Solution Map
Blog
View all +-
2023-01-242023年に企業が留意すべきセキュリティリスクは? ~キーワードは攻撃の先鋭化と瞬時の拡散~
トレンド分析から抽出されたセキュリティの脅威 2022年12月から2023年1月にかけて、IT分野の業界団体、研究機関、セキュリティ企業から、2023年に留意すべきセキュリティリスクに関するレポートが発表されました。今回は、それらの中からいくつかをピックアップしてお知らせします。 前半は、より広い視野から情報技術の分野と接している非営利組織とソフトウェアメーカー、続いて情報セキュリティの前線で活動するセキュリティ企業の報告をいくつか紹介します。最後にこれらの内容から、一般企業にとって特に留意すべきセキュリティリスクとその対策を考えてみましょう。 ※以下の項目とランキングは、当コラムで一部要約/抄訳しています。 サイバー保険への加入が困難に? (ISC)²は、情報セキュリティ分野の資格の創設と管理、人材育成などを専門とする1989年に設立された非営利組織です(本部:米フロリダ)。2023年1月には、「アジア太平洋地域における2023年のサイバーセキュリティ業界の課題」に関するレポートを公開しました。これによると、リスクが高い分野として以下が挙げられています。 1. サイバー保険の需要が高まっていく一方、加入はより困難に 2. 量子技術の実用化は目前で、2023年には対応が課題に 3. ワイパー型マルウェアの攻撃が増加 4. 産業界はOTインフラセキュリティの重要性を過小評価し続ける 5. 不況により研修プログラムへの支出が減少 参考:(ISC)² ニュースリリース https://prtimes.jp/main/html/rd/p/000000006.000103584.html 広範な領域に接する組織の特性が反映された内容と言えますが、最初に挙がった「サイバー保険」は、ランサムウェアや情報流出が企業に与える深刻な被害が、社会全体に周知されてきた点が前提にあります。これに伴い、保険料が高額化する一方、EDRや多要素認証など特定技術の導入を求める傾向が強まってきました。サイバー保険の価格高騰は、被害が増え続ける世界の現況を象徴したものと言えそうです。 3つ目のワイパー型マルウェアは、ランサムウェアと似たタイプで、戦時下や五輪など大きなイベントで使われてきた“データの破壊”を目的としたマルウェアです。その次のOT(Operational Technology)は、製造系のシステム。以前は攻撃対象になる機会は少なかったのですが、情報系との連動が普通になった現在は、状況は変わっています。 クラウドセキュリティの重要度が増す Microsoftは2022年12月、同社のブログで2023年を予測した「5 endpoint management predictions for 2023(5つのエンドポイント管理の変化)」を発表しました。同社が推進するエンドポイント管理にフォーカスしたタイトルですが、内容は情報セキュリティ全般に言及したものです。 1.クラウドの成長率維持と、クラウド向け「統合エンドポイント管理」の需要が増加 2.脆弱性の減少と自動化促進に向け、セキュリティソフトと統合コンソールの統合が進展 3.ハイブリッドワークを保護する技術の需要が増加 4.各国で公共機関のDXが進み、国や地域特有のセキュリティ/コンプライアンス要件への対応が求められる 5.エンタープライズソフトウェアにおけるAIの導入と自動化技術が進展 参考:Microsoft Webページ https://www.microsoft.com/en-us/security/blog/2022/12/20/microsoft-intune-5-endpoint-management-predictions-for-2023/ 1.では、世界経済が低迷するとしても、継続的なクラウドの成長を予測しています。その前提を元に、クラウドベースの「統合エンドポイント管理ソリューション」の需要増加に言及していますが、エンドポイントセキュリティの重視と、管理エリアをクラウドに拡張する動きは、ここ数年のセキュリティ対策の大きな流れと言っていいでしょう。 ※エンドポイントセキュリティ:PCやサーバなど個々のデバイス単位で安全対策を強化するシステムや技術 2.は、セキュリティインシデントの大きな要因であり続ける脆弱性に関する内容です。対策と管理を効率化するため、企業内のソフトウェアをシームレスに管理できる「統合コンソール」を活用し、対策の自動化と迅速化を進めるべきとする提言とも言えます。 3.はハイブリッドワーク、つまり、ここ数年で拡がったテレワークを併用したワークスタイルを守るセキュリティ技術の需要拡大です。特に5Gデバイスの大量導入が進むとされていますが、新しいシステムの稼動時に生じてしまう防御の盲点、情報漏えいにつながる弱点への対応が求められるでしょう。 