APT攻撃・ランサムウェア
―2021年のサイバー脅威に備えを―

Share

2021年の半分が終わりましたが、世界に衝撃を与えたセキュリティに関するトピックスと言えば、「APT攻撃」と「ランサムウェア」の二つが該当するでしょう。本記事ではこの二つのキーワードについて最新の攻撃事例をまとめてご紹介。被害を抑えるために有効な対策の考え方のポイントを解説していきます。

サイバー攻撃の種類

まず、意味を混同されがちな「フィッシング」「標的型攻撃」「APT攻撃」「ランサムウェア」という4つの攻撃についておさらいしましょう。また、過去記事の「サイバー攻撃を行う5つの主体と5つの目的」にも表を掲載しておりますので、あわせてご参照ください。

キーワード概要
フィッシング偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
標的型攻撃特定のターゲットに的を絞り、実行されるサイバー攻撃
APT攻撃Advanced Persistent Threatの略。日本語では持続的標的型攻撃などと訳される。長い時間をかけて準備され、継続して行われる非常に高度な攻撃で、発覚に数年かかることもある
ランサムウェアファイルを暗号化することで、元に戻す復号化のための身代金を要求するマルウェア(悪質なソフトウェア)

こうしたサイバー攻撃は以前からありましたが、従来無差別に行われていたフィッシングはスピアフィッシングという高度にカスタマイズされた標的型の手法が展開されたり、ランサムウェアもばらまき型から標的型へシフトしたりするなど、近年は明確な目的を持った標的型の攻撃が増加傾向にあります。その中でも、2020年以降、特に取り沙汰されることが多くなったのが「APT攻撃」と「ランサムウェア」の二つです。

「APT攻撃」と「ランサムウェア」

脅威① APT攻撃

「APT攻撃」の最も大きなトピックスとしては2020年12月に起きたSolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*1があります。このサイバー攻撃については2021年6月現在でも収束に向けた努力が続けられており、先日もアメリカの政府機関が、ロシア対外情報庁(SVR)が支援する攻撃グループ、「APT29」の関与を発表*2するなどの進展を見せています。

下表は最近報告されたAPT攻撃事例の一部をまとめたものです。

APT攻撃の報告事例(2020年12月~2021年4月)
発表時期関連が疑われる攻撃者概要
2020年12月APT29およびロシア対外情報庁SolarWinds社のOrion Platformへの攻撃に端を発したサプライチェーン攻撃。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えた。
2020年12月TA453Charming Kittenなどとも呼ばれる攻撃グループによる、米国やイスラエルの医療専門家を標的にしたフィッシング攻撃*3。12月に確認されたキャンペーンは「BadBlood」という名称で知られている。
2021年1月APT34イランが関与しているとされるグループ「APT34」が偽の求人情報を用いてバックドアの新たな亜種を設置する攻撃*4を実施。
2021年3月APT10およびBlackTech日本の製造業を狙う攻撃キャンペーン「A41APT」が2019年~2020年に観測された*5。攻撃にはマルチレイヤーローダー「Ecipekac」が用いられた。
2021年3月中国政府が支援しているとされるAPTグループ米国、欧州、および東南アジアの主要通信企業をターゲットに5G技術に関連する情報を盗み取ることを目的とした攻撃*6。「オペレーション Diànxùn」と名付けられたスパイキャンペーン。
2021年4月未発表Fortinet社のネットワーク製品に組み込まれたFortiOSを狙った攻撃*7
2021年4月Tickおよび中国軍「61419部隊」JAXA(宇宙航空研究開発機構)へのサイバー攻撃および、国内約200の企業への攻撃に関与していると警察庁長官が発表*8した。

APT攻撃を行うグループは、国家規模の支援を受けるグループが多く、その手口も洗練されており、攻撃を受けたとしても気づけず、発覚までに時間がかかることもあるのが特徴の一つです。彼らの多くは、国家的利益や、標的国家に損害を与えることを目的としていますが、少数派ながら金銭目的で活動するグループも存在します。

