投稿日:

【警告】CVE-2025-22457 脆弱性悪用事例と対策
–サイバー脅威の全貌–

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

瓦版号外記事(CVE-2025-22457悪用事例)サムネイル

はじめに

昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure(ICS)における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

脆弱性の概要とその影響

CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン(ICS 9.X)で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

悪用事例と新たなマルウェアの動向

調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

  • TRAILBLAZE
    シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。
  • BRUSHFIRE
    SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。
  • SPAWNエコシステム
    SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

技術的な攻撃手法の解説

攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

  1. プロセスの特定
    ターゲットとなる/home/bin/webプロセス(特に、子プロセスとして実行中のもの)を検出
  2. 一時ファイルの生成
    /tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される
  3. マルウェアの注入
    生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される
  4. クリーンアップ
    一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

脅威アクターとその背景

調査機関GTIG(Google Threat Intelligence Group)の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

推奨対策と今後の対応

MandiantとIvantiは、以下の対策を強く推奨しています。

  • 迅速なパッチ適用
    2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること
  • 監視体制の強化
    不審なコアダンプや、Integrity Checker Tool(ICT)の異常な動作が確認された場合、即座に対応する体制を整えること
  • セキュリティツールの活用
    内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

まとめ

CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年4月9日(水)13:00~14:00
    今さら聞けない!スマホアプリのセキュリティあれこれ
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    テレワーク環境に求められるセキュリティ強化

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    テレワークセキュリティ2.26更新版サムネイル

    テレワークの普及に伴い、セキュリティ対策の重要性が一層高まっています。特に、在宅勤務やモバイルワークなど、多様な働き方が浸透する中で、情報漏えいや不正アクセスといったリスクへの対応が求められます。本記事では、最新のガイドラインや具体的な対策を踏まえ、テレワーク環境におけるセキュリティ強化のポイントを解説します。

    テレワークの現状とセキュリティの重要性

    総務省によれば、テレワークは「ICT(情報通信技術)を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

    テレワークを推進する総務省が刊行する「テレワークセキュリティガイドライン(第5版)」では、テレワークの形態を自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイル勤務」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス勤務」の3つに分類しています。

    これらの働き方は柔軟性を提供する一方で、情報セキュリティの観点から新たな課題も浮上しています。特に、家庭内ネットワークの脆弱性や公共のWi-Fiを利用する際のリスクなど、従来のオフィス環境とは異なる脅威が存在します。

    テレワークのセキュリティの基本的考え方

    ガイドラインでは、クラウドサービスの活用やゼロトラストセキュリティの概念など、最新のセキュリティ動向を踏まえた対策が示されています。また、中小企業向けには「テレワークセキュリティに関する手引き(チェックリスト)」が提供されており、具体的な対策項目が整理されています。

    図:テレワークにおける脅威と脆弱性について

    (画像出典:総務省:「テレワークセキュリティガイドライン(第5版)」より一部抜粋)

    テレワークにおけるセキュリティ対策の基本方針

    テレワーク環境のセキュリティ対策は、「ルール」「人」「技術」の3つの要素のバランスが重要です。総務省のガイドラインでは、以下のポイントが強調されています。

    • ルールの整備:情報セキュリティポリシーの策定や、テレワーク時のデバイス使用に関する規定を明確にする
    • 人への教育:従業員に対する定期的なセキュリティ教育や訓練を実施し、フィッシング詐欺やマルウェアへの対処方法を周知する
    • 技術的対策:VPNの導入や多要素認証の活用、最新のセキュリティパッチの適用など、技術的な防御策を講じる

    テレワーク環境下の人を狙ったサイバー攻撃

    総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。

    ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる!」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って! そのテレワーク、セキュリティは大丈夫?」などを公開配布しています。

    オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

    また、政府のセキュリティ機関である内閣サイバーセキュリティセンター(NISC)は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

    NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

    さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

    テレワーク環境下でのセキュリティ対策

    テレワーク環境の安全性を確保するためには、以下のようなポイントでセキュリティ対策を実施することを推奨いたします。

    • デバイスの管理:業務用デバイスと私用デバイスを明確に区別し、業務データの漏えいを防止する
    • ネットワークの安全性確保:自宅のWi-Fiには強固なパスワードを設定し、公共のWi-Fi利用は避ける
    • データの暗号化:重要なデータは暗号化し、万が一の情報漏えいに備える
    • アクセス権限の管理:必要最小限のアクセス権限を設定し、不正アクセスを防ぐ
    • 定期的なセキュリティ診断:専門機関によるセキュリティ診断やペネトレーションテストを実施し、システムの安全性を確認する

    技術的な対策だけでなく、従業員のセキュリティ意識の向上や定期的なルールの見直しを行い、組織全体で継続的にセキュリティ対策を強化していくことが重要です。

    セキュリティ診断もリモートで実施可能

    情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

    Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

    まとめ

    ・新型コロナウイルス感染対策にともない、多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
    ・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
    ・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
    ・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

    【関連情報】

    ●<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長

    ●<コラム>「ゼロトラストアーキテクチャ」とは?

