投稿日:

2025年3Q KEVカタログ掲載CVEの統計と分析

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年3QKEVカタログ掲載CVEの統計と分析アイキャッチ画像

本記事は2025年Q1:第1四半期(1月~3月)・Q2:第2四半期(4月~6月)の分析レポートに続く記事となります。過去記事もぜひあわせてご覧ください。
2025年1Q KEVカタログ掲載CVEの統計と分析
2025年2Q KEVカタログ掲載CVEの統計と分析

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本記事では、KEVカタログに掲載された全データのうち2025年7月1日~9月30日に登録・公開された脆弱性の統計データと分析結果をみながら、2025年10月以降に注意すべきポイントや、組織における実践的な脆弱性管理策について考察します。

KEVカタログの概要と目的

米政府CISAが公開するKEV(Known Exploited Vulnerabilities)カタログは、実際の攻撃で悪用が確認された脆弱性のみを掲載した公式リストです。セキュリティ担当者はこのカタログを参照することで、攻撃者の優先ターゲットを把握し、限られたリソースの中でも緊急度の高いパッチ適用など対策の優先順位を付けることができます。四半期ごとに更新され、米連邦政府機関(FCEB)は規定期限内の修正が義務付けられています(BOD 22-01)。民間企業・組織もこの知見を活用し、自組織の資産に影響する項目を常に監視・修正することでセキュリティリスクを低減できます。

2025年Q3の統計データ概要

登録件数推移:2025年7月~9月の3か月間に新規追加されたKEV登録脆弱性(CVE)は51件でした(7月:20件、8月:15件、9月:16件)。四半期全体では昨年同期よりやや減少していますが、依然として月によるバラつきが見られ(例:7月の米国定例更新後に登録が集中)、継続的な注視が必要です。

ベンダー別状況:登録数の多かったベンダーは Microsoft 5件、Cisco 5件、Citrix 4件、Google 3件、D-Link 3件、TP-Link 3件 などです。特にMicrosoftとCiscoが最多件数を占め、WindowsやCiscoネットワーク機器への攻撃が続いています。D-Link/TP-Linkなど家庭用・SOHO機器向け製品も含まれており、これらは脆弱な旧機種のファームウェア更新が滞っている可能性があります。

脆弱性タイプ(CWE):DESerialze(CWE-502)関連の脆弱性が5件と最多で、続いてコマンド注入(CWE-77, 4件)やファイルパストラバーサル(CWE-918, 2件)、OSコマンドインジェクション(CWE-78, 2件)、SQLインジェクション(CWE-89, 2件)などが目立ちます。これらは過去に頻出した攻撃手法であり、継続的に悪用されています。

攻撃の自動化容易性(Automatable):「攻撃の自動化容易性(Automatable)」では、32件がNo(63%)、19件がYes(37%)でした。多くは手動操作や特定条件を要するため、自動スキャンによる大規模攻撃には向かない脆弱性です。

Technical Impact:影響範囲では39件(約76%)がTotal(完全乗っ取り可能)に分類され、12件(24%)がPartialでした。攻撃者は主にシステム全面制御を可能にする脆弱性を狙う傾向が続いており、特にCriticalやHighスコアの欠陥を悪用しています。

CVSSスコア:Q3の脆弱性ではCVSSベーススコア10.0が5件、9.8が4件、8.8が9件などハイスコアが多く、Critical帯(9.0以上)が約43%、High帯(7.0~8.9)が約39%を占めています。Q1では上位が8.8止まりでしたが、Q3には最大10.0点が新規に含まれており、深刻度の高い欠陥が多いことが分かります。

攻撃手法・影響の深掘り分析

ランサムウェア vs APT:1Q同様、ランサムウェア攻撃で悪用が確認されている事例は依然わずかです。一方で、国家または高度な持続的脅威(APT)による攻撃・スパイ活動での利用が多く見られます。CVE-2018-0171(Cisco IOS Smart Install脆弱性)やCVE-2023-20198は、中国系APT「Salt Typhoon」が実際に悪用したことが報告されています。ただし、敵対的勢力に限定されず、複数の脆弱性が攻撃チェーンで組み合わされることもあるため(1QではMitel事例など)、ランサムウェア対策も同時に強化すべきです。

特定脅威の事例:FBIは2024年末、D-Link製カメラの脆弱性(CVE-2020-25078等)を狙った「HiatusRAT」活動を警告しており、実際にこの攻撃で3件の古いD-Link脆弱性がKEVに登録されました。サポート終了機器の脆弱性が未修正のまま放置されると、こうしたボットネットや遠隔操作マルウェアに利用されるリスクが高まります。

CWE別動向:過去同様、コマンドインジェクション(CWE-78/CWE-77)やパストラバーサル(CWE-22)といった入力系脆弱性が依然悪用されています。また3Qでは不適切なデータ逆シリアル化(CWE-502)やメモリバッファ境界内での不適切な処理制限(CWE-119)など、複雑なプログラム上のロジック欠陥も目立ちます。これらはシステム乗っ取りや権限昇格につながりやすく、修正優先度が高い種類です。

攻撃影響:攻撃者は依然として完全制御可能な脆弱性を好みます。たとえ部分的な影響にとどまる脆弱性であっても、別のTotal脆弱性と組み合わせて悪用されるケースもあります。したがって、CVSS値の大小だけにとらわれず、KEVに掲載されている時点で高い優先度で対応すべきです。

組織が取るべき対策

KEV優先パッチの適用:CISAは「KEV掲載項目を修正リストの優先対象とする」ことを強く推奨しています。組織は定期的にKEVカタログを監視し、自社使用製品に該当するCVEがあれば速やかにパッチ適用・緩和を実施する体制を整えましょう。

主要ベンダー製品の更新:Microsoft、Cisco、Apple、Googleなど主要ソフトウェア・機器ベンダーは攻撃者の標的になりやすく、3Qも多くの脆弱性が報告されています。特に月例セキュリティアップデートや緊急パッチ情報を速やかにキャッチアップし、テストを経て迅速に展開することが重要です。

ネットワーク機器・IoT機器の点検:D-Link、TP-Link、Ciscoのネットワーク機器やカメラ、NAS等のファームウェアも最新化しましょう。サポート切れ機種はできるだけ更新・交換し、致命的脆弱性の放置を避けます。公開緩和策(設定変更やネットワーク分離)も併用しつつ、インターネット上に不要なポート・サービスを露出しないようにします。

検知・インシデント対応強化:脆弱性が攻撃に使われた痕跡を検知する対策も欠かせません。IDS/EDRのシグネチャや検知ルールを最新化し、CISAやセキュリティベンダーが提供するIoC/YARAルールを適用します。たとえまだ被害が確認されていない場合でも、KEV脆弱性攻撃の兆候を積極的に探すことで早期発見につながります。

資産管理と教育:社内システムの全資産(ハードウェア・ソフトウェア)の棚卸しを行い、インベントリを最新化します。利用していないシステムや旧OSの台数削減、サードパーティーソフトの更新状況もチェックし、脆弱性の見逃しを防ぎます。また、開発・運用部門に対しては「古い脆弱性は放置厳禁」「セキュリティアップデート必須」の意識を共有し、定期的な啓発・トレーニングを行いましょう。

脆弱性管理体制の強化:上記対応を継続的に行うため、脆弱性管理プロセスやツールを整備します。パッチ適用状況の追跡、KEVカタログとの自動照合、レポート体制など、業務フローに組み込み、専門人員や自動化ツールの活用も検討します。新たな脆弱性報告が急増した場合でも迅速に対応できるよう、定期レビューと定量的なKPI設定も有効です。

まとめ

2025年3QのKEVカタログ分析からは、Microsoft/Cisco製品やネットワーク機器を狙った攻撃が依然として顕著であること、古い脆弱性も攻撃対象になりやすいことが分かります。また、攻撃者はCVSSスコア「Critical」に限らず、「High」の脆弱性も活用しています。組織はKEV掲載の脆弱性=攻撃で狙われた証拠と捉え、迅速に対策を講じる必要があります。具体的には、KEVカタログを自社の優先パッチリストに組み込み、主要ベンダー更新と旧式機器の点検・更新を徹底することが重要です。セキュリティ担当者・経営層はこれらの統計を踏まえ、脆弱性管理の体制強化と運用改善に積極的に取り組むべきでしょう。

CISAおよび関連情報源から提供されるKEVカタログには、常に最新の悪用脆弱性情報が掲載されます。定期的な情報収集と早期対策実施により、組織のサイバーリスクを効果的に低減することができます。

BBSecでは

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年11月12日(水)14:00~15:00
    なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較
  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    連載記事:企業の「攻め」と「守り」を支えるIoT活用とIoTセキュリティ
    第3回 企業が取り組むべきIoTセキュリティ対策とは?─実践例に学ぶ安全確保のポイント

