情報セキュリティ

2024年2月22日2024年2月26日

IPA 情報セキュリティ10大脅威 2024を読み解く
-サイバー脅威に求められる対策とは-

2024年1月24日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2024」（組織編）を公表しました。各脅威が自身や自組織にどう影響するかを確認することで、様々な脅威と対策を網羅的に把握できます。多岐にわたる脅威に対しての対策については基本的なセキュリティの考え方が重要です。本記事では、脅威の項目別に攻撃手口や対策例をまとめ、最後に組織がセキュリティ対策へ取り組むための考え方について解説いたします。

注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」

2024年1月24日、独立行政法人情報処理推進機構(IPA）は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。ここではその分析と解説、そして対策について述べていきます。

まず注目すべき点として挙げられるのが、1位の「ランサムウェアによる被害」（前年1位）と3位の「内部不正による情報漏えい等の被害」（前年4位）です。

「ランサムウェア感染」および「内部不正」は、日本ネットワークセキュリティ協会（JNSA）が発表している「2023セキュリティ十大ニュース」でも選考委員全員が関連事案をノミネートしたとされており、脅威の重大性が伺えます。

そのほかの部分に目を向けると、脅威の種類は前年と変化はありませんでしたが、大きく順位が変動しているものがいくつかあります。これについては脅威を取り巻く環境が日々変動していることを反映していると考えられます。特に4位から3位に順位を上げた「内部不正による情報漏えい等の被害」と、9位から6位に順位を上げた「不注意による情報漏えい等の被害」について、どちらも人間に起因するところが大きい脅威であることは、注目に値するでしょう。

「情報セキュリティ10大脅威 2024」注目の脅威

10大脅威の項目のうち、今回の記事では注目すべき脅威として、まず1位・3位・6位の脅威を取り上げて解説します。

1位「ランサムウェアによる被害」

ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語であり、感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求するといった挙動をするマルウェアです。

2017年5月12日に発生したランサムウェア「WannaCry（ワナクライ）」によるサイバー攻撃では、世界中で過去最大規模の被害が発生し、日本でも感染が確認され、国内大手企業や組織等にも被害があったことを覚えてらっしゃる方も多いでしょう。近年では、より悪質な二重の脅迫（ダブルエクストーション）型のランサムウェアによる被害が拡大しており、国内の医療機関が標的となって市民生活に重大な影響を及ぼした事案や、大手自動車メーカーのサプライチェーンをターゲットとしたサイバー攻撃も発生しています。

＜攻撃手口＞

メールから感染させる
Webサイトから感染させる
脆弱性を悪用しネットワークから感染させる
公開サーバに不正アクセスして感染させる

関連事例
2023年7月にランサムウェア感染により国内物流組織の全ターミナルが機能停止するというインシデントが発生しており、重要インフラ（他に代替することが著しく困難なサービスを提供する事業が形成する国民生活および社会経済活動の基盤とされるもの）へのサイバー攻撃の重大性を世に知らしめる結果となりました。またこの事例においては既知の脆弱性が悪用されたとの報道もあります。こちらは7位「脆弱性対策情報の公開に伴う悪用増加」についてもご参照ください。

1位「ランサムウェアによる被害」 — 出典：警察庁（令和5年9月21日）「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」　P.20
３　ランサムウェア被害の情勢等　(2)企業・団体等におけるランサムウェア被害　より
【図表21：ランサムウェア被害の企業・団体等の業種別報告件数】

3位「内部不正による情報漏えい等の被害」

「内部不正による情報漏えい等の被害」は、組織の従業員や元従業員など関係者による機密情報の漏えい、悪用等の不正行為のことで、組織に不満を持つ者や不正に利益を得ようとする者等により、機密情報や個人情報が第三者に不正に開示されることを指します。組織の社会的信用の失墜、損害賠償や顧客離れによる売上の減少といった金銭的被害、官公庁からの指名入札停止等による機会損失等、甚大な損害につながる恐れがあります。IPAの調査によると、中途退職者による情報漏えいだけでなく、現職従業員等の情報リテラシーやモラルが欠如しているために起こる不正事案も多く報告されています。

内部不正に関してはIPAより「組織における内部不正防止ガイドライン」が作成され、現在改訂版第5版（2022年4月改定）が公開されています。改定ポイントの1番目に、内部不正による情報漏えいが事業経営に及ぼすリスクについての経営者に向けたメッセージの強化が挙げられています。こちらのガイドラインも参照し、経営者リーダーシップの元、必要な対応の実施を進めていただくことをおすすめします。

＜攻撃手口＞

アクセス権限の悪用
在職中に割り当てられたアカウントの悪用
内部情報の不正な持ち出し

関連事例
2023年10月に大手通信会社の元派遣社員による約900万件の顧客情報が流出したというインシデントがありました。このケースでは2013年7月頃から10年にわたり、自治体や企業など59組織の顧客情報が持ち出され、第三者に流通させていた*1とのことで、影響は広範囲に及んだものと考えられます。

6位「不注意による情報漏えい等の被害」

「不注意による情報漏えい等の被害」は3位の「内部不正による情報漏えい等の被害」と同様の人的要因による脅威です。代表的なものとしては「メールの誤送信」などが挙げられますが、これも細かく原因を見ていくと、メールアドレスの入力ミス、入力場所のミス、送信先アドレスのスペルミス、アドレス帳からの選択ミス、送信してはいけないファイルを勘違いして添付してしまう、送信者が気づかずに社外秘などの情報を伝達してしまうなど、原因は多岐にわたります。

対策としては、社外に送信されるメールのフィルタリングや、添付ファイルのアクセス制限といったシステム側からの対策のほか、リテラシー教育の実施といった従業員等へのケアも重要となります。またメールの誤送信以外にも、クラウドの設定ミスや生成AIに機密情報を入力してしまうといった事例も起きており、こちらも注意が必要です。

＜要因＞

取り扱い者の情報リテラシーの低さ
情報を取り扱う際の本人の状況
組織規程および取り扱いプロセスの不備
誤送信を想定した偽メールアドレスの存在

関連事例
2023年は、マイナンバーに他人の健康保険証情報や口座情報が紐づけられてしまうといった、マイナンバー関係のインシデントが相次いで発生しました。これを受け、デジタル庁は６月2日に「マイナンバー情報総点検本部」を設置*2し、マイナンバーに関する手続きの総点検を実施しました。点検対象となった約8200万件のうち、紐づけが間違っていた件数が約8400件あったと発表しました。その主な原因は、①目視と手作業による入力の際のミス、②各種申請時にマイナンバーの提出が義務化されておらず、提出がなかった場合の紐づけを氏名と性別だけで行っていた、③申請書に誤ったマイナンバーが記載されていた、④本人と家族のマイナンバーを取り違えた、と結論付けています。

