フィッシングとは?巧妙化する手口とその対策

Share

フィッシング攻撃は、信頼できる存在を装い、個人情報や機密データを詐取しようとするサイバー攻撃の一種です。フィッシング攻撃は年々巧妙化・多様化しており、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルを用いた手口もあるなど、被害を受けるリスクが高まっています。本記事では、フィッシング攻撃の脅威動向を踏まえながら、フィッシング攻撃への対策方法を解説します。

フィッシングとは

フィッシングとは、電子通信において、信頼できる存在になりすまして、ユーザ名やパスワード、クレジットカード情報などの機密情報やデータを入手する詐欺的な行動のことを指すとされています。信頼できる存在になりすます点で、ソーシャルエンジニアリングのひとつです。魚釣りの「Fishing」の「F」を「Ph」にした「Phishing」と表記され、語源には諸説あります。

なお、日本では、「フィッシング詐欺」という言い方が使われることが多いです。「フィッシング」という言葉自体にすでに「詐欺」の意味が含まれているため厳密には重ね言葉なのですが、カタカナのみの語句よりも直感的な分かりやすさはあるといえるでしょう。

フィッシング詐欺とは

フィッシング詐欺とは、偽サイトを作ってオンラインバンキングなどのIDとパスワードを盗み不正送金等を行うものです。ユーザは騙されないように正しいURLかどうかを検証したり、メールの日本語に不自然な点はないかを慎重に確認することが求められます。

フィッシングの目的とは

サイバー攻撃の包括的フレームワークとして知られるMITRE ATT&CKでは、「フィッシング」は、メールの添付ファイル、メールのリンクのほか、ソーシャルメディア等のサードパーティサービスを用いて実行されると記載されています。また、その主な目的は、標的のシステム上で悪意のあるコードを実行すること、または、有効なアカウントを利用するためのクレデンシャル(身元識別に用いられるID、パスワードなどの情報)を収集すること、とされています。

フィッシングの手法と手口

フィッシングでは、攻撃者は「信頼できる」とみなされる存在を何らかの形で装い、標的を罠にかけます。たとえば、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルなどがそうです。

なお、フィッシングの中でも、特定の企業や個人を狙ったものは「スピアフィッシング」と呼ばれており、攻撃側は、目的を達成するために、標的を徹底的に研究し、特定の相手にとって不自然さを感じさせないメールやフォームを作りこみます。なお、スピアフィッシングにおいて、上級管理職など、組織の重要人物を狙った攻撃は「ホエーリング(「捕鯨」の意)」と呼ばれます。

関連した手法として、DNSの設定を書き換えて偽サイトに誘導する「ファーミング」、電話などの音声通話を用いた「ヴィッシング」、SMSを使う「スミッシング」どもあり、その手口はさまざまです。

フィッシング攻撃の脅威動向と報告件数

2024年6月にフィッシング対策協議会が公開した「フィッシングレポート2024」によると、2023年にフィッシング対策協議会に寄せられた国内のフィッシングの報告件数は1,196,390件と、年々増加傾向にあり、フィッシング攻撃の脅威が高まっています。

フィッシング攻撃の脅威動向と報告件数画像
出典:フィッシング対策協議会 技術・制度検討ワーキンググループ「フィッシングレポート 2024」図 1-1 国内のフィッシング情報の届け出件数

企業にとっての2つのフィッシング脅威

企業にとってのフィッシングの脅威は、大きく2つに分けられるといえます。ひとつは、自社の従業員がフィッシングの餌食になってしまうこと、もうひとつは、自社ブランドをかたるフィッシングサイトが、世界のどこかの国のサーバに立ち上げられてしまうことです。前者においても大きな被害が発生する可能性はありますが、後者の場合は、自分たちのブランド名のもと多くのユーザが被害にあってしまうという点で、次元の違うインパクトを引き起こしかねません。

もし自社のフィッシングサイトが立ち上げられてしまった場合、本物のサイトを運営する自分たちに過失があったか否かにかかわらず、社会的信頼の失墜や、ユーザ離れなどが生じる可能性があります。