こうしたグループの場合は、金融機関などを狙うこともあります。彼らは入念に情報を収集し、得た情報を用いてネットワーク上のみならず、人的あるいは物理的な攻撃手段までをも検討し、綿密な攻撃計画を立てたうえで攻撃を行います。そして攻撃を成功させたなら、攻撃が露見しないようにひそやかに活動を続け、長期にわたって被害組織から情報を窃取するなどの攻撃を続けます。彼らは自分たちが攻撃した痕跡を消してしまうこともあるため、一度攻撃を受ければどれだけの期間、どれだけの影響範囲で攻撃を受けていたのかを突き止めるのは困難となります。加えて、APT攻撃グループは入念な情報収集から、標的組織の脆弱な部分を割り出して狙うことが多く、その特性からサプライチェーン攻撃となることもあります。

例えば、特定の複数の金融機関をターゲットとしたものの、セキュリティ対策が強固であったために直接的な攻撃が困難なケースを想定します。しかし、情報収集の段階でそれら金融機関が共通の管理ソフトウェアを使用していることが判明したため、当該ソフトウェアの提供元を攻撃し、ソフトウェアアップデートを改竄することで、標的の金融機関を一斉にマルウェア感染させる、といったサプライチェーン攻撃が実行可能となります。

脅威② ランサムウェア

一方、「ランサムウェア」についてはアメリカの大手石油パイプライン運営企業のColonial Pipeline社が、ランサムウェアによるサイバー攻撃を受け*9、5日にわたってシステムを停止することになった事件がありました。その結果、ガソリンを求める市民がガソリンスタンドに押し寄る事態に発展し、米運輸省は混乱鎮静のために燃料輸送に関する緊急措置導入を発表*10するなどして対応しました。こうしたことからも、社会インフラを襲ったこのサイバー攻撃の影響度をはかることができます。

ランサムウェア攻撃の報告事例(2020年12月~2021年6月)
時期 被害組織 ランサムウェア 概要
2020年12月
2021年1月
教育機関や
通信企業等
Cl0p ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェア*11。攻撃グループは、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させた。
2021年3月 広範囲に及ぶ DearCry 「WannaCry」に類似したランサムウェアでMicrosoft Exchange Serverの脆弱性を悪用する*12
2021年5月 Colonial Pipeline DARKSIDE 攻撃されたことによってシステムが5日間停止した。同社は東海岸へのガソリン、ディーゼル、ジェット燃料の大部分を担っており大きな問題となった。
2021年5月 アメリカ国内の医療機関や警察、自治体 Conti FBIが昨年1年間でアメリカ国内の医療機関や警察、自治体を標的としたContiによるランサムウェア攻撃を少なくとも16件確認したと発表*13している。
2021年6月 JBS REvil ブラジルの食肉加工大手企業JBSのアメリカ部門が攻撃*14された。アメリカやオーストラリアの食肉工場の操業が停止になった。
2021年6月 国内精密化学企業 未発表 同社は6月1日夜に不正アクセスを認識し、2日にランサムウェアによる攻撃であると発表*15した。


ランサムウェアは、その存在自体は前世紀から存在しており、猛威を振るうようになったのは2005年以降ですが、ここ数年で大きく変化しています。2021年現在の主流となっているランサムウェアの特徴の一つがRaaS(Ransomware-as-a-Service)であることです。

これは、ランサムウェアがダークウェブ上で利用できるサービスとして提供されているというものです。RaaSの中には、身代金要求額の算定や、標的選定の支援、提供する開発グループからカスタマーサービスを受けられるものすらあります。RaaSを利用する攻撃者は、得た身代金の何割かを開発者に取り分として渡すことになっている場合もあり、ランサムウェアがビジネスとしてサービス化されています。こうしたサービスの登場により、高度な技術的知識がなくても攻撃者がランサムウェアを扱えるようになり、ランサムウェアビジネスに参入する攻撃者が増加しているとみられています。