前線に立つ企業の視界には? ここから先は、クラウドセキュリティやランサムウェア、不正アクセス、情報流出、ID・パスワードの盗用など、さまざまなインシデントと現場で対峙しているセキュリティ企業の視界に入っているトレンドを、米国に本拠を置くベンダーの発表を中心に見ていきます。 ◇TREND MICRO 「2023年 セキュリティ脅威予測」 1.クラウド対応や窃取情報のマネタイズなど、ランサムウェアのビジネスモデルが多様化 2.組織が利用するオープンソフトウェアの脆弱性を悪用する攻撃が多発 3.ディープフェイクなど新手法により、ソーシャルエンジニアリングが巧妙化+ダークウェブでのディープフェイクやBEC(ビジネスメール詐欺)のサービス化、ビジネス化が進展 4.法人組織は包括的なセキュリティ戦略への転換を迫られる 参考:TREND MICRO Webページ https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20221226-01.html ダークウェブの構造 ◇WithSecure 「2023年のサイバー脅威に関する予測」 1.自然言語生成モデルがサイバー攻撃に利用される 2.セキュリティ侵害を通じて、機械学習モデルを窃取する行為が増加 3.クラウドに特化した攻撃が主流に 4.機械学習などデータ処理に必要な電力不足とより効率的な電力の利用が課題に 5.2038年問題は思ったより早くやってくるため、今から準備が必要 6.マルウェアによる攻撃は、人間のスピードから機械のスピードへ移行 ※2038年問題:2038年のある瞬間にコンピュータシステムが誤動作する問題 参考:WithSecure Webページ https://www.withsecure.com/jp-ja/whats-new/pressroom/20221215-predictions ◇proofpoint 「2023年サイバーセキュリティ予測」 1.経済の低迷と紛争がエコシステムに影響し、システミック・リスクが悪化 2.ダークウェブでのツールの商業化が犯罪を助長 3.ランサムウェアのビジネスモデルが二重脅迫型に移行・巧妙化が加速 4.多要素認証を使う“人のスキ”を突く攻撃が増加 5.サプライチェーン攻撃がさらに加速 6.ディープフェイクの拡がりと攻撃への応用が進む 7.規制当局の監視の高まりに呼応し、CISOや取締役会への要求と期待が増大 参考:proofpoint Webページ https://www.proofpoint.com/jp/blog/ciso-perspectives/cybersecurity-predictions-for-2023 クラウドのセキュリティ強化は共通認識 全体を概観して脅威として印象に残るのは、まずクラウドシフトのさらなる進展とそれに伴うセキュリティ強化の必要性、ランサムウェアの継続的な脅威、そしてサプライチェーン攻撃やビジネスメール詐欺(BEC)がより巧妙化し、“サイバー犯罪ビジネス”として拡大していくという点です。 “クラウドに特化した攻撃が主流に”と予測したベンダーもありました。前半のMicrosoftの発表でも“ハイブリッドワーク”のキーワードが出ていましたが、環境を選ばないワークスタイルでは、クラウドが情報基盤として機能します。最近の情報流出のインシデントでも、クラウドのID・パスワード盗用による不正アクセス、設定ミスによる漏えいは多発しています。 セキュリティシステムの対象をクラウドに拡げることは、当然の備えとして多くの企業が実践していますが、2023年はクラウドに特化した攻撃にも備えた点検と補強が求められるようになるかもしれません。 ダークウェブの動きにも最大級の警戒を 冒頭でサイバー保険が高額化する要因として、セキュリティインシデントの深刻な被害が周知された点が挙がっていましたが、実態を知らしめたのはランサムウェアでしょう。世界で被害が拡がり、守る側の研究機関やセキュリティ企業が技術開発と啓発に力を注いでも、鎮静化する兆しはありません。他の攻撃手法と組合せやすい、手口が巧妙化しているなど、複数の要因がありますが、一般企業にできることは、攻撃の動向を常にチェックしながら、教育も含めて基本的なマルウェア対策を実践することに行き着きます。 ランサムウェアやビジネスメール詐欺(BEC)、サプライチェーン攻撃が鎮静化しない要因の一つは、この点も複数のベンダーが挙げていましたが、ダークウェブという闇サイトの存在です。特にランサムウェアは、標的の選定、プログラムの用意、データの暗号化、脅迫、データの暴露、身代金の取り立てなど工数が多いため1人での犯罪成就は難しく、ダークウェブでそれぞれの担当の募集が行われています。同様の動きがBECにもあり、“BEC as a Service”も確立しているようです。 ダークウェブから侵害されたデータを検知(Dark Tracer) 複数の組織が挙げていたもう一つの要素は、攻撃側のAI・機械学習の悪用です。セキュリティソフトの構造解析、標的企業のシステム設定の分析、ゼロデイ攻撃のターゲットの選別など、AIが悪用できる分野は多く、行動の迅速化につながっていくことは否めません。 2023年、皆さまの企業においても、特にクラウドセキュリティの強化、ランサムウェアやサプライチェーン攻撃、BECの継続的な脅威、そしてダークウェブをバックボーンとした犯罪グループの動きには、特に注意を払うようにしてください。