引き続き警戒が必要な脅威

2位「サプライチェーンの弱点を悪用した攻撃」

サプライチェーンの弱点を悪用した攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。攻撃手段としてランサムウェアやファイルレス攻撃などの様々な手段を用います。

日本の会社は約9割を中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。そのため、サプライチェーン攻撃が大きな問題となっているのです。

＜攻撃手口＞

取引先や委託先が保有する機密情報を狙う
ソフトウェア開発元や MSP（マネージドサービスプロバイダ）等を攻撃し、標的を攻撃するための足掛かりとする

4位「標的型攻撃による機密情報の窃取」

標的型攻撃とは、明確な意思と目的を持った攻撃者が特定の企業・組織・業界を狙って行うサイバー攻撃を指します。不特定多数の相手に無差別にウイルスメールやフィッシングメールを送信する攻撃とは異なり、特定の企業・組織・業界をターゲットにし、明確な目的を持って、保有している機密情報の窃取や、システム・設備の破壊・停止をする攻撃が行われます。長時間継続して行われることが多く、攻撃者が標的とする組織内部に数年間潜入して活動するといった事例もあります。

＜攻撃手口＞

メールへのファイル添付やリンクの記載
Webサイトの改ざん
不正アクセス

5位「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」

ゼロデイ攻撃とは、修正プログラム提供前の脆弱性を悪用してマルウェアに感染させたり、ネットワークに不正に侵入したりする攻撃です。セキュリティ更新プログラムが提供されるよりも早く攻撃が仕掛けられるため、ソフトウェア利用者には脅威となります。また、通常ではサポートが終了した製品には更新プログラムの提供はないため、使用を続ける限り“常にゼロデイ攻撃の脅威にさらされている”ということになります。サポートが終了した製品を継続利用している組織や個人は、サポートが継続されている後継製品への速やかな移行が必要です。

＜攻撃手口＞

ソフトウェアの脆弱性を悪用

「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」について、SQAT.jpでは以下の記事で解説しています。
こちらもあわせてご覧ください。
「IPA情報セキュリティ10大脅威にみるセキュリティリスク―内在する脆弱性を悪用したゼロデイ攻撃とは―」

7位「脆弱性対策情報の公開に伴う悪用増加」

ソフトウェアやハードウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を製品の利用者に広く呼び掛けることができるメリットがありますが、一方で、攻撃者がその情報を悪用して、当該製品への脆弱性対策を講じていないシステムを狙って攻撃を実行する可能性があります。近年では脆弱性関連情報の公開後から、攻撃が本格化するまでの時間も短くなってきています。

修正パッチや回避策が公開される前に発見されたソフトウェアの脆弱性をゼロデイ脆弱性と呼びますが、修正プログラムのリリース後から、実際に適用されるまでの期間に存在する脆弱性は「Nデイ脆弱性」と呼ばれます。ソフトウェアの管理が不適切な企業は、対応されるまでの時間が長くなるため、被害に遭うリスクが大きくなります。

8位「ビジネスメール詐欺による金銭被害」

ビジネスメール詐欺は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を欺いて送金取引に関わる資金を詐取する等の金銭被害をもたらす攻撃です。ビジネスメール詐欺では、経営幹部や取引先などになりすましたメールが使われることがありますが、攻撃の準備として、企業内の従業員等の情報が狙われたり、情報を窃取するウイルスが使用されたりします。

＜攻撃手口＞

取引先との請求書の偽装
経営者等へのなりすまし
窃取メールアカウントの悪用
社外の権威ある第三者へのなりすまし
詐欺の準備行為と思われる情報の窃取

9位「テレワーク等のニューノーマルな働き方を狙った攻撃」

2020年新型コロナウイルス対策として急速なテレワークへの移行が求められ、自宅等社内外からVPN経由での社内システムへのアクセス、Zoom等によるオンライン会議等の機会が増加しました。こうしたテレワークの業務環境に脆弱性があると、社内システムに不正アクセスされたり、Web会議をのぞき見されたり、PCにウイルスを感染させられたりする恐れがあります。

テレワークのために私物PCや自宅ネットワークの利用、VPN等のために初めて使用するソフトウェアの導入等、従来出張用や緊急用だったシステムを恒常的に使っているというケースでは、セキュリティ対策が十分であるかの確認など、特に注意が必要です。

＜攻撃手口/発生要因＞

テレワーク用製品の脆弱性の悪用
テレワーク移行時のまま運用している脆弱なテレワーク環境への攻撃
私有端末や自宅のネットワークを利用

10位「犯罪のビジネス化（アンダーグラウンドサービス）」

犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取引され、これらを悪用した攻撃が行われています。攻撃手法は、脆弱性の悪用やボットネットによるサービス妨害攻撃、ランサムウェアの感染など攻撃者が購入したツールやサービスによって多岐にわたります。

攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがあります。ランサムウェアやフィッシング攻撃を含め、様々なサイバー攻撃の高度化や活発化の原因にもなっている脅威です。

＜攻撃手口＞

ツールやサービスを購入し攻撃
認証情報を購入し攻撃
サイバー犯罪に加担する人材のリクルート

「犯罪ビジネス化（アンダーグラウンドサービス）」について、SQAT.jpでは以下の記事で解説しています。
こちらもあわせてご覧ください。
「IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―」

脅威への対策

世の中には今回ご紹介したIPA「情報セキュリティ10大脅威」以外にも多数の脅威が存在し、脅威の種類も多岐にわたりますが、セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

セキュリティ基本10項目

標的型攻撃メール訓練の実施
定期的なバックアップの実施と安全な保管（別場所での保管推奨）
バックアップ等から復旧可能であることの定期的な確認
OS、各種コンポーネントのバージョン管理、パッチ適用
認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）
適切なアクセス制御および監視、ログの取得・分析
シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認
攻撃を受けた場合に想定される影響範囲の把握
システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