また、ダークウェブ上にアップローダーを持つことがトレンドとなっている点も大きな変化です。これは従来のようにただ脅迫するのではなく、攻撃した企業から窃取した情報の一部を用意したアップローダーに公開することで、「身代金の支払いをしなければ、情報を漏えいさせる」と脅し、身代金要求の圧力を強める役割を持っています。こうしたランサムウェアは「二重脅迫型」と呼ばれています。また、「身代金要求に応じなければさらにDDoS攻撃を行う」といった脅迫をするケースも現れており、こうしたものも含めて「他重脅迫型」とも呼ばれることもあります。

現在のランサムウェアは、犯罪ビジネスとして洗練されてきており、今後も攻撃は拡大すると予測されます。

「APT攻撃」と「ランサムウェア」の共通点

国家規模の支援を受けて行われるAPT攻撃と、金銭目的で行われるランサムウェアに、共通点は少ないように思えます。しかし、2021年現在、両者には非常に大きな共通点がみられます。それは資金的・人的リソースが豊富で、高度で洗練された攻撃手法を確立しているという点です。

ランサムウェア市場はRaaSによって参入障壁が下がったこともあり、これまで別の犯罪ビジネスを行っていた組織が参入していると考えられ、また高額な身代金要求によって、豊富な資金が攻撃者の手にわたっています。資金と人的リソースが確保できたことで、ランサムウェア攻撃はさらに高度化が進み、従来の単純な攻撃モデルから、今やAPT攻撃に近しいレベルにまで洗練させたビジネスモデルへと変貌を遂げています。特定の組織や企業を標的としたランサムウェア攻撃の脅威はAPT攻撃に匹敵するものとなっており、より一層の警戒が必要です。

APT攻撃・ランサムウェアに有効な対策

APT攻撃にせよ、ランサムウェアにせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは2つあります。

① 「攻撃・侵入される前提」で取り組む
 こちらについては、「拡大・高度化する標的型攻撃に有効な対策とは
―2020年夏版
」にある「侵入」「侵入後」の対策の確認方法もあわせてご覧ください。

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

②侵入を前提とした多層防御が重要
 あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。こちらについては、「高まるAPT攻撃の脅威」もあわせてご覧ください。

・標的型攻撃メール訓練等による社員のセキュリティ
・教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
・情報資産の棚卸

今年は1年延期されていた東京オリンピック/パラリンピックの開催が予定されています。こうした世界的イベントはサイバー攻撃の恰好の標的であり、攻撃者にとっては準備期間が1年余分に確保できていたことにもなります。セキュリティ対策が不十分な組織は、7月から8月にかけて発生が予想される様々なサイバー攻撃に対して脆弱となり得る可能性があります。攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。

参考情報:
https://www.jpcert.or.jp/research/apt-guide.html
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html


BBSecでは

当社では以下のようなご支援が可能です。

<侵入前・侵入後の対策の有効性確認>

<APT攻撃・ランサムウェアのリスクを可視化>+
<資産管理>

<セキュリティ教育>

標的型攻撃メール訓練

Security Report TOPに戻る
TOP-更新情報に戻る

「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

「お問い合わせはこちら」ボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


SQATセキュリティ診断サービスの告知画像

BBSecロゴ

リクルートページtop画像

セキュリティトピックス告知画像

中小企業がサイバー攻撃の標的に!
Webサイトのセキュリティ対策の重要性
―個人情報保護法改正のポイント―

Share
PCのイラストとプロテクトマーク

2022年(令和4年)4月1日に改正個人情報保護法(令和2年改正法)の全面施行が予定されています。いま、攻撃者にとって格好のターゲットとなるWebサイトを狙ったサイバー攻撃は、大企業のみならず中小企業も狙われており、サイバーセキュリティに対する意識が低いなどセキュリティ課題が明らかになっています。本記事では、個人情報保護法改正の全面施行に向け、改正点を解説し、最新のサイバー攻撃の種類と手口、セキュリティ対策を改めて整理します。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べ*3によれば、2020年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは88社、漏洩した個人情報は約2,515万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2020年は社数では最多、事故・事件の件数は2013年に次いで過去2番目に多い水準となっています。

出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査(2020年)