自社がフィッシングの標的になってしまった場合の緊急対応

もしフィッシングサイトを立ち上げられてしまった場合、そのサイトを閉鎖するためのアクションを早急に行う必要があります。このアクションのことを「テイクダウン」と言いますが、実は、それに無料で対応してくれる機関があります。一般社団法人JPCERTコーディネーションセンターです。同センターでは、「インシデント対応依頼」という窓口を設けており、企業に代わって、サイト管理者へフィッシングサイトが公開されていることを連絡しフィッシングサイトの停止を依頼してくれます。フィッシングサイト以外にも、複数のインシデントへの対応依頼が可能ですので、ぜひ一度チェックしてみてはいかがでしょうか。

SQAT緊急対応バナー

企業にとってのフィッシング対策

自社がフィッシングの標的となった場合に被害を未然に食い止め、もしフィッシングサイトが作られてしまったとしてもその被害を最小に食い止める――これは、Webサイトを持つすべての企業が取り組むべきセキュリティ課題といえるでしょう。では、具体的にどうすればよいのか。フィッシング対策協議会「フィッシング対策ガイドライン」の重要5項目をご紹介しましょう。

1.利用者に送信するメールには「なりすましメール対策」を施すこと
2.複数要素認証を要求すること
3.ドメインは自己ブランドと認識して管理し、利用者に周知すること
4.すべてのページにサーバ証明書を導入すること
5.フィッシング詐欺対応に必要な組織編制とすること

あなたの会社の取り組みは、いかがでしょうか?もし、どこから手を付けてよいのかわからない、ということであれば、セキュリティ専門企業に相談されることをおすすめします。

フィッシング攻撃のサービス化

2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。攻撃の母数が増えると、フィッシングメールやフィッシングメッセージを目にする機会が増え、結果的に攻撃を受ける人が多くなります。二要素認証を使用したときにスマホやPCに届くメッセージは、本当に自分が認証を行おうとしている正規のサイトから届いたメッセージでしょうか。もしかすると、攻撃者によって巧みに誘導させられていて、対応するとアカウントを侵害されるなどの被害にあってしまうかもしれません。

フィッシング攻撃への対策として第一に考えられるのは「教育」です。情報セキュリティ研修、メール訓練により、受け取ったメッセージを「疑う・確認する」ことを教育するとともに、二要素認証のなかでもより安全性の高いものを採用するなど、正しく攻撃に備えることで、実際に攻撃を受けたときの被害を抑えることができるでしょう。

関連リンク:「IPA 情報セキュリティ10大脅威からみる― 注目が高まる犯罪のビジネス化 ―

もしフィッシングの被害にあったら

それでは、自社の従業員がフィッシングの被害にあうことを防ぐにはどうすればいいでしょうか。

いわく「メールの送信元を確認する」「メールやSMSの文面に違和感がないかチェックする」「正しいURLか確認する」等々…。冒頭でも述べましたが、検索上位に並ぶこうした対策は、一昔前から変化がありません。もちろん、いずれも間違ってはおらず、こうした基本的啓発活動の重要さは今後も変わることはないのですが、攻撃者の技術力は日進月歩です。たとえば今日、偽メール文を見て日本語の不自然さをみじんも感じない、というケースは少なくありません。

基本対策を実践するのはまず当然として、今後は、「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提での対策も考える必要があります。BBSecでも、この認識のもと、「もしフィッシングにひっかかってしまった場合、どこまで企業の資産に被害が及ぶのか、その結果、どれだけビジネスインパクトがあるのか」を検証するサービスを提供しています。

まとめ

  • フィッシングとは、信頼できる存在を装って、守秘性の高いデータの取得を図るサイバー攻撃です。
  • 自社ブランドのフィッシングサイトが立ち上げられてしまった場合、専門機関を介して閉鎖依頼をかけることができます。
  • フィッシングの手口は巧妙化・多様化しています。「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提で対策をとることが必要です。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

