とリスク~

    認証と認可の重要性

    ソフトウェアセキュリティにおける問題の多くは、信頼境界をまたぐデータ(プログラム内の入出力)やモノ(フレームワーク)に起因しています。様々な場所から様々なデバイスによりアクセスされる昨今の環境下では、既存の認証を信用せず、あらゆるアクセスを信用しないという前提に立った上で動的なアクセスコントロールによって認可する「ゼロトラスト」の考え方が必要です。ポイントは、「認証」と「認可」の違いを的確に理解することです。「認証」と「認可」が適切に区別されていないシステムの場合、本人確認を行うユーザ認証さえ突破してしまえば、システムのどこにでも自由にアクセス可能となってしまい、非常に危険です。

    「認証」と「認可」を明確に区別して信頼境界の安全を保つことが重要であり、その実現にあたっては、厳格なセッション管理が鍵となります。代表例として、ソフトウェアにおけるアクセス認可において、アクセストークンによる堅牢な制御の上で、信頼境界ごとのリソースに認可プロセスを設定するといった方法が挙げられます。

    基本的なセキュリティ対策

    セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    セキュリティ基本10項目

    標的型攻撃メール訓練の実施

    標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

    定期的なバックアップの実施と安全な保管(別場所での保管推奨)

    ランサムウェアによる被害からデータを保護するために、サーバに対してオフラインバックアップ(データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと)を行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

    バックアップ等から復旧可能であることの定期的な確認

    バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

    OS、各種コンポーネントのバージョン管理、パッチ適用

    システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段から脆弱性関連の情報収集やバージョン更新が求められます。

    認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)

    認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証(MFA)を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

    適切なアクセス制御および監視、ログの取得・分析

    システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

    シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認

    シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

    攻撃を受けた場合に想定される影響範囲の把握

    サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

    システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

    定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

    CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

    APIセキュリティのベストプラクティス

    OAuthトークン

    OAuthトークンは、APIへのアクセスを安全に制御するための認可手段です。ユーザのパスワードを直接共有せず、一時的なトークンでアクセスを許可する仕組みにより、不正アクセスのリスクを軽減します。

    暗号化と署名

    API通信では、暗号化が重要です。また、署名による送信者の認証をすることも重要です。SSL/TLS(TLS 1.3推奨)での暗号化により、データが送受信される途中で盗聴されないようにします。署名には一般的にRSA暗号やECDSAなどのアルゴリズムが使用され、SHA-256などのハッシュ関数と組み合わせてデータの完全性を保証します。デジタル証明書を使用することで、通信相手の身元確認も可能になり、より強固なセキュリティを実現できます。

    レート制限とスロットリング

    レート制限とスロットリングは、APIへのリクエスト数を一定範囲に抑え、サーバへの負荷を管理するための手法です。過剰なリクエストをブロックし、DDoS攻撃などのリスクを軽減します。また、正規ユーザの快適な利用を維持し、サービスの安定稼働を支えます。

    APIゲートウェイの使用

    APIゲートウェイは、API管理を一元化するためのツールです。認証、認可、レート制限、監視など、APIに関連するセキュリティ機能を提供します。これにより、システム全体のAPI運用を最適化します。APIの脆弱性を効果的に軽減することができます。また、監視とログ収集を行うことで、問題発生時の迅速な対応が可能になります。

    APIのセキュリティ対策

    ここまで見てきたAPIセキュリティ脅威を踏まえると、以下のようなポイントにおいて脆弱でないことが重要と考えられます。

    APIのセキュリティ対策のポイント図

    開発中、リリース後、更新時といった、いかなる状況においても、適切な脆弱性管理・対応ができているかどうかが、鍵となります。

    APIのセキュリティ対策の概要図

    APIの開発にあたっては、DevSecOpsを適用して脆弱性を作り込まないようにすること、APIリリース後も、新たな脆弱性が生まれていないか、APIセキュリティ診断などを通じて確認を継続することが重要です。

    APIはスマホアプリでも多く活用されています。誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。スマホアプリのセキュリティ対策の一つとしては、信頼できる第三者機関による脆弱性診断の実施があげられます。第三者の専門家からの診断を受けることで、網羅的な確認ができるため、早急に効率よく対策を実施するのに役立つでしょう。

    関連記事:

    • 攻撃者が狙う重要情報の宝庫!―スマホアプリのセキュリティ―
    • まとめ

      APIのセキュリティについて、認証と認可は基本となる重要な要素です。現代では従来の境界型セキュリティでは不十分となり、あらゆるアクセスを疑う「ゼロトラスト」モデルが求められています。認証は「誰か」を確認するプロセス、認可は「何を許可するか」を決める仕組みであり、両者の違いを明確に理解しておくことが重要です。

      組織の安全を守るには、基本的なセキュリティ対策の実施が不可欠です。具体的には、攻撃メール訓練の実施、バックアップ管理、システムの更新、強固な認証の導入、アクセス制御とログ分析などが推奨されます。また、インシデント対応チーム(CSIRT)の整備により、問題発生時の迅速な対応が可能となります。

      APIセキュリティの観点からは、OAuthトークンの導入、通信の暗号化と署名、レート制限やスロットリングでの制限、APIゲートウェイが推奨されます。開発段階からリリース・運用後まで脆弱性管理を徹底し、特にユーザへの影響が大きいと考えられるサービスでは第三者機関によるセキュリティ診断も活用することをおすすめします。

      Security Report TOPに戻る
      TOP-更新情報に戻る


      資料ダウンロードボタン
      年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
      お問い合わせボタン
      サービスに関する疑問や質問はこちらからお気軽にお問合せください。

      Security Serviceへのリンクバナー画像
      BBsecコーポレートサイトへのリンクバナー画像
      セキュリティ緊急対応のバナー画像

    NVIDIA Container Toolkitの重大な脆弱性:CVE-2024-0132とその対策

    Share

    NVIDIAの人気ツールに危険な脆弱性が発見!迅速な対応が不可欠です。本記事では、この問題の詳細と対策方法をわかりやすく解説します。

    ■脆弱性の概要

    NVIDIA Container Toolkitに、深刻な脆弱性「CVE-2024-0132」が見つかりました。この問題は以下の特徴があります。

    • 影響を受けるバージョン:1.16.1以前のすべて
    • 脆弱性の種類:TOCTOU(Time-of-check Time-of-use)
    • CVSSスコア:9.0(クリティカル)

    ■この脆弱性がもたらすリスク

    攻撃者がこの脆弱性を悪用すると、次のような深刻な被害が発生する可能性があります。

    • リモートコードの実行
    • サービス拒否(DoS)攻撃
    • 特権の不正取得
    • 機密情報の漏洩
    • データの改ざん

    ■対策方法

    即時アップデート

    • NVIDIA Container Toolkit:バージョン1.16.2へ更新
    • NVIDIA GPU Operator使用者:バージョン24.6.2への更新を検討

    セキュリティツールの活用

    • Trend Vision One™などを使用し、脆弱性を事前に検出
    • コンテナイメージのスキャンと実行時の脆弱性検出を実施

    システム全体のセキュリティ強化

    • 定期的なセキュリティ監査の実施
    • 最新のセキュリティパッチの適用

    ■注意点

    • Container Device Interface(CDI)がNVIDIA GPUへのアクセスを指定している場合は影響を受けにくいですが、多くの環境ではこの条件が満たされていない可能性があります。
    • 関連する脆弱性CVE-2024-0133(CVSSスコア4.1、中程度)にも注意が必要です。

    ■まとめ

    NVIDIA Container Toolkitの脆弱性CVE-2024-0132は非常に深刻です。影響を受ける可能性のあるシステムは、速やかに最新バージョンへのアップデートを行い、包括的なセキュリティ対策を講じることが重要です。迅速な対応で、あなたの組織をサイバー攻撃から守りましょう。


    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    任意のコード実行の危険性!ServiceNowの脆弱性「CVE-2024-5217」について

    Share

    2024年6月、ServiceNowのNow Platformに重大な脆弱性「CVE-2024-5217」が発見されました。この脆弱性は、入力検証の不備に起因し、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のリリースです。CVSSスコアは9.2で、重要度は「クリティカル(Critical)」と評価されています。

    脆弱性の詳細

    「CVE-2024-5217」は、入力検証の不備に起因する脆弱性です。これにより、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。この脆弱性は2024年5月22日にCVEとして割り当てられました。