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
  • 2025年3月13日(木)11:00~12:00
    脆弱性診断、やりっぱなしになっていませんか?高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心 診断から守るまでを徹底解説〜

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、DDoS攻撃の規模と頻度が急激に増加しており、企業や組織にとって無視できない脅威となっています。特に、2024年第4四半期には、過去最大規模となる5.6テラビット毎秒(Tbps)のDDoS攻撃が確認され、サイバー攻撃の新たな段階へと突入したことがわかりました。この攻撃は、わずか80秒間で1万3,000台以上のIoTデバイスを利用して実行され、Cloudflare社のDDoS防御システムによって自動的に検出・ブロックされました。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    DDos攻撃の事例として、SQAT.jpでは日本航空へのサイバー攻撃の実態についても解説しています。こちらもあわせてぜひご覧ください。
    【徹底解説】 日本航空のDDoS攻撃被害の実態と復旧プロセス
    Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策

    DDoS攻撃の増加と進化する手口

    2024年第4四半期には、Cloudflare社が軽減したDDoS攻撃の件数が690万件にのぼり、前四半期比16%、前年比83%の増加を記録しました。さらに、1Tbpsを超える大規模攻撃の件数は前四半期比で1,885%も増加し、これまで以上に大規模な攻撃が常態化しつつあります。

    HTTP DDoS攻撃では、既知のボットネットによる攻撃が全体の73%を占め、11%は正規のブラウザを装った攻撃、10%は疑わしいHTTPリクエストによる攻撃でした。ネットワーク層(L3/L4)攻撃では、SYNフラッド(38%)、DNSフラッド(16%)、UDPフラッド(14%)が主要な手法として確認されています。また、Miraiボットネットの亜種による攻撃が特に顕著であり、2024年第4四半期には、この攻撃手法の使用頻度が131%も増加しました。

    企業が直面するDDoS攻撃のリスクとは?

    DDoS攻撃がもたらす影響は多岐にわたります。最も直接的な被害は、システムのダウンによる業務停止であり、企業の信用低下や顧客離れにつながる可能性があります。また、近年増加している「ランサムDDoS攻撃(Ransom DDoS)」では、攻撃を受けた企業が身代金の支払いを要求されるケースが増えています。2024年第4四半期には、Cloudflare社の顧客でDDoS攻撃を受けた顧客のうち、12%が身代金の支払いを求められ、前年同期比で78%の増加を記録しました。

    業界別にみると、通信業界が最も多くの攻撃を受け、次いでインターネット関連業界、マーケティング・広告業界が標的となっています。特に、金融業界は依然としてサイバー犯罪者にとって魅力的なターゲットとなっており、資金詐取を目的とした攻撃が増加しています。

    DDoS攻撃から企業を守るための対策

    DDoS攻撃の脅威が拡大するなか、企業は効果的な防御策を講じる必要があります。特に、以下のような対策が推奨されます。

    1. 常時オンのDDoS防御システムの導入
      DDoS攻撃の多くは短時間で発生するため、人間の対応では間に合わないケースが多いです。自動検知・防御機能を備えたDDoS対策ソリューションを導入することで、攻撃を迅速に無力化できます。
    1. ネットワーク層とアプリケーション層の両方を保護
      DDoS攻撃には、L3/L4(ネットワーク層)攻撃とL7(アプリケーション層)攻撃があります。両方の層に対する防御対策を講じ、ファイアウォールやWAF(Web Application Firewall)を活用することが重要です。
    1. ゼロトラストアーキテクチャの採用
      攻撃者の侵入を最小限に抑えるために、ゼロトラストモデルを導入することも有効です。認証・認可プロセスを強化し、アクセス制御を厳格化することで、不正なトラフィックを遮断できます。
    1. クラウドベースのDDoS対策の活用
      オンプレミスのDDoS対策はコストが高く、攻撃の規模が拡大するにつれて対応が難しくなります。クラウドベースのDDoS防御サービスを活用することで、スケーラブルなセキュリティ対策を実現できます。
    1. 定期的な脆弱性診断とインシデント対応計画の策定
      攻撃のリスクを最小限に抑えるために、定期的なセキュリティ監査を実施し、DDoS攻撃を想定したインシデント対応計画を策定することが不可欠です。特に、SLA(サービスレベルアグリーメント)を明確にし、攻撃発生時の対応フローを事前に決めておくことが重要です。

    今後のDDoS攻撃トレンドと企業が取るべきアクション

    DDoS攻撃は今後さらに巧妙化し、大規模化すると予想されています。特に、AIを活用したボットネット攻撃や、IoTデバイスを悪用した攻撃が増加する見込みです。さらに、特定の企業や業界を標的とした「高度な標的型攻撃(APT)」の手法がDDoS攻撃にも応用される可能性があります。

    企業は、単に防御するだけでなく、プロアクティブなセキュリティ戦略を採用し、攻撃を未然に防ぐ体制を構築する必要があります。DDoS攻撃はもはや一部の企業だけの問題ではなく、あらゆる業界にとって喫緊の課題となっています。

    常に最新の脅威情報を把握し、効果的な防御策を講じることで、企業のシステムとデータを守ることができます。DDoS攻撃のリスクを最小限に抑えるためには、今すぐ適切な対策を実施することが求められるでしょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは?手口と脅威を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産(仮想通貨)取引所から約482億円が窃取された事案に関連して注意喚起*1を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

    ソーシャルエンジニアリング攻撃の概要

    北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA(米サイバーセキュリティ・インフラセキュリティ庁)によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2

    ソーシャルエンジニアリングとは
    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    関連記事:「ソーシャルエンジニアリングとは?その手法と対策

    ソーシャルエンジニアリングの手法

    「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

    SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

    参考:金融庁/警察庁/内閣サイバーセキュリティセンター
    北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる 暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

    ソーシャルエンジニアリング攻撃の代表的な手法

    手法
    フィッシングターゲットをだますことで情報を引き出す(認証情報や個人情報)、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
    スピアフィッシングフィッシングの一形態
    特定の個人や企業を狙ったフィッシング攻撃を指す
    ビジネスメール詐欺取引先などになりすまし、入金を促す詐欺
    ベイティングマルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
    プリテキスティング権威のある人物(銀行員、警察、ITサポートなど)になりすまし、個人情報を聞き出す
    テールゲーティング正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

    ソーシャルエンジニアリング攻撃の事例

    近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

    • XZ Utilsへのソーシャルエンジニアリング攻撃
      Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3です。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
    • ディープフェイク技術を悪用した詐欺
      在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル(日本円で約40億円)を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