長期休暇中のセキュリティ対策
―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃:増加傾向と対策―

Share
「長期休暇休暇中のセキュリティ対策」アイキャッチ画像

長期休暇(前・中・後)に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。

長期休暇中にサイバー攻撃が増えやすい理由

長期休暇、特に年末年始やゴールデンウィーク、お盆休みなど、大型連休中にはサイバー攻撃が増加する傾向にあります*1。これは以下の理由によるものです。

  • 企業のセキュリティ体制が手薄になる
  • 個人ユーザによるオンラインショッピング利用やSNS投稿が増える
  • 攻撃者が休暇中のユーザの油断を狙う

主なサイバー攻撃タイプ

長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。

  • フィッシング攻撃
    個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。
  • ランサムウェア攻撃
    企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。
  • DDoS攻撃
    オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。

参考:解説動画 アナリストが語る「今月のセキュリティトピック」2024年7月版
攻撃・インシデント関連(再生時間:13:23)
「国内大手出版グループに大規模サイバー攻撃」

Youtubeチャンネルのご案内

SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。

地域別の傾向

サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。

北米やヨーロッパ:クリスマスシーズンに攻撃が増加
アジア:旧正月期間中に攻撃が増加
日本:ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始

産業別の影響

長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。

小売業:オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
金融サービス:年末の取引増加期に狙われやすい
旅行・観光業:休暇予約情報を狙った攻撃が増加

長期休暇(前・中・後)の対策

長期休暇前

  • 緊急連絡体制の確認をする
    委託先企業を含めた緊急連絡体制や対応手順を確認します。
  • 機器接続ルールを確認する
    社内ネットワークへの機器接続ルールを確認し、遵守します。
  • 使用しない機器の電源OFFにする
    長期休暇中に使用しないサーバ等の機器は電源をオフにします。
  • データのバックアップをとる
     重要データのバックアップを行い、ランサムウェア攻撃に備えます。
  • セキュリティソフトを更新する
    セキュリティソフトの定義ファイルを最新の状態に更新します。

長期休暇中

  • 持ち出した機器やデータの管理
    自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。
  • SNS投稿の定期的に確認する
    行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
  • 偽のセキュリティ警告の表示の確認
    ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
  • 不審なメールやURLが届いていないかどうか確認する
    メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意します。

長期休暇明け

  • 修正プログラムを適用する
    長期休暇中に公開された修正プログラムを適用します。
  • 定義ファイルを最新の状態に更新する
    セキュリティソフトの定義ファイルを最新の状態に更新します。
  • ウイルスチェックを実施する
    持ち出していた機器等のウイルスチェックを行います。
  • 不審なメールが届いていないかどうか確認する
    長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。

企業のリスク管理

企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。

  • 緊急連絡体制の確認
    委託先企業を含めた緊急連絡体制や対応手順を確認します。
  • サーバやネットワーク機器の脆弱性対策
    自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。
  • アカウント管理
    アカウントのアクセス権限を確認し、不要なアカウントを削除します。
  • 従業員への周知
    パスワードの強化、管理の徹底を従業員に周知徹底します。

個人の注意点

個人が長期休暇中に注意すべき点は以下の通りです。

  • SNS投稿
    行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
  • 偽のセキュリティ警告
    ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
  • パソコンの初期化
    ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。
  • フィッシングサイト対策
    フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。

長期休暇中のサイバー攻撃に備えるために

長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。

関連リンク

独立行政法人情報処理推進機構(IPA)「長期休暇における情報セキュリティ対策

ランサムウェア感染リスク可視化サービス デモ動画

またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年8月28日(水)12:50~14:00
    【好評アンコール配信】「知っておきたいIPA『情報セキュリティ10大脅威 2024』~セキュリティ診断による予防的コントロール~
  • 2024年9月4日(水)14:00~15:00
    インシデント発生の事前準備・事後対応 -拡大するサイバー攻撃への対策方法とは-
  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    安全なスマホ利用を目指して
    -学生必見!8つのセキュリティ対策とは-

    Share
    画面に顔が描かれたスマホが剣と盾を持っているイラスト

    スマホは私たちの日常生活に欠かせない存在になっています。SNS、友達や親との連絡、勉強、エンターテインメント、ニュースのチェック、ゲーム、さらにはショッピングや支払いまで、さまざまな活動がスマホ1台でできるようになりました。その一方で、スマホの便利さは悪意ある人々にも利用されています。そこで、セキュリティ対策が重要になってきます。ここでは、スマホのセキュリティ対策について解説します。個人情報やプライバシーの保護、オンラインの脅威から身を守る方法を学びましょう。