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    IoT活用とIoTセキュリティアイキャッチ(IoTセキュリティ対策とは)

    IoTセキュリティは、もはや一部の技術課題ではなく企業全体の経営課題となっています。脆弱なIoT機器はサイバー攻撃の踏み台や情報漏洩の原因となり、業務停止やブランド毀損につながりかねません。本記事では、資産棚卸しから設計・運用における多層防御、さらに外部診断の活用まで、企業が取り組むべきIoTセキュリティ対策を具体事例とともに解説し、安全なIoT活用のための実践ポイントを整理します。

    「まずは現状把握」―資産棚卸しの重要性

    IoTセキュリティ対策の出発点は、社内にどのIoTデバイスが何台あり、ファームウェアのバージョンや通信先がどうなっているかを洗い出すことです。NECが公開した導入事例では、工場・支店・データセンターを含む23拠点で6,200台のIoT機器を自動スキャンし、未登録機器を310台発見しました。資産リストと脆弱性データベース(NVDやJVN iPedia)を突き合わせることで、更新が必要な機種を優先度順に並べ替え、限られた工数で最大効果を得られる計画が立案できたと報告されています。

    設計・実装フェーズで盛り込むべき技術的対策

    ハードウェアでは、Secure BootとTrustZone®などハードウェアルートオブトラストを採用し、改ざんファームが起動しない仕組みを導入します。通信経路はTLS1.3やDTLS1.3で暗号化し、MQTT over TLSやHTTPSを選択することで盗聴・改ざんリスクを最小化します。さらにデバイス固有の秘密鍵をTPM2.0に格納することで、鍵抽出攻撃を物理的に困難にします。NIST SP 800-213ではこのような多層防御を「IoT Reference Architecture」として例示しています。

    運用フェーズで欠かせない管理プロセス

    いかに堅牢な設計をしても、現場でのパスワード再利用やテスト用アカウント放置が残されると台無しになります。Palo Alto Networksの2024年調査では、IoTデバイス侵害の31%が「デフォルト認証情報の継続使用」が原因でした。運用部門は設定変更ログを SIEMに集約し、アラート閾値を“失敗ログイン3回”など具体的かつ実践的に定義します。加えてSBOM(Software Bill of Materials)を更新し、上流ライブラリに脆弱性が見つかった際は影響範囲を素早く把握できる体制を整えます。

    ケーススタディで学ぶ成功パターン

    ケースA

    国内自動車部品メーカーは、月次でしか実施していなかったファームウェア更新をOTA(Over-the-Air)方式に切り替え、異常が発覚した翌日にパッチ配布を完了できる体制を確立しました。その結果、取引先OEMからのセキュリティ監査に合格し、新規受注を獲得しています。

    ケースB

    大手小売企業は、POSとは別にIoT専用VLANを構築してネットワークを分離し、さらにクラウド監視サービスでトラフィックのベースラインを学習させました。導入6か月後に出力されたアノマリーアラートから不審なDNSクエリを発見し、マルウェア感染初期段階で遮断に成功しています。

    第三者によるセキュリティ診断を活用するメリット

    社内リソースで脆弱性検証を網羅するのは現実的に困難です。第三者による「IoT セキュリティ診断(SQAT for IoT)」では、ファームウェア静的解析、無線インターフェース侵入テスト、クラウド・API・構成レビューまでを一気通貫で実施し、重大度レベルと具体的な修正手順を報告書に整理します。日本電気株式会社(NEC)の調査では、第三者によるセキュリティ診断を受けた企業の72%が「投資対効果を定量化しやすくなった」と回答しており、経営判断の材料としても有効です。

    企業が今すぐ実施できる行動

    まず資産棚卸しツールでネットワークをスキャンし、IoT機器の一覧を作成してください。次に管理画面へログインし、初期パスワードが残っていないか、暗号化が有効かを確認しましょう。同時にクラウドプラットフォームのアクセスキーを見直し、最小権限原則に沿ってIAMポリシーを設定します。これら最低限の対策さえ済めば、専門家による脆弱性診断やペネトレーションテストを受ける際にも、対処漏れの洗い出しに集中できます。

    まとめ―「攻め」と「守り」を両立させるために

    IoTとは単なるバズワードではなく、リアルタイムデータを基盤に業務を変革する武器です。しかし武器は手入れを怠ると自社を傷つけます。本連載で取り上げたIoT例とIoT事例は、いずれもセキュリティ対策とセットで初めてビジネス価値を生み出しています。情報システム部門が主導してIoTセキュリティの体制を築き、経営層が適切に投資判断を下す。――この連携があってこそ、IoT機器は企業の競争力を押し上げる資産になります。自社の現状に一抹の不安があるなら、まずは第三者による「IoTセキュリティ診断」で弱点を可視化してみてはいかがでしょうか。

    【参考情報】

    【連載一覧】

    ―第1回「今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
    ―第2回「身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性」―
    ―第3回「企業が取り組むべき IoT セキュリティ対策とは?─実践例に学ぶ安全確保のポイント」―

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月17日(水)14:00~15:00
    サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─
  • 2025年9月24日(水)12:50~14:00
    製造業・自動車業界のためのサプライチェーン対策 -攻撃事例から学ぶ企業を守るセキュリティ強化のポイント-
  • 2025年10月1日(水)13:00~14:00
    2025年10月Windows10サポート終了へ 今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    連載記事:企業の「攻め」と「守り」を支えるIoT活用とIoTセキュリティ
    第2回 身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    IoT活用とIoTセキュリティアイキャッチ画像(IoTセキュリティの脅威)

    IoTの普及は企業活動を大きく変革する一方で、新たなセキュリティリスクを急速に拡大させています。スマートカメラや複合機といった身近な機器が攻撃の標的となり、情報漏洩や業務停止といった深刻な被害につながる事例も増加中です。本記事では、IoTセキュリティ特有の脅威や実際の被害事例を取り上げ、そのリスクを正しく理解することで、経営層やIT担当者が取るべき対策の必要性を明らかにします。

    IoTセキュリティの特殊性

    PCやサーバであればOSベンダーが月例パッチを配布し、管理者もGUIで容易に適用できます。ところが、IoTデバイスは制御用の軽量OSを採用しており、そもそも自動更新機能が実装されていない機種が少なくありません。屋外や高所に長期設置される機器の場合、物理的にアクセスしてUSB経由でアップデートする手間が大きく、結果として脆弱性が放置される確率が跳ね上がります。NIST SP 800-213は「設置場所と更新手段の乖離がIoT固有のリスクを増幅させる」と分析しています。

    攻撃者がIoT機器を狙う3つの合理性

    まず第1に台数の多さです。SonicWall社が公開している「2023 SonicWall Cyber Threat Report」によると、「世界のマルウェア感染端末の40%以上がIoT由来である」と指摘されています。第2に防御の甘さが挙げられます。JPCERT/CCが2024年に国内8,000台を調査*1したところ、Telnetや SSHのデフォルト認証情報がそのままのIoTデバイスが12%存在しました。第3は“隠密性”です。プリンタや監視カメラがマルウェアのC&C通信に使われても、ユーザは映像も印刷も通常どおり動くため気づきにくいという状況があります。

    代表的な被害事例

    2016年のMiraiボットネットはコンシューマー向けルーターとネットワークカメラに感染し、最大620GbpsのDDoSトラフィックを発生させ、米DNSプロバイダーDynを一時機能停止に追い込みました。2021年3月に表面化した Verkada社のスマートカメラ大量侵入事件では、管理者アカウント情報がGitHubに誤って公開され、テスラ工場や病院を含む15万台超の映像が外部から閲覧可能となりました。直近ではRapid7が2024年12月に公表したBrother製複合機の脆弱性(CVE-2024-22475ほか)も、認証バイパスによる遠隔コード実行が可能だったため、印刷ジョブを改ざんできるリスクが指摘されました*2

    主要IoTセキュリティ事件年表(2016-2025年)