    • CVSSスコア:9.2(クリティカル)
    • CVE割り当て日:2024年5月22日

    影響範囲

    この脆弱性の影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のNow Platformリリースです。認証されていないリモート攻撃者が任意のコードを実行するリスクがあります。特に、政府機関、データセンター、エネルギープロバイダーなどが標的となる可能性があります。

    • 影響を受けるバージョン:Washington DC、Vancouver、およびそれ以前のNow Platformリリース
    • リスク:任意のコード実行
    • 標的:政府機関、データセンター、エネルギープロバイダー

    攻撃の観測

    米セキュリティ企業Resecurityによると、「CVE-2024-5217」を悪用した攻撃が観測されています。標的には政府機関、データセンター、エネルギープロバイダー、ソフトウェア開発会社などが含まれます。攻撃者はペイロードインジェクションを利用し、サーバー応答内の特定の結果をチェックした後、第2段階のペイロードでデータベースの内容をチェックします。成功した場合、攻撃者はユーザーリストとアカウント認証情報をダンプします。

    • 攻撃手法:ペイロードインジェクション
    • 攻撃の結果:ユーザーリストとアカウント認証情報のダンプ

    修正パッチと対策

    ServiceNowは2024年6月のパッチサイクルで「CVE-2024-5217」を修正しました。修正パッチは既にリリースされており、未適用のシステムは早急にアップデートすることが推奨されます。パッチの適用により、任意のコード実行のリスクを軽減できます。

    • 修正の時期:2024年6月
    • 修正パッチのリリース状況:既にリリース済み
    • 推奨事項:システムを早急にアップデート

    【関連リンク】

    ・CISA(サイバーセキュリティインフラセキュリティ庁)
     KnownExploitedVulnerabilitiesCatalog
    ServiceNow ヘルプデスク
    Resecurityブログ記事

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ランサムウェア攻撃にも悪用!VMware ESXiの脆弱性(CVE-2024-37085)

    Share

    CVE-2024-37085の解説

    1.脆弱性の概要

    • 名称:CVE-2024-37085
    • 種類:認証バイパス脆弱性
    • 対象システム:VMware ESXi(仮想マシンを管理するソフトウェア)
    • 公開日:2024年
    • 対応状況:2024年7月のアップデートで修正済み

    2.リスクと影響

    • 深刻度:中(CVSSv3.1スコア: 6.8)
    • 潜在的な被害:
      • システムへの完全なアクセス権限の取得
      • データの漏洩
      • システムの乗っ取り
    • 攻撃者の条件:十分なActive Directory (AD) 権限を持っていること
    • 影響を受ける組織:VMware ESXiを使用する企業や組織
    • 既にランサムウェア攻撃グループよる悪用が確認されている

    3.対策方法

    • パッチ適用: VMwareが提供する最新のセキュリティアップデートを速やかに適用
    • システム監視:異常なアクセスや動作を監視し、迅速に対応
    • アクセス制御:Active Directoryの権限を見直し、必要最低限の権限に制限
    • バックアップ:定期的なデータバックアップを実施し、万が一の際に備える
    • 情報収集:NVDやVMwareの公式サイトで最新情報を継続的に確認

    4.確認方法と推奨アクション

    • 使用中のVMware ESXiのバージョン情報を確認
    • 影響を受けるバージョンを使用している場合は、直ちにアップデートを実施

    5.情報の入手先

    • National Vulnerability Database (NVD):詳細な脆弱性情報
    • VMware公式サイト:パッチ情報や詳細な説明
    • GitHub:公開されているセキュリティアドバイザリ

    この脆弱性は、仮想化環境を使用する多くの組織に影響を与える可能性があるため、迅速かつ適切な対応が重要です。特に、Active Directory権限の管理とシステムの定期的なアップデートが重要な防御策となります。

    【関連リンク】

    https://nvd.nist.gov/vuln/detail/CVE-2024-37085
    https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    Linuxサーバーを狙うOpenSSH脆弱性
    (CVE-2024-6387)-影響と即時対応策まとめ-

    Share

    • CVE-2024-6387は、OpenSSHサーバーに存在する重大な脆弱性です。
    • この脆弱性により、リモートから認証なしに任意のコードを実行できる可能性があります。
    • 影響を受けるのは、glibcベースのLinuxシステム上のOpenSSHサーバーです。
    • 脆弱性は、シグナルハンドラーの競合状態に起因します。
    • Qualys社によって発見され、2024年7月1日に公表されました。
    • 修正バージョンが提供されています。
    • 影響を受けるバージョンは、OpenSSH 8.5p1から9.7p1までです。
    • 対策として、OpenSSHの最新バージョンへのアップデートが推奨されています。

