Solution Map
Blog
View all +-
2023-03-28「Hiveランサムウェア」は壊滅したのか? ~最強の攻撃集団の実態から教訓を得る~
FBIが攻撃のインフラを止める 2023年1月26日、米国司法省からランサムウェア攻撃グループの「Hive(ハイブ)」のサーバーとWebサイトなどのインフラを停止させたという発表がありました。Hiveは、1億ドル(約137億円)の身代金を1年半で窃取したとされ、サイバー犯罪史でも最強レベルとされていました。 この攻撃に対して、2022年11月にFBI(米連邦捜査局)とCISA(米国土安全保障省サイバーセキュリティ庁)など3組織が連名で、警戒を呼びかける声明を出していました。企業社会への警鐘と並行して、FBIは捜査令状を得て犯罪組織のネットワークに侵入し、半年から1年をかけてインフラの停止に成功。一先ずは、Hiveの勢いを止めたようです。 Hiveランサムウェアの停止を伝えるWebページ 出典:米国司法省 https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant ※ランサムウェア 企業のネットワークに侵入してデータを暗号化し、解除する鍵データと引き換えに身代金(Ransom)を要求するサイバー攻撃 二重脅迫とRaaSは基本装備 FBIなどの司法組織がグループの壊滅に動いた理由は、80を超える国や地域で1,500以上の組織を標的にしたHiveの強い攻撃力により、このままでは被害の拡大が確実視されたからです。 この攻撃の特徴を整理すると、まず「二重脅迫」と「RaaS(Ransomware as a Service)」が挙げられます。 二重脅迫型は暴露型とも呼ばれる手口で、暗号を解くための鍵と引き換えに身代金を要求するだけでなく、払わなければ機密情報を公開すると脅すタイプです。ランサムウェア対策として当初はデータのバックアップが有効でしたが、企業の意識が上がって対策が進むと攻撃の効果が薄れ、二重脅迫型が主流になりました。 二重脅迫型ランサムウェアの手口 出典:IPA(情報処理推進機構) RaaSは、クラウド上のソフトウェアをサービスとして利用するSaaS(Software as a Service)のような形式で、攻撃に必要な機能を提供するプラットフォーム。企業ネットワークへの侵入や暗号化などは、闇サイトのダークウェブなどで募ったアフィリエイトと呼ぶ実行犯が担当し、運営側はマルウェア本体とデータの暴露に使うサーバーなどを用意します。ちなみにHiveのアフィリエイトの取り分は身代金の80%でした。 実際のところ、今となってはランサムウェア攻撃の多くは二重脅迫とRaaS型で、ここはHiveを象徴する部分ではありません。Hiveはこの二つを基本装備として、企業の防御を突破する力量を備えていたのです。 Hiveのアフィリエイトに提供される管理画面 身代金のレート、支払い状況などが確認できる 出典:日経BP社 標的に合わせて“TTP”を考慮 Hiveが他と一線を画すところは、まずマルチプラットフォーム対応です。Go言語と呼ぶプログラミング言語で作られたマルウェア本体は、WindowsとLinux、FreeBSD版などがあり、アフィリエイトは標的企業のシステムに合わせたタイプを入手できるようになっていました。 もう一つは、標的のシステムに侵入する能力の高さです。テレワークで多くの企業が導入したVPN(仮想的な専用回線)機器の脆弱性を突く、遠隔地のコンピュータの画面共有などの用途で使うRDPのパスワードを盗む、フィッシングメールなどの手口が確認されています。フィッシングは、標的型攻撃の手法も使ってSNSなどで標的との接点を探り、マルウェアを仕込んだサイトに誘導するような手口を使っていたと思われます。 Hiveの特徴を表すキーワードとして、ニュースサイトなどでTTP(Tactics、Techniques and Procedures:戦略、戦術、手順)がよく使われていました。例えば、侵入した後は、セキュリティソフトを無効化し、システムの仕様と処理の流れを解析した後に、暗号化と身代金を要求する手順を決めるなど、緻密な戦略と戦術、そして手順を考えて行動していた点も分かっています。 インフラを断ち切った後の展開は? ここで主題に戻りますが、FBIなどの司法機関はHiveのネットワークに侵入し、攻撃インフラの停止に成功しました。ソフトウェアやツールを保存するサーバーとRaaSの運用に使うコミュニケーションサーバー、情報を暴露するリークサイトなどをテイクダウン。入手した暗号の解除に使う鍵データを脅されていた組織に提供し、1億3,000万ドルの身代金の支払いを防いだとされています。 その一方、今回の作戦では、犯罪グループの摘発には至っていません。米司法省では、引き続き捜査と追跡を続けるとしていますが、これだけ先鋭的、かつ大規模な活動を展開していた組織の一掃は容易ではないと考えた方がいいでしょう。 Hiveランサムウェアの活動が確認された地域 出典:FBIのTwitter サイバー犯罪では、首謀者が摘発された後もグループの残党や分派が地域や標的を変えて復活してくるケースは珍しくありません。記憶に新しいところでは、“最も危険なマルウェア”とされた「Emotet(エモテット)」。2021年1月には、今回のHive摘発にも協力したユーロポール(欧州刑事警察機構)が、各国の機関と協力してEmotetのインフラを押収したと発表しました。ウクライナ警察は、グループのメンバーと見られる2人を逮捕しています。 しかし、Emotetはその後、活動を再開。特に2022年の秋頃からは、より巧妙化した攻撃メールやウイルス対策ソフトをかいくぐる新たなマルウェアが目立ち、日本国内でも再び深刻な脅威となっています。 Hiveランサムウェアに特効薬はない Emotetと同様、Hiveも復活の可能性は高いでしょう。Hiveには、新しい技術や手法はほとんどありません。二重脅迫とRaaS、VPNやRDPからの侵入、脆弱性を突いた攻撃、標的型攻撃の応用、マルチプラットフォームのマルウェアなど、既存の技術とツールを組合せ、攻撃力を強化したのがHiveの実体です。 つまり、Hiveの本質は、攻撃に必要なリソースを組み合わせるスキルとRaaSを運営する実行力と統率力。これを備えた人材とチームさえ確保できれば、Hiveと同様の組織の再起動は難しくはないはずです。 