改正個人情報保護法への対応

個人情報の保護においては、2022年(令和4年)4月1日に改正個人情報保護法(令和2年改正法)の全面施行が予定されています。また海外でも法の整備が進んでおり、日本企業と関連性の深いところでは、例えば8月にブラジル個人情報保護法(LGPD)、2022年6月頃にタイ個人情報保護法(PDPA)の施行があります。多くの組織にとって、自組織やサプライチェーン内の関係組織かを問わず、国内外における個人情報保護体制の整備・見直しが必要であり、改正個人情報保護法への対応は重要課題の一つといえるでしょう。

個人情報保護法改正のポイント

個人情報保護法の主な改正点は以下のとおりです。

また、これら以外ではデータの利活用が促進されることもポイントです。この観点からは「仮名加工情報」について事業者の義務が緩和されることと、情報の提供先で個人情報となることが想定される場合の確認が義務化されることが定められました。企業のWebサイトでは利用者の閲覧履歴を記録する仕組みとしてCookieを使用し、デジタルマーケティング等に活用しているところも多いでしょう。Cookieにより取得されるデータは他の情報と照合するなどして個人の特定につながり得るため、保護を強化する声が高まっていたこともあり、改正個人情報保護法では取り扱いに慎重を期するよう求めています。

中小企業を狙ったサイバー攻撃

Cookieのみならず、Webサイトでは個人情報や決済情報など、様々な機密扱いの重要情報を取り扱っていることがあります。それらが漏洩する事故・事件が発生した場合、組織は金銭的損失や信用失墜に陥るだけでなく、個人情報の所有者(本人)から利用停止・消去請求があった場合には「情報資産」も失う可能性があります。

サイバー攻撃においてWebサイトが格好のターゲットであることはご存知のことでしょう。また、攻撃者に狙われるのは大企業ばかりではありません。経済産業省からの報告資料*4によれば、全国の中小企業もサイバー攻撃を受けていることが明らかになっています。というのも、中小企業の多くは大企業に比べてサイバーセキュリティに対する意識が低く、被害者になると考えていないことから攻撃を受けていること自体に気付いていなかったり、セキュリティに対する知識や対策に必要な資源が不十分であるために原因の特定や対策の実施が困難だったりするためです。

独立行政法人 情報処理推進機構(IPA)が2021年3月に公開した「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」では、小規模Webサイトの運営およびセキュリティ対策、さらには脆弱性対策の実態を調査したアンケート結果とそれに対する見解が述べられています。

IPAが調査の中で、サイバー攻撃の対象となり得る、脆弱性を作りこむ可能性があるWebサイトの機能・画面を選定し、それらが実装されているかを確認したところ、「ユーザによるフォームの入力(問合せ、掲示板等を含む)」が56.5%、「サイト内の検索と結果表示」が36.9%、「ユーザへのメール自動送信」が36.9%、「入力された情報の確認のための表示」が34.6%で上位を占めました。なお、これらはWebサイトの規模の大小にかかわらず多くのWebサイトに共通して実装されている機能・画面であり、当社の脆弱性診断でも検査の対象となっているものです。

Webサイトのセキュリティ対策において、脆弱性を可能な限り作りこまない設計となっているか、脆弱性を発見するための情報収集や検査は実施しているか、対応するための体制や仕組みはあるか、といった事柄はとても重要になります。

中小企業がより危険視されているのは、こうした事柄を実現するための「人員が足りない」「予算が確保できない」といった課題(下図参照)があり、さらにセキュリティ対策に関する知識不足や、意識の甘さがあることからサイバー攻撃のターゲットになりやすいことが理由に挙げられます。また、脆弱性に関する知識についても、情報漏洩につながる危険性のある「SQLインジェクション」や「OSコマンドインジェクション」等について具体的な内容を知らないという回答が約50%~60%に上りました。