組織全体で対策へ取り組みを

サイバー攻撃は手口がますます巧妙化し、手法も進化を続けています。基本対策を実践するのはまず当然として、被害前提・侵入前提での対策も考える必要があります。

侵入への対策目的：システムへの侵入を防ぐ		侵入後の対策目的：侵入された場合の被害を最小化する
・多要素認証の実装・不要なアカウント情報の削除（退職者のアカウント情報など）・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築・VPNやリモートデスクトップサービスを用いる端末・サーバのバージョン管理（常に最新バージョンを利用）・ファイアウォールやWAFによる防御など		・社内環境におけるネットワークセグメンテーション・ユーザ管理の厳格化、特権ユーザの限定・管理（特にWindowsの場合）・侵入検知（IDS/IPSなど）、データバックアップといった対策の強化・SIEMなどでのログ分析、イベント管理の実施・不要なアプリケーションや機能の削除・無効化・エンドポイントセキュリティ製品によるふるまい検知の導入

リスクの可視化をすることで実際にどこまで被害が及ぶのかを把握し、実際に対策の有効性を検証したうえで、企業・組織ごとに、環境にあった対策を行い、万が一サイバー攻撃を受けてしまった場合でも、被害を最小限にとどめられるような環境づくりを目指して、社員一人一人がセキュリティ意識を高めていくことが重要です。

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。sqat.jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

SQAT脆弱性診断

BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ウェビナー開催のお知らせ

2024年3月6日（水）13:00～14:00
「セキュリティ対策の有効性を確認！ペネトレーションテストとはー脆弱性診断とペネトレーションテストー」
2024年3月13日（水）14:00～15:00
「クラウド時代に対応必須のセキュリティあれこれークラウドセキュリティについてー」

最新情報はこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2024年1月15日2024年1月15日

クロスサイトリクエストフォージェリ（CSRF）の脆弱性　
-Webアプリケーションの脆弱性入門 4-

「クロスサイトリクエストフォージェリ（CSRF）」は、Webアプリケーションの脆弱性の一つです。この記事では、クロスサイトリクエストフォージェリが何であるか、その攻撃の具体的な仕組みや流れ、想定されるリスクについて解説します。またクロスサイトスクリプティング（XSS）の脆弱性との違い、実際にどのような予防策を取るべきかについても触れます。そしてどのようにして自分のWebサイトやアプリケーションを保護するかについて解説します。

前回までの内容

セッション管理の不備は、Webアプリケーションの脆弱性の一つです。セッションIDが日付・誕生日・ユーザ名など、推測可能なもの作られたりしているなどの問題があると、セッションハイジャック（攻撃者が他のユーザのセッションIDを盗み取り、そのIDを使用してユーザのアカウントに不正アクセスする行為）のリスクを高めます。セッションハイジャックが成立するリスクを高める要因となる脆弱性および攻撃方法には、セッションIDの固定化（セッションフィクセーション）やセッションIDの推測などがあります。脆弱性を悪用した攻撃を防ぐためには、セッションIDを推測困難な値にする、ログイン・ログアウト時に新しいセッションIDを発行する、ワンタイムトークン付与やIPアドレスによる確認などの対策が必要です。

アクセス制御の不備は、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。これにより権限昇格やパストラバーサル（パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスする行為）などのリスクが生じます。主な対策方法として、権限に基づく機能制限、適切なアクセス制御ポリシーの実装などが挙げられます。

セキュリティ対策の実施は常に最新のセキュリティ情報を踏まえて見直し、強化していくことが重要です。セキュリティ専門家に相談するなどして、適切な対策を実施しましょう。

前回記事「セッション管理の不備/アクセス制御の不備の脆弱性 -Webアプリケーションの脆弱性入門 3-」より

クロスサイトリクエストフォージェリ(CSRF)とは

クロスサイトリクエストフォージェリ（CSRF）は、攻撃者が罠として用意した偽サイトを用いてリンクや画像をクリックさせることで、ユーザが意図していないリクエストを強制的に行わせることができる脆弱性です。例えば、SNS（ソーシャルネットワーキングサービス）で「いいね！」をする、銀行の振り込み操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。

クロスサイトリクエストフォージェリ（CSRF）攻撃とは

クロスサイトリクエストフォージェリ攻撃の仕組みは、Webサイトでログインしたユーザからのリクエストがそのユーザが意図したリクエストであるかどうかを識別する仕組みがない場合、外部サイトを経由してユーザが意図しないリクエストを送信させ、それをサーバに受け入れさせるというものです。例えば、銀行のサイトにログインしている状態で攻撃者が仕掛けた罠サイトのリンクURLをクリックすると、ユーザの意図しない送金処理などが実行されてしまう恐れがあります。

クロスサイトリクエストフォージェリ（CSRF）攻撃のリスク

クロスサイトリクエストフォージェリ攻撃の特徴は、攻撃者によってユーザが意図しないリクエストを実行させられ、強制的に、情報の変更や購入処理を実行させられてしまうところにあります。注意すべきは、クロスサイトリクエストフォージェリは、システムやアカウントが保有する機能や権限によって様々な被害を受ける可能性があることです。例えば、ユーザの意図しない売買成立での金銭請求、ログイン情報の変更によるアカウントの乗っ取り、データ削除処理の実行によるデータ消失などがあげられます。

クロスサイトスクリプティング（XSS）とクロスサイトリクエストフォージェリ（CSRF）の違い

クロスサイトスクリプティングとクロスサイトリクエストフォージェリは、Webアプリケーションのセキュリティ脅威として知られていますが、その仕組みや対策には明確な違いがあります。クロスサイトスクリプティングの基本的な手法は、悪意のあるスクリプトをWebページに挿入し、他のユーザがそのページを閲覧する際にスクリプトが実行される攻撃です。主に出力に対するエスケープ処理の不備が原因で発生します。一方、CSRFは、ユーザがログインしている状態で、攻撃者が仕掛けた誘導URLをクリックさせることで、ユーザの意図しない操作を実行させる攻撃です。この攻撃は、セッション管理やトークンの処理が不適切な場合に主に発生します。企業や開発者は、これらの違いを理解し、それぞれの脅威に対する徹底的な対策や対応を導入することが求められます。注意深くシステムの保護と保守を行い、ユーザの情報を守ることが重要です。