-
2023-01-11不正アクセスに有効な対策方法とは? ダークウェブも視野に
不正アクセス行為の発生状況不正アクセスは減少傾向ながら以前高い水準で発生し続けており、社会の課題となっています。被害に遭っているのはほとんどが企業となっています。 では、企業が不正アクセスに遭うとどのような影響があるのでしょうか? 出典:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(警察庁) 不正アクセスとは 不正アクセスとは、アクセスする権限を持たない者が、許可なくサーバやネットワークなどの情報システムの内部に侵入し、重要情報を窃取、漏洩、または破壊するなどして、企業とそのブランド・価値に大きな影響を与える行為です。具体的な不正アクセスには以下の行為があります。 l 侵入 サーバやそのソフトウェア、ネットワーク機器などの脆弱性を悪用して侵入する行為。攻撃に悪用するための脆弱性情報は、ダークウェブなどを介して取引されることが多い。 l なりすまし 他人のIDとパスワードなどのログイン情報を不正に入手してログインする行為。他人のIDとパスワードはログイン先と共にダークウェブを介して取引されていることが多い。 不正アクセスによる被害 不正アクセスされた場合に起こりうる被害として以下のものが考えられます。 l ホームページの改ざん l サーバ内データの漏洩 l サーバ内データやシステムの破壊 l サーバやサービスの停止 l 迷惑メールの送信や中継に利用される l 他のパソコンを攻撃するための踏み台として利用される l バックドアを仕掛けられ、いつでも外部から侵入できるようにされる 不正アクセスの被害から機密情報を守るには、サーバで稼働しているサービスを把握し、各種設定を確認、必要なセキュリティサービスや機能の導入を行い、対策することが重要です。 では、不正アクセスに対してどのような対策を行えばよいのでしょうか? 不正アクセスへの有効な対策方法は? l ソフトウェアの更新を行い常に最新版を使用する l サーバの不要なサービスを停止する l ファイアーウォールや侵入防止システム(IPS)を導入する l モバイル機器の管理を徹底する l 無線LAN機器のセキュリティ設定と管理の徹底 l 脆弱性のチェックを行う l 推測されにくい強いパスワードを利用する l アカウント情報の厳重な管理 l 多要素認証の利用など認証システムを強化する 最近の注意点は? 不正アクセスの代表的な行為(侵入・なりすまし)で悪用される情報(脆弱性情報、他人のID・パスワード)などはダークウェブ上で流通・取引されている場合が多いため、上記の不正アクセス対策を行ったとしても侵入される場合があります。 上記のようなセキュリティ強化と共に、ダークウェブに自社のログインIDやパスワードが公開されていないことを確認することも重要です。しかし、ダークウェブを閲覧・検索するには特殊なブラウザーや専門的な知識が必要で、一般ユーザが不用意に近づくことは危険です。そのような場合には、ダークウェブの情報を安全に検索できるサービス「DarkTracer(ダークトレーサー)」が有効です。 下の画像がダークトレーサーを使って、ある企業ドメインのログイン情報について検索した時の検索結果です。このドメインでは2392件のログイン情報がダークウェブに漏洩していました。2022年9月の情報ですのでそれほど古くはない情報です。もし、これが自社のドメインだったとしたらどうでしょうか?これらのログイン情報が有効なものであったら、正規にログインしたものとして、セキュリティシステムに気づかれることなくログインできてしまいます。 ダークウェブで発見したログイン情報漏洩の例 通常の生活では気にすることの少ないダークウェブですが、このように企業セキュリティの現場においてダークウェブへの情報漏洩は無視できないものになってきています。中小企業も例外ではありません。最初からセキュリティレベルの高い大手企業ではなく、セキュリティの比較的弱い場所を突かれて被害に遭うケースが多数報告されています。 重要情報は、今日は漏洩していなくても明日漏洩するかもしれません。自社のセキュリティ対策強化と共に、定期的にダークウェブに自社の情報が漏洩していないか確認されてはいかがでしょうか?