    事件概要影響・被害
    2016Miraiボットネットが家庭用ルーターやネットワークカメラを大量感染させ、620Gbps超のDDoS攻撃で米DNS大手Dynを一時停止*3 大規模サービス停止・インターネット障害
    2017国内外で小規模監視カメラへの不正ログインが相次ぎ、ライブ映像がストリーミングサイトに無断公開*4 プライバシー侵害・二次被害拡大
    2018スマート冷蔵庫を含む家電の脆弱性が複数報告され、メーカーが初のOTAアップデートを緊急配布*5 家電乗っ取りリスク・アップデート体制の課題顕在化
    2019スマートロックなど家庭IoT機器でデフォルト認証情報が放置され、遠隔でドア解錠される事例が報道*6 個人宅への侵入・安全確保への不安
    2020新型Mirai派生マルウェアが出現、IoT機器を踏み台にしたDDoS攻撃件数が前年比2倍に*7 ネットサービス障害・帯域逼迫
    2021Verkada社クラウド連携カメラの管理認証情報が流出し、15万台超の映像が外部閲覧可能に*8 大規模映像漏洩・企業ブランド毀損
    2022国内調査で初期パスワードのまま運用されるIoTデバイスが12%見つかり、ボット化被害が多発ネットワーク踏み台化・社内横展開
    2023複数メーカーのスマート照明とセンサーでAPI認証不備が発覚し、遠隔操作や情報流出の恐れ*9 遠隔操作リスク・業務影響
    2024Brother製複合機に遠隔コード実行脆弱性(CVE-2024-22475など)が公表、修正ファーム未適用機が残存*10 印刷ジョブ改ざん・情報漏えい
    2025ランサムウェアが産業用IoT機器を暗号化し、生産ラインを停止させる事例が欧州で初報告*11 業務停止・身代金要求

    ※上記事例ソースはすべて一次ソース/一次レポートへの直接リンクもしくは、当該数値・事件を初報として扱った公式発表・専門調査記事です。

    放置すると何が起こるのか

    攻撃によってネットワーク経由で制御を奪われた生産ラインは、最悪の場合でシャットダウンや誤動作を招きます。IPAの試算では、主要部品メーカーが72時間停止した際のサプライチェーン損失は300億円規模に及ぶとされています。さらに監視カメラ映像の流出は顧客や従業員のプライバシー侵害となり、個人情報保護法やGDPRの制裁金が発生する可能性も否定できません。攻撃が社会的信用の喪失に直結する点で、IoTセキュリティは経営課題と捉える必要があります。

    国際・国内動向が示す「対策の必然性」

    ETSI EN 303 645(欧州電気通信標準化機構)は「サイバーセキュリティを前提にIoTを設計せよ」という“セキュリティ・バイ・デザイン”指針を2020年に発効しました。日本でも総務省が2022年に『IoT セキュリティアクション』を改定し、企業規模を問わず「現状把握・リスク分析・対策実装・監視運用」というPDCAを回すことを推奨しています。こうした規制・ガイドラインは今後さらに強化されると見込まれ、早期に準拠体制を整えた企業ほど市場競争力を高める構図になりつつあります。

    ―第3回へ続く―

    【連載一覧】

    ―第1回「今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
    ―第2回「身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性」―
    ―第3回「企業が取り組むべき IoT セキュリティ対策とは?─実践例に学ぶ安全確保のポイント」―

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月10日(水)14:00~15:00
    フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年9月17日(水)14:00~15:00
    サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    連載記事:企業の「攻め」と「守り」を支えるIoT活用とIoTセキュリティ
    第1回:今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識―

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    IoT活用とIoTセキュリティアイキャッチ画像(IoTデバイスの基本)

    はじめに:連載の背景

    新聞やビジネス誌を開くと「IoTとは」という見出しを見かける日も多くなりました。しかし、IT部門や経営層の会議で実際に自社では何をどう活用するのかと議論が始まると、抽象論のまま立ち往生してしまう例が多いのも事実です。本連載では「IoTデバイスの基本」「IoTセキュリティの脅威」「企業が実践すべき対策」を三回にわたって解説します。最後まで読むことで、読者の皆様が社内で議論を前に進めるための土台が整えられることを願っています。

    「Internet of Things」誕生の背景

    IoTという造語は 1999年、英 Auto-ID Center(現MIT Auto-ID Lab)でRFID研究に携わっていたケビン・アシュトン氏が提唱したのが始まりとされています。当時はネットワークに常時接続するセンサーは高価で、実用化は一部の製造ラインに限られていました。ところが2010年代に入り、3G/4G回線の広域整備とWi-Fiチップの低価格化が進んだことで導入コストが急速に低下し、クラウドが解析基盤を提供する現在の「IoT構造」が定着しました。総務省『情報通信白書令和5年版』によれば、世界のIoT機器(以降、本記事内ではIoTデバイスまたはIoT機器と表記します)の稼働台数は2022年時点で約147億台、2025年には270億台超へ倍増すると見込まれています。

    IoT機器の台数推移(2022-2025年)

    参考:IoT Analytics「IoT 2022: Connected Devices Growing 18% to 14.4 Billion Globally」,「State of IoT 2024: Number of connected IoT devices growing 13% to 18.8 billion globally」(PDF)

    IoTアーキテクチャの四層モデル

    多くの国際標準では「デバイス層・ネットワーク層・プラットフォーム層・アプリケーション層」という四つの階層で IoTシステムを整理します。デバイス層では温度や振動を“測る”センサーと、モーターやリレーを“動かす”アクチュエータが中心的な役割を担います。ネットワーク層ではWi-Fi、Bluetooth Low Energy、LoRaWAN、NB-IoT、5Gなど目的に応じた通信技術が選択され、プラットフォーム層ではAWS IoT CoreやMicrosoft Azure IoT Hub、NTT Communications Things Cloud®などがデータの収集・蓄積・分析をつかさどります。最上位のアプリケーション層が可視化ダッシュボードや制御アプリを提供し、ユーザ企業はそこから意思決定を行うという構造です。

    参考:NIST SP 800-213「IoT Device Cybersecurity Guidance for the Federal Governent: Establishing IoT Device Cybersecurity Requirements」,GeeksforGeek「Architecture of Internet of Things (IoT)」,Zipit Wireless Blog「4 Layers of IoT Architecture Explained

    身近に増えるIoTデバイスの実像

    今や一般家庭にも浸透するスマートスピーカーは、音声認識マイクと温湿度センサーを内蔵し、クラウド側で音声コマンドを解析してエアコンや照明を制御します。オフィス向けではネットワークカメラがクラウド映像分析サービスと連携し、不審者や深夜の残業者を自動検知します。製造現場で稼働する振動センサーは0.1秒単位でモーターの揺れを測定し、閾値しきいちを超える振幅を捉えると、PLC(Programmable Logic Controller)へ緊急停止信号を返します。農業分野では土壌水分センサーと気象APIを組み合わせ、最適な潅水量を算定してポンプを自動起動するスマート農業システムが普及し始めました。医療分野のウェアラブル端末は心拍・SpO₂・体温をクラウドに送信し、医師が専用アプリで異常を見逃さない仕組みを構築しています。

    IoT例から見えるビジネスインパクト

    製造業の典型的なIoT事例は予知保全です。独Bosch Rexroth社はラインに5,000個のセンサーを実装し、振動データと過去の故障ログをAIが突き合わせることでダウンタイムを25%削減したと発表しています。小売業では米WalmarがRFIDと重量センサーを併用してリアルタイム在庫を可視化し、欠品率を16%下げたことで年間10億ドル規模の機会損失を回避したと報告しました。日本国内でも関西電力がスマートメーター経由で収集した使用電力データを解析し、節電インセンティブのプログラムを顧客へ提示することでピークカットに成功した事例が公表されています。

    導入メリットの裏に潜む注意点

    リアルタイムデータに基づく迅速な意思決定、業務の自動化、新規サービス創出という恩恵は大きいものの、IoTセキュリティが後手に回るとその利点は一瞬で吹き飛びます。総務省『IoT セキュリティガイドライン ver 1.0』では、「初期パスワードのまま運用」「ファームウェアの自動更新機能が無効」といった“ありがちな設定”を放置すると、攻撃者にネットワークの踏み台として悪用される危険性が高いと明示しています。次回以降、脅威と対策を深掘りしますが、まずは“便利さとリスクは表裏一体”であると認識することが企業リーダーへの第一歩です。

    第2回へ続く―

    【連載一覧】

    ―第1回「今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
    ―第2回「身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性」―
    ―第3回「企業が取り組むべき IoT セキュリティ対策とは?─実践例に学ぶ安全確保のポイント」―

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年9月3日(水)13:00~14:00
    止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~
  • 2025年9月10日(水)14:00~15:00
    フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
  • 2025年9月17日(水)14:00~15:00
    サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    記録破りのDDoS攻撃!サイバー脅威の拡大と企業が取るべき対策とは?