クロスサイトリクエストフォージェリの原因

脆弱性が発生する原因は、Webサイト側でユーザからの正規のリクエストと外部サイトを経由して偽造されたリクエストを区別できないことにあります。セッション管理のためにCookie、Basic認証、またはSSLクライアント認証を使用しているWebサイトでは、このような問題が発生する可能性があります。特に、影響を受けるWebサイトのうち、ログイン後に重要な処理等を行うサイトは、大きな被害につながる可能性があるため、注意が必要です。

クロスサイトリクエストフォージェリ攻撃の対策

クロスサイトリクエストフォージェリ（CSRF）攻撃の対策として、送信されたリクエストが正しい画面遷移によるものであることを確認し、不正な場合には処理を実行しない仕組みを実装してください。画面遷移の制御に利用可能な要素としては、下記が挙げられます。

1. 推測困難かつランダムな文字列（トークン）

2. Originヘッダやカスタムヘッダの値

3. 再認証による本人確認

トークンはセッション単位のリクエストごとに有効とし、別のリクエストに対して使用不可としてください。

セキュリティ対策の取り組み

このような攻撃を理解し適切な対策を導入することは、Webセキュリティを保護する上で非常に重要です。また、クロスサイトスクリプティング攻撃により、クロスサイトリクエストフォージェリの緩和策が無効化される場合もあるため、多方面からの脆弱性対策の実施も重要です。企業担当者はこの攻撃の仕組みを理解し、常に最新の対策情報を取得して、安全な環境を保持する必要があります。特に自社のWebサイトを運営する場合、定期的な調査や検証を行い、対策を強化することが求められます。

まとめ

クロスサイトリクエストフォージェリ（CSRF）は、ユーザがログイン状態のWebサイトにおいて、攻撃者が偽造したリクエストを送信させることで、強制的に情報の変更や購入処理等を行わせるものです。例えば、SNSで「いいね！」をする、銀行の振り込み操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。この攻撃を防ぐためには、サイトが正規のリクエストと偽造されたリクエストを区別するために、正しい画面遷移によるリクエストであることを確認する仕組みを実装することが推奨されます。また、企業やサイトの運営者は、この問題をよく知って、対策をしっかりと行う必要があります。

Security Report TOPに戻る
TOP-更新情報に戻る

2024年1月12日2024年1月16日

2023年上半期カテゴリ別脆弱性検出状況

SQAT® Security Report 2023-2024年秋冬号

Webアプリケーション診断結果

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2023年8月30日2023年10月4日

Webアプリケーションの脆弱性入門

Webアプリケーションは私たちの日常生活に欠かせない存在となっています。しかし、それらのWebアプリケーションが攻撃者からの脅威にさらされていることをご存知でしょうか？Webアプリケーションに脆弱性が存在すると、悪意のある第三者によって個人情報や企業の機密情報が漏洩するリスクが生じます。この記事では、Webアプリケーションの脆弱性の種類について解説します。

脆弱性とは

脆弱性とは、プログラムの不具合や設計上のミス等によるバグが原因となって発生したセキュリティ上の欠陥や弱点のことを指します。Webアプリケーションに脆弱性が存在する場合、攻撃者がシステムに侵入し、機密情報を盗み出したり、サービスを乗っ取ったりするリスクが生じます。企業はWebアプリケーションの脆弱性を理解し、それに対処するための適切な対策を講じる必要があります。

脆弱性の種類

脆弱性にはさまざまな種類があります。以下に代表的な例を挙げます。

1. SQLインジェクション

データベースを使って情報を処理するWebアプリケーションは、その多くがユーザからの入力値をもとにデータベースへの命令文を構成しています。SQLインジェクションは、攻撃者がWebフォームなどの入力欄に特定のコードを入れることで不正な命令文を構成し、データベースを不正利用できてしまう脆弱性です。これを悪用することで、例えば、データベースの情報を盗んだり、改ざんしたり、消去したりできる可能性があります。

2. クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）は、ネットバンキングや掲示板のように、ユーザから入力された値を処理して出力するWebページに攻撃者が悪意のあるスクリプトを埋め込むことで、Webページを閲覧したユーザのWebブラウザ上でスクリプトを実行させることができる脆弱性です。これを悪用されると、ユーザが意図しない情報の送信や表示ページの改ざんなどのリスクが発生します。

3. クロスサイトリクエストフォージェリ（CSRF）

クロスサイトリクエストフォージェリ（CSRF）は、攻撃者が罠として用意した偽サイトを用いてリンクや画像をクリックさせることで、ユーザが意図していないリクエストを強制的に行わせることができる脆弱性です。例えば、SNSで「いいね！」をする、銀行の振込操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。

4. セッション管理の不備

Webアプリケーションの中には、セッションID（ユーザを識別するための情報）を発行し、セッション管理を行うものがあります。このセッション管理に不備があることで、セッションIDを固定化できたり、有効なセッションIDが推測可能だったりすると、セッションハイジャックと呼ばれる攻撃が成立する危険性があります。これにより、攻撃者が本来のユーザになりすまして権利を行使することで、プライベートな情報の閲覧や、設定の変更などが行われる可能性があります。

5. アクセス制御の不備

Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。例えば、一般ユーザとしてログインした際に管理者としての権利を行使できてしまう権限昇格、パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスすることが可能となるパストラバーサルなどです。不正アクセスや意図しない情報の公開をはじめとした、様々なリスクが生じます。

脆弱性を悪用した攻撃による影響

脆弱性が悪用されると、企業に深刻な影響が及ぶ恐れがあります。脆弱性が引き起こす可能性のある影響の例を、以下に示します。

機密情報の漏洩

攻撃者は、脆弱性を利用して機密情報を盗み出すことができます。クレジットカード情報や個人情報など、大切な情報が漏洩することで、企業の信頼性に係る問題や法的な問題が発生する可能性があります。

データの改ざん

脆弱なWebアプリケーションは、攻撃者によってデータの改ざんが行われる可能性があります。データの改ざんによって、Webアプリケーションの正確性が損なわれたり、信頼性が低下したりする可能性があります。

サービスの停止または遅延

脆弱性を悪用されると、サービスの停止、遅延、またはデータベースの消去といった、システム全体に影響が及ぶ被害を受ける恐れがあり、企業のビジネス活動に重大な影響が生じる可能性があります。