    ソーシャルエンジニアリング攻撃の対策方法

    今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

    ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

    関連情報:
    Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

    まとめ

    • ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
    • 従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
    • 最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    サイバー攻撃の脅威と新しい脆弱性診断サービス「SQAT® with Swift Delivery」のご提案

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    第1章:深刻化するサイバー脅威の現状

    サイバー攻撃の進化と企業が直面するリスク

    デジタルトランスフォーメーション(DX)が加速する中で、企業を取り巻くサイバー脅威は急速に高度化しています。2023年には以下のような深刻なサイバー攻撃が顕在化しました。

    企業における脆弱性管理の課題

    多くの企業が抱える脆弱性管理の課題は、次の3点に集約されます。

    1. 脆弱性の発見遅延:新規脆弱性の平均発見所要時間は205日(出典:Ponemon Institute 2023 Vulnerability Report)、重大な脆弱性の見落とし率は約27%(出典:Cybersecurity Ventures
    2. 対応の遅延:脆弱性の発見から修正までの平均所要時間は67日(出典:Verizon Data Breach Investigations Report 2023)、クリティカルな脆弱性の放置率は約21%(出典:Gartner Security Trends 2023
    3. リソースの不足:セキュリティ人材不足率は約64%(出典:ISC2「Cybersecurity Workforce Study 2023」)、予算不足を報告する企業は68%に上る(出典:Deloitte Cyber Risk Report 2023

    事例から見る被害の実態

    事例1: 大手小売業A社
    被害額:約8.5億円。原因は既知の脆弱性の放置で、顧客情報320万件が流出。

    事例2: 製造業B社
    被害額:約12億円。新規サービス展開時の脆弱性を突かれ、生産ラインが14日間停止。

    第2章:脆弱性診断の重要性

    なぜ今、脆弱性診断が重要なのか

    1. 攻撃手法の高度化:AIを活用した自動攻撃やサプライチェーン攻撃の増加、ゼロデイ攻撃の脅威が拡大している
    2. 法規制の強化:個人情報保護法の改正やGDPR、CCPAなどの規制が強化されており、企業に高いセキュリティ対策が求められている。
    3. ビジネスリスクの増大:セキュリティインシデントによる信用失墜、損害賠償リスク、事業継続への影響が深刻化している

     脆弱性診断がもたらす価値

    • 予防的価値:攻撃を事前に防ぎ、リスクを早期に発見することで、セキュリティ体制を強化
    • コンプライアンス価値:法規制に適合し、監査対応を効率化することで、企業の説明責任を果たす
    • ビジネス価値:顧客の信頼を維持し、競争優位性を確保。事業継続性を向上させる

    新サービス「SQAT® with Swift Delivery」の特長

    当社が提供する「SQAT® with Swift Delivery」は、迅速かつ効果的な脆弱性診断を実現し、企業の安全性向上に貢献します

    主な特長

    1. 最短7営業日での報告書提出
      スピードを重視した診断を行い、ビジネスの迅速な意思決定をサポート
    2. 明確な料金体系
      診断日数に応じた料金を設定し、予算の見通しが立てやすい
    3. セキュリティ保険の付帯
      万が一のリスクに備え、保険による保証を提供いたします
    4. 60,280システム以上の診断実績
      幅広い業界での豊富な経験により、高い信頼性を確保
    5. わかりやすい報告書
      専門用語をなるべく避け、分かりやすく整理された報告書を提供し、改修のための情報を的確に伝える

    サービスご提供の流れ

    1. 初期相談:要件をヒアリングし、基点URLを基に診断の準備を開始。スケジュール確定が重視される
    2. 診断の実施:優先順位をつけて重要な部分から診断を行い、全体を効率よくカバー
    3. 報告書の提出:診断終了から2営業日以内に提出
    4. フォローアップ:報告書の内容についての質問対応を行い、次の対策につなげるサポートを実施

    まとめ

    サイバー攻撃の脅威が増す中、迅速かつ効果的な脆弱性診断は企業の存続に不可欠です。「SQAT® with Swift Delivery」は、スピーディーな診断と的確な情報提供により、企業のセキュリティ強化をサポートし、事業継続の安全性を確保するための理想的なサービスです。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    APIとは何か(2)~APIの脅威とリスク~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    APIセキュリティは、現代のビジネスにおいて不可欠な課題です。シリーズ第2回の今回は、APIを悪用した攻撃手法や、OWASP(Open Web Application Security Project)よりリリースされている「OWASP API Security Top 10」で取り上げられるリスクの詳細を解説します。インジェクション攻撃やDDoS攻撃、APIキーの悪用、アクセス制御に関する脆弱性など、主要な脅威を紹介しながら、APIが悪用された場合の影響について解説します。

    前回記事(シリーズ第1回)「APIとは何か~基本概念とセキュリティの重要性~」はこちら。

    APIとは~前回からの振り返り

    日頃からインターネットなどのネットワークを使用することが多い今日、現代における多くの企業はAPIに大きく依存しており、今やAPIは不可欠なものとなっています。Akamai社のレポート「The API Security Disconnect」によると、調査対象となった企業の約8割以上が2023年に行った調査において、「過去12か月以内にAPIセキュリティをより重視した」と回答しています。しかし、2022年~2024年で調査した回答者のうち、半数以上が、APIのセキュリティインシデントの影響により顧客の信頼を失い、さらにそこからほぼ半数は生産性の低下や従業員の信頼の低下にもつながったといいます。

    また、SNS事業者が提供するAndroid版アプリに存在した脆弱性が悪用された結果、膨大な量のアカウント情報が漏洩した事例*6も報告されています。これは攻撃者が大量の偽アカウントを使用し、様々な場所から大量のリクエストを送信し、個人情報(ユーザ名・電話番号)を照合するというものでした。