-
2022-12-27防衛省がセキュリティ基準を刷新 ~ 一般企業も無縁ではないNISTとは? ~
各国で拡がる 「NIST SP800-171」 2022年は国内でも安全保障に関する議論が活発化した年でしたが、防衛省は2023年度から適用する防衛装備品に関する重要な情報を保護するための指針「防衛産業サイバーセキュリティ基準」を整備しました。基準の作成時に参照したのが「NIST SP800-171」です。 新しい指針は、防衛と関わりを持つ産業や大企業だけでなく、一般企業にとっても決して無縁ではないのですが、理由に進む前にバックグラウンドを簡単に整理しておきましょう。 米国の政府機関 NIST(米国立標準技術研究所:ニスト)は、情報セキュリティの分野でも推奨する技術を発表しており、NISTの公式文書は米国だけでなく、各国の省庁や業界団体などが参照している事実上のスタンダードと言える存在です。 ※NIST:National Institute of Standards and Technology ※SP:Special Publications NIST SP800-171(以下、800-171)は、政府機関の装備品の調達先企業に対し、情報保護を求めたガイドラインです。文書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」。文書の主旨を一般的なビジネス用語で表すと、“製造から配送に至るサプライチェーンを構成するすべての企業が、一定のセキュリティレベルを確保するための指針”と言えます。 「NIST SP800-171」 出典:NIST https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf 発端はサプライチェーンの綻び この指針が制定された背景は、サプライチェーンの綻びです。発端の一つとなったのは、オーストラリアにある従業員数10名ほどの企業が不正アクセスを受け、「F35」戦闘機の設計情報などの一部が流出したインシデントでした。 最初からガードが硬い大手メーカーは狙わず、サプライチェーンを構成する中小企業を糸口に、攻撃対象をチェーン全体に拡げていくサプライチェーン攻撃は、各国で深刻な脅威になっています。そこで米国の政府機関や関連組織では、サプライチェーンの末端に至るまで、情報が漏れない仕組みを整備することになったのです。 800-171の制定は2015年ですが、米国ではその後の数年で、防衛産業だけではなく、エネルギー、自動車などの分野にも拡がり、欧州とアジアでもNISTの仕様を参照する動きが出てきました。その一例が防衛省の「防衛産業サイバーセキュリティ基準」というわけです。 「非格付け情報」の扱いに注意を払う 800-171の内容は、文書タイトルにある「CUI(非格付け情報)」の扱いです。これを文書の意図を踏まえて意訳すると、“機密情報ではないが重要な情報”。一方、機密として格付けされた情報は、「CI(格付け情報)」と定義されます。 ・CI (Classified Information):格付け情報 ← NIST SP800-53 ・CUI(Controlled Unclassified Information):非格付け情報 ← NIST SP800-171 NIST SP800-53は、政府機関が定義した機密情報を扱うための指針で、情報の処理や保存、転送を行うすべて企業は、800-53に準拠したシステムの構築と運用が要求されます。そして機密情報以外の重要な情報の種別と、その扱い方に関するルールは、800-171に記されています。つまり、サプライチェーンを構成する企業がCUIを保護するためのガイドラインが800-171です。 一般企業にとっては、何がCUIに該当するかの判断は難しく、業種・業態とサプライチェーンの特性から判断されますが、米国防総省では、重要インフラ、防衛、金融、原子力、プライバシー、特許など、20のカテゴリーと分類ごとの例を示しています。例えば、インフラ分野では、テロへの悪用につながる可能性があるエネルギーに関する情報、金融は財務監督情報、プライバシーでは死亡の記録などを含むとしています。 ガラス1枚が機密情報に? 