多様なTTP(戦略、戦術、手順)を駆使するHiveには、特効薬がありません。一般的なセキュリティ対策の実践につきます。脆弱性の管理、認証の強化、メールセキュリティの強化、侵入検知、そして近年、効果が期待されているダークウェブを含めた脅威情報のモニター。Hiveに対しても、基本的な手法の組合せと繰り返しで対峙していく以外にありません。 ダークウェブの情報もモニターする「DarkTracer」 継続的なダメージを与えるランサムウェア ランサムウェアは、マネタイズ(収益化)しやすい手口である点は、攻撃側も学習していますから、すべて無くなるということはないでしょう。 一度被害を受けると、Webサイトやサービスを含む業務が停止し、システム修復と再発防止、コンサルティングなどで多額の費用が発生します。消費者と取引先に対する信頼回復には時間がかかり、その後の事業へのダメージは軽視できません。ランサムウェアによるデータの侵害と流出によって、継続的なダメージを受けてしまうのです。 皆さまの企業でも、ランサムウェアによる被害を他人事と思わずにセキュリティ対策の基本を実践するようにお願いします。
-
2023-02-28情報セキュリティ対策の要 「脆弱性」の実態を知る ~適切な見極めと、正しい対処を~
脆弱性の発見は毎日毎時 情報セキュリティに関心がある方はもちろんですが、一般ユーザーのみなさんも情報セキュリティの「脆弱性」という言葉を耳にしたことはあるかと思います。個人情報の流出やWebサイトの改ざんなど、深刻なセキュリティ被害を伝えるニュースを読み進むと、その原因としてコンピュータシステムに存在した脆弱性に触れていることが多いはずです。 脆弱性は少し抽象的な表現ですが、総務省が開設している「国民のための情報セキュリティサイト」では、以下のように説明しています。 脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。 つまり、脆弱性とはソフトウェアやシステムの弱点です。ですから、悪意のある攻撃者はこのセキュリティ上の弱点を探して攻撃を仕掛けてくるわけです。もしも、脆弱性を対策せずに放置すると、例えば、不正アクセスによってシステムに侵入され重要な情報が盗まれて流出したり、Webサイトを改ざんされたり、踏み台にされて攻撃者に悪用されるなど、様々なリスクが存在し続けます。 それでは、ここ最近の脆弱性発見状況を概観してみましょう。まず減少する兆候がまったく見られないこと、そして世界中で利用されている著名なシステムにも脆弱性が見つかり、深刻な被害が拡がっていることが知られています。 脆弱性の届出件数の四半期ごとの推移(上)と過去3年間の届出件数(下) (出典:IPA(情報処理推進機構) 「ソフトウェア等の脆弱性関連情報に関する届出状況」) 過去3年間の統計を見ると、「ソフトウェア製品」「Webサイト」とも時期によって増減はありますが、四半期の単位では少ないときでも、二つの分野を合わせると70~90件程度は上がっています(1就業日あたりの平均は4件程度)。 甚大な被害を与えた脆弱性 もう一つの傾向は、影響が広範囲に及ぶ脆弱性の発見が多発していることです。ここ数年の間にも、多くの企業が利用するOS、Webサーバやデータベース用のソフト、そしてWebブラウザなどに相次いで脆弱性が発見されました。 いくつか例を挙げると、Webアプリケーションを開発するプラットフォームとして使われる「Apache Strut」に、2015年頃から相次いで脆弱性が見つかり、国内でも欠陥を突かれた複数の企業が不正侵入を受け、クレジットカード情報が漏えいするなどの被害を受けました。2015年にはWebブラウザ「Internet Explorer」にも、悪用されるとPCを乗っ取られる恐れがある脆弱性が見つかっています。 インターネットで安全な通信を行うための基盤技術として、ずっと使われてきた「SSL」にも2014年に致命的な欠陥が見つかり、業界団体などが使用を禁止する声明を出しました。最近では2019年に、「WinRAR」というデータの圧縮・復元に使うツールに、マルウェアが実行できてしまう脆弱性が見つかっています。この欠陥の深刻さは、「WinRAR」には世界中に数億人とされるユーザーがいる点と、19年以上も公にならなかったことです。 脆弱性が発生する要因は? ここから先は、脆弱性ができる原因と減らない理由、そして対処方法を考えていきましょう。 脆弱性とは、「プログラム上の不具合や設計上のミスから生ずるセキュリティ上の欠陥」でしたが、正しく設計・構築されたシステムであっても想定外の使い方によって攻撃に利用できるセキュリティホールが発生してしまうなど、脆弱性を完全に無くすことは困難です。 システム設計時は、ユーザーがどのような使い方をするのかを想定し、何度もシミュレーションをしますが、ベテランのエンジニアを揃えたチームでも、あらゆるケースを設計に落とすことは容易ではありません。そしてもう一つ、無視できないのは故意による不正プログラムの混入です。大勢の人が開発と運用に加わるシステムでは、悪意による脆弱性の発生をゼロにすることも難しいでしょう。 脆弱性は無くならない 脆弱性の発生と発見は、今後も減ることはないと思われます。これまで見てきたように、ミスをゼロにはできないなど人間の能力の限界もありますが、攻撃者はシステム上の欠陥を探すというより、あらゆる方法を試しながら、ソフトウェアが動作する過程で生ずるわずかな“隙”を見つけ出そうとするからです。脆弱性は人為的なミスというより、攻撃者に発見されてしまう“抜け道”と考えた方がいいかもしれません。 コンピュータの性能が向上し、高性能の脆弱性検査ツールも入手しやすくなった点も挙げられます。前述したSSLやWinRARをはじめ、公開や製品化の後、長い時間を経てから脆弱性が発見されるケースも多いのですが、通常の利用方法では表面化しなかったようなリスクも、マシンとツールの充実で検証できる機会が増え、脆弱性の発見につながったものと考えられます。 このような状況を考えると、これまで安全と思われてきたシステムにも、新たに脆弱性が見つかる可能性はあるでしょう。 対処の基本は情報の見極めから 繰り返しになりますが、脆弱性を放置したことによる被害の可能性は、顧客情報や技術情報の漏えい、Webサイトの改ざん、マルウェアの混入、あるいは外部のサイトを攻撃するための踏み台にされるなど、ビジネスに大きなインパクトを与えるものばかりです。 