金銭的な損失

脆弱性のあるWebアプリケーションは、企業にとって金銭的な損失をもたらす可能性があります。攻撃者による不正アクセスでデータが盗難された結果、企業に損害賠償責任が生じる場合があります。

企業の信頼喪失

セキュリティに関する問題が公になると、企業の評判に悪影響を与える可能性があります。顧客やパートナーからの信頼を失うことは、企業にとって非常に重大な損失です。

脆弱性対策の方法

脆弱性の悪用を防ぐためには、以下のような対策が考えられます。

正しい権限管理の実施

ユーザには場面に応じた必要最小限の権限のみ付与することが推奨されます。また、不要な機能やリソースへのアクセスを制限することも脆弱性を軽減させるポイントとなります。

定期的なセキュリティチェックの実施

Webアプリケーションに対しては、機能追加などのシステム改修時はもちろんのこと、定期的なセキュリティチェックを行うことが重要です。脆弱性スキャンやペネトレーションテストなどの手法を活用し、問題を早期に発見して修正することが大切です。

まとめ

脆弱性のあるWebアプリケーションは、攻撃の潜在的なターゲットになります。セキュリティ対策を徹底し、脆弱性の早期発見と修正を行うことが重要です。また、さまざまな対策手法やセキュリティツールを活用し、脆弱性を作り込まないセキュアな開発環境作りに取り組んでください。企業のデータや顧客の個人情報を守るためにも、脆弱性対策は欠かせません。今回の記事がお役に立てれば幸いです。

2023年6月8日2024年3月26日

脆弱性診断の必要性とは？ツールなど調査手法と進め方

脆弱性診断はアプリケーションやサーバ、ネットワークに、悪用できる脆弱性がないかを診断します。ライフサイクル別にどんな診断が必要か、ツール診断と手動診断、ペネトレーションテストとの違いなどを解説します。

企業が施すセキュリティ対策は広範かつ複雑になっています。外部からのサイバー攻撃や、内部での情報の持ち出しなど、セキュリティの脅威が多様化しているためです。企業が保護すべき情報、アプリケーション、機器の種類・数などが拡大していることも理由に挙げられます。

これに伴い、情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法がいくつも存在します。この記事では、その中の 「脆弱性診断」を取り上げて、その定義、特徴、メリット、実際の利用方法などを紹介します。

脆弱性とは

脆弱性とは、不正アクセスやコンピュータウイルスなどの攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所のことです。

悪意のある第三者（サイバー攻撃者）によって脆弱性を悪用されると、コンピュータ内部データ（情報）の盗取・改竄・削除、また他のコンピュータへの同様の悪事が可能になり、自組織のシステムに脆弱性が存在した場合、サイバー攻撃者に狙われやすくなる可能性が高まります。

放置された脆弱性のリスクについてはこちらの関連記事もあわせてご参照ください。
「BBSec脆弱性診断結果からみる― 脆弱性を悪用したサイバー攻撃への備えとは ―」
「定期的な脆弱性診断でシステムを守ろう！-放置された脆弱性のリスクと対処方法-」
「既知の脆弱性こそ十分なセキュリティ対策を！」
「今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―」

脆弱性診断とは

脆弱性診断とは、企業・組織のシステムに内在するセキュリティ上の既知の欠陥（＝脆弱性）を特定する検査です。
Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど診断対象により様々な脆弱性診断があります。セキュリティ上の問題点を可視化することで、情報漏洩やサービス停止等のセキュリティ事故を防ぐために、どのような対策を実施すればよいか検討するのに役立ちます。

脆弱性診断は一度実施したらそれで終わり、というものではありません。脆弱性診断により発見された問題に対し対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

重要なのは、システムライフサイクルの各フェーズで、適切な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することです。

脆弱性診断の必要性

情報資産を守るため

情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守るためにも、脆弱性診断は必要な理由の一つです。
「機密性」…限られた人だけが情報に接触できるように制限をかけること。
「完全性」…不正な改ざんなどから保護すること。
「可用性」…利用者が必要なときに安全にアクセスできる環境であること。
これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせないものとなります。

情報セキュリティ事故を未然に防ぐため

攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

サービス利用者の安心のため

パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない現在、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

脆弱性診断の種類

診断対象により、さまざまな脆弱性診断サービスがあります。まず、企業が開発したWebアプリケーションが挙げられます。問合せや会員登録といった、入力フォームの入出力値の処理、ログイン機能の認証処理などに対して、幅広く網羅的に脆弱性診断が行われます。

次に、そのWebアプリケーションを実行するサーバやネットワーク機器、OSやミドルウェアに脆弱性がないか検査する プラットフォーム診断があります。

アプリケーションの脆弱性診断には、既知の攻撃パターンを送付して対象システムやソフトウェアの挙動を確認する「ブラックボックステスト」という方法があります。「ブラックボックステスト」では、実装時における脆弱性は検出できますが、そもそもプログラムの設計図であるソースコード中に存在する脆弱性を網羅的には検査することには適していません。

この場合、ソースコード開示のもと「ソースコード診断」する方法が有効です。「ソースコード診断」は「ブラックボックステスト」に対して「ホワイトボックステスト」とも呼ばれます。また、「ソースコード診断」はさらに、プログラムを実行しないで行う「静的解析」と、実行して行う「動的解析」に分類できます。

ソースコード診断についてはこちらの記事もあわせてご参照ください。
「ソースコード診断の必要性とは？目的とメリットを紹介」

そのほか、近年増加の一途をたどる スマホアプリケーションや IoT機器を対象とした脆弱性診断もあります。

（株式会社ブロードバンドセキュリティのサービス分類に基づく）

脆弱性診断とペネトレーションテストの違い

脆弱性診断とペネトレーションテストは、双方とも脆弱性などを検出する点では似ていますが、目的と方法が少し異なります。脆弱性診断は既知の脆弱性を網羅的に検出することを目的としています。

ペネトレーションテストは、「侵入テスト」の名前のとおり、疑似的なサイバー攻撃を仕掛けてセキュリティ対策の有効性を評価するために実施します。技術的アプローチだけでなく、対象となる組織の構成や、業務手順、ときには物理的な施設の特徴すら加味して、攻撃シナリオを作成する「レッドチーム演習」と呼ばれるテストを実施することもあります。