機密と格付けされない情報も、800-171によって扱いに規制がかかる理由は、それ自体は機密ではないとしても、データを集合したり、再構成したり、分析することで、機密につながる可能性があるからです。前述したオーストラリア企業からの情報流出もその一例で、部品の仕様や設計図だけでは、機密とは言えない類の情報でも、データを集めて分析すると「F35」戦闘機の性能が見えてしまうリスクがあるのです。 戦闘機には、筐体に使う金属、計器類、組み込み型コンピュータ、トランジスタなどの電子デバイスまで、多様な部品が使われます。自社の担当が操縦席に使うガラス素材だけだったとしても、それがCUIに指定される可能性はゼロではありません。電子回路やその仕様図なども同様です。単体ではどこにでもある素材・情報でも、機密につながる可能性があると認定されたら、800-171に準じた扱いが求められるのです。 800-171の効力が及ぶ範囲は、国防総省やその関連組織と取引がある事業者だけではありません。2次や3次の請負、いわゆる下請けと孫請け、さらにその配下に入る会社にも適用され、レギュレーションを守らないところは、入札に参加できないなどサプライチェーンからの退場を迫られることになってしまいます。 日本企業への影響は? 防衛省の「防衛産業サイバーセキュリティ基準」は、2023年度から正式に適用されます。約5年の移行期間が設けられていますが、扱う製品と情報の種類によっては、システムに改修が発生する可能性があるため、防衛省の計画が見えてきた2~3年から、各所で準備も進められています。 安全保障以外の領域に拡がる動きも伝えられるようになってきました。著名企業では、傘下にヤフーやLINEを持つZホールディングスが、グループ全体で800-171対応を進めています。メディアで伝えられたトップ層へのインタビューによると、狙いの一つは“6,000万~8,000万人の利用者を抱えるグループとして、米国の巨大IT企業に見劣りしない情報保護の体制を作るため”とされています。 800-171の基本精神から言うと、Zホールディングスが取り組む安全基準の効力はサプライチェーン全体、LINEやヤフーのようなIT・メディア産業の場合、個人情報の処理を受け持つデータセンター、ストレージサービス、コールセンター、コンテンツ配信サービス、あるいはECやオークション関連の会社など広範に及ぶものと思われます。 省庁や大企業から要請も 情報セキュリティの技術と運用方法は、建設や製造、旅行・宿泊、決済などの分野で、業界ごとのレギュレーションがあり、業務の形態に合わせた指針が出ている一方、グローバルスタンダードを重視し、参照する傾向も強くなってきました。 こうした流れも加味すると、2023年以降、800-171は国内でも安全保障以外の分野に拡がりも、省庁や大企業が協力会社に準拠を要請する動きも出てくると思われます。 800-171は約110ページの法的要素も含むドキュメントですが、セキュリティとシステム運用に関心をお持ちの方にとっては、特に難しい内容ではありません。一度、通読しておくことお勧めしますが、以下のパートでエッセンスを見ておきましょう。 検知と対策、復旧も重視 800-171の特徴は、サイバー攻撃への対処に必要な「特定」「防御」「検知」「対応」「復旧」の工程をカバーする点です。リスクの「特定」と適切な管理、攻撃からシステムを保護する「防御」は予防ですが、後の3工程は攻撃を受けた後の行動です。侵入の記録が残るログの分析や通信経路の監視を強化する「検知」、被害を受けた個所を修復して拡散を防ぐ「対応」、そしてバックアップなどを利用してシステムを再起動する「復旧」のすべての段階で対策を行います。 現在のサイバー攻撃は先鋭化が進み、「特定」と「防御」だけでは、不正侵入に対する100%の阻止は難しくなっています。セキュリティ企業から提供されるシステムやサービスも、予防に加えて「検知」以後のプロセスも強化する傾向が強くなってきていますが、800-171でもこの考え方が反映されています。 経済産業省の発表資料 14の視点からセキュリティを検証 800-171が定める具体的な要件は14の項目があり、アクセス制御、システムと通信の保護、識別と認証、物理的保護など、技術的な内容と、意識向上とトレーニング、インシデント対応、リスクアセスメントなど、非技術的な要件が含まれます。 