    APIが悪用されるとどうなるか

    APIが悪用された場合、多岐にわたる深刻な影響が生じます。特に、認証や認可の不備は深刻なセキュリティホールとなり得ます。攻撃者はこれらの脆弱性を悪用して不正アクセスを行い、機密データや個人情報を盗み出す恐れがあります。また、認可が適切に設定されていないと、本来は外部からアクセスできないはずのデータにまで侵入され、第三者からデータの改ざんや不正操作が可能となってしまいます。さらに、APIを標的にしたDDoS攻撃によりサービスがダウンし、正規ユーザが利用できなくなることで、企業の信用失墜や業務の中断といったダメージを引き起こします。これらの影響は、経済的損失だけでなく、法的問題やブランドイメージの毀損など、長期的な悪影響をもたらすため、APIのセキュリティ強化が不可欠です。

    APIを悪用した攻撃の事例はいくつか報告されていますが、いずれの攻撃も、「OWASP API Security Top 10」で挙げられている問題と関連性があります。

    OWASP API Security Top 10

    APIセキュリティについて、Webアプリケーションセキュリティに関する国際的コミュニティであるOWASPが、2023年6月に「OWASP API Security Top 10 2023」をリリースしています。APIセキュリティにおける10大リスクをピックアップして解説したものです。

    https://owasp.org/API-Security/editions/2023/en/0x11-t10/ より当社作成

    「OWASP API Security Top 10」上位のリスク

    特に上位5つの項目については、以下のような重大なリスクにつながるため、リリース前に十分な対策が施されていることを確認すべきです。

    • 不正アクセス
    • なりすまし
    • 情報漏洩
    • サービス運用妨害(DoS)

    主なセキュリティ脅威

    インジェクション攻撃

    インジェクション攻撃は、悪意のあるコードをAPIに挿入し、不正な操作を行う攻撃です。APIの入力データを検証せずに処理している場合、攻撃者にデータベースへのアクセスを許すリスクが生じます。特にSQLインジェクションやコマンドインジェクション攻撃が多く、攻撃を受けてしまった場合、データベースの情報漏洩やシステムの制御不備などの被害があります。

    認証およびセッション管理の不備の脆弱性を悪用

    APIの認証とセッション管理の不備を悪用することで、攻撃者は不正アクセスやなりすましを行います。パスワード強度が不十分な場合やトークンの管理が適切に行われていない場合、セッションハイジャックや不正に重要な情報を閲覧されることによってデータの漏洩が発生するリスクがあります。適切な認証管理およびセッション管理を行うことが重要です。

    DDoS攻撃

    DDoS攻撃は、複数のPCからアクセスされることによる膨大な量のリクエストをAPIに一斉に送り込むことで、システムのリソースを枯渇させ、サービスの提供を妨害する攻撃です。APIの特性上、処理を高速に行うために外部からのリクエストを許容する必要がありますが、その柔軟性が悪用されます。攻撃者はボットネットを利用し、大量のトラフィックを発生させてサーバのリソースを消費させます。これにより、顧客はサービスが利用できず、自組織においても業務に多大な影響を及ぼします。APIを保護するためには、トラフィックの監視やレート制限、WAF(Webアプリケーションファイアウォール)などのセキュリティ対策が重要です。

    APIキーの悪用

    APIキーは、APIへのアクセスを制御するために利用されますが、攻撃者に奪われると不正利用のリスクが生じます。盗まれたAPIキーは無制限のアクセスやサービスの悪用に使われる恐れがあります。安全な管理や無制限にアクセスができないように適切なアクセス制御を実施すること等が重要です。

    アクセス制御の不備による影響

    APIのアクセス制御の不備の脆弱性を悪用することで、攻撃者は許可されていないデータや機能にアクセスできます。適切な権限設定がされていない場合、データの漏洩や不正な操作の実行のリスクがあります。権限の設定など適切なアクセス制御が求められます。

    思わぬデータの公開や改ざん

    APIの設計や実装の不備により、データが意図せず公開・改ざんされるリスクがあります。適切な認証・認可がないと、攻撃者が内部の機密情報にアクセスすることが可能になります。例えば、本来ならシステム管理者のみがアクセスできる設定画面または顧客情報やシステムに関する情報などの重要情報が格納されている場所に攻撃者がアクセスできてしまった場合、システムの設定を変更されたり重要情報が奪取されたりする恐れがあります。また、過剰に情報を提供するAPIレスポンスや暗号化されていないデータ転送も、情報漏洩や改ざんの危険性を高めます。データ保護には、適切なアクセス制御と暗号化の実装が不可欠です。

    アカウント乗っ取り

    不正アクセスによってユーザアカウントが乗っ取られ、APIを悪用される可能性があります。一度アカウントが乗っ取られると、攻撃者は個人情報の閲覧や不正操作、さらには他のシステムへの攻撃拡大を図る可能性があります。多要素認証(MFA)の導入やAPIキーの適切な管理、ログイン試行の監視など、セキュリティ対策の強化が必要です。

    まとめ

    現代の企業にとってAPIによるアプリケーション連携は不可欠ですが、その悪用によるセキュリティリスクも増加しています。APIを悪用した攻撃の事例は、「OWASP API Security Top 10」に関連しています。主なセキュリティ脅威には、インジェクション攻撃、認証やセッション管理の不備、DDoS攻撃、APIキーの悪用、アクセス制御の脆弱性、不適切なデータ公開や改ざん、アカウント乗っ取りなどがあります。これらは重大なリスクを孕んでいるため不正アクセス、なりすまし、機密データの盗難を含む情報漏洩、データ改ざん、サービスのダウンによるサービス低下や業務への影響、ひいては企業の信用失墜といった深刻な結果を招きます。こうした被害を防ぐため、APIの設計段階から適切なセキュリティ対策を行い、監視やアクセス制御の強化が不可欠です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    あなたの情報は大丈夫?
    人気コーヒーショップのオンラインストアで約9万件の個人情報流出!事件から学ぶ情報セキュリティの重要性