    スマホのセキュリティ対策の必要性とは

    まず、なぜスマホのセキュリティ対策が必要なのでしょう?
    スマホは便利なツールですが、危険も存在します。

    主に以下の3つのリスクが挙げられます。

    スマホの紛失または盗まれるリスク

    スマホや財布などの忘れ物の入った箱のイメージ

    スマホには、持ち主やその知人の名前や住所、連絡先などの個人情報が保存されています。万が一スマホが盗まれたり、紛失したりした場合、その情報が悪意のある人の手に渡る可能性があります。そのことで、身に覚えのない買い物やプライバシーの侵害といった被害につながる可能性があります。

    ウイルスが仕込まれるリスク

    サイバー攻撃者などによって、ウイルスやスパイウェアといった悪意あるソフトウェア(マルウェア)が、あなたのスマホに仕込まれてしまった場合、個人情報を盗み取られたり、データを破壊されたりする可能性があります。

    サイバー攻撃などによる個人情報漏洩リスク

    個人情報が漏洩してしまって焦る様子の男性のイメージ

    スマホを使用してネット上で買い物をする場合や、オンラインバンキングを利用する場合、サイバー攻撃によって個人情報や銀行口座の情報がハッカーによって盗まれてしまう可能性があります。

    スマホには個人的な情報、例えば電話番号やメールアドレス、写真、そしてアプリのログイン情報などが保存されています。こうした情報が悪意ある人々に盗まれると、あなた自身や友人や家族を巻き込んだトラブルにつながる可能性があります。そのため、スマホのセキュリティ対策は必要です。では、情報漏洩などの被害から身を守るためには、何をすれば良いのでしょうか。

    スマホに必要な8つのセキュリティ対策

    1.スマホのパスワードおよびロックの設定を行う

    指紋認証とスマホのイメージ

    スマホのセキュリティを強化する最初のステップは、パスワードを設定することです。パスワードには、他人があなたのスマホにアクセスできないようにするために、強力なパスワードを選びましょう。また、他の人に知られないようにしましょう。それぞれのアカウントごとに違うパスワードを設定し、それらを定期的に更新することが推奨されます。パスワード管理アプリというものを利用すれば、複数のパスワードを安全に管理することが可能です。また、顔認証、指紋認証、パスコードやパターンなどのロックを設定して、自分以外の人がスマホを操作できないようにしましょう。

    安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。安全なパスワードの作成条件としては、以下のようなものがあります。

    (1) 名前などの個人情報からは推測できないこと

    (2) 英単語などをそのまま使用していないこと

    (3) アルファベットと数字が混在していること

    (4) 適切な長さの文字列であること

    (5) 類推しやすい並び方やその安易な組合せにしないこと

    引用元:安全なパスワード管理(総務省)https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

    2.不審なアプリやリンクに注意する

    スマホには多くのアプリがありますが、安全であると信頼できないサイトやSMSなどからのアプリをダウンロードしないようにしましょう。公式のアプリストア(Google PlayやApp Store)からのみアプリをダウンロードすることをお勧めします。また、メッセージやメールで届いたリンクを開く前に、送信元が本当に信頼できるかどうかを確認しましょう。フィッシング詐欺(※)やマルウェアから身を守るために、注意深く行動しましょう。

    フィッシングサイトのイメージ(偽サイトと釣り竿)

    ※フィッシング詐欺とは、悪意のある攻撃者が信頼性のある組織のふりをして個人情報を盗もうとする行為です。これは普通、メールやメッセージを通じて行われます。その内容は、あなたのパスワードをリセットするためのリンクであったり、重要な通知があるので見てほしいといった内容であったりします。こうしたリンクをクリックすると、あなたの情報が盗まれる危険性があります。また、見知らぬ番号からの電話にも警戒しましょう。特に、個人情報を求めるような場合には注意が必要です。