例えば、アクセス制御では、“システムへのアクセスは許可された利用者とその人が使うシステムに限定する”などの条件が記され、識別と認証の分野では、“アクセス後に非アクティブになった時間が一定を超えると、そのIDを無効化する”などの要件があります。 NIST SP800-171が扱うセキュリティ対策の14分野 出典:経済産業省 https://www.meti.go.jp/committee/kenkyukai/shoujo/sangyo_cyber/wg_1/pdf/001_05_00.pdf 2022年末の時点では800-171は、「ISO/IEC 27001(情報セキュリティマネジメントシステム)」のような認証制度ではなく、第三者機関が準拠認定を出す形にはなっていません。準拠した企業は自己申告できることになりますが、サプライチェーン全体のセキュリティ対策への評価に関係しますから、もし違反があった場合のリスクは高いと考えるべきでしょう。 多くの組織にとって今の時点では800-171は喫緊の課題ではないとしても、世界各国の動きとサプライチェーン攻撃の多発などの状況を加味すると、日本の産業社会でもこの基準の比重が増していくことは確かです。サプライチェーンの一角にある企業の皆さまは、自社にとってのCUIを見直し、800-171が進展する時期に備えるようにしてください。
-
2022-11-24ランサムウェア対策の前線を知る ~鎮静化しない理由と防御の潮流は?~
市民生活にも打撃 情報セキュリティに馴染みがない人でも、「ランサムウェア」という言葉は聞いたことがあるのではないでしょうか。ランサムウェア(Ransomware)は、企業・団体のシステムに不正アクセスしてデータを暗号化し、暗号を解除するためのキーと引き換えに、身代金(Ransom)を要求するサイバー攻撃です。 2022年10月、大阪府の高度救命緊急センターに指定されている医療施設がこの攻撃を受け、テレビや一般紙でも大きく報じられました。この他にも、2021年10月末の徳島県つるぎ町の拠点病院、2022年1月には東京の大学病院、春日井市のリハビリテーション施設など、地域の重要な医療機関がランサムウェアに感染し、一部の手術と外来診療が停止するなど、市民生活にも影響が出ています。 被害は医療施設に限りません。ここ数カ月の間にも、自動車部品やゼネコン、アニメーション制作、製菓、ファッション販売などの分野で、誰もが名を知る企業の業務が一時的に停止するなど、深刻な被害が毎週のように伝えられています。 急増する被害にG7も動く 警察庁の広報資料「令和3年におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェアを最大級の脅威として採り上げています。資料によると、警察庁に届いた被害件数は146件。この数字は警察庁まで上がった報告の数ですから、水面下のインシデントまで含めると、はるかに多くの攻撃と被害が発生しているはずです。このグラフからは、件数よりも令和2年の下期あたりから急速に勢いを増している実態を読み取るべきでしょう。 ランサムウェア被害の報告件数の推移 出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」 米国の調査機関が発表したレポートでは、被害を受けた企業が支払った身代金の平均額は、2021年は前年比80%増に達していました。また米国のセキュリティ企業が日本の組織を対象に行った調査では、過去12カ月以内にランサムウェアの被害を受けたのは61%という結果も出ています(グローバル平均は66%)。調査対象は、調査を行った企業の目が届く範囲としても、軽視できないデータです。 ここ1~2年のランサムウェアの隆盛は世界的な傾向です。2021年末にはG7各国の安全保障担当大臣などが参加する「ランサムウェアに関する臨時上級実務者フォーラム」が開かれるなど、今や国家レベルの喫緊の課題と言えます。 国際的な防御体制が敷かれ、各国のIT分野の調査機関、セキュリティ企業、一般企業も最大級の警戒をしているにも関わらず、ランサムウェアの勢いは止められません。その要因は、まず犯罪者にとって実利が得やすいというこの攻撃の特性、そしてもう一つは、ここ1~2年ほどの間に急速に攻撃力が高まった点が挙げられます。 