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。本記事では、事件の内容と顧客への影響、そして企業がとるべきセキュリティ対策についてご紹介します。

    事件の概要

    2024年5月、大手コーヒーショップの公式オンラインストアで大規模な個人情報漏洩事件が発生しました。この事件により、約9万2685件の個人情報と5万2958件のクレジットカード情報が漏洩した可能性が明らかになりました。

    事件の経緯

    • 2024年5月20日:警視庁からの連絡により事態を認識、オンラインストアでのクレジットカード決済を停止
    • 5月23日:オンラインストアを一時閉鎖
    • 5月30日:不正アクセスによるシステム侵害を公表

    この事件は、2020年10月1日から2024年5月23日までの期間に会員登録したユーザーに影響を及ぼしました。特に、2021年7月20日から2024年5月20日までの間にクレジットカード決済を利用した顧客のカード情報が漏洩の対象となっています。重要なのは、この漏洩が公式オンラインストアに限定されており、楽天市場や公式アプリでの購入には影響がないことです。

    漏洩した情報の詳細

    今回の事件で漏洩した可能性のある情報は、以下の通りです。

    個人情報

    • 氏名
    • 住所
    • 電話番号
    • 性別
    • 生年月日
    • メールアドレス
    • ログインID
    • ログインパスワード
    • 配送先情報

    クレジットカード情報

    • クレジットカード番号
    • カード名義人名
    • 有効期限
    • セキュリティコード(CVV/CVC)

    特に注目すべきは、クレジットカードのセキュリティコードが漏洩している点です。セキュリティコードは通常、オンライン決済の際に使用される3桁または4桁の数字で、カード裏面に記載されています。この情報が漏洩すると、不正利用のリスクが大幅に高まります。一般的に、PCI DSS(Payment Card Industry Data Security Standard)という国際的なセキュリティ基準では、セキュリティコードを保存することは禁止されています。そのため、公式オンラインストアがこの情報を保存していた事実自体が、セキュリティ管理の甘さを示しているといえるでしょう。

    影響を受けた顧客数

    この事件で影響を受けた顧客数は以下の通りです。

    個人情報漏洩

    約9万2685人 対象期間:2020年10月1日~2024年5月23日に会員登録した顧客

    クレジットカード情報漏洩

    約5万2958人 対象期間:2021年7月20日~2024年5月20日にクレジットカード決済を利用した顧客

    この数字は、公式オンラインストアの利用者の大部分を占めると考えられます。特に、クレジットカード情報の漏洩は深刻な問題で、不正利用による金銭的被害のリスクが高まっています。

    漏洩の原因と手口

    今回の情報漏洩の主な原因は、公式オンラインストアのシステムに対する不正アクセスです。攻撃者はシステムの脆弱性を突き、特にペイメントアプリケーションを改ざんすることで情報を盗み取りました。使用された手口は「Webスキミング」と呼ばれるもので、以下のような手順で実行されます。

    1. 攻撃者がウェブサイトのコードに不正なスクリプトを埋め込む
    2. ユーザーがフォームに入力した情報(クレジットカード情報など)が攻撃者のサーバーに送信される
    3. 正規の決済処理と並行して、情報が盗まれる

    この手法の危険性は、ユーザー側では異常を検知しにくい点にあります。正規のウェブサイトを利用しているように見えるため、被害に気付くのが遅れる可能性が高くなります。

    Webスキミング攻撃は近年増加傾向にあり、2018年から2019年にかけて大手通販サイトBritish Airwaysが同様の攻撃を受け、約38万人の顧客情報が漏洩する事件が発生しています。このような攻撃を防ぐためには、以下のようなセキュリティ対策を実施することが必要になります。

    • 定期的なセキュリティ監査の実施
    • ウェブアプリケーションファイアウォール(WAF)の導入
    • コンテンツセキュリティポリシー(CSP)の適切な設定
    • 従業員に対するセキュリティ教育の徹底

    今回の事件のケースでは、これらの対策が十分でなかった可能性が高いといえるでしょう。

    対応と今後の対策

    事態の発覚後、企業は迅速な対応をとりました。

    • オンラインストアの一時閉鎖
    • クレジットカード決済の停止
    • 影響を受けた顧客への個別連絡
    • クレジットカード会社との連携による不正利用の監視
    • 第三者調査機関によるフォレンジック調査の実施

    また今後の対策として、以下の取り組みを行う方針を示しています。

    • システムの脆弱性の完全修正
    • 定期的なセキュリティ監査の実施
    • リアルタイム監視システムの導入
    • 従業員に対するセキュリティ教育の強化
    • 外部専門家によるセキュリティ診断の定期実施

    特に重要なのは、PCI DSSへの準拠です。これにより、クレジットカード情報の取り扱いに関する国際的な基準を満たすことができます。また、今回の事件について、企業は顧客とのコミュニケーションを重視し、説明動画の公開や定期的な情報更新を行っています。この透明性の高い対応は、信頼回復に向けた重要なステップといえるでしょう。

    関連記事

    SQAT.jpではPCI DSS準拠について、以下の記事で紹介しています。ぜひあわせて
    PCI DSSとは ―12の要件一覧とPCI DSS準拠―

    顧客がとるべき対策

    公式オンラインストアを利用した顧客は、以下の対策をとることが推奨されます。

    • クレジットカードの利用明細を定期的に確認し、不審な取引がないか注意する
    • 不審な取引を発見した場合は、直ちにクレジットカード会社に連絡する
    • 公式オンラインストアで使用したパスワードを他のサービスでも使用している場合は、速やかに変更する
    • 不審なメールや電話に注意し、個人情報の追加提供を求められても応じない
    • クレジットカード会社が提供する不正利用補償サービスの内容を確認し、必要に応じて利用する