シナリオに沿ってペネトレーションテスターが攻撃を実行し、システムに侵入できるか、ターゲットとする資産（多くは知的財産）にたどり着くことができるかどうかなどをテストします。ペネトレーションテストは脆弱性診断と比べて、技術力はもちろん、より幅広い見識やセンスが求められます。

脆弱性診断の方法（ツール診断・手動診断）

ツール診断とは、脆弱性診断ツールと呼ばれるコンピュータプログラムを実行して、その応答から脆弱性を検知していくもので、自動診断とも呼ばれます。脆弱性診断ツールには、たとえばWebアプリケーション診断の場合に、検査コードと呼ばれる不正なHTTPリクエストを送信し 擬似攻撃するプログラムがあります。

これに対して手動診断は、技術者がプロキシツールを介してWebブラウザでサイトにアクセスした際に発生するリクエストを書き換える形で、脆弱性を確認する方法です。ツール診断と比べ検査項目も広く、また細かな検査ができるのが特徴です。

「ツール診断」による脆弱性診断

「ツール診断」では、セキュリティベンダーが、商用または自社開発した診断ツールを用いて脆弱性を見つけ出します。機械的に不正なHTTPリクエストを送り付ける疑似攻撃を行いますが、クラッカーによる攻撃とは異なり、あくまでも 脆弱性を見つけ出すことが目的であるため、システムを破壊することはありません。

ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多く、その結果は担当者が補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

「手動診断」による脆弱性診断

手動診断は、経験と専門性を持つ技術者によって実施され、機械的な判断では見落としてしまう 画面遷移・分岐にも対応できるメリットがあります。発見した脆弱性の再現手順や、最新動向を加味した対策方法などを提示してくれるのも、手動診断ならではの特徴と言えます。

ツール診断と手動診断は、どちらが優れていると比較するものではありません。それぞれの 特長を生かし、予算に合わせて組み合わせることで、コストパフォーマンスを発揮できるでしょう。

脆弱性診断の進め方

セキュリティベンダーに脆弱性診断を依頼する際は、まず 診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。

診断が終了するとベンダーからレポートが提供され、報告会が行われることもあります。レポートに記載された脆弱性には深刻度などがスコア化されていることもあります。内容に応じて優先度をつけて、脆弱性をふさぐ必要があります。

脆弱性診断のまとめ

企業の情報システムが複雑かつ大規模になった現在、カード情報や個人情報・機密情報を狙う内外からの脅威に対して、企業もさまざまな予防手段を打っていく必要があります。情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法として「脆弱性診断」があります。

・脆弱性診断とは企業・組織のシステムに内在するセキュリティ上の既知の欠陥（＝脆弱性）
　を特定する検査
・Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど
　診断対象により様々な脆弱性診断がある
・脆弱性診断を実施し洗い出されたセキュリティ上の問題に優先順位をつけて、
　ひとつひとつ対処することが重要である

Security Report TOPに戻る
TOP-更新情報に戻る

2023年4月21日2023年10月4日

BBSec脆弱性診断結果からみる
― 脆弱性を悪用したサイバー攻撃への備えとは ―

Webサイトは、重要なデータの宝庫であり、サイバー攻撃者にとっては宝の山です。攻撃者はWebアプリケーションやシステムに存在する脆弱性を突いた攻撃を仕掛けます。では、自組織のシステムに脆弱性が存在した場合、攻撃者に悪用されづらくするためには何ができるでしょうか。本記事では、多くの企業・組織への診断実績がある弊社の視点で、サイバー攻撃への備えの一つとして、脆弱性診断を活用した予防的措置をご紹介いたします。

脆弱性を悪用したサイバー攻撃

事業活動に欠かせないIT環境では、様々な個人情報や機密情報等が保管・やりとりされており、サイバー攻撃者にとってそれらは宝の山です。そのため、今この瞬間もあらゆる企業・組織がサイバー攻撃の脅威にさらされています。

そして残念ながら、多くのWebアプリケーションやシステムには脆弱性が存在している可能性があります。宝の山に、宝を盗める抜け穴、つまり脆弱性があるとなれば、悪意ある者に狙われてしまうのは当然といえます。

サイバー攻撃者はどのような脆弱性を狙うのか

では、サイバー攻撃者が狙う脆弱性とは、どのような脆弱性でしょうか。
それは攻撃者にとって「悪用がしやすい」、そして「うまみがある」脆弱性です。そのような脆弱性があるWebアプリケーションやシステムは、攻撃対象になりやすく、攻撃者にとって魅力的な標的です。

そして、攻撃者にとって「悪用がしやすい」「うまみがある」脆弱性とは、簡単に攻撃ツールやエクスプロイトコードが入手できる「蔓延度」、どれだけ甚大な被害をもたらすことができるのかという「危険度」、そしてどれだけ他の機能やシステム、あるいは世間にインパクトを与えることができるのかという「影響度」の3つを軸にして捉えることができます。

また、そうした攻撃者にとって魅力的な脆弱性が多数ある場合、一度の攻撃のみならず、何度も複数の脆弱性を突いて攻撃を行われる可能性があります。

脆弱性を突いた攻撃が成功した攻撃者のイメージ画像（自販機から飲み物が出てくる＝攻撃成功）

別の側面から見れば、攻撃者にとって魅力的な脆弱性がないWebアプリケーション・システムであれば、標的にされる可能性が少なくなるということです。

自販機に魅力的な脆弱性（攻撃してもうまみがない脆弱性）がないのをみて攻撃をあきらめる攻撃者のイメージ画像

サイバー攻撃者にとって攻撃対象にしづらいシステムとは？

ここまでみてきたように、攻撃者は「蔓延度」「危険度」「影響度」を軸に魅力的な脆弱性を判断することがあります。つまり裏を返せば、Webアプリケーションやシステムの脆弱性の「蔓延を防ぐ」「危険度を下げる」「影響度を下げる」ことで、攻撃者に脆弱性を悪用されにくくすることができます。そのためには各組織で脆弱性対策を行うことが必須となります。システムの欠陥をつぶし、脆弱性をなくすことが最も重要です。

古くから「無知は罪なり」という言葉もあります。情報セキュリティにおいては“まず知ること”が必要不可欠となります。脆弱性に対処するためには、「自組織のセキュリティ状況を見直し、リスク状況を把握して攻撃に備える」ことが重要です。