手口の85%は「二重脅迫型」 ランサムウェアに対しては、データのバックアップが有効な時期がありましたが、攻撃者はバックアップを探し出して同時に暗号化してしまうため、今はその効果も限定的です。手口も「二重脅迫型」や「暴露型」と呼ばれる形に進化。データを暗号化すると同時に、機密情報を公開すると脅し、組織が高額の身代金を支払わなければならないように仕向けるのです。前述した警察庁の調査では、手口を確認できたうち85%が二重脅迫型でした。 ランサムウェアの手口と要求された身代金の支払い方法 出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」 以前のランサムウェアは、無差別に攻撃する「ばら蒔き型」でしたが、今は特定の企業・団体の内情と情報システムを調べ上げ、支払いに応じそうな組織を吟味する「標的型」に進化しています。企業グループや製品の供給網に狙いを定め、人員と予算の関係から比較的隙ができやすい中小企業に侵入し、ここを足場に本丸のメーカーなどに攻撃を拡散していく「サプライチェーン攻撃」の手法も採り入れています。 サプライチェーンの弱点を利用した攻撃のイメージ 出典:IPA(情報処理推進機構) 攻撃の「分業化」も進みました。この犯罪を成就するには、企業システムに不正侵入するための認証情報の窃取、プログラムの用意、内部の探索とデータの暗号化、そして身代金の取り立てなど、いくつかの作業が必要ですが、闇サイトの「ダークウェブ」上には、それぞれの実行犯を募ってマッチングしたサービス「RaaS(Ransomware as a Service)」もあって、これを使えばそれほど高度なスキルを持たない者でも、ランサムウェア攻撃に参入できるようになったのです。 鉄則は“ぼや”で消し止める 攻撃手法が進化したと言っても、ランサムウェアもマルウェアの一種ですから、特別な対策が存在するわけではありません。一般的なセキュリティ対策、具体的には、システムへの侵入を防ぐため“IDとパスワードなど認証情報を厳重に管理”、“ランサムウェアに対応したウイルス対策ソフトの導入”、“サーバーなどの脆弱性の修正”、“重要データのバックアップ”、そして“社内への研修と啓発”を続けるなど、基本がそのまま通用します。 しかし、相応の対策をしているはずの大手企業でも被害を免れていない状況を見ると、これだけでは十分とは言えないことは明らかです。2022年に欧州の開発拠点がランサムウェアの攻撃を受けた日本の自動車部品メーカーは、数カ月前に南米の工場に侵入されて被害が発生し、全社的に警戒を高めている中でのインシデントでした。 こうした事実を加味すると、基本的なセキュリティ対策に加えて、先鋭化した攻撃の侵入を100%阻止するのは困難という現実を直視し、それに則した対応も必要と言えます。具体的な手法として、侵入の痕跡やシステムの変更をいち早く検知し、不審な動きを止めると同時に、被害を最小限に止めるためのツールも普及しつつあります。 つまり、もし仮に火災のリスクが迫ったとしても、“ぼや”の段階でいち早く気づき、初期消火することで攻撃の拡散を防ぐ手法です。不正侵入した犯罪者は、セキュリティ対策ソフトの無効化、管理者権限の窃取、バックアップの探索などの作業を経て、ファイルの暗号化にかかります。侵入から暗号化までは、数日から長いときは数週間かけていますので、早期検知は極めて重要なのです。 もう一つの有効打は“攻撃者の視点に立つ” ランサムウェア対策の前線では、予防を強化する組織も増えてきました。攻撃者と同じ視点に立って、自社やサプライチェーンの弱点を探し、先回りして手を打つという考え方の導入です。 例えば、国内の建築分野の大手企業は、「脅威インテリジェンス」というサービスを利用して、自社とグループ企業への侵入につながるような情報が、インターネットに流出していないか常に監視しています。 脅威インテリジェンスは、セキュリティリスクの検知や被害防止に活用できる情報を配信するサービスです。脆弱性などの一般的なリスクに関する情報に加えて、あらかじめ登録した社名やIPアドレスなどの情報を元に、ダークウェブのような闇サイトも対象に、自社のセキュリティを脅かすような情報を自動収集できます。 リークされたアカウントの存在を探索するイメージ Dark Tracer 公開情報からリスクを検知 予防におけるもう一つのキーワードが「OSINT(Open Source Intelligence:オシント)」です。