    また今後、オンラインショッピングを利用する上では以下の点に注意することが重要です。

    • 信頼できるサイトでのみ買い物をする
    • クレジットカード情報を入力する際は、URLが「https」で始まっていることを確認する(=暗号化通信の導入)
    • 公共のWi-Fiでのオンラインショッピングは避ける
    • 異なるサービスごとに別々のパスワードを使用する
    • 二段階認証が利用可能な場合は積極的に活用する

    情報セキュリティの重要性

    今回の事例は、企業における情報セキュリティの重要性を改めて浮き彫りにしました。今後企業は以下のような点を考慮し、常にセキュリティ対策を見直し、強化していく必要があるでしょう。

    継続的なセキュリティ対策の実施

    一度だけの対策では不十分で、常に最新の脅威に対応できる体制が必要です。

    従業員教育の徹底

    技術的対策だけでなく、人的要因によるセキュリティリスクも軽減する必要があります。

    インシデント対応計画の策定

    事件発生時に迅速かつ適切に対応できるよう、事前に計画を立てておくことが重要です。
    外部専門家の活用自社だけでなく、専門知識を持つ外部の目を通してセキュリティを評価することが有効です。

    法令遵守の徹底

    個人情報保護法やPCI DSSなど、関連する法令や基準を厳守する必要があります。

    まとめ

    今回の大手コーヒーショップの公式オンラインストアにおける個人情報漏洩事件は、現代のデジタル社会が直面するセキュリティリスクを如実に示しています。約9万人以上の顧客情報が漏洩し、そのうち5万人以上のクレジットカード情報も危険にさらされました。事件の主な原因は、Webスキミングと呼ばれる攻撃手法によるものでした。企業はシステムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされる結果となりました。事態発覚後、企業は迅速な対応を取り、オンラインストアの一時閉鎖やクレジットカード決済の停止、影響を受けた顧客への個別連絡などを行いました。今後は、システムの脆弱性修正や定期的なセキュリティ監査など、再発防止に向けた取り組みを強化する方針です。顧客側も、クレジットカードの利用明細の確認や不審な取引への警戒など、自己防衛策を講じる必要があります。また、オンラインショッピング全般において、セキュリティ意識を高めることが重要です。この事件は、企業における情報セキュリティの重要性を改めて認識させるものとなりました。継続的なセキュリティ対策の実施、従業員教育の徹底、インシデント対応計画の策定など、包括的なアプローチが求められています。デジタル化が進む現代社会において、個人情報の保護は企業の重要な責務です。今回の事例を教訓に、企業はセキュリティ対策を強化し、顧客の信頼を守り続けることが求められています。同時に、利用者側もセキュリティ意識を高め、自己防衛策を講じることが大切です。官民一体となったサイバーセキュリティの向上が、安全なデジタル社会の実現につながります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    BBSecでは

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    SQAT® 脆弱性診断サービス

    サイバー攻撃に対する備えとして、BBSecが提供する、SQAT脆弱性診断サービスでは、攻撃者の侵入を許す脆弱性の存在が見逃されていないかどうかを定期的に確認することができます。自組織の状態を知り、適切な脆弱性対策をすることが重要です。

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    脆弱性診断は受けたけれど~脆弱性管理入門

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ~とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り~

    脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

    インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

    インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの?」

    「あと、VPNとスイッチ、どっちを先に作業したほうがいいの?パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

    Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

    答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

    Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

    開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか?あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか?」

    開発部のほかの人にもこんなことをいわれてしまいます。

    開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか?」

    Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。

    ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

    パッチ適用の優先順位をつけるための3つの要素

    1. 脆弱性を持つアセットが置かれている環境
      ・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
      ・CVSSでいう環境スコア(CVSS-E)の攻撃区分(MAV)にあたる、実際の環境依存の要素
    2. アセットが攻撃を受けた場合に事業継続性に与える影響
    3. アセットが攻撃を受けた場合に社会や社内(運用保守・人材)に与える影響

    冒頭のA社のケースでは以下のように整理できるでしょう。

    アセットが置かれている環境

    • VPN:インターネット上で公開された状態
    • データベース:設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
    • スイッチ:設置環境によって制御されたネットワーク内かローカル環境になる。

    アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN=データベース>スイッチの順になると考えられるでしょう。

    アセットが攻撃を受けた場合に事業継続性に与える影響

    アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
    仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース>VPN>スイッチの順になると考えられます。

    今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

    アセットが攻撃を受けた場合に社会や社内に対して与える影響

    A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

    • 顧客情報の漏洩
    • 運用およびシステムの復旧にかかる費用と工数

    このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース>VPN=スイッチと考えられるでしょう。

    SSVCとは

    こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC(Stakeholder-Specific Vulnerability Categorization)」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

    SSVCの3つのモデル

    1. ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model
    2. ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model
    3. CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model

    このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ(対応優先度)付けの結果を4つにわけています。

    SSVCで得られるプライオリティ付けの結果

    Deployer ModelSupplier Model
    Immediateすべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである全社的にすべてのリソースを投入して修正パッチを開発し、リリース
    Out-of-cycle定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
    Scheduled定期的なメンテナンスウィンドウで適用通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
    Defer現時点で特に行うことはない現時点で特に行うことはない

    ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

    まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与(少なくとも承認)が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん1人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

    脆弱性が持つ要素

    自動化の可能性

    攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

    悪用の状況

    実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

    まとめ ~CVSSとSSVCの活用~

    これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

    脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない!」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

    参考情報:

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-

    • 最新情報はこちら

    Youtubeチャンネルのご案内

    SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    長期休暇中のセキュリティ対策
    ―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃:増加傾向と対策―

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    「長期休暇休暇中のセキュリティ対策」アイキャッチ画像