    CVE-2024-6387

    • CVE-2024-6387は、シグナルハンドラーの競合状態により発生します。
    • この脆弱性により、リモートから認証なしに任意のコードを実行できる可能性があります。
    • 本脆弱性は、以前に対処されたCVE-2006-5051の再発(リグレッション)と考えられています。

    影響を受けるバージョン

    • 影響を受けるのは、glibcベースのLinuxシステム上のOpenSSHサーバーです。
    • 影響を受けるバージョンは、OpenSSH 8.5p1から9.7p1までです。
    • 4.4p1より前のバージョンは、過去の脆弱性(CVE-2006-5051およびCVE-2008-4109)のパッチが適用されていれば影響を受けません。
    • OpenBSDは影響を受けません。
    • Qualys社のテレメトリ情報によれば、インターネットに公開されたホストの約3割(70万台)が脆弱な状態にあると推定されています。

    対策方法

    • 利用中のOpenSSHの最新バージョンへのアップデートが推奨されています。詳細については利用中のディストリビューションの最新情報をご確認ください。
    • 暫定の回避策としてデフォルト設定のSSHファイアウォールルールの削除という方法もありますが、DDoS攻撃に無防備になる可能性があるため、アクセス制御を行った上で実施してください。なお、アップデート後はファイアウォールルールを再設定してください。

    攻撃の検証状況

    • ASLR有効化済みの32ビットLinux/glibc環境で攻撃が成功することが確認されています。
    • 理論上は64ビット環境でも可能と見られますが、現時点で実証されていません。
    • 脆弱性の概念実証(PoC)コードは存在しますが、実際の攻撃活動は確認されていません。(2024/7/3時点)
    • テスト環境では、PoCを使用してCVE-2024-6387の脆弱性を悪用したリモートコード実行は実現できませんでした。
    • Qualys社はこの脆弱性の実証コードを公開しない方針です。

    【関連情報】

    • CVE-2024-6387は、以前に対処されたCVE-2006-5051の再発(リグレッション)と考えられています。
    • OpenBSDは2001年に本脆弱性を防ぐ安全なメカニズムを開発しており、影響を受けません。
    • 脆弱性の深刻度(CVSSv3.1スコア)は8.1「Critical(緊急)」と評価されています。
    • この脆弱性を悪用するには、平均して6時間から8時間程度の連続した接続が必要であり、攻撃の成功率は低いのではないかとの指摘もあります。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ソーシャルエンジニアリングとは?その手法と対策

    Share

    今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

    まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

    途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

    ソーシャルエンジニアリングとは

    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

    アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的(ソーシャル)」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込む手法全般のことだといえるでしょう。

    脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリング攻撃は「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

    ソーシャルエンジニアリングの手法

    以下に典型的なソーシャルエンジニアリングの手法を挙げます。

    ・ショルダーハッキング
      例)パスワード等をユーザの肩越しに覗き見る
    ・トラッシング(スカベンジング)
      例)清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
    ・なりすまし電話
     例)システム担当者などになりすましてパスワードなどを聞き出す
    ・ベイティング
     例)マルウェアを仕込んだUSBメモリを廊下に落とす
    ・フィッシング(ヴィッシング、スミッシング等 含む)
      例)信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
    ・ビジネスメール詐欺
     例)取引先などになりすまし、犯人の口座へ振込を行わせる
    ・標的型攻撃メール
     例)ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

    たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

    ソーシャルエンジニアリングの最大の特徴とは

    人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

    ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

    ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

    ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

    そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

    なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

    オレオレ詐欺はソーシャルエンジニアリングか

    権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

    そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか?

    答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

    ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

    大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

    また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメール標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

    日本で起こったソーシャルエンジニアリングの実例

    2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

    また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

    ソーシャルエンジニアリング対策・防止策

    では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

    ソーシャルエンジニアリングの手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

    しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合(成功してしまった後)の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

    企業が絶対にやってはいけないソーシャルエンジニアリング対策

    ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

    罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

    まとめ

    • ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
    • ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
    • ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
    • 環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
    • 懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像