    3.OSやアプリを定期的にアップデートする

    スマホのOS(オペレーティングシステム)やアプリのアップデートは重要です。これらのアップデートは新機能の追加だけではなく、セキュリティの脆弱性を修正するためのものであることも多いため、新たな脅威から守るためにも、定期的に更新を実施することを推奨します。

    4.Wi-Fiの安全性を確認する

    公衆wifiを見つけた笑顔の男性のイメージ

    公共のWi-Fiを利用するときには注意が必要です。公共の無料Wi-Fiは便利ですが、常に安全とは限らず、利用者の個人情報が漏洩してしまうなどの危険性があります。個人情報を送信するようなアプリやウェブサイトにアクセスする際には、自分のモバイルデータ通信を使用するか、パスワードが必要なプライベートネットワークを利用しましょう。また、公共のWi-Fiを使用する場合は、より安全なVPN(仮想プライベートネットワーク)を利用することも検討してください。

    5.SNS(ソーシャルネットワーキングサービス)でのプライバシー設定を行う

    SNSは重要なコミュニケーション手段ですが、プライバシーの保護も必要です。以下のポイントに気をつけましょう。

    SNSアカウントを乗っ取りされて青ざめる男性のイメージ

    a. プライバシー設定の確認: プライバシー設定を確認し、プライバシーにかかわる個人情報を一般公開にせず、友達やフォロワーとの共有範囲を制限しましょう。個人情報や位置情報など、他人に知られては困る情報を公開しないようにしましょう。

    b. 友達やフォロワーの選択: 友達やフォロワーを受け入れる際には、信頼できる人々に限定しましょう。知らない人や怪しいアカウントからのリクエストには注意し、受け入れないようにしましょう。

    c. 投稿文の慎重な管理: 投稿には慎重になりましょう。個人情報や個人的な写真をむやみに公開しないようにし、誹謗中傷をしたり、プライベートな写真を投稿したりするのは控えましょう。一度公開した情報や写真は、後で取り消すことが難しいため、慎重な判断を行いましょう。

    6.アプリの権限設定を確認する

    スマホアプリのイメージ

    スマホのアプリは、個人情報やデバイスへのアクセスを要求する場合があります。アプリをインストールする前に、そのアプリが何の情報にアクセスする必要があるのかを確認しましょう。例えば、料理のレシピアプリであるのに位置情報へのアクセスを要求してくるといった、必要のない権限を要求してくるアプリには注意し、不要な権限を持つアプリを削除しましょう。

    7.バックアップをとる

    あなたのスマホが盗まれたり、壊れたりして情報が突然失われてしまった場合でも、重要な情報を守るために、定期的にバックアップをとっておくことを推奨します。

    8.アンチウィルスソフトの利用

    アンチウイルスソフトを利用することで、ウイルスやスパイウェアといったマルウェアからスマホを守れます。

    まとめ

    スマホは便利なツールであり、私たちの日常生活では欠かせないものとなっています。だからこそ、個人情報などを狙う悪意を持った攻撃者のターゲットになる可能性があります。そのため、自分の身を守るためにも基本的なセキュリティ対策の方法を理解することが重要です。学生の皆さんは、以下のポイントを守りながらスマホのセキュリティを強化しましょう。

    1. スマホのパスワードおよびロックの設定を行う
    2. 不審なアプリやリンクに注意する
    3. OSやアプリを定期的にアップデートする
    4. Wi-Fiの安全性を確認する
    5. SNSでのプライバシー設定を行う
    6. アプリの権限設定を確認する
    7. バックアップをとる
    8. アンチウイルスソフトを利用する

    これらの対策方法はあくまで例です。普段からセキュリティに注意し、安全に利用しましょう。また不安を感じたら身近な友人や保護者に相談することも大切です。本記事が、スマホを利用するすべての人々にとって、自分と自分の大切な人々を守り、より安全なスマホライフを送るために役立つ情報提供となれば幸いです。


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    「強制テレワーク化」で迫られる防御モデルの根本見直し