    長期休暇(前・中・後)に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。

    長期休暇中にサイバー攻撃が増えやすい理由

    長期休暇、特に年末年始やゴールデンウィーク、お盆休み、シルバーウイークなど、大型連休中にはサイバー攻撃が増加する傾向にあります*2。これは以下の理由によるものです。

    • 企業のセキュリティ体制が手薄になる

    • 個人ユーザによるオンラインショッピング利用やSNS投稿が増える

    • 攻撃者が休暇中のユーザの油断を狙う

    主なサイバー攻撃タイプ

    長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。

    • フィッシング攻撃
      個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。

    • ランサムウェア攻撃
      企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。

    • DDoS攻撃
      オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。

    参考:解説動画 アナリストが語る「今月のセキュリティトピック」2024年7月版
    攻撃・インシデント関連(再生時間:13:23)
    「国内大手出版グループに大規模サイバー攻撃」

    Youtubeチャンネルのご案内

    SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。

    地域別の傾向

    サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。

    北米やヨーロッパ:クリスマスシーズンに攻撃が増加
    アジア:旧正月期間中に攻撃が増加
    日本:ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始

    産業別の影響

    長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。

    小売業:オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
    金融サービス:年末の取引増加期に狙われやすい
    旅行・観光業:休暇予約情報を狙った攻撃が増加

    長期休暇(前・中・後)の対策

    長期休暇前

    • 緊急連絡体制の確認をする
      委託先企業を含めた緊急連絡体制や対応手順を確認します。

    • 機器接続ルールを確認する
      社内ネットワークへの機器接続ルールを確認し、遵守します。

    • 使用しない機器の電源OFFにする
      長期休暇中に使用しないサーバ等の機器は電源をオフにします。

    • データのバックアップをとる
       重要データのバックアップを行い、ランサムウェア攻撃に備えます。

    • セキュリティソフトを更新する
      セキュリティソフトの定義ファイルを最新の状態に更新します。

    長期休暇中

    • 持ち出した機器やデータの管理
      自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。

    • SNS投稿の定期的に確認する
      行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。

    • 偽のセキュリティ警告の表示の確認
      ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。

    • 不審なメールやURLが届いていないかどうか確認する
      メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意します。

    長期休暇明け

    • 修正プログラムを適用する
      長期休暇中に公開された修正プログラムを適用します。

    • 定義ファイルを最新の状態に更新する
      セキュリティソフトの定義ファイルを最新の状態に更新します。

    • ウイルスチェックを実施する
      持ち出していた機器等のウイルスチェックを行います。

    • 不審なメールが届いていないかどうか確認する
      長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。

    企業のリスク管理

    企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。

    • 緊急連絡体制の確認
      委託先企業を含めた緊急連絡体制や対応手順を確認します。

    • サーバやネットワーク機器の脆弱性対策
      自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。

    • アカウント管理
      アカウントのアクセス権限を確認し、不要なアカウントを削除します。

    • 従業員への周知
      パスワードの強化、管理の徹底を従業員に周知徹底します。

    個人の注意点

    個人が長期休暇中に注意すべき点は以下の通りです。

    • SNS投稿
      行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。

    • 偽のセキュリティ警告
      ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。

    • パソコンの初期化
      ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。

    • フィッシングサイト対策
      フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。

    長期休暇中のサイバー攻撃に備えるために

    長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。

    関連リンク

    独立行政法人情報処理推進機構(IPA)「長期休暇における情報セキュリティ対策

    ランサムウェア感染リスク可視化サービス デモ動画

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~

  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –

  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    投稿日:

    被害事例から学ぶサイバー攻撃対策
    -サイバー攻撃への対策2-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    自分の会社がもしもサイバー攻撃を受けてしまった場合、どのような影響があるのか?もし被害に遭ってしまったら、まずどうすればよいのか?今回の記事では、サイバー攻撃の被害事例に着目し、どのような影響やリスクがあるのかについて解説する。

    サイバー攻撃を受けるとどうなる?

    サイバー攻撃を受けてしまうと、情報漏洩、システム停止・事業継続リスク、信用失墜、金銭的損失・経済的影響といった様々なリスクに晒されます。

    情報漏洩リスク

    情報漏洩とは、企業や組織が管理する重要な情報が、意図せず外部に流出してしまうことです。クレジットカード情報や個人情報などの機密データが盗まれ不正使用された場合、個人情報保護法違反に該当し、企業の信頼を損ない、経済的な損失や法的な問題を引き起こす可能性があります。

    サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調査によれば、2023年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは175社、漏洩した個人情報は約4,090万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2023年は社数では過去2番目、事故・事件の件数は2012年以降の12年間で過去最多を更新しました。

    東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査画像
    出典:東京商工リサーチ 2023年「上場企業の個人情報漏えい・紛失事故」調査

    関連リンク:「情報漏えいの原因と予防するための対策

    金銭的損失・経済影響

    機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。データ侵害によりかかる世界平均コストも増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。

    IBM「2023年「データ侵害のコストに関する調査」画像
    出典:IBM「2023年「データ侵害のコストに関する調査」

    システム停止・事業継続リスク

    システム停止・事業継続リスクとは、サイバー攻撃によって企業・組織の業務システムが停止したり、サービスが利用できなくなったりすることで、事業継続が困難になるリスクを指します。システムが停止すると、業務プロセスやサービス提供が滞り、顧客に影響を及ぼす可能性があります。さらに顧客の個人情報情報漏洩やデータ損失が発生すると、企業の信頼性が損なわれる恐れもあります。

    ランサムウェア被害にあってしまった場合のリスク

    ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭(身代金)を要求するものの総称です。

    ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。ランサムウェア攻撃の対象がクライアント(従来のランサムウェア攻撃の対象)から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