企業として、セキュリティ担当者としてできることは、まず脆弱性が発見されている状況をキャッチしていくことです。例えば、IPAが運営する「重要なセキュリティ情報一覧」や「脆弱性対策情報データベース(JVN)」、Microsoft社が公開しているサイトなどで、定期的に情報をチェックするようにしましょう。 ・「重要なセキュリティ情報一覧」 https://jvndb.jvn.jp/index.html ・「脆弱性対策情報データベース(JVN)」 https://www.ipa.go.jp/security/announce/alert.html ・「セキュリティ更新プログラムガイド」(Microsoft) https://portal.msrc.microsoft.com/ja-jp/security-guidance 本質を見極め効率的な対処を 脆弱性が発見された際は、公開されている修正プログラムの適用など適切な対処を行い、システムの動作に影響が出ないように繰り返しテストを行う必要があります。毎日のように発見される脆弱性は、利用者が少ないなどの理由で注目されない案件も少なくないのですが、OSやWebサーバソフトのような重要なシステムで発見が相次ぐケースもあります。 脆弱性対策には相応の負荷がかかりますが、企業の負担を軽減するための手法も公開されています。多くの企業が活用しているツールに、「CVSS(共通脆弱性評価システム)」があります。CVSSは脆弱性の深刻度を、「発見された脆弱性が持つ危険度」、「評価する時点における危険度」、そして「企業のシステム環境に応じた危険度」の視点から評価するものです。 脆弱性は発表される段階で、ソフトウェアメーカーや業界団体などが、「緊急」「重要」「注意」などのランクを付けますが、これらは通常、“最悪の事態”を想定して決められます。ランクに従って、全ての「緊急」から順番に手を付けていくより、CVSSのような手法を参考に、自社の環境に応じた評価を加えて優先順位を付けると、効率的に対策を進めることができるでしょう。 そして情報システムのユーザーとしてできることは、セキュリティ対策の基本に立ち返ることです。OSやアプリケーションを最新の状態に保つ、サポートが終わっているソフトは使用しない、不審なメールの添付ファイルは開かない、URLをクリックしない、といった基本的な対策が何よりも効果を上げるはずです。
-
2023-01-242023年に企業が留意すべきセキュリティリスクは? ~キーワードは攻撃の先鋭化と瞬時の拡散~
トレンド分析から抽出されたセキュリティの脅威 2022年12月から2023年1月にかけて、IT分野の業界団体、研究機関、セキュリティ企業から、2023年に留意すべきセキュリティリスクに関するレポートが発表されました。今回は、それらの中からいくつかをピックアップしてお知らせします。 前半は、より広い視野から情報技術の分野と接している非営利組織とソフトウェアメーカー、続いて情報セキュリティの前線で活動するセキュリティ企業の報告をいくつか紹介します。最後にこれらの内容から、一般企業にとって特に留意すべきセキュリティリスクとその対策を考えてみましょう。 ※以下の項目とランキングは、当コラムで一部要約/抄訳しています。 サイバー保険への加入が困難に? (ISC)²は、情報セキュリティ分野の資格の創設と管理、人材育成などを専門とする1989年に設立された非営利組織です(本部:米フロリダ)。2023年1月には、「アジア太平洋地域における2023年のサイバーセキュリティ業界の課題」に関するレポートを公開しました。これによると、リスクが高い分野として以下が挙げられています。 1. サイバー保険の需要が高まっていく一方、加入はより困難に 2. 量子技術の実用化は目前で、2023年には対応が課題に 3. ワイパー型マルウェアの攻撃が増加 4. 産業界はOTインフラセキュリティの重要性を過小評価し続ける 5. 不況により研修プログラムへの支出が減少 参考:(ISC)² ニュースリリース https://prtimes.jp/main/html/rd/p/000000006.000103584.html 広範な領域に接する組織の特性が反映された内容と言えますが、最初に挙がった「サイバー保険」は、ランサムウェアや情報流出が企業に与える深刻な被害が、社会全体に周知されてきた点が前提にあります。これに伴い、保険料が高額化する一方、EDRや多要素認証など特定技術の導入を求める傾向が強まってきました。サイバー保険の価格高騰は、被害が増え続ける世界の現況を象徴したものと言えそうです。 3つ目のワイパー型マルウェアは、ランサムウェアと似たタイプで、戦時下や五輪など大きなイベントで使われてきた“データの破壊”を目的としたマルウェアです。その次のOT(Operational Technology)は、製造系のシステム。以前は攻撃対象になる機会は少なかったのですが、情報系との連動が普通になった現在は、状況は変わっています。 クラウドセキュリティの重要度が増す Microsoftは2022年12月、同社のブログで2023年を予測した「5 endpoint management predictions for 2023(5つのエンドポイント管理の変化)」を発表しました。同社が推進するエンドポイント管理にフォーカスしたタイトルですが、内容は情報セキュリティ全般に言及したものです。 1.クラウドの成長率維持と、クラウド向け「統合エンドポイント管理」の需要が増加 2.脆弱性の減少と自動化促進に向け、セキュリティソフトと統合コンソールの統合が進展 3.ハイブリッドワークを保護する技術の需要が増加 4.各国で公共機関のDXが進み、国や地域特有のセキュリティ/コンプライアンス要件への対応が求められる 5.エンタープライズソフトウェアにおけるAIの導入と自動化技術が進展 参考:Microsoft Webページ https://www.microsoft.com/en-us/security/blog/2022/12/20/microsoft-intune-5-endpoint-management-predictions-for-2023/ 1.では、世界経済が低迷するとしても、継続的なクラウドの成長を予測しています。