    Share

    現行の境界防御を点検し、「ゼロトラスト」原則の注入を

    SQAT® 情報セキュリティ瓦版 2020年5月号


    新型コロナウィルス(COVID-19)の世界的な感染拡大の影響により、今、かつてない勢いでテレワーク化が進んでいます。こうした業務環境の移行にあたっては数多くのセキュリティ課題が生じますが、今回の動きは、パンデミックという全世界規模の危機下で待ったなしの行動を迫るものであり、平時の計画的移行とは異なる様相もみられています。例えば、VPNの利用が急増し帯域の確保が追いつかない、急いで導入したオンライン会議ツールやチャットツールのセキュリティが不十分で再選定する羽目になる、などがそうです。さらに、直近の攻撃の傾向をみると、社会的危機に乗じた巧妙なソーシャルエンジニアリングが活発化しています。課題は山積ですが、一方で、こうした状況は、自組織の防御モデルをより堅牢なものへと組み替える契機とみることもできます。本記事では、その足掛かりとなる情報をご紹介いたします。


    テレワーク普及で浮き彫りになる「境界防御モデル」の限界

    従来、リモート業務でのセキュリティ確保に対しては「VPN(Virtual Private Network)」が推奨されてきました。これは、インターネット上に自組織専用の仮想プライベートネットワークを構築し、認証や暗号化等によって安全に通信できる経路を確保する仕組みです。しかし近年、VPNの不正アクセスを起因とする大規模セキュリティインシデントが立て続けに確認され、防御策としての限界が指摘されるようになっています。背景にあるのは、攻撃者側の手口の高度化、そして、「インターネットと自組織のネットワークの間に分厚い壁(境界)を築くことが防御になる」という前提で構築された「境界防御モデル」自体に内在する問題です。

    VPNのほか、ファイアウォールやプロキシサーバも、この「境界防御モデル」型のソリューションになります。いずれも、インターネットとの境界に壁を築き、「壁の外側は信頼できない」「壁の内側は信頼できる」という基準を適用します。そのため、「万一境界が破られた場合」の策を講じていないと、ひとたび境界を破った攻撃者がその後「信頼された」者として容易にネットワーク内を動き回り、結果として甚大な被害につながる可能性があります。また、このモデルでは、内部犯行のリスクも想定外です。

    さらに、インターネットを取り巻く環境の変化により、「境界」自体のあり方が変質している点にも注意を向ける必要があります。従来、事業で用いるシステムやそれを利用するユーザは特定の拠点に固まって存在していることが一般的で、組織の内と外に物理的・論理的な境界を設け、境界の守りを固めることで一定のセキュリティを確保できていました。しかし、近年は多くのシステムがサードパーティ製のクラウドに移行し、また、モバイルの普及でオフィス外での業務も日常化しています。今や事業が遂行される空間はかつてないほど広範に、かつ、細かく分散し、足元でのテレワークの急増がその動きをさらに加速させる中、従来の「境界」の考え方は、今日の組織を守る上で有効性を失いつつあります。

    「ゼロトラスト」の視点が不可欠に

    「境界防御モデル」の限界が顕在化する中、注目を集めているのが「ゼロトラスト」という考え方に基づく防御モデルです。「ゼロトラスト」のアプローチでは、境界の内外を問わず、あらゆるアクセスに対し、”Never trust, always verify(決して信頼せず、常に検証する)”という大原則に立って防御モデルを構築します。検証の機構では、アクセスの条件に基づき動的に認証・認可の判断を下し、アクセスを許可する場合は必要最小限の権限が適用されます。下に図示したのは、米国国立標準技術研究所(NIST)発行のガイドライン内『Zero Trust Architecture』(ドラフト版)に示されている概念図ですが、信頼できるかできないかは、「境界」ではなく、アクセス毎の検証によって決定されるのです。


    Zero Trust Architectureの概念図

    出典:NIST『Zero Trust Architecture』(日本語による補足は当社)
    https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf


    なお、「ゼロトラスト」とはあくまで防御モデルを構築する際の「考え方」である、という点に留意が必要です。具体的にどのようなアーキテクチャでゼロトラストを実現するかは、各組織を取り巻く状況に応じてさまざまなシナリオが考えられます。例えば、Googleでは、「BeyondCorp」と名付けたアーキテクチャにより、VPNを使うことなくリモートアクセスでのセキュリティを実現しています。概要は下図のとおりで、ポリシーベースで運用されるゼロトラストネットワークにおいて、あらゆるユーザトラフィックが認証・認可の対象になっています。