    関連記事:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

    信用失墜リスク

    信用失墜リスクは、企業がサイバー攻撃によりブランドイメージが損なわれ、信頼性が失われる可能性のことを指します。もしも顧客データが漏洩した場合、顧客からの信頼を損なうだけでなく、将来的に新たなビジネスチャンスを逸することにもつながります。さらに、パートナーとの信頼関係を取り戻すのに時間がかかることも、信用失墜リスクの一環として考慮する必要があります。

    日本国内で発生したサイバー攻撃の事例

    Log4Shellは、Javaのログ処理ライブラリApache Log4j2に見つかったリモートコード実行の脆弱性*2です。攻撃者は攻撃文字列を送り、脆弱性のあるLog4j2のシステム上で任意のコードを実行させます。脆弱性を悪用した攻撃は2021年12月、日本でも確認されました。

    Log4Shellの脆弱性を悪用したランサムウェア「NightSky」による攻撃も確認されました。2022年1月、国内ITサービス企業がランサムウェア「Night Sky」によるサイバー攻撃を受けました*2。攻撃者は2021年10月から侵入を開始し、12月31日にランサムウェアを使用し社内のファイルを暗号化しました。感染させたことで、社内システムの情報が流出し、一部はインターネット上で公開されました。この攻撃により、同企業は一部業務の復旧に数日を要し、セキュリティ強化策を講じました。

    マルウェア「Emotet」による攻撃

    Emotetはメールアカウントやパスワード、アドレス帳、メール本文といった情報窃取と、感染拡大を引き起こすマルウェアです。感染したシステムは、Emotetギャングらに情報を盗まれるばかりか、さらに悪質なプログラムをインストールされる恐れがあります。Emotetは、メールを介したマルウェア感染で知られ、添付ファイルやリンクを通じてシステムに侵入します。

    <IPAに寄せられたメール被害事例>

    ・docファイル添付型
    ・URL記載型
    ・zipファイル添付型
    ・PDF閲覧ソフトの偽装
    ・ショートカットの悪用
    ・Excelファイルの悪用

    参考:https://www.ipa.go.jp/security/emotet/situation/index.html

    また、警察庁の解析によると、EmotetはGoogle Chromeに保存されたクレジットカード情報を盗み出す新機能が追加されました。この機能は、Chromeに暗号化されて保存されたクレジットカード番号、名義人氏名、有効期限を外部に送信します。Emotetはこれに加えて、情報を復号するための鍵も盗むため、感染した場合、クレジットカード情報が第三者に漏洩する危険があります。

    https://www.npa.go.jp/bureau/cyber/koho/detect/20201211.html

    サプライチェーン攻撃の脆弱性を悪用した攻撃

    2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました*3この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

    ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫(いわゆる「二重脅迫」)も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

    国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター(NISC)を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

    病院を狙ったランサムウェア攻撃

    【医療機関を狙ったランサムウェアによる被害事例】
    年月 地域 被害概要
    2021/5 大阪府 医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*4
    2021/10 徳島県 電子カルテを含む病院内のデータが使用(閲覧)不能となった*5
    2022/1 愛知県 電子カルテが使用(閲覧)できなくなり、バックアップデータも使用不能な状態となった*6
    2022/4 大阪府 院内の電子カルテが一時的に使用(閲覧)不能となった
    2022/5 岐阜県 電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*7
    2022/6 徳島県 電子カルテおよび院内LANシステムが使用不能となった*8
    2022/10 静岡県 電子カルテシステムが使用不能となった*9
    2022/10 大阪府 電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用(閲覧)不能となった*10

    2023年に影響の大きかったサイバーセキュリティ脅威

    「情報セキュリティ10大脅威 2024」

    2024年1月24日、独立行政法人情報処理推進機構(IPA)は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。

    注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」イメージ
    出典:独立行政法人情報処理推進機構(IPA)
    情報セキュリティ10大脅威 2024」(2024年1月24日)組織向け脅威

    サイバーセキュリティ対策の必要性

    セキュリティ対策がなぜ必要か?

    事業活動・日常生活にかかせないIT環境では様々な個人情報や機密情報等が保管・やりとりされており、業界問わず、あらゆる組織・企業がサイバー攻撃の脅威にさらされています。万が一サイバー攻撃を受けた場合、顧客情報の漏えいやシステムの停止による経済損失、コストの発生など様々な被害・影響があります。日本でも経済産業省などからサイバーセキュリティ対策の強化について注意喚起*11が出されています。リスクを少しでも低減するために組織でセキュリティ対策を実施することが求められます。

    サイバーセキュリティ対策が必要な理由は、情報技術の進化に伴い保護すべき情報量が増加し、サイバー攻撃が高度化しているからです。サイバー攻撃は、データの取得、改ざん、破壊を目的とし、企業や個人に甚大な損害を与える可能性があります。企業では、紙の文書だけでなく、デジタルデータも徹底して保護する必要があります。一度情報漏洩が起こると、信用問題や多額の損害賠償に繋がる可能性があるため、適切なセキュリティ対策を講じることが重要です。

    まとめ

    サイバー攻撃は企業や組織にとって深刻なリスクをもたらし、情報漏洩、システム停止、事業継続の困難、信用失墜、金銭的損失や経済的影響などを引き起こします。情報漏洩では、クレジットカード情報や個人情報などの機密データが外部に流出し、企業の信頼を損なうと共に経済的損失や法的問題を引き起こすことがあります。またサイバー攻撃による業務システムの停止は、業務プロセスやサービス提供に大きな影響を与え、システム停止や事業継続のリスクを高めます。さらに、サプライチェーン攻撃や医療機関を狙ったランサムウェア攻撃など、特定の業界を狙った攻撃も報告されており、これらは企業や組織に深刻なダメージを与える可能性があります。

    サイバー攻撃に備えるためには、組織でセキュリティ対策の実施に取り組むことが重要です。適切なセキュリティ対策を講じることで、リスクを低減し、情報漏洩やその他の被害を防ぐことが可能です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像