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、DDoS攻撃の規模と頻度が急激に増加しており、企業や組織にとって無視できない脅威となっています。特に、2024年第4四半期には、過去最大規模となる5.6テラビット毎秒(Tbps)のDDoS攻撃が確認され、サイバー攻撃の新たな段階へと突入したことがわかりました。この攻撃は、わずか80秒間で1万3,000台以上のIoTデバイスを利用して実行され、Cloudflare社のDDoS防御システムによって自動的に検出・ブロックされました。

    お問い合わせ

    お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

    DDos攻撃の事例として、SQAT.jpでは日本航空へのサイバー攻撃の実態についても解説しています。こちらもあわせてぜひご覧ください。
    【徹底解説】 日本航空のDDoS攻撃被害の実態と復旧プロセス
    Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策

    DDoS攻撃の増加と進化する手口

    2024年第4四半期には、Cloudflare社が軽減したDDoS攻撃の件数が690万件にのぼり、前四半期比16%、前年比83%の増加を記録しました。さらに、1Tbpsを超える大規模攻撃の件数は前四半期比で1,885%も増加し、これまで以上に大規模な攻撃が常態化しつつあります。

    HTTP DDoS攻撃では、既知のボットネットによる攻撃が全体の73%を占め、11%は正規のブラウザを装った攻撃、10%は疑わしいHTTPリクエストによる攻撃でした。ネットワーク層(L3/L4)攻撃では、SYNフラッド(38%)、DNSフラッド(16%)、UDPフラッド(14%)が主要な手法として確認されています。また、Miraiボットネットの亜種による攻撃が特に顕著であり、2024年第4四半期には、この攻撃手法の使用頻度が131%も増加しました。

    企業が直面するDDoS攻撃のリスクとは?

    DDoS攻撃がもたらす影響は多岐にわたります。最も直接的な被害は、システムのダウンによる業務停止であり、企業の信用低下や顧客離れにつながる可能性があります。また、近年増加している「ランサムDDoS攻撃(Ransom DDoS)」では、攻撃を受けた企業が身代金の支払いを要求されるケースが増えています。2024年第4四半期には、Cloudflare社の顧客でDDoS攻撃を受けた顧客のうち、12%が身代金の支払いを求められ、前年同期比で78%の増加を記録しました。

    業界別にみると、通信業界が最も多くの攻撃を受け、次いでインターネット関連業界、マーケティング・広告業界が標的となっています。特に、金融業界は依然としてサイバー犯罪者にとって魅力的なターゲットとなっており、資金詐取を目的とした攻撃が増加しています。

    DDoS攻撃から企業を守るための対策

    DDoS攻撃の脅威が拡大するなか、企業は効果的な防御策を講じる必要があります。特に、以下のような対策が推奨されます。

    1. 常時オンのDDoS防御システムの導入
      DDoS攻撃の多くは短時間で発生するため、人間の対応では間に合わないケースが多いです。自動検知・防御機能を備えたDDoS対策ソリューションを導入することで、攻撃を迅速に無力化できます。
    1. ネットワーク層とアプリケーション層の両方を保護
      DDoS攻撃には、L3/L4(ネットワーク層)攻撃とL7(アプリケーション層)攻撃があります。両方の層に対する防御対策を講じ、ファイアウォールやWAF(Web Application Firewall)を活用することが重要です。
    1. ゼロトラストアーキテクチャの採用
      攻撃者の侵入を最小限に抑えるために、ゼロトラストモデルを導入することも有効です。認証・認可プロセスを強化し、アクセス制御を厳格化することで、不正なトラフィックを遮断できます。
    1. クラウドベースのDDoS対策の活用
      オンプレミスのDDoS対策はコストが高く、攻撃の規模が拡大するにつれて対応が難しくなります。クラウドベースのDDoS防御サービスを活用することで、スケーラブルなセキュリティ対策を実現できます。
    1. 定期的な脆弱性診断とインシデント対応計画の策定
      攻撃のリスクを最小限に抑えるために、定期的なセキュリティ監査を実施し、DDoS攻撃を想定したインシデント対応計画を策定することが不可欠です。特に、SLA(サービスレベルアグリーメント)を明確にし、攻撃発生時の対応フローを事前に決めておくことが重要です。

    今後のDDoS攻撃トレンドと企業が取るべきアクション

    DDoS攻撃は今後さらに巧妙化し、大規模化すると予想されています。特に、AIを活用したボットネット攻撃や、IoTデバイスを悪用した攻撃が増加する見込みです。さらに、特定の企業や業界を標的とした「高度な標的型攻撃(APT)」の手法がDDoS攻撃にも応用される可能性があります。

    企業は、単に防御するだけでなく、プロアクティブなセキュリティ戦略を採用し、攻撃を未然に防ぐ体制を構築する必要があります。DDoS攻撃はもはや一部の企業だけの問題ではなく、あらゆる業界にとって喫緊の課題となっています。

    常に最新の脅威情報を把握し、効果的な防御策を講じることで、企業のシステムとデータを守ることができます。DDoS攻撃のリスクを最小限に抑えるためには、今すぐ適切な対策を実施することが求められるでしょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 2025年3月5日(水)13:00~14:00
    ランサムウェア対策の要!ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年3月12日(水)14:00~15:00
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    脆弱性診断の必要性とは?ツールなど調査手法と進め方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    企業が施すセキュリティ対策は広範かつ複雑になっています。外部からのサイバー攻撃や、内部での情報の持ち出しなど、セキュリティの脅威が多様化しているためです。企業が保護すべき情報、アプリケーション、機器の種類・数などが拡大していることも理由に挙げられます。

    「脆弱性診断」ではアプリケーションやサーバ、ネットワークに、悪用できる脆弱性がないかを診断します。本記事では、ライフサイクル別にどんな診断が必要か、ツール診断と手動診断、ペネトレーションテストとの違いなどを解説します。

    脆弱性診断とは

    脆弱性診断とは、企業・組織のシステムに内在するセキュリティ上の既知の欠陥(=脆弱性)を特定する検査です。Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど診断対象により様々な脆弱性診断があります。セキュリティ上の問題点を可視化することで、情報漏洩やサービス停止等のセキュリティ事故を防ぐために、どのような対策を実施すればよいか検討するのに役立ちます

    脆弱性のリスクについてはこちらの関連記事もあわせてご参照ください。
    BBSec脆弱性診断結果からみる― 脆弱性を悪用したサイバー攻撃への備えとは ―
    定期的な脆弱性診断でシステムを守ろう!-放置された脆弱性のリスクと対処方法-
    既知の脆弱性こそ十分なセキュリティ対策を!
    今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―

    脆弱性診断の必要性

    情報資産を守るため

    CIA説明画像

    情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守るためにも、脆弱性診断は必要な理由の一つです。


    「機密性」…限られた人だけが情報に接触できるように制限をかけること。
    「完全性」…不正な改ざんなどから保護すること。
    「可用性」…利用者が必要なときに安全にアクセスできる環境であること。


    これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせないものとなります。

    情報セキュリティ事故を未然に防ぐため        

    攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

    サービス利用者の安心のため

    パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない現在、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

    脆弱性診断の種類

    診断対象により、さまざまな脆弱性診断サービスがあります。まず、企業が開発したWebアプリケーションが挙げられます。問合せや会員登録といった、入力フォームの入出力値の処理、ログイン機能の認証処理などに対して、幅広く網羅的に脆弱性診断が行われます。

    次に、そのWebアプリケーションを実行するサーバやネットワーク機器、OSやミドルウェアに脆弱性がないか検査するプラットフォーム診断があります。

    アプリケーションの脆弱性診断には、既知の攻撃パターンを送付して対象システムやソフトウェアの挙動を確認する「ブラックボックステスト」という方法があります。 「ブラックボックステスト」では、実装時における脆弱性は検出できますが、そもそもプログラムの設計図であるソースコード中に存在する脆弱性を網羅的には検査することには適していません。

    この場合、ソースコード開示のもと「ソースコード診断」する方法が有効です。「ソースコード診断」は「ブラックボックステスト」に対して 「ホワイトボックステスト」とも呼ばれます。また、「ソースコード診断」はさらに、プログラムを実行しないで行う「静的解析」と、実行して行う「動的解析」に分類できます。

    ソースコード診断についてはこちらの記事もあわせてご参照ください。
    ソースコード診断の必要性とは?目的とメリットを紹介

    そのほか、近年増加の一途をたどるスマホアプリケーションIoT機器を対象とした脆弱性診断もあります。

    脆弱性診断画像

    (株式会社ブロードバンドセキュリティのサービス分類に基づく)

    脆弱性診断とペネトレーションテストの違い

    脆弱性診断とペネトレーションテストは、双方とも脆弱性などを検出する点では似ていますが、目的と方法が少し異なります。脆弱性診断は既知の脆弱性を網羅的に検出することを目的としています。

    ペネトレーションテストは、「侵入テスト」の名前のとおり、疑似的なサイバー攻撃を仕掛けてセキュリティ対策の有効性を評価するために実施します。技術的アプローチだけでなく、対象となる組織の構成や、業務手順、ときには物理的な施設の特徴すら加味して、攻撃シナリオを作成する「レッドチーム演習」と呼ばれるテストを実施することもあります。