その前提を元に、クラウドベースの「統合エンドポイント管理ソリューション」の需要増加に言及していますが、エンドポイントセキュリティの重視と、管理エリアをクラウドに拡張する動きは、ここ数年のセキュリティ対策の大きな流れと言っていいでしょう。 ※エンドポイントセキュリティ:PCやサーバなど個々のデバイス単位で安全対策を強化するシステムや技術 2.は、セキュリティインシデントの大きな要因であり続ける脆弱性に関する内容です。対策と管理を効率化するため、企業内のソフトウェアをシームレスに管理できる「統合コンソール」を活用し、対策の自動化と迅速化を進めるべきとする提言とも言えます。 3.はハイブリッドワーク、つまり、ここ数年で拡がったテレワークを併用したワークスタイルを守るセキュリティ技術の需要拡大です。特に5Gデバイスの大量導入が進むとされていますが、新しいシステムの稼動時に生じてしまう防御の盲点、情報漏えいにつながる弱点への対応が求められるでしょう。 前線に立つ企業の視界には? ここから先は、クラウドセキュリティやランサムウェア、不正アクセス、情報流出、ID・パスワードの盗用など、さまざまなインシデントと現場で対峙しているセキュリティ企業の視界に入っているトレンドを、米国に本拠を置くベンダーの発表を中心に見ていきます。 ◇TREND MICRO 「2023年 セキュリティ脅威予測」 1.クラウド対応や窃取情報のマネタイズなど、ランサムウェアのビジネスモデルが多様化 2.組織が利用するオープンソフトウェアの脆弱性を悪用する攻撃が多発 3.ディープフェイクなど新手法により、ソーシャルエンジニアリングが巧妙化+ダークウェブでのディープフェイクやBEC(ビジネスメール詐欺)のサービス化、ビジネス化が進展 4.法人組織は包括的なセキュリティ戦略への転換を迫られる 参考:TREND MICRO Webページ https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20221226-01.html ダークウェブの構造 ◇WithSecure 「2023年のサイバー脅威に関する予測」 1.自然言語生成モデルがサイバー攻撃に利用される 2.セキュリティ侵害を通じて、機械学習モデルを窃取する行為が増加 3.クラウドに特化した攻撃が主流に 4.機械学習などデータ処理に必要な電力不足とより効率的な電力の利用が課題に 5.2038年問題は思ったより早くやってくるため、今から準備が必要 6.マルウェアによる攻撃は、人間のスピードから機械のスピードへ移行 ※2038年問題:2038年のある瞬間にコンピュータシステムが誤動作する問題 参考:WithSecure Webページ https://www.withsecure.com/jp-ja/whats-new/pressroom/20221215-predictions ◇proofpoint 「2023年サイバーセキュリティ予測」 1.経済の低迷と紛争がエコシステムに影響し、システミック・リスクが悪化 2.ダークウェブでのツールの商業化が犯罪を助長 3.ランサムウェアのビジネスモデルが二重脅迫型に移行・巧妙化が加速 4.多要素認証を使う“人のスキ”を突く攻撃が増加 5.サプライチェーン攻撃がさらに加速 6.ディープフェイクの拡がりと攻撃への応用が進む 7.規制当局の監視の高まりに呼応し、CISOや取締役会への要求と期待が増大 参考:proofpoint Webページ https://www.proofpoint.com/jp/blog/ciso-perspectives/cybersecurity-predictions-for-2023 クラウドのセキュリティ強化は共通認識 全体を概観して脅威として印象に残るのは、まずクラウドシフトのさらなる進展とそれに伴うセキュリティ強化の必要性、ランサムウェアの継続的な脅威、そしてサプライチェーン攻撃やビジネスメール詐欺(BEC)がより巧妙化し、“サイバー犯罪ビジネス”として拡大していくという点です。 “クラウドに特化した攻撃が主流に”と予測したベンダーもありました。前半のMicrosoftの発表でも“ハイブリッドワーク”のキーワードが出ていましたが、環境を選ばないワークスタイルでは、クラウドが情報基盤として機能します。最近の情報流出のインシデントでも、クラウドのID・パスワード盗用による不正アクセス、設定ミスによる漏えいは多発しています。 セキュリティシステムの対象をクラウドに拡げることは、当然の備えとして多くの企業が実践していますが、2023年はクラウドに特化した攻撃にも備えた点検と補強が求められるようになるかもしれません。 ダークウェブの動きにも最大級の警戒を 冒頭でサイバー保険が高額化する要因として、セキュリティインシデントの深刻な被害が周知された点が挙がっていましたが、実態を知らしめたのはランサムウェアでしょう。世界で被害が拡がり、守る側の研究機関やセキュリティ企業が技術開発と啓発に力を注いでも、鎮静化する兆しはありません。他の攻撃手法と組合せやすい、手口が巧妙化しているなど、複数の要因がありますが、一般企業にできることは、攻撃の動向を常にチェックしながら、教育も含めて基本的なマルウェア対策を実践することに行き着きます。 ランサムウェアやビジネスメール詐欺(BEC)、サプライチェーン攻撃が鎮静化しない要因の一つは、この点も複数のベンダーが挙げていましたが、ダークウェブという闇サイトの存在です。特にランサムウェアは、標的の選定、プログラムの用意、データの暗号化、脅迫、データの暴露、身代金の取り立てなど工数が多いため1人での犯罪成就は難しく、ダークウェブでそれぞれの担当の募集が行われています。同様の動きがBECにもあり、“BEC as a Service”も確立しているようです。 ダークウェブから侵害されたデータを検知(Dark Tracer) 複数の組織が挙げていたもう一つの要素は、攻撃側のAI・機械学習の悪用です。セキュリティソフトの構造解析、標的企業のシステム設定の分析、ゼロデイ攻撃のターゲットの選別など、AIが悪用できる分野は多く、行動の迅速化につながっていくことは否めません。 2023年、皆さまの企業においても、特にクラウドセキュリティの強化、ランサムウェアやサプライチェーン攻撃、BECの継続的な脅威、そしてダークウェブをバックボーンとした犯罪グループの動きには、特に注意を払うようにしてください。
-
2023-01-11不正アクセスに有効な対策方法とは? ダークウェブも視野に