出典:IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書

サイバー攻撃の種類と手口

サイバー攻撃は多種多様なものが存在しますが、最近では特に次のような攻撃が大きな問題となっています。

① 分散型サービス運用妨害(DDoS)攻撃
  攻撃対象に対して複数のシステムから大量の通信を行い、
  意図的に過剰な負荷を与える攻撃
② ランサムウェア攻撃
  データを暗号化したり機能を制限したりすることで使用不能な状態にした後、
  元に戻すことと引き換えに「身代金」を要求するマルウェアによる攻撃
③ ビジネスメール詐欺
  従業員や取引先などになりすまして業務用とみられる不正なメールを送ることで
  受信者を欺き、金銭や情報を奪取する攻撃
④ Webサービスからの個人情報窃取
  Webサービス(自社開発のアプリケーションや一般的に使用されているフレームワーク、
  ミドルウェア等)の脆弱性を突いて、個人情報を窃取する攻撃
  ※前段で触れた、情報漏洩につながる危険性がある
  「SQLインジェクション」や「OSコマンドインジェクション」もこれに分類されます。

それぞれの攻撃の目的および手口や対策の例を以下にまとめました。金銭的利益は攻撃目的の大半を占めますが、それ以外を目的とした攻撃も多数確認されています。その他代表的な攻撃や目的については、「サイバー攻撃を行う5つの主体と5つの目的」で参照いただけます。

Webサイトの脆弱性対策

改正個人情報保護法の全面施行に向けて、組織は個人情報をさらに厳格に管理する必要があります。前述のとおり、6か月以内に消去する短期保存データも「保有個人データ」に含まれるようになるため、例えば、期間限定のキャンペーン応募サイトなども今後は適用範囲内となります。公開期間は短くとも、事前にしっかりとセキュリティ対策の有効性を確認しておく必要があるでしょう。

情報の安全な管理を怠り流出させた場合、それが個人情報であれば罰則が適用される可能性があり、取引先情報なら損害賠償を要求されることが想定されます。また、ひとたびセキュリティ事故が起これば、企業の信用問題にも陥りかねません。

2021年3月にIPAが公開した「企業ウェブサイトのための脆弱性対応ガイド」では、脆弱性対策として最低限実施しておくべき項目として以下7つのポイントを挙げています。

(1) 実施しているセキュリティ対策を把握する
(2) 脆弱性への対処をより詳しく検討する
(3) Webサイトの構築時にセキュリティに配慮する
(4) セキュリティ対策を外部に任せる
(5) セキュリティの担当者と作業を決めておく
(6) 脆弱性の報告やトラブルには適切に対処する
(7) 難しければ専門家に支援を頼む

脆弱性対策を行うためには、まずWebサイトに脆弱性が存在しているかを確認することから始めましょう。脆弱性診断を行い、Webサイトのセキュリティ状態をきちんと把握することで内包するリスクが可視化され、適切な対応を講じることが可能となります。また、Webサイトの安全性を維持するには、定期的な診断の実施が推奨されます。定期的な診断は、新たな脆弱性の発見のみならず、最新の攻撃手法に対する耐性の確認やリスク管理にも有効です。

セキュリティ対策を外部の専門業者に依頼する場合に、「技術の習得や情報の入手・選別が難しい」といった課題もあります。弊社では昨年8月に「テレワーク時代のセキュリティ情報の集め方」と題したウェビナーで、情報収集の仕方やソースリストのご紹介をしておりますので、ぜひご参考にしていただければと思います。

Webサイトは、いまや企業がビジネスを行う上で不可欠なツールの一つとなっている一方で、安全に運用されていない場合、大きな弱点となり得ます。脆弱性対策を行い、セキュリティ事故を未然に防ぐ、そして万が一攻撃を受けた際にも耐え得る堅牢なWebサイトを目指しましょう。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

テレワーク環境に求められるセキュリティ強化

Share

6月21日に内閣府が公表した「新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」によれば、新型コロナ対策で外出自粛が求められた後、全国でのテレワーク実施率は全国で34.6%、首都圏では48.9%にものぼります。

また、今後もテレワークを断続的ではあっても継続したい就業者は34.6%、首都圏で48.9%と、テレワーク実施率とほぼ同数であることから、今後もテレワークは一定の割合で継続するとみて差し支えないでしょう。

しかし一方で、コロナ禍以前からテレワークを推奨して準備していた組織ばかりでなく、 急遽、テレワークに移行したという組織も少なくありません。このように急遽実施されたテレワークでは、業務自体が成立することがまず優先され、必ずしもセキュリティの配慮がなされていたとは限りません。特に、テレワークで使用するクラウドサービスの認証情報を狙うフィッシング詐欺に関する社員教育や、在宅勤務でセキュリティ強度が低いホームネットワークを経由して業務を行うことのリスク対策について準備万端であるといいきれる組織ばかりではなかったでしょう。