脆弱性の放置はサイバー攻撃を誘発し、事業活動に甚大な影響を及ぼしかねません。サイバー攻撃によるインシデントは、組織にビジネスの機会の喪失、信用の失墜といった損失につながる可能性があるため、脆弱性の放置はそういった損失の潜在的な原因となります。

システムに存在する脆弱性の有無を確認するために有効な手段の一つが、脆弱性診断です。脆弱性診断により、日々変化する脅威に対する自組織のシステムのセキュリティ状態を確認できるため、適時・適切の対策が可能です。

BBSecの脆弱性診断サービス

システム脆弱性診断で用いるリスクレベル基準 — 「SQAT® Security Report 2023年春夏号」より

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しています。検出された脆弱性に対するリスク評価は5段階にレベル付けしてご報告しており、リスクレベルによって脆弱性対策の優先順位を判断しやすいものとなっています（右表参照）。

2022年下半期診断結果（多く検出された脆弱性ワースト10）

2022年下半期、BBSecでは12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行いました。結果として、なんらかの脆弱性が検出されたシステムのうち、5件に1件ほどはリスクレベル「高」以上の脆弱性が含まれているのが現状です。そのリスクレベル「高」以上の脆弱性を検出数順に10項目挙げると、下表のとおりになります。

2022年下半期におけるWebアプリ編ワースト10の上位3項目は、上半期同様、攻撃者にとって悪用しやすくうまみのあるインジェクション系の脆弱性がランクインしています。いずれもよく知られた脆弱性ばかりなため、悪用された場合、世間に基本的なセキュリティ対策を怠っている組織と認識され、信用失墜につながります。

また、アプリケーション等のバージョンアップを行わず、古い脆弱なバージョンを使用し続けているWebアプリケーションも多く存在し、ワースト10のうちの4項目がそういった脆弱性でランクインしています。すでに他組織で悪用された実績のある脆弱性を放置した状態となっている等、攻撃者にとっては同様の攻撃を複数の組織に対して行うだけで成果が出るので、こちらも悪用しやすくうまみのある脆弱性といえます。

ネットワーク編のワースト10でも過去と同じような脆弱性がランクインしていますが、9位の「SNMPにおけるデフォルトのコミュニティ名の検出」は初のランクインとなりました。SNMPは、システム内部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」としています。コミュニティ名には、ネットワーク機器のメーカーごとに「public」等のデフォルト値がありますが、SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これを利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがあります。

脆弱性診断を活用した予防措置

ここまでお伝えしたように、攻撃者はより悪用しやすくうまみのある脆弱性を狙ってくる中で、自組織のWebアプリケーション・システムに脆弱性が存在するのか、また存在した場合どういったリスクのある脆弱性なのかを知り、脆弱性対策を行うことは組織として重要なことです。

脆弱性を悪用したサイバー攻撃への備えとして、BBSecとしては、脆弱性診断を推奨します。下図の攻撃方法は一例となりますが、影響範囲として機会損失から業務停止まで引き起こされる可能性がある、という実態はどの攻撃方法でも同じです。脆弱性を悪用された場合、どの攻撃方法であってもそういった被害が出る可能性があるため、悪用されやすい脆弱性は早急に対応しなければなりません。

早急に対応するポイントは「自組織のシステム状態を知り、優先順位をつけながら必要な対策をする」こととなるのですが、自組織におけるセキュリティ対策の有効性確認には、専門家の目線をいれることをおすすめしています。

脆弱性を悪用したサイバー攻撃に対して、予防的にコントロールするといった観点も含め、よりシステムを堅牢化していくために脆弱性診断の実施をぜひご検討ください。

半期（6か月）毎にBBsec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。
最新号のダウンロードはこちら。

SQAT脆弱性診断サービス

Webアプリケーション脆弱性診断-SQAT^® for Web-

Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。
以下より、サービス内容が記載されている資料のダウンロードもいただけます。

ネットワーク脆弱性診断-SQAT^® for Network

悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。ネットワークを標的とした攻撃のリスクを低減するため、脆弱性を徹底的に洗い出し、システムの堅牢化をご支援します。システムの導入・変更・アップグレード時のほか、運用中のシステムに対する定期チェックにご活用いただけます。
以下より、サービス内容が記載されている資料のダウンロードもいただけます。

Security Report TOPに戻る
TOP-更新情報に戻る

2023年4月10日2024年3月26日

2022年下半期カテゴリ別脆弱性検出状況

SQAT® Security Report 2023年春夏号

Webアプリケーション診断結果

診断結果にみる情報セキュリティの現状はこちら

ネットワーク診断結果

脆弱性が存在するバージョンのOS・アプリケーション・サービスの検出割合

診断結果にみる情報セキュリティの現状はこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2023年3月2日2024年3月18日

IPA 情報セキュリティ10大脅威からみる
― 注目が高まる犯罪のビジネス化 ―

近年、サイバー犯罪はビジネス化が危惧されています。これまで高度な技術をもつ人だけが実行できていたサイバー攻撃も、攻撃のための情報がサービスとして公開されていたり、ツールを活用したりすることで、誰でも容易に実行することが可能となっています。犯罪のビジネス化が進む世の中で我々が対抗できる手段はあるのでしょうか。本記事では、注目される犯罪のビジネス化としてRaaSやDDoS攻撃などのビジネスモデルをご紹介しつつ、サイバー攻撃に備えるにはどのような手段をとればいいのか、という点について解説いたします。

「犯罪のビジネス化」が「情報セキュリティ10 大脅威」に5年ぶりのランクイン

2023年1月25日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023」（組織・個人）を発表しました。組織編の脅威に2018年を最後に圏外となっていた「犯罪のビジネス化（アンダーグラウンドサービス）」が再びランクインしました。

アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスを売買しているアンダーグラウンド市場で取引が成立し、経済が成り立つサービスのことです。これらのツールやサービスを悪用することで、攻撃者が高度な知識を有していなくとも、容易にサイバー攻撃を行うことが可能となります。そのため、ランサムウェアやフィッシング攻撃といったサイバー攻撃がますます誘発され、脅威となるのです。

出典：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2023 」（2023年3月29日）組織向け脅威

ランサムウェアをサービスとして提供するRaaS（Ransomware-as-a-Service）

勢いを増しているサイバー犯罪のビジネスモデルとしてRaaS（Ransomware-as-a-Service）があります。RaaSとはランサムウェアが主にダークウェブ上でサービスとして提供されている形態のことで、RaaSを利用した攻撃者は、得た身代金の何割かを開発者に取り分として渡す仕組みになっていて、そうやって利益を得ていることなどがあります。