不正アクセス行為の発生状況不正アクセスは減少傾向ながら以前高い水準で発生し続けており、社会の課題となっています。被害に遭っているのはほとんどが企業となっています。 では、企業が不正アクセスに遭うとどのような影響があるのでしょうか? 出典:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(警察庁) 不正アクセスとは 不正アクセスとは、アクセスする権限を持たない者が、許可なくサーバやネットワークなどの情報システムの内部に侵入し、重要情報を窃取、漏洩、または破壊するなどして、企業とそのブランド・価値に大きな影響を与える行為です。具体的な不正アクセスには以下の行為があります。 l 侵入 サーバやそのソフトウェア、ネットワーク機器などの脆弱性を悪用して侵入する行為。攻撃に悪用するための脆弱性情報は、ダークウェブなどを介して取引されることが多い。 l なりすまし 他人のIDとパスワードなどのログイン情報を不正に入手してログインする行為。他人のIDとパスワードはログイン先と共にダークウェブを介して取引されていることが多い。 不正アクセスによる被害 不正アクセスされた場合に起こりうる被害として以下のものが考えられます。 l ホームページの改ざん l サーバ内データの漏洩 l サーバ内データやシステムの破壊 l サーバやサービスの停止 l 迷惑メールの送信や中継に利用される l 他のパソコンを攻撃するための踏み台として利用される l バックドアを仕掛けられ、いつでも外部から侵入できるようにされる 不正アクセスの被害から機密情報を守るには、サーバで稼働しているサービスを把握し、各種設定を確認、必要なセキュリティサービスや機能の導入を行い、対策することが重要です。 では、不正アクセスに対してどのような対策を行えばよいのでしょうか? 不正アクセスへの有効な対策方法は? l ソフトウェアの更新を行い常に最新版を使用する l サーバの不要なサービスを停止する l ファイアーウォールや侵入防止システム(IPS)を導入する l モバイル機器の管理を徹底する l 無線LAN機器のセキュリティ設定と管理の徹底 l 脆弱性のチェックを行う l 推測されにくい強いパスワードを利用する l アカウント情報の厳重な管理 l 多要素認証の利用など認証システムを強化する 最近の注意点は? 不正アクセスの代表的な行為(侵入・なりすまし)で悪用される情報(脆弱性情報、他人のID・パスワード)などはダークウェブ上で流通・取引されている場合が多いため、上記の不正アクセス対策を行ったとしても侵入される場合があります。 上記のようなセキュリティ強化と共に、ダークウェブに自社のログインIDやパスワードが公開されていないことを確認することも重要です。しかし、ダークウェブを閲覧・検索するには特殊なブラウザーや専門的な知識が必要で、一般ユーザが不用意に近づくことは危険です。そのような場合には、ダークウェブの情報を安全に検索できるサービス「DarkTracer(ダークトレーサー)」が有効です。 下の画像がダークトレーサーを使って、ある企業ドメインのログイン情報について検索した時の検索結果です。このドメインでは2392件のログイン情報がダークウェブに漏洩していました。2022年9月の情報ですのでそれほど古くはない情報です。もし、これが自社のドメインだったとしたらどうでしょうか?これらのログイン情報が有効なものであったら、正規にログインしたものとして、セキュリティシステムに気づかれることなくログインできてしまいます。 ダークウェブで発見したログイン情報漏洩の例 通常の生活では気にすることの少ないダークウェブですが、このように企業セキュリティの現場においてダークウェブへの情報漏洩は無視できないものになってきています。中小企業も例外ではありません。最初からセキュリティレベルの高い大手企業ではなく、セキュリティの比較的弱い場所を突かれて被害に遭うケースが多数報告されています。 重要情報は、今日は漏洩していなくても明日漏洩するかもしれません。自社のセキュリティ対策強化と共に、定期的にダークウェブに自社の情報が漏洩していないか確認されてはいかがでしょうか?
-
2022-12-27防衛省がセキュリティ基準を刷新 ~ 一般企業も無縁ではないNISTとは? ~
各国で拡がる 「NIST SP800-171」 2022年は国内でも安全保障に関する議論が活発化した年でしたが、防衛省は2023年度から適用する防衛装備品に関する重要な情報を保護するための指針「防衛産業サイバーセキュリティ基準」を整備しました。基準の作成時に参照したのが「NIST SP800-171」です。 新しい指針は、防衛と関わりを持つ産業や大企業だけでなく、一般企業にとっても決して無縁ではないのですが、理由に進む前にバックグラウンドを簡単に整理しておきましょう。 米国の政府機関 NIST(米国立標準技術研究所:ニスト)は、情報セキュリティの分野でも推奨する技術を発表しており、NISTの公式文書は米国だけでなく、各国の省庁や業界団体などが参照している事実上のスタンダードと言える存在です。 ※NIST:National Institute of Standards and Technology ※SP:Special Publications NIST SP800-171(以下、800-171)は、政府機関の装備品の調達先企業に対し、情報保護を求めたガイドラインです。文書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」。文書の主旨を一般的なビジネス用語で表すと、“製造から配送に至るサプライチェーンを構成するすべての企業が、一定のセキュリティレベルを確保するための指針”と言えます。 「NIST SP800-171」 出典:NIST https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf 発端はサプライチェーンの綻び この指針が制定された背景は、サプライチェーンの綻びです。発端の一つとなったのは、オーストラリアにある従業員数10名ほどの企業が不正アクセスを受け、「F35」戦闘機の設計情報などの一部が流出したインシデントでした。 最初からガードが硬い大手メーカーは狙わず、サプライチェーンを構成する中小企業を糸口に、攻撃対象をチェーン全体に拡げていくサプライチェーン攻撃は、各国で深刻な脅威になっています。