    シナリオに沿ってペネトレーションテスターが攻撃を実行し、システムに侵入できるか、ターゲットとする資産(多くは知的財産)にたどり着くことができるかどうかなどをテストします。ペネトレーションテストは脆弱性診断と比べて、技術力はもちろん、より幅広い見識やセンスが求められます。

    脆弱性診断のやり方(方法)

    脆弱性診断にはツールを使って自動で診断する「ツール診断」とエンジニアが診断する「手動診断」があります。

    ツール診断

    「ツール診断」では、セキュリティベンダーが、商用または自社開発した脆弱性診断ツールを用いて脆弱性を見つけ出します。脆弱性診断ツールと呼ばれるコンピュータプログラムを実行して、その応答から脆弱性を検知していくもので、自動診断とも呼ばれます。機械的に不正なHTTPリクエストを送り付ける疑似攻撃を行いますが、クラッカーによる攻撃とは異なり、あくまでも 脆弱性を見つけ出すことが目的であるため、システムを破壊することはありません。

    CPEサービスリンクバナー

    ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多く、その結果は担当者が補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

    脆弱性診断ツールとは

    脆弱性診断ツールには、たとえばWebアプリケーション診断の場合に、検査コードと呼ばれる不正なHTTPリクエストを送信し 擬似攻撃するプログラムがあります。

    手動診断

    技術者がプロキシツールを介してWebブラウザでサイトにアクセスした際に発生するリクエストを書き換える形で、脆弱性を確認する方法です。ツール診断と比べ検査項目も広く、また細かな検査ができるのが特徴です。

    手動診断は、経験と専門性を持つ技術者によって実施され、機械的な判断では見落としてしまう画面遷移・分岐にも対応できるメリットがあります。発見した脆弱性の再現手順や、最新動向を加味した対策方法などを提示してくれるのも、手動診断ならではの特徴と言えます。

    ツール診断と手動診断は、どちらが優れていると比較するものではありません。それぞれの特長を生かし、予算に合わせて組み合わせることで、コストパフォーマンスを発揮できるでしょう。

    脆弱性診断サービスの流れ

    セキュリティベンダーに脆弱性診断を依頼する際は、まず 診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。

    診断が終了するとベンダーからレポートが提供され、報告会が行われることもあります。レポートに記載された脆弱性には深刻度などがスコア化されていることもあります。内容に応じて優先度をつけて、脆弱性をふさぐ必要があります。

    チームによる診断・分析・保守画像

    継続的なセキュリティ対策の実施を

    脆弱性診断は一度実施したらそれで終わり、というものではありません。脆弱性診断により発見された問題に対し対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

    重要なのは、システムライフサイクルの各フェーズで、適切な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することです。診断ツールの検討に関しては自組織の環境やシステム特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

    まとめ

    企業の情報システムが複雑かつ大規模になった現在、カード情報や個人情報・機密情報を狙う内外からの脅威に対して、企業もさまざまな予防手段を打っていく必要があります。情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法として「脆弱性診断」があります。

    ・脆弱性診断とは企業・組織のシステムに内在するセキュリティ上の既知の欠陥(=脆弱性)
     を特定する検査
    ・Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど診断対象により様々な脆弱性診断がある
    ・脆弱性診断を実施し洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要である

    まずは無料で資料をダウンロード

    サービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
    見積もりについてのご相談は、お問い合わせよりご連絡ください。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    投稿日:

    Botの脅威!
    IoT機器を踏み台にする新たなボットネットも登場

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    いろいろな場面で「ボット(Bot)」という言葉を耳にします。今回の記事では、仕事や暮らしを便利にする「良いボット」ではなく、感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用される「悪いボット」について、その感染経路や、攻撃活動の種類、感染予防の対策などを解説します。また、近年問題になっているIoT機器に感染するボットの被害事例を紹介し、IoT機器のメーカーやユーザが実施すべき対策について考えます。

    ボット(Bot)とは

    「ボット」とは「ロボット」に由来する言葉で、特定の作業を自動で行うプログラムやアプリケーション、機器のことです。iPhoneに搭載されたSiriなどのチャットボットが身近な例として挙げられます。いずれのボットも、プログラムに従ってアルゴリズムやAIで判断を行い、定められたタスクを実行します。

    人間の手間を減らし生活を便利にするのが本来のボットの役割ですが、サイバーセキュリティの世界には、コンピュータやネットワークに脅威を与える「悪いボット」がたくさん存在します。ひょっとしたら、この記事を読んでいるあなたのPCの中にも「悪いボット」が隠れているかもしれません。

    マルウェア、ウイルスとボットの違い

    ボットはマルウェア、ウイルスの一種です。「『マルウェア』とは何か?」の記事で説明したトロイの木馬と同様に、感染したPCにバックドアを作り、PCを外部から遠隔操作可能な状態にします。PCのユーザは感染に気づかないことが多く、ボットオーナーの意のままにPCが操られます。

    感染端末への外部からの遠隔操作は、C&C(シー・アンド・シー)またはC2(シー・ツー)などと呼ばれるサーバを通じて行います(C&C、C2とは「Command
    and Control:指示と制御」の略です)。

    ボットウイルスに感染した端末を「ゾンビPC」と呼ぶこともあります。たとえばDDoS攻撃などに悪用されるボット化した大量のPCのイメージが、ホラー映画に登場するゾンビの群れに似ていることから名付けられたと言われています。

    ボットの予防対策と感染経路、検知、駆除

    ボットの感染対象は、近年PCだけでなく、スマホやIoT機器にまで及んでいます。感染経路は通常のマルウェアと変わりません。PCやスマホの場合はメールの添付ファイル、URLのクリック、Webサイトの閲覧で感染することもあります。

    ボット感染の予防対策は、PCやスマホについてはOSやソフトを最新の状態にアップデートしたり、アンチウイルスソフトを最新の状態にすることが求められます。これも通常のマルウェア対策と変わりません。アンチウイルスにパターンファイルが存在するボットであるなら、検知して駆除することができます。また、「ランサムウェア」の記事で説明したEDRを使うことで、ボットによって実行される攻撃活動を検知できる場合もあります。

    しかし、どんなに対策をとっていたとしても、亜種が次々と開発され、攻撃手法も変化し、常にすべてを防げるとは限らない点も通常のマルウェアと一緒です。

    スパム送信やDDoS攻撃、ボットの活動の種類

    ボットは、宿主であるPCなどの機器のインターネット接続とCPU資源を用いて、スパムメール送信やDDoS攻撃など、コンピュータとインターネットにおけるさまざまな反社会的活動を行います。近年は、スマホアプリの中で動作し、不正や詐欺などを行うボットも存在します。

    ボット化した端末が大量に集められ、制御下におかれた状態を「ボットネット」「ボットネットワーク」と呼びます。ボットネットは、スパムメール送信やDDoS攻撃など、規模がものを言うサイバー攻撃のインフラとして悪用されます。単なるトロイの木馬とボットとの違いは、このボットネットを形成するかどうかという点にあります。

    近年、IoT機器に感染を広げ形成される、大規模なボットネットが問題となっています。

    なぜボットはPCだけではなくIoT機器を狙うようになったのか

    2016年、当時セキュリティの歴史上最大と言われたDDoS攻撃を行ったのが、「Mirai」と呼ばれるマルウェアによって形成されたボットネットでした。Miraiの特徴は、ネットワークカメラやルータなど、家庭内のIoT機器を主要ターゲットとしていたことです。なぜ家庭内のIoT機器が狙われたのでしょう。

    それは、IoT機器がPCなどと比較して、1)工場出荷時のままで使用されることが多い、2)PCより圧倒的に台数が多い、3)外部からの接続を許容することが多い、という3条件がそろっていることが背景にあります。これらの条件がそろうと、犯罪者は単一の手法で一気に大量の機器を感染させることが可能となり、大規模なDDoS攻撃などを成立させることができるのです。

    IoTボットの感染経路:Miraiの場合

    悪名高いMiraiマルウェアの場合、Telnetに割り当てられるTCPの23番ポートが開いていないか探索したり、管理画面に辞書攻撃(「ブルートフォース攻撃」の記事を参照)などを行って不正にログインするなどして、ボットがインストールされました。

    しかし、これらの感染経路や攻撃の特徴も、日々アップデートされ変化していきます。さすがに、本稿執筆時の2020年時点で、TCP23番ポートの開放は少なくなっており、かわりにUniversal Plug and Play(UPnP)が利用するポートを狙う攻撃などが観測されています。