ランサムウェアが増加している理由についてはSQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「ランサムウェア攻撃に効果的な対策‐セキュリティ対策の点検はできていますか？‐」

図1：Raasビジネスを利用した攻撃の一例

昨今のランサムウェア攻撃の特徴として、ランサムウェア攻撃により行われる脅迫は暗号化したデータを復旧するための身代金の要求に加えて、支払わなければ奪取したデータを外部に公開するといった二重の脅迫から、さらに支払うまでDDoS攻撃（※）を行うといった三重の脅迫から、さらにはそれでも支払いを拒否された場合には、盗んだ情報をオークションで売られてしまうといった事態に発展するなど、より被害が拡大しています。
※DDoS攻撃・・・多数の発信元から大量のデータを送り付けることでサーバを停止させる攻撃のこと。

図2：データの暗号化＋データの公開＋DDos攻撃による三重脅迫

また、従来のランサムウェアの攻撃の手口は不特定多数に対して無差別に行うばらまき型と呼ばれる手法でしたが、近年では攻撃手法が多様化しています。以下の表は攻撃手法と事例です。


年月	攻撃手法	事例
2020/6	標的型ランサムウェア攻撃	国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害を受ける。
2022/1	USBデバイスを使用したランサムウェア攻撃	米国で攻撃者が官公庁や有名販売サイトを装い、パソコンに接続することでランサムウェアを感染させる細工を施したUSBデバイスを送付。2021年8月には運輸および保険業界の企業、11月には防衛産業企業に送られており、FBIが注意喚起を行う*3。
2022/10	サプライチェーン攻撃によるランサムウェア感染	2022年10月の大阪府の病院を狙った事例では、同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道があった。

取り上げた事例の詳細について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
2022年6月の事例：「ランサムウェア最新動向2021 ―2020年振り返りとともに―」
2022年10月の事例「拡大するランサムウェア攻撃！―ビジネスの停止を防ぐために備えを―」

このように、被害者が身代金の要求により応じやすくなるような脅迫に変化し、また攻撃手法も多様化することにより、攻撃の巧妙化によって高い収益をあげられることから、今後もランサムウェア攻撃は続くことでしょう。その背景には攻撃の実行ハードルを下げるRaaSの存在があることが考えられます。

フィッシング攻撃やDDoS攻撃もサービス化へ

フィッシング攻撃とは、有名企業等になりすますなどして偽装したメールやSMSにより、本物そっくりの偽サイトに誘導したり、悪意ある添付ファイルを実行させようとしたりするサイバー攻撃です。このフィッシング攻撃により、マルウェアを使った重要情報の奪取や、ランサムウェアの感染拡大などを行う事例*2も確認されています。

2022年11月から感染が再拡大しているマルウェア「Emotet」も、この手口を利用することで拡大しました。Emotetに感染し、メール送信に悪用される可能性がある.jpメールアドレスの数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。

図3：Emotetの攻撃例イメージ図

フィッシング攻撃もサービス化が進んでいます。2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。このPhaaSは「EvilProxy」と命名され、二要素認証による保護を回避する手段として、「リバースプロキシ」と「クッキーインジェクション」を使用し、被害者のセッションをプロキシング（代理接続）するというものです。このような複雑な仕組みの攻撃がサービス化されたことにより、今後フィッシング攻撃がますます活発化することが考えられます。

「EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web」図 — 出典：Resecurity「EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web 」より弊社和訳

そのほかにも、直近では米国で定額料金を支払うことで代行してDDoS攻撃を行うサービス「DDoS攻撃代行サブスクリプションサービス」を提供するサイトの運営者が逮捕される事件*3がありました。DDoS攻撃を行う目的は「金銭目的」「嫌がらせ」「抗議の手段」「営利目的」など攻撃者の背景によって異なります。逮捕に至ったこのサービスでは2000人以上の顧客を抱えており、これまでに20万件以上のDDoS攻撃を実行したと報道がありました。ここからみえてくるのは、様々な事情を抱えた攻撃者にとって、「求められているサービス」であったということです。

犯罪ビジネスサービス利用者の標的にならないために

ここまでランサムウェアやフィッシング等のサイバー攻撃がビジネス化されている例をみてきました。このように犯罪に使用するためのサービスは、アンダーグラウンド市場で取引され、これらを悪用したサイバー攻撃が行われるというビジネスモデルが存在しているのです。サービスを利用するだけで、高度な知識をもたない攻撃者であっても、容易にサイバー攻撃を行えることから、犯罪のビジネス化は今後さらに進み、特にランサムウェア攻撃やフィッシング攻撃は活発化することが考えられます。

これらの犯罪ビジネスサービス化の拡大により増えることが想定されるランサムウェア攻撃とフィッシング攻撃に対して、攻撃を行う機会を与えないために以下のような基本的な対策が有効でしょう。

ランサムウェア対策

■定期的なバックアップの実施と安全な保管
　（物理的・ネットワーク的に離れた場所での保管を推奨）
　⇒バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続
　⇒バックアップに使用する装置・媒体は複数用意する
　⇒バックアップから復旧（リストア）可能であることの定期的な確認
■OSおよびソフトウェアを最新の状態に保つ
■セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
■認証情報の適切な管理（多要素認証の設定を有効にするなど）　など

フィッシング対策

■ソフトウェアを最新にするなどパソコンやモバイル端末を安全に保つ
■従業員教育を行う
　⇒不審なメールやSMSに注意する
　⇒メールやSMS内に記載されたURLを安易にクリックしない
　⇒メールやSMSに添付されたファイルを安全である確信がない限り開かない
■標的型攻撃メール訓練の実施　など

なお、セキュリティ対策は一度実施したらそれで終わりというものではありません。サイバー攻撃の手口は常に巧妙化し、攻撃手法も進化し続けているためです。脆弱性診断を定期的に行うなど、継続してサイバー攻撃に備えていくことが必要です。また、セキュリティ対策を実施した後も、侵入される可能性はないのか、万が一感染した場合はその影響範囲はどの程度かといった現状把握を行い、実装したセキュリティ対策の有効性を確認することが大切です。

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。