そうした環境下でのテレワークはサイバー攻撃の格好の対象ともいえます。政府や警視庁もテレワークのセキュリティに関する注意喚起をおこなっていますが、具体的にどのような点に気をつければよいでしょうか。

テレワークとは

総務省によれば、テレワークは「ICT(情報通信技術)を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークの形態は、自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイルワーク」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス」の3つに分類できます。

在宅勤務によるテレワークには、子育てや介護で通勤が困難な従業員でも離職せずに済むメリットがある上、最近では、台風やコロナなど、従業員が出社できない状況でも事業を継続するBCP的側面での活用が見られます。政府も「働き方改革」の旗手として期待をよせており各省庁をはじめ、地方自治体においても、導入に対する相談窓口や助成金を用意しています。

テレワークのセキュリティの基本的考え方

テレワークを推進する総務省は、セキュリティの重要性に当初から着目し、2004年から「テレワークセキュリティガイドライン」を刊行しています。改訂が進み、最新版は2018年の第四版です。

ガイドラインでは、テレワークを実現する方法を「リモートデスクトップ」「仮想デスクトップ」「クラウド型アプリ」「セキュアブラウザ」「アプリケーションラッピング」「会社PC持ち帰り」の6つのパターンに分け、脅威を「マルウェア」「端末の紛失や盗難」「重要情報の盗聴」「不正アクセス」とし、起こりうる事故として「情報漏えい」「重要情報の消失」「作業の中断」を挙げています。

図:テレワークにおける脅威と脆弱性について

(画像出典:総務省:テレワークセキュリティガイドライン第4版より一部抜粋)

また、「経営者」「システム管理者」「実務担当者」別に、それぞれの事故やリスクへの具体的な対応策を整理し、「ルール」「人」「技術」3つの分野でそれぞれに弱点がない、バランスがとれた対策が肝要であるとしています。

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。先の内閣府の調査でも26.7%の人がセキュリティ面での不安を抱えています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる!」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って! そのテレワーク、セキュリティは大丈夫?」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター(NISC)は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

アフターコロナのセキュリティチェック

緊急事態宣言解除後、徐々にオフィス勤務に戻る組織も多いでしょう。先に述べたようなセキュリティ対策レベルの低い一般家庭環境で作業していた機器をいきなりオフィスの環境に戻すのは危険です。

NPO日本ネットワークセキュリティ協会(JNSA)が「JNSA 緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を公表しています。

テレワークを継続する組織も、オフィスワークに戻す組織も非常時稼働から通常稼働に移行する前にこうしたチェックリストを参照してセキュリティ点検をするのが望ましいでしょう。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。今回の新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染拡大にともなってテレワーク実施率は倍増した。
・多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・アフターコロナに対しては通常業務に戻る前にセキュリティ点検をしよう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

関連情報

●<インタビュー>上野 宣 氏 / ScanNetSecurity 編集長

●<コラム>「ゼロトラストアーキテクチャ」とは?

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

セキュリティトピックス動画申し込みページリンクへのバナー画像

高まるAPT攻撃の脅威

Share

SQAT® 情報セキュリティ瓦版 2020年1月号

あらためて、「侵入前提」の備えを

「攻撃のターゲットに定めた組織に対し、高度かつ複雑な手法を用いて長期間にわたり執拗な攻撃を行う」―「APT」と呼ばれるタイプの攻撃の矛先が、今、日本にも向けられるようになっています。従来、APTには侵入を前提とした多層防御が有効とされてきましたが、国際的に注目度の高いイベントであるオリンピック・パラリンピックが目前に迫り、日本を対象とした攻撃がこれまでになく増えると予想される中、あらためて自組織の状況を点検し、セキュリティの強化を図る必要があります。