    メーカー/ユーザ別、IoT機器のボット感染対策

    IoTボット感染対策としてIoT機器メーカーは、「パスワードをデフォルトで使えないようにする」「telnetが利用する23番ポートやUPnPが利用するポートなど、悪用される可能性があるポートに外部からアクセスできないようにしておく」などの対策を行うことが求められます。また、販売後のサポート体制の一環としてセキュリティパッチを継続して一定期間提供し続けることや、セキュリティパッチの自動適用の機能を搭載するといったことも必要でしょう。

    一方、ユーザ側は、まずは「パスワードをデフォルトで使わない」「パスワードを長くする」「メーカーのセキュリティパッチが出たらすぐに当てる」など基本対策が大事です。しかし、セキュリティパッチの適用は一般のご家庭ではなかなか実行が難しいところではないでしょうか。また、TCP23番ポートのインターネットへの開放など、攻撃に悪用される可能性のある設定の修正も推奨されますが、これもまた一般のご家庭での対応は難しいところではないかと思います。

    自分でセキュリティパッチが当てられない、設定の変更は難しいといった状況でIoT機器を購入される際は、セキュリティパッチの自動適用機能の有無や、セキュリティ上の懸案事項が出た場合のメーカーの対応などもチェックするとよいでしょう。また、古いネットワークカメラやルータなどのIoT機器については、サポート期限が切れている場合や、セキュリティパッチ自体の提供ができない・終わっているといったものがあります。こういった機器については(特にテレワークで在宅勤務をされている場合には)早急に買い替える必要があります。

    IoTボットに狙われる脆弱性の検知事例

    SQAT.jpを運営する株式会社ブロードバンドセキュリティは、脆弱性診断ペネトレーションテストをはじめとして、APIIoT機器まで、さまざまなセキュリティ診断サービスを提供しています。

    診断対象のTCP23番ポートが外部に向けて開いていたというのは、脆弱性診断で数年前であればたびたび指摘される項目でした。最近ではTCP23番ポートの開放が指摘されるケースはまれですが、代わりにIoT機器がDoS攻撃等の脆弱性がある古いバージョンのファームウェアを使っていたことを指摘するといったケースが出ています。社内で利用するPCやIoT機器に、ボットの侵入や悪用を許す弱点がないかを判断するためには、日頃の基本対策だけでなく、第三者による脆弱性診断やペネトレーションテストが役に立ちます。

    まとめ

    • ボットとは、特定の作業を自動で行うプログラムやアプリのことです。チャットボットに代表される「良いボット」とサイバーセキュリティ上の脅威となる「悪いボット」があります。

    • 「悪いボット」はウイルスやマルウェアの一種で、ボットネットと呼ばれる感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用されます。

    • ボットネットは、スパムメール送信やDDoS攻撃など、大規模なサイバー攻撃に悪用されます。

    • 攻撃の容易さや台数が多いことから、PCだけでなくIoT機器を狙うボットが増えています。

    • ボットの感染予防として、他のマルウェア同様、OSのアップデートやソフトウェアを最新に保ち、不要なポートを閉じるなど基本対策が有効です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    狙われる医療業界
    ―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    いま、医療機関を標的としたランサムウェア攻撃が増え続けています。
    足元で顕著になっているのは、攻撃による被害インパクトが大きい特定のシステム・事業を狙い、「より確実に、より高額の」身代金を得ることをもくろむ、手の込んだ持続的な攻撃です。事業継続に直結するシステムや機微情報等が保存されているシステム、事業が中断・停止した場合に甚大な影響をもたらす重要インフラなどが標的にされやすく、医療機関のシステムはその最たるものといえます。本記事では、医療機関を狙うランサムウェアの現状を紹介し、取りうる対策について考えます。

    勢いづく攻撃、日本も「対岸の火事」ではない

    米国では、2020年秋、数週間のうちに20を超える医療機関でランサムウェア攻撃が確認されました。*12下記にその一部を紹介しますが、パンデミック下で医療現場が逼迫(ひっぱく)する中、追い打ちをかけるように攻撃の勢いが増しているのです。10月末には、米CISA、FBI、米保健福祉省が共同でセキュリティ勧告を発する事態となっています(後述)。

    表1:医療機関を狙ったランサムウェア被害(一部)

    2020年9月 Universal Health Services(米国の医療サービス最大手)
    がシステム停止*2
    ニュージャージー州の大学病院が患者データを暗号化
    され、一部データを不正に公開される*3
    2020年10月 オレゴン州の病院でコンピュータシステムが使用不能に*4
    ニューヨーク州の複数の病院でシステムが使用不能に*5

    なお、日本では2018年10月、近畿地方の公立病院がランサムウェア攻撃の被害を受け、一部の患者カルテ情報が暗号化されてしまい、診療記録等の参照ができない状況に陥りました。今後攻撃者がターゲットを広げ、米国のように日本国内でも被害が活発化するのは、もはや時間の問題かもしれません。

    攻撃者はなぜ医療業界を狙うのか

    もちろん、攻撃を受けた場合の被害インパクトが大きい(=高額の身代金を設定し得る)重要インフラとみなされるのは、医療のみではありません。日本では、医療のほか、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、水道、物流、化学、クレジット、石油という、計14分野が重要インフラと位置づけられています。では、なぜ攻撃者は医療業界に目をつけるのでしょう。それは、次のような特徴があるためです。

    • 患者に関する情報はブラックマーケットで特に高額で売買される
    • 「事業の停止が直接生命に関わる」という点が、身代金要求に応じさせるうえでの強力な要因になる
    • 地域医療連携など医療機関同士のやり取りでは、インターネットVPNやインターネット(TLS 1.2)、またはIP-VPN(地域医療連携専用閉域ネットワーク)が採用されており、 連携先の端末のセキュリティ対策がされていない、情報共有が上手くされていないという課題がある
    • 診断・医療に用いられるシステムは多くの場合非常に高額で長期使用を前提として作られており、コスト・技術的理由などから、古いまま使われ続けている傾向がある
    • 情報セキュリティの三要素(C(機密性)、I(完全性)、A(可用性))のうち、医療では可用性が何よりも重視される傾向があり、相対的に他の2要素への対応がおろそかになりがち

    また、昨今の医療情報は、患者のデータだけではなく、IoT等の新技術やサービス等の普及により、様々な端末とつながっている場合があり、攻撃者側からすれば、「カネになるビジネス」として狙われるターゲットとなり得ます。

    なお、弊社が2020年8月、国内のIT担当者を対象に実施した「脆弱性管理に関するアンケート」の結果では、医療業界は、情報システム部門を持たず別部門の担当者が兼務している状況が他業種よりも顕著で、かつ、情報システム部門を有する場合もその規模が小さいことが明らかになっています。セキュリティへの対応に十分なリソースを避けないという構造的な問題も、攻撃者を引き付ける一因といえるでしょう。

    【参考情報】
    医療機関では古いシステムが使われ続けている傾向が強い

    新型コロナウイルス感染症拡大に伴い利用が急増しているG SuiteやMicrosoft 365については、セキュリティのチェックリストや推奨設定例が公開されていますので、以下にご紹介します。古いシステムが使われ続けているという傾向に関し、医療システムに関する世界最大規模の業界団体HIMSS(Healthcare Information and Management Systems Society)による年次調査の結果を紹介しましょう(下図)。 組織内で何らかの旧式化したシステム(レガシーシステム)を使っている、という回答は、2020年において8割に達しています。最も多いのはWindows Server 2008で50%の組織に存在、昨年サポートが終了したWindows 7は49%、さらに前の世代のWindows XPは35%です。この業界が攻撃者に特に好まれることに納得する結果といえないでしょうか。

    「2020 HIMSS Cybersecurity Survey」より
    出典:https://www.himss.org/sites/hde/files/media/file/2020/11/16/2020_himss_cybersecurity_survey_final.pdf

    なお、身代金目的とは異なりますが、このパンデミック下、ワクチン開発競争を背景に研究情報を狙った国家ぐるみのサイバー攻撃が活発化しているという点も、医療機関に対する攻撃増加の追い風になっているとみられます。

    ランサムウェア攻撃の変貌2020

    従来のランサムウェアでは、ウイルスを添付したメールのばらまき、悪意あるWebページへの誘導などにより、不特定多数を対象に広範な攻撃を行うことで身代金獲得を狙う、というやり方が主流でした。現在も依然としてそうした形の攻撃は存在しますが、前述のように、「より確実に、より高額の」身代金を獲得することを狙った変化が目につきます。最近のランサムウェアの特徴として指摘されているのは主に次の2点です。

    人手による攻撃 ‐標的を定めて周到に準備‐

    ランサムウェアを自動化されたやり方で幅広くばらまくのではなく、特定の組織を標的にして手動で侵入を試み、侵入成功後はネットワーク内に潜伏してさまざまな活動を行い、攻撃の成果を最大化することを狙います。こうした人手による攻撃には、APT(Advanced Persistent Threat:持続的標的型攻撃)との類似点が多く、その結果、ランサムウェア攻撃への対策にはAPTと同水準の取り組みが求められるようになっています。