そこで米国の政府機関や関連組織では、サプライチェーンの末端に至るまで、情報が漏れない仕組みを整備することになったのです。 800-171の制定は2015年ですが、米国ではその後の数年で、防衛産業だけではなく、エネルギー、自動車などの分野にも拡がり、欧州とアジアでもNISTの仕様を参照する動きが出てきました。その一例が防衛省の「防衛産業サイバーセキュリティ基準」というわけです。 「非格付け情報」の扱いに注意を払う 800-171の内容は、文書タイトルにある「CUI(非格付け情報)」の扱いです。これを文書の意図を踏まえて意訳すると、“機密情報ではないが重要な情報”。一方、機密として格付けされた情報は、「CI(格付け情報)」と定義されます。 ・CI (Classified Information):格付け情報 ← NIST SP800-53 ・CUI(Controlled Unclassified Information):非格付け情報 ← NIST SP800-171 NIST SP800-53は、政府機関が定義した機密情報を扱うための指針で、情報の処理や保存、転送を行うすべて企業は、800-53に準拠したシステムの構築と運用が要求されます。そして機密情報以外の重要な情報の種別と、その扱い方に関するルールは、800-171に記されています。つまり、サプライチェーンを構成する企業がCUIを保護するためのガイドラインが800-171です。 一般企業にとっては、何がCUIに該当するかの判断は難しく、業種・業態とサプライチェーンの特性から判断されますが、米国防総省では、重要インフラ、防衛、金融、原子力、プライバシー、特許など、20のカテゴリーと分類ごとの例を示しています。例えば、インフラ分野では、テロへの悪用につながる可能性があるエネルギーに関する情報、金融は財務監督情報、プライバシーでは死亡の記録などを含むとしています。 ガラス1枚が機密情報に? 機密と格付けされない情報も、800-171によって扱いに規制がかかる理由は、それ自体は機密ではないとしても、データを集合したり、再構成したり、分析することで、機密につながる可能性があるからです。前述したオーストラリア企業からの情報流出もその一例で、部品の仕様や設計図だけでは、機密とは言えない類の情報でも、データを集めて分析すると「F35」戦闘機の性能が見えてしまうリスクがあるのです。 戦闘機には、筐体に使う金属、計器類、組み込み型コンピュータ、トランジスタなどの電子デバイスまで、多様な部品が使われます。自社の担当が操縦席に使うガラス素材だけだったとしても、それがCUIに指定される可能性はゼロではありません。電子回路やその仕様図なども同様です。単体ではどこにでもある素材・情報でも、機密につながる可能性があると認定されたら、800-171に準じた扱いが求められるのです。 800-171の効力が及ぶ範囲は、国防総省やその関連組織と取引がある事業者だけではありません。2次や3次の請負、いわゆる下請けと孫請け、さらにその配下に入る会社にも適用され、レギュレーションを守らないところは、入札に参加できないなどサプライチェーンからの退場を迫られることになってしまいます。 日本企業への影響は? 防衛省の「防衛産業サイバーセキュリティ基準」は、2023年度から正式に適用されます。約5年の移行期間が設けられていますが、扱う製品と情報の種類によっては、システムに改修が発生する可能性があるため、防衛省の計画が見えてきた2~3年から、各所で準備も進められています。 安全保障以外の領域に拡がる動きも伝えられるようになってきました。著名企業では、傘下にヤフーやLINEを持つZホールディングスが、グループ全体で800-171対応を進めています。メディアで伝えられたトップ層へのインタビューによると、狙いの一つは“6,000万~8,000万人の利用者を抱えるグループとして、米国の巨大IT企業に見劣りしない情報保護の体制を作るため”とされています。 800-171の基本精神から言うと、Zホールディングスが取り組む安全基準の効力はサプライチェーン全体、LINEやヤフーのようなIT・メディア産業の場合、個人情報の処理を受け持つデータセンター、ストレージサービス、コールセンター、コンテンツ配信サービス、あるいはECやオークション関連の会社など広範に及ぶものと思われます。 省庁や大企業から要請も 情報セキュリティの技術と運用方法は、建設や製造、旅行・宿泊、決済などの分野で、業界ごとのレギュレーションがあり、業務の形態に合わせた指針が出ている一方、グローバルスタンダードを重視し、参照する傾向も強くなってきました。 こうした流れも加味すると、2023年以降、800-171は国内でも安全保障以外の分野に拡がりも、省庁や大企業が協力会社に準拠を要請する動きも出てくると思われます。 800-171は約110ページの法的要素も含むドキュメントですが、セキュリティとシステム運用に関心をお持ちの方にとっては、特に難しい内容ではありません。一度、通読しておくことお勧めしますが、以下のパートでエッセンスを見ておきましょう。 検知と対策、復旧も重視 800-171の特徴は、サイバー攻撃への対処に必要な「特定」「防御」「検知」「対応」「復旧」の工程をカバーする点です。リスクの「特定」と適切な管理、攻撃からシステムを保護する「防御」は予防ですが、後の3工程は攻撃を受けた後の行動です。侵入の記録が残るログの分析や通信経路の監視を強化する「検知」、被害を受けた個所を修復して拡散を防ぐ「対応」、そしてバックアップなどを利用してシステムを再起動する「復旧」のすべての段階で対策を行います。 現在のサイバー攻撃は先鋭化が進み、「特定」と「防御」だけでは、不正侵入に対する100%の阻止は難しくなっています。セキュリティ企業から提供されるシステムやサービスも、予防に加えて「検知」以後のプロセスも強化する傾向が強くなってきていますが、800-171でもこの考え方が反映されています。 経済産業省の発表資料 14の視点からセキュリティを検証 800-171が定める具体的な要件は14の項目があり、アクセス制御、システムと通信の保護、識別と認証、物理的保護など、技術的な内容と、意識向上とトレーニング、インシデント対応、リスクアセスメントなど、非技術的な要件が含まれます。 