    Google BeyondCorpのコンポーネント

    出典:https://static.googleusercontent.com/media/research.google.com/ja//pubs/archive/43231.pdfより当社作成


    現実解は境界防御とゼロトラストの「ハイブリッド」

    上記BeyondCorpでは境界による防御モデルからゼロトラストへの「完全な移行」が成されましたが、これは現行システムの全面的な見直しを迫るもので、多くの組織にとってハードルは極めて高いです。そこで、現実解として推奨されるのは、境界型防御とゼロトラストを「ハイブリッド」的に運用しながらゼロトラストの比率を少しずつ高めていくやり方です。優先度にもとづきゼロトラストモデルへの移行を進めるシステムを選定し、綿密な要件定義のもと、アーキテクチャの具体化を進めます。相対的に優先度の低いシステムについては、従来の方式(境界防御モデル)で対策を強化(境界を破られた場合の対策を追加で組み込む等)した上で運用を継続します。なお、移行を進めるにあたっては改めてのユーザ教育も欠かせません。オフィス環境であれば企業側でリスクヘッジが行えていたところ、テレワーク環境では個人レベルで留意しなければいけない領域が増えてくるためです。

    前出のNISTによるガイダンス『Zero Trust Architecture』によれば、ゼロトラストアーキテクチャへの移行は、一種の「旅(journey)」で、インフラやプロセスをまるごと入れ替えるような類の取り組みとは異なります。組織には、重要なデータ資産を保護すべく、ユースケースごとに最適解を「探し求め(seek)」ながら、ゼロトラストの原則を取り入れ、プロセスの変更やテクノロジーソリューションの導入に関する取り組みを段階的に積み上げ、前進していくことが求められます。

    システムで取り扱う資産を把握し、脆弱性・リスクを評価し、業界のガイドライン/ベストプラクティスやテクノロジーの最新動向に学び、自組織の要件に応じた体制を築き上げていく―パンデミックという未曽有の状況下ではありますが、「重要なデータ資産を脅威から守る」というセキュリティの目標に変わりはありません。あるべき姿を描き、組織の現状とのギャップを知り、1つ1つのステップを着実にクリアしながら、より強いシステムを築いていくことが望まれるでしょう。

    参考記事:「テレワークにおける情報セキュリティ上の考慮事項」
    https://www.bbsec.co.jp/report/telework/index.html

    【関連情報】パンデミック下での攻撃傾向

    主に下記のような攻撃タイプが活発化しています。技術的、物理的な脆弱性よりも人の心理面での脆弱性を突いた「ソーシャルエンジニアリング」の手口が多用されているのが特徴です。これは特に危機的状況下では、高い攻撃成功率が期待できるためです。平時にはない緊張を強いられる社員は不安やストレスを抱えて感情的に動揺しやすくなり、判断ミスが起こる可能性も高まります。心理面も考慮したセキュリティ啓発活動、組織内の情報連携、注意喚起情報の迅速な収集等が平時以上に求められると言えるでしょう。

    詐欺目的のフィッシング
    国内外ともに急増。新型コロナウイルス関連ではフィッシングメールの観測数が前四半期比で600%という観測結果*2も報告されている。日本では、これまでに、マスクの無償/有償配布をうたうメールやWebサイト*2、保健所からの連絡を装った攻撃*3が確認されている。

    ランサムウェア
    攻撃の入り口としてフィッシングが多用されている。医療機関への攻撃は控えると明言した攻撃者もある*4ものの、危機対応に追われる組織の隙を狙い、金銭の強奪をはかる動きは、今後業種を問わず拡大していくものと予想される。

    APT攻撃
    国家的組織を後ろ盾とする大規模な標的型攻撃も活発。まず、スピアフィッシングや水飲み場攻撃を成功させ、その上でバックドアやRATを仕込む攻撃などが観測されている*5


    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像