    二重の脅迫 ‐より悪質なやり方で被害者を追い詰める‐

    「身代金を払え」という脅迫に加え、「身代金を支払わないと機密データを公開するぞ」という脅迫を重ねて行い、支払いを迫ります。実際にデータを公開されてしまったという事例が複数確認されているほか、データが破壊されてしまったケースも出ており、攻撃を受けた場合のダメージの大規模化、深刻化がみられます。 現在、こうした特徴を持つ新しいタイプのランサムウェアがいくつも生み出され、世界各地で猛威を振るっているのです。詳細については「変貌するランサムウェア、いま何が脅威か‐2020年最新動向‐」にまとめていますので、ぜひこちらもあわせてご覧ください。

    ランサムウェア対策への取り組み ‐医療情報システムに関するガイドライン‐

    先に触れたとおり、ランサムウェア攻撃の活発化を受け、米CISA、FBI、米保健福祉省はセキュリティ勧告「Ransomware Activity Targeting the Healthcare and Public Health Sector」を公表しました。同勧告では、各種ランサムウェアの分析結果を踏まえ、下記のようなベストプラクティスを提示しています。

    図:ネットワークセキュリティ・ランサムウェア対策に関するベストプラクティス

    Ransomware Activity Targeting the Healthcare and Public Health Sector」より

    こうしたベストプラクティスを遂行するうえで重要なのが、ステークホルダー間の効果的な連携です。医療機関では、部門や職務によって異なる企業の製品やサービスが用いられており、システム連携はしばしば複雑です。いま、医療業界が攻撃者の明確な標的となる中、医療機関、および医療機関向けにサービスや製品を提供する事業者は、自らの責任範囲を理解したうえで、これまで以上に緊密な連携を図り、システムのセキュリティ強化に取り組んでいく必要があります。

    なお、日本においては、医療情報システムの安全管理に関し、技術・制度的な動向を踏まえてガイドラインの継続的な策定・更新が行われており、現時点で医療機関、事業者のそれぞれを対象とした下記2種が提示されています。責任分界点の考え方や合意形成の考え方など、連携をより効果的にするための課題も取り上げられており、目を通しておきたい資料です。

    表2:医療情報システムの安全管理に関するガイドライン

    1) 厚生労働省
    医療情報システムの安全管理に関するガイドライン」(第5版、2017年5月)
    • 対象読者は、医療情報システムを運用する組織の責任者
    • 医療情報の扱いを委託したり情報を第三者提供したりする場合の責任分界点の考え方を示し、医療システムを安全に管理するために求められる対応を規定
    2) 経産省・総務省
    医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2020年8月)
    • 対象読者は、医療システムやサービスを提供する事業者。なお、医療機関等と直接的な契約関係のない事業者も医療システム等のサプライチェーンの一部として機能している場合、このガイドラインの適用範囲となる
    • 事業者に求められる義務と責任の考え方、医療機関等への情報提供と合意形成の考え方、リスクマネジメントの実践やリスク対応のための手順などを規定

    APTと同水準の対策を立て、全方位での備えを

    繰り返しになりますが、現在活発化しているランサムウェア攻撃の手口は高度かつ執拗です。守る側には、従来よりも踏み込んだ、APTと同水準の対策が求められます。そこで鍵になるのは、「侵入される」「感染する」ことを前提とした取り組みです。想定される被害範囲をあらかじめ洗い出し、優先順位をつけて対策をとりまとめていくことで、万一攻撃を受けた場合でもその被害を最小化することが可能になります。

    なお、こうした対策を立てるにあたっては、セキュリティ専門企業が提供しているサービスもうまく活用しましょう。たとえば、想定される被害範囲を把握する際は、システムへの擬似攻撃等をメニューに含んだサービスを利用すると、精度もスピードも高められるでしょう。

    激化するランサムウェア攻撃から医療システムを守るため、医療機関、関連事業者をはじめとするステークホルダーが連携し、全方位的なセキュリティに取り組むこと。それは、日々現場で闘う医療者を支えるための社会的ミッションともいえるでしょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    APIのセキュリティ脅威とは

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    APIとは、ソフトウェアが相互に機能やデータを利用しあうための仕組みで、機能や開発効率を向上させるなどのメリットがあります。しかしAPIにもセキュリティ上のリスクがあり、セキュリティ対策を怠ったことによる被害も報告されています。今回は、APIの安全な利活用について解説します。

    「API」とは

    「API」とは「Application
    Programming Interface」    の略で、複数のソフトウェアが相互に機能を利用しあうために設けられたインターフェースを意味します。コンピュータプログラムやWebサービスなどをつないで連携させ、さまざまな機能やデータを共有可能にすることで、従来にない価値を生み出せるという点が大きなメリットといわれています。例えば、あるアプリが、特定の機能を持つAPIを利用することで、それまでなかったサービスをユーザに提供できるようになります。

    APIのなかでも広く利用されているのがWebに公開されている「Web API」で、多数のWebサービスやプラットフォーマーが各社のWeb APIを公開しています。身近な例としては、位置情報ゲームで地図情報サービスが提供するAPIを利用するケースなどがあります。

    APIの積極的な活用は、IoTや企業のDX(デジタルトランスフォーメーション)の実践に不可欠と言っても大げさではありません。さまざまなアプリやWebサービスがAPIを通じて相互接続することで、利用者の利便性の向上、経済の活性化など、単独では実現できなかった価値を生み出せるようになります。こうした仕組みのことを「APIエコノミー」と呼ぶこともあります。

    あなたの身近にあるAPIの活用例

    Webサービスなどを利用しているときに「Facebookでログイン」「Googleでログイン」などのボタンを見たことはありませんか?
    Facebook、Google、Twitterなどで設定したアカウントを使って、別のECサイトなどにログインする「ソーシャルログイン」は、各サービスが公開するAPIを使って実現されています。また、企業などのWebサイトで地図情報がGoogle Mapから呼び出されて掲載されている、あの仕組みもAPIによるものです。

    API活用のメリット

    APIを活用すれば、個別の機能を各サービスで一から開発する必要がなくなるため、開発効率が上がり、コストを抑えることができます。機能を提供する側も、機能を使ってもらうことで自社のブランド力の向上、広告収入といった経済的利益を得られます。また、前出の「ソーシャルログイン」などでは、独自のログイン用プログラムを各企業がそれぞれ開発する場合に比べ、一定のセキュリティ水準を確保できるという効果も期待できます。

    Web APIはWebアプリケーションでどう使われるか

    ここで、「Web API」はいわゆる「Webアプリケーション」でどう使われるのか、少し補足しておきましょう。

    WebアプリケーションがAPIを用いて地図情報だけを外部の地図サーバから取得しているケースについて考えてみます。Webサーバはブラウザからのリクエストを受け、WebアプリケーションからAPIを経由して地図情報を地図サーバにリクエストします。地図サーバはAPIを介して地図情報をWebアプリケーションへ送り返します。それを受けたWebサーバが、地図情報を含めたページ全体をユーザに返します。ユーザから見たときにはAPIを使っているかどうかはわかりませんが、このように、APIは、特定の機能のため、特定の情報のやり取りのために利用されているのです。

    APIのセキュリティの重要性

    Webサービスを利用するユーザ側から見れば、そこでAPIが使われているかどうかは何ら重要なことではありません。しかしサービス提供側から考えた場合、APIにもWebアプリケーション同様、脆弱性をはじめとするさまざまなセキュリティリスクが存在することを忘れてはなりません。また、近年のスマートフォンの普及により、スマートフォンのアプリケーションがAPIを直接利用するケースも増えており、今までサーバ側での利用が主流だったAPIがユーザの手元から直接利用される時代になっている点にも注意が必要です。

    適切なセキュリティ対策を怠った場合のリスクは、むしろWebアプリケーションよりも深刻かもしれません。さまざまなソフトウェアと連携するというAPIの特質から、被害が自社のコントロールの及ぶ範囲を超えて広がる可能性が想定されるためです。

    APIが原因で起こったサイバー攻撃被害

    2018年、米大手SNSが開発者向けに公開していたAPIのバグが悪用され、ログインを行う際のカギとなるデータが盗まれる事件が発生しました。2019年には、大手配車マッチングアプリで、APIが降車時の支払い方法の検証をしないことで、無賃乗車ができてしまうバグが報告されています。

    米大手SNSの事件は、多数のAPIが組み合わされることによって、バグの検出やセキュリティ上の問題の発見が遅れたり困難になったりするという問題をあらわにしたものでした。また、配車マッチングアプリのバグは、APIの入力値を検証することの重要性を改めて気づかせるものでした。