APT28とは

「APT」とは「Advanced
Persistent Threat」(直訳すると「高度で持続的な脅威」)の略語で、日本では主に「高度標的型攻撃」という呼称が使われています。「標的型攻撃」は、文字どおり、特定の組織をターゲットにした攻撃を指します(図1参照)。この中でも高度な手法を用いた長期にわたるものが「APT」とみなされます。狙いを定めた相手に適合した方法・手段を用いて侵入・潜伏を図り、攻撃に必要な情報を入手するための予備調査も含め、執拗に活動を継続するのが特徴です。なお、セキュリティ機関や調査会社では、こうした攻撃が確認されると、攻撃の実行主体(APTグループ)を特定し、活動の分析に取り組みます。グループを追跡する際は、組織が自ら名乗る名称に加え、多くの場合、「APT+数字の連番」(例:「APT 1」「APT 2」)がグループ名として使用されています。

図1:標的型攻撃の主な手口

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami_cyber_jousei.pdf

広範かつ大規模な攻撃活動

これまでに特定されたAPTグループの数は、上記連番方式により同定されているグループだけでも約40に上ります。国家レベルの組織による支持や支援を受けているとみられるものも多く存在し、その攻撃は高度であるだけでなく、広範かつ大規模です。直近では2019年10月に、ロシアの支援を受けているとみられる「APT28」(自称「Fancy Bear」)による脅迫メールが世界的な注目を集めました。

脅迫の手口は、「攻撃対象の組織のWebサイト、外部から接続可能なサーバ・インフラに対するDDoS攻撃を予告し、それを回避するための費用として仮想通貨を期日内に支払うよう要求する」というもので、危機感を煽るため実際にDDoS攻撃を行ったケースもありました。ペイメント、エンターテインメント、小売といった業種の複数組織を対象に同グループによる脅迫メールが送付されていることを、ドイツのセキュリティベンダが特定し、その後、JPCERT/CCにより日本国内においても複数の組織が同様のメールを受け取っていることが確認され、注意喚起が出されています。なお、同グループは、2016年の米大統領選挙のほか、政治団体やスポーツ団体などをターゲットにした攻撃への関与も疑われています。

 

地域・文化を超えるサイバー攻撃

従来、APT攻撃は主に欧米の組織を標的にしており、日本語という言語の特殊性などがハードルとなり日本企業は狙われにくいとの認識がありました。しかし、近年は、巧みな日本語を使用した、明らかに日本企業を標的とする攻撃が増加傾向にあります。

たとえば、独立行政法人情報処理推進機構(IPA)に報告されたサイバー攻撃に関する情報(不審メール、不正通信、インシデント等)の2019年の集計結果では、9月末時点で寄せられた攻撃情報、計897件のうち235件が標的型とみなされており、直近の7月~9月でその比率が顕著に上昇しています(表1参照)。当該データ113件のほぼ9割がプラント関連事業に対する攻撃で、実在すると思われる開発プロジェクト名や事業者名を詐称し、プラントに使用する資機材の提案や見積もり等を依頼する内容の偽メールが送信されています。IPAは、「現時点では、攻撃者の目的が知財の窃取にある(産業スパイ活動)のか、あるいはビジネスメール詐欺(BEC)のような詐欺行為の準備段階のものかは不明」としつつも、特定の組織へ執拗に攻撃が繰り返されていることから、これらをAPT攻撃の可能性がある標的型メールの一種に位置づけたと説明しています。

出典:サイバー情報共有イニシアティブ(J-CSIP)運用状況[2019年1月~3月]、[2019年4月~6月]、[2019年7月~9月]より当社作成

同様の傾向は、他国のセキュリティ機関の分析からも伺えます。タイのCSIRT組織ThaiCERTによるレポート『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』(2019年6月公開)を見ると、日本をターゲットに含めた攻撃は、もはや少ないとは言えません。たとえば、「Blackgear」と呼ばれる攻撃グループは日本を明白なターゲットにしており、C&Cの拠点を日本に置き、日本語の文書を使って攻撃を仕掛けます。また、2018年に確認された東南アジアの自動車関連企業をターゲットとした攻撃では、タイミングを同じくして特定の日本企業への攻撃が複数回観測されています。さらに、ターゲットとされる業種や狙われる情報の種類が多様であることも目を引きます。かつては、銀行のデータや個人情報がまず標的になりましたが、ここ数年、ターゲットの業界が航空宇宙・自動車・医療・製薬へとシフトし、ブラックマーケットでの高額取引が期待できる、各業界に固有の技術情報や特許出願前情報の奪取へと、攻撃目標が変化しています(表2参照)。