例えば、アクセス制御では、“システムへのアクセスは許可された利用者とその人が使うシステムに限定する”などの条件が記され、識別と認証の分野では、“アクセス後に非アクティブになった時間が一定を超えると、そのIDを無効化する”などの要件があります。 NIST SP800-171が扱うセキュリティ対策の14分野 出典:経済産業省 https://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/wg_1/pdf/001_05_00.pdf 2022年末の時点では800-171は、「ISO/IEC 27001(情報セキュリティマネジメントシステム)」のような認証制度ではなく、第三者機関が準拠認定を出す形にはなっていません。準拠した企業は自己申告できることになりますが、サプライチェーン全体のセキュリティ対策への評価に関係しますから、もし違反があった場合のリスクは高いと考えるべきでしょう。 多くの組織にとって今の時点では800-171は喫緊の課題ではないとしても、世界各国の動きとサプライチェーン攻撃の多発などの状況を加味すると、日本の産業社会でもこの基準の比重が増していくことは確かです。サプライチェーンの一角にある企業の皆さまは、自社にとってのCUIを見直し、800-171が進展する時期に備えるようにしてください。
-
2022-11-24ランサムウェア対策の前線を知る ~鎮静化しない理由と防御の潮流は?~
市民生活にも打撃 情報セキュリティに馴染みがない人でも、「ランサムウェア」という言葉は聞いたことがあるのではないでしょうか。ランサムウェア(Ransomware)は、企業・団体のシステムに不正アクセスしてデータを暗号化し、暗号を解除するためのキーと引き換えに、身代金(Ransom)を要求するサイバー攻撃です。 2022年10月、大阪府の高度救命緊急センターに指定されている医療施設がこの攻撃を受け、テレビや一般紙でも大きく報じられました。この他にも、2021年10月末の徳島県つるぎ町の拠点病院、2022年1月には東京の大学病院、春日井市のリハビリテーション施設など、地域の重要な医療機関がランサムウェアに感染し、一部の手術と外来診療が停止するなど、市民生活にも影響が出ています。 被害は医療施設に限りません。ここ数カ月の間にも、自動車部品やゼネコン、アニメーション制作、製菓、ファッション販売などの分野で、誰もが名を知る企業の業務が一時的に停止するなど、深刻な被害が毎週のように伝えられています。 急増する被害にG7も動く 警察庁の広報資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェアを最大級の脅威として採り上げています。資料によると、警察庁に届いた被害件数は146件。この数字は警察庁まで上がった報告の数ですから、水面下のインシデントまで含めると、はるかに多くの攻撃と被害が発生しているはずです。このグラフからは、件数よりも令和2年の下期あたりから急速に勢いを増している実態を読み取るべきでしょう。 ランサムウェア被害の報告件数の推移 出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」 米国の調査機関が発表したレポートでは、被害を受けた企業が支払った身代金の平均額は、2021年は前年比80%増に達していました。また米国のセキュリティ企業が日本の組織を対象に行った調査では、過去12カ月以内にランサムウェアの被害を受けたのは61%という結果も出ています(グローバル平均は66%)。調査対象は、調査を行った企業の目が届く範囲としても、軽視できないデータです。 ここ1~2年のランサムウェアの隆盛は世界的な傾向です。2021年末にはG7各国の安全保障担当大臣などが参加する「ランサムウェアに関する臨時上級実務者フォーラム」が開かれるなど、今や国家レベルの喫緊の課題と言えます。 国際的な防御体制が敷かれ、各国のIT分野の調査機関、セキュリティ企業、一般企業も最大級の警戒をしているにも関わらず、ランサムウェアの勢いは止められません。その要因は、まず犯罪者にとって実利が得やすいというこの攻撃の特性、そしてもう一つは、ここ1~2年ほどの間に急速に攻撃力が高まった点が挙げられます。 手口の85%は「二重脅迫型」 ランサムウェアに対しては、データのバックアップが有効な時期がありましたが、攻撃者はバックアップを探し出して同時に暗号化してしまうため、今はその効果も限定的です。手口も「二重脅迫型」や「暴露型」と呼ばれる形に進化。データを暗号化すると同時に、機密情報を公開すると脅し、組織が高額の身代金を支払わなければならないように仕向けるのです。前述した警察庁の調査では、手口を確認できたうち85%が二重脅迫型でした。 ランサムウェアの手口と要求された身代金の支払い方法 出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」 以前のランサムウェアは、無差別に攻撃する「ばら蒔き型」でしたが、今は特定の企業・団体の内情と情報システムを調べ上げ、支払いに応じそうな組織を吟味する「標的型」に進化しています。企業グループや製品の供給網に狙いを定め、人員と予算の関係から比較的隙ができやすい中小企業に侵入し、ここを足場に本丸のメーカーなどに攻撃を拡散していく「サプライチェーン攻撃」の手法も採り入れています。 サプライチェーンの弱点を利用した攻撃のイメージ 出典:IPA(情報処理推進機構) 攻撃の「分業化」も進みました。この犯罪を成就するには、企業システムに不正侵入するための認証情報の窃取、プログラムの用意、内部の探索とデータの暗号化、そして身代金の取り立てなど、いくつかの作業が必要ですが、闇サイトの「ダークウェブ」上には、それぞれの実行犯を募ってマッチングしたサービス「RaaS(Ransomware as a Service)」もあって、これを使えばそれほど高度なスキルを持たない者でも、ランサムウェア攻撃に参入できるようになったのです。 鉄則は“ぼや”で消し止める 攻撃手法が進化したと言っても、ランサムウェアもマルウェアの一種ですから、特別な対策が存在するわけではありません。一般的なセキュリティ対策、具体的には、システムへの侵入を防ぐため“IDとパスワードなど認証情報を厳重に管理”、“ランサムウェアに対応したウイルス対策ソフトの導入”、“サーバーなどの脆弱性の修正”、“重要データのバックアップ”、そして“社内への研修と啓発”を続けるなど、基本がそのまま通用します。 