    その利便性から急速に普及が進んでいるAPIですが、「事故やサイバー攻撃被害の発生によって初めて、リスクの存在を認識する」という昨今の状況を踏まえると、セキュリティに関してはまだまだ未成熟な領域であるといえるでしょう。

    「OWASP API Security Top 10」などのリソースを活用して対策を立てる

    こうしたサイバー攻撃被害や事故を受け、今、APIのセキュリティは最重要事項の1つとして取り組まれるようになっています。その大きな成果の1つとして、「API Security Top 10」をご紹介しましょう。これは、Webアプリケーションセキュリティに関する国際的コミュニティOWASP(Open Web Application Security Project )がAPIセキュリティに関する10大リスクを選定・解説したもので、2019年末に公開されました。API固有のセキュリティリスクを把握し、対策を講じるために役立ちます。

    OWASPによるAPIセキュリティ10大リスク

    1. オブジェクトレベルでの許可の不備(Broken Object Level Authorization)
    2. 認証の不備(Broken User Authentication)
    3. データの過度な露出(Excessive Data Exposure)
    4. リソースの制限、頻度の制限の不足(Lack of Resources & Rate Limiting)
    5. 機能レベルの認可の不備(Broken Function Level Authorization)
    6. 一括での割り当て(Mass Assignment)
    7. 不適切なセキュリティ設定(Security Misconfiguration)
    8. インジェクション(Injection)
    9. 不適切なアセット管理(Improper Assets Management)
    10. 不充分なロギングとモニタリング(Insufficient Logging & Monitoring)

    (翻訳:SQAT.jp 編集部)

    上記のような資料は、自組織のAPIセキュリティを点検する際のガイドラインとしてぜひ活用したいものです。さらに、APIを含むWebアプリケーションに対する脆弱性診断サービスを利用して、第三者視点から、自組織のシステムで使用されているAPIのセキュリティを定期的に評価することもお勧めします。

    まとめ

    ・APIとはアプリやWebサービスなどが相互に機能やデータを利用しあうための仕組みです。
    ・API活用には、開発のスピードアップやコスト削減などのメリットがあります。
    ・近年はスマートフォンからAPIを直接利用できるケースも増えており、利用の機会が増えています。
    ・APIにもセキュリティ上のリスクがありますが、様々なサービスとつながるために利用するという性質から、ひとたび事故や攻撃が起こった場合、より広い範囲に影響が及ぶ可能性があります。
    ・APIのセキュリティ対策を怠ったことによるサイバー攻撃被害や事故が報告されています。
    ・OWASP「API Security Top 10 2019」などを参考にAPIのセキュリティ強化に取り組みましょう。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    産業制御システムセキュリティのいまとこれからを考える

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2020年春夏号

    今やIoTシステムや制御系システムのセキュリティの問題は、経済的な損害だけでなく、社会的信用の失墜につながりうるものとの認識が一般的になりつつあります。特に、2020年はオリンピック・パラリンピックという国際的な大型イベントを控えており、大規模なサイバー攻撃が予想されます。こうしたイベント時に狙われる制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどの制御システムなどがあげられます。

    平成三十年4月にはサイバーセキュリティ戦略本部から「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」が公表されたものの、「サイバーセキュリティに係る保安規程・技術基準等」については未整備の業界も多く、省令の改正や国としてのガイドライン等の策定が急ピッチで進められています。こうした中、「IoTシステムや制御システムのセキュリティ」は、事業継続計画(BCP)において想定すべき主要なリスクの一つであり、経営責任が問われる課題として捉える必要があります。

    産業制御システムのセキュリティとは? その現状

    従来、製造業の制御系システムはインターネットに接続されていない独立系システム、いわゆる閉鎖系システムであるために安全と考えられてきましたが、近年状況が変化してきています。一般的に、OT(Operational Technology)のライフサイクルは10~20年と、ITに比べ長く、さらにシステムが停止することなく稼働し続けること(可用性)が最も重視されるため、装置自体の脆弱性が発見されたとしてもすぐに交換できません。パッチを当てるにしても操業を計画的に停止する必要があることなどから、ファームウェアやエンベデッドOS(産業用機械などに内蔵されるコンピュータシステムを制御するためのOS)のアップデートにUSBを使用するケースも少なくありません。しかし検疫体制が甘く、そこから感染してしまったという事例もあります。
    さらに最近、利便性を考え制御系システムでもエンベデッドOSとしてWindowsやLinuxを採用されることが増えてきましたが、それらの端末がインターネットに接続されていることから、標的型攻撃などの脅威にさらされる機会が増えるという皮肉な結果を生んでいます(図1参照)。

    図1 制御システムの進化とセキュリティ

    出典:日経 xTECH EXPO オープンシアター講演資料
    情報システムのようにはいかない制御システムのセキュリティ ~サイバー攻撃手法から見る制御セキュリティ対策~」IPA セキュリティセンター 福原 聡

    制御システムのセキュリティと一般的な企業の情報システムとは、その対象や優先度が大きく異なり、またセキュリティの基本であるCIA(機密性・完全性・可用性)の優先度も大きく違うため、単純にWebアプリケーションやネットワークのセキュリティ対策を当てはめるわけにはいきません。特に制御システムで優先されるリスク管理項目は「人命」「環境」であり、リアルタイム性も求められるのが大きな特徴です(表1参照)。

    表 1 産業制御システムと情報システムの違い

    制御システムのインシデントでは2017年に起きたランサムウェア「WannaCry」が記憶に新しいでしょう。政府・病院・工場などのシステムに侵入し、コンピュータのストレージが暗号化されて身代金を要求された事件です。また、2019年にはランサムウェア「LockerGoga」により世界40ヶ国のコンピュータがサイバー攻撃を受け、ノルウェーのアルミ生産会社では、生産システムとオフィスITシステムが感染したため、手動生産に切り替えての操業を余儀なくされ、生産が大幅に減速されました。同じく、2019年の7月には南アフリカのヨハネスブルグで電力会社のプリペイド供給システムがサイバー攻撃により停止し、顧客が電力を購入できなくなる事態が発生しました。

    産業制御システムのセキュリティフレームワーク

    前述のように、OTはライフサイクルが長く、セキュリティよりも可用性が重視されるので、制御システムのアップデートもベンダが実施することが多いのですが、最新の脆弱性情報がOT担当者とIT担当者の間でスムーズに連携されず、結果として対策が不十分になっていることが散見されます。そもそも、IoTシステムや制御システムのセキュリティはフレームワークの違いもあり、専門家の知見によるリスクアセスメントが欠かせません。

    汎用的な標準・基準として、ISMS(情報セキュリティマネジメントシステム)に対してCSMS(サイバーセキュリティマネジメントシステム)と呼ばれている制御システムセキュリティ基準 IEC62443-2-1がありますが、当社では、近年のサイバー攻撃の動向や脅威を踏まえた上で、独自に開発したフレームワークを使用しています。IEC62443に加え、NIST(米国標準技術研究所)のセキュリティガイドラインであるNIST SP800-82および53、IPAのガイドラインなどをベースとしています。(図2、表2参照)

    図 2 産業制御システムのセキュリティフレームワーク
    表2 BBSecの産業制御システム向けリスク評価項目例

    事業継続のためにできること

    冒頭にあげた「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」において、定期的な情報セキュリティリスクアセスメントの実施、サイバー攻撃の特性を踏まえた対応計画の策定などが求められています。

    これらの重要インフラのシステムには先にみたように、一般的な情報システムのセキュリティ対策では対応できない部分も多くあります。まずはセキュリティリスクを可視化し、脆弱性があることを認識することが重要です。その上で脅威を最小化する方策を検討する必要があります。

    可用性と人命・環境への配慮という2つの命題を実現するためにも、OT担当者とIT担当者が連携し、セキュリティの専門家を交えてセキュリティ体制を構築・運用していくことが欠かせません。当社では制御システムのリスクアセスメントをはじめ、CSIRT構築、セキュリティオペレーションセンターによる監視、ケースによってはセンターからのオペレーションで防御するところまでお手伝いしています。対策についても一般的なセキュリティ対策の提案だけでなく、装置の交換やエンベデッドOSのバージョンアップが難しい場合のリスク低減策もご提案いたします。

    制御システムセキュリティのリスクアセスメントは、情報セキュリティ対策の第一歩である現状把握を行い、現状を踏まえた上で、セキュリティリスクに対する今後の対策を考えるためのファーストステップです。セキュリティ専門家の知見でこそできることがあります。事業継続のためにもまずはリスクアセスメントからはじめてはいかがでしょうか。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像