出典:『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』より当社作成

個人情報が流出した場合の損害賠償や事態収拾のための費用などを含めた事後対策費は平均6億3,760万円 1) と言われていますが、技術情報が流出した場合の想定被害額はその数十倍、数百倍に及ぶ可能性があります。技術情報のみならず、いわゆる「営業秘密」とされる知的財産の流出は、事業活動の根幹を揺るがす事態に発展しかねない規模の損失を招く恐れがあります。近年各社により提供されるようになっているサイバーセキュリティ保険等で損害補償対策を検討するのも一案ですが、国家の関与が疑われるAPTグループの攻撃被害については保険金が支払われない可能性もあります。より甚大な被害をもたらす攻撃を行うグループが、今、日本企業を新たな標的に定めつつあるという事実は、国内のあらゆる事業者が共有すべき攻撃の傾向となっています。

 

より強靭な「多層防御」でAPT攻撃の影響を最小限に抑える

APT攻撃への対策としては、従来、侵入を前提とした多層防御が有効とされてきましたが、足元でAPTグループによる日本への攻撃が増加傾向にある中、あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。防御策としてまず思い浮かぶのは、出入口を守るファイアウォールやUTM(統合脅威管理)、既知の脆弱性への対応などですが、それだけでは十分とは言えません。

APT攻撃での代表的な手口は、ターゲットにした組織への侵入を試みる目的で使用される標的型メールです。この入口対策を考えると、疑似的な攻撃メールを用いて開封率などを可視化して「ヒト」に対する教育訓練を施す「標的型メール訓練」は検討に値する対策の1つです。留意したいのは、開封率の低減を最重要視するのではなく、「開封されても仕方なし」というスタンスで取り組むことです。訓練の目標を「開封された後の対応策の見直しと初動訓練」に設定し、定められた対応フロー通りに報告が行われるか、報告を受けて対策に着手するまでにどれくらいの時間を要するかを可視化して、インシデント時の対応フローおよびポリシーやガイドラインの有効性を評価することをお勧めします。また、従業員のセキュリティ意識を向上させるために、教育および訓練と演習を実施するのが望ましいでしょう。

また、「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。日本企業は、他国に比較して、知的財産の重要性に対する認識が低く、情報の所在や管理が徹底されていないという指摘があります 3) 。組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。こうした仕組みは、侵入の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。さらに感染経路・奪取可能な情報を洗い出し、感染範囲・重要情報へのアクセス状況・流出経路などを可視化できれば、システム内部へ拡散するリスクを把握することもできます。この「標的型攻撃のリスク可視化」により、「出口」対策へ効果的にリソースを有効活用することで、実効性をさらに効果的にリスク評価することが可能になります。

2020年、オリンピック・パラリンピックがいよいよ目前に迫り、日本への攻撃がさらに激しさを増していくと予想されます。同イベントには膨大な数の事業者が関与するため、セキュリティ的に脆弱な組織がAPT攻撃を受け、サプライチェーンやIoTを通じて被害が歯止めなく広がるリスクが大いに懸念されています。既存のセキュリティ体制をあらためて点検し、強靭化を図ることで被害を最小限に食い止めましょう。


注:
1)JNSA:2018年情報セキュリティインシデントに関する調査結果より
2) 同一のグループに対し、セキュリティ機関による命名、攻撃グループによる自称などを列挙
3) コンサルティング会社PwCが2017年に実施した調査より
(https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2018/assets/pdf/economic-crime-survey.pdf)日本における「組織がサイバー攻撃の狙いとなった不正行為」の種類を問う質問で「知的財産の盗難」と回答した比率は25%で、世界平均の12%と比べて顕著に多い数字となった。

参考情報: *1 https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像