しかし、相応の対策をしているはずの大手企業でも被害を免れていない状況を見ると、これだけでは十分とは言えないことは明らかです。2022年に欧州の開発拠点がランサムウェアの攻撃を受けた日本の自動車部品メーカーは、数カ月前に南米の工場に侵入されて被害が発生し、全社的に警戒を高めている中でのインシデントでした。 こうした事実を加味すると、基本的なセキュリティ対策に加えて、先鋭化した攻撃の侵入を100%阻止するのは困難という現実を直視し、それに則した対応も必要と言えます。具体的な手法として、侵入の痕跡やシステムの変更をいち早く検知し、不審な動きを止めると同時に、被害を最小限に止めるためのツールも普及しつつあります。 つまり、もし仮に火災のリスクが迫ったとしても、“ぼや”の段階でいち早く気づき、初期消火することで攻撃の拡散を防ぐ手法です。不正侵入した犯罪者は、セキュリティ対策ソフトの無効化、管理者権限の窃取、バックアップの探索などの作業を経て、ファイルの暗号化にかかります。侵入から暗号化までは、数日から長いときは数週間かけていますので、早期検知は極めて重要なのです。 もう一つの有効打は“攻撃者の視点に立つ” ランサムウェア対策の前線では、予防を強化する組織も増えてきました。攻撃者と同じ視点に立って、自社やサプライチェーンの弱点を探し、先回りして手を打つという考え方の導入です。 例えば、国内の建築分野の大手企業は、「脅威インテリジェンス」というサービスを利用して、自社とグループ企業への侵入につながるような情報が、インターネットに流出していないか常に監視しています。 脅威インテリジェンスは、セキュリティリスクの検知や被害防止に活用できる情報を配信するサービスです。脆弱性などの一般的なリスクに関する情報に加えて、あらかじめ登録した社名やIPアドレスなどの情報を元に、ダークウェブのような闇サイトも対象に、自社のセキュリティを脅かすような情報を自動収集できます。 リークされたアカウントの存在を探索するイメージ Dark Tracer 公開情報からリスクを検知 予防におけるもう一つのキーワードが「OSINT(Open Source Intelligence:オシント)」です。直訳すると「公開された情報を利用したインテリジェンス」。断片的なデータを含め、一般公開された情報を分析し、新たな知見を得て安全対策に生かすための技法です。もともとは国家安全保障や軍事における情報収集と諜報活動で使われていた手法ですが、最近は情報セキュリティの分野でも重視されるようになってきました。 攻撃者も公開情報を足掛かりに、企業システムへの侵入を試みます。公開情報の一例として、企業名とドメイン名、IPアドレス、公式ページのURL、サポート窓口のメールアドレス、拠点の電話番号、登記簿に載った役員名、製品マニュアル、PR目的の文書などがありますが、公式サイトに実装しているサーバーソフト、常用しているクラウドサービスなども、特に収集が難しい情報ではないため、公開情報の一部と考えていいでしょう。 意図せぬ公開によるリスクを排除 サーバーのOSやアプリケーション以外にも、外部から確認できる情報は少なくありません。例えば、ドメイン名を指定すると、その配下に登録されているメールアドレスを検索するツールもあります。攻撃者にとっては、標的の内情を調べ上げて攻撃を仕掛ける「標的型攻撃」の起点になるデータを採取するツールとして利用できるでしょう。 システムのもう少し内側に入ったところでは、IPアドレスとドメイン名を対応づけるDNSの設定内容を示す「DNSレコード」も、DNSサーバーを設置する企業の情報として公開されます。ここにテレワークでもよく使われるVPN(仮想的な専用回線)のURLも記載され、その存在が見えるケースがあります。もちろん、VPNは認証システムでガードされていますから、内部に入ることはできません。しかし、VPN機器やソフトのバージョンが古い場合は脆弱性が残っていることがあり、脆弱性を悪用されて簡単な操作でアクセスを許してしまいます。 VPNに不正アクセスするためのIDとパスワードは、企業の公式SNSや交流サイトからメールアドレスを割り出し、アカウントとパスワードを推測する方法もあるでしょう。漏えいしたメールアドレスとパスワードの組合せは、ダークウェブでも高値がつく人気商品の一つです。 攻撃者はこの瞬間にも、公開情報を足場にサプライチェーンを隈なく探索しているはずです。守る側も攻撃者の視点に立ち、外部から入手できる情報の見直しが必要です。公開する必要がないデータは削除、必要な情報はそこからシステムに残る脆弱性が知られてしまうことはないか、あるいはクラウドサービスの設定ミスなどで、企業ネットワークの管理画面が意図しない形でインターネットから見えるようになっていないかなどの点を入念にチェックしてください。 先鋭化したランサムウェアには、セキュリティ対策の基本の忠実な実践に加えて、脅威インテリジェンスとOSINTを活用した攻撃側の視点に立ったガードが不可欠なのです。
News
View all +-
2023-03-01オーシャンビュー鴨川(貸別荘)をオープンしました!
「オーシャンビュー鴨川」は、海の前にある最大6名宿泊可能な貸し切りの宿です。 日本の渚百選に選ばれた、前原海水浴場のすぐ目の前にあります。 千葉県鴨川駅から徒歩10分とアクセスもばっちり。 海を見ながらワーケーションや、ご家族・グループでの休日にぜひご利用ください。 ご予約はこちら
-
2023-01-19DarkTracer評価版で製品と同様の機能をお試し頂けるようになりました
これまでは検索結果の一部がマスクされていましたが、ポリシーを変更してDarkTracerの新規ユーザーは登録承認後7日間、製品と同様の機能をお試し頂けるようになりました。試用版には、DarkTracer PRO と拡張モジュール (CL、CDS、RM、LM、および新しくリリースされた拡張機能: CB と DM) が含まれています。 ユーザ登録はこちら
-
2022-12-15年末年始休業について
誠に勝手ながら下記の期間、休業とさせて頂きます。 お客様にはご迷惑をおかけいたしますが、何卒ご了承くださいますようよろしくお願い申し上げます。 ◎休業期間:2022年12月30日(金) ~ 2023年1月3日(火) 上記期間中に頂いたお問い合わせにつきましては、2023年1月4日(水)より順次対応させて頂きます。