直訳すると「公開された情報を利用したインテリジェンス」。断片的なデータを含め、一般公開された情報を分析し、新たな知見を得て安全対策に生かすための技法です。もともとは国家安全保障や軍事における情報収集と諜報活動で使われていた手法ですが、最近は情報セキュリティの分野でも重視されるようになってきました。 攻撃者も公開情報を足掛かりに、企業システムへの侵入を試みます。公開情報の一例として、企業名とドメイン名、IPアドレス、公式ページのURL、サポート窓口のメールアドレス、拠点の電話番号、登記簿に載った役員名、製品マニュアル、PR目的の文書などがありますが、公式サイトに実装しているサーバーソフト、常用しているクラウドサービスなども、特に収集が難しい情報ではないため、公開情報の一部と考えていいでしょう。 意図せぬ公開によるリスクを排除 サーバーのOSやアプリケーション以外にも、外部から確認できる情報は少なくありません。例えば、ドメイン名を指定すると、その配下に登録されているメールアドレスを検索するツールもあります。攻撃者にとっては、標的の内情を調べ上げて攻撃を仕掛ける「標的型攻撃」の起点になるデータを採取するツールとして利用できるでしょう。 システムのもう少し内側に入ったところでは、IPアドレスとドメイン名を対応づけるDNSの設定内容を示す「DNSレコード」も、DNSサーバーを設置する企業の情報として公開されます。ここにテレワークでもよく使われるVPN(仮想的な専用回線)のURLも記載され、その存在が見えるケースがあります。もちろん、VPNは認証システムでガードされていますから、内部に入ることはできません。しかし、VPN機器やソフトのバージョンが古い場合は脆弱性が残っていることがあり、脆弱性を悪用されて簡単な操作でアクセスを許してしまいます。 VPNに不正アクセスするためのIDとパスワードは、企業の公式SNSや交流サイトからメールアドレスを割り出し、アカウントとパスワードを推測する方法もあるでしょう。漏えいしたメールアドレスとパスワードの組合せは、ダークウェブでも高値がつく人気商品の一つです。 攻撃者はこの瞬間にも、公開情報を足場にサプライチェーンを隈なく探索しているはずです。守る側も攻撃者の視点に立ち、外部から入手できる情報の見直しが必要です。公開する必要がないデータは削除、必要な情報はそこからシステムに残る脆弱性が知られてしまうことはないか、あるいはクラウドサービスの設定ミスなどで、企業ネットワークの管理画面が意図しない形でインターネットから見えるようになっていないかなどの点を入念にチェックしてください。 先鋭化したランサムウェアには、セキュリティ対策の基本の忠実な実践に加えて、脅威インテリジェンスとOSINTを活用した攻撃側の視点に立ったガードが不可欠なのです。
-
2022-10-31未来型サイバー攻撃の萌芽 ~他人のスマートフォンにゴーストタッチ~
多様なサイバー攻撃の息吹が ランサムウェアやサプライチェーン攻撃、あるいはサイバー犯罪の温床として問題視されているダークウェブなど、今の企業社会でリスクとなる脅威は、数年から十数年ほど前に何らかの芽を出し、ソフトウェアの新技術や新しいツールの開発などを起点に、一気に勢力を増したとされています。 ソフトウェアやデバイスの進化を注視しているのは、企業の情報システム部門とその関係者だけではありません。サイバー攻撃を仕掛けるグループも同じです。熱量の点では、攻撃に全勢力をつぎ込める攻撃側が上回るかもしれません。 今はまだ大きな脅威にはなってはいませんが、スタンドアロンのコンピュータから情報を窃取、テーブルに置かれた他人のスマートフォンを不正操作、オンラインミーティングの参加者の動きからキー入力の内容を推測するといった“未来型サイバー攻撃”のリスクを指摘する情報に接する機会も増えてきました。 今回は、ここ2~3年の間に、国内外の論文やセミナーなどで発表された新しいサイバー攻撃について見てみましょう。 “エアギャップ”の危険度は増す エアギャップとは、一般にインターネットや企業のLANから切り離した状態を示します。スタンドアロンのコンピュータや記憶装置などが含まれますが、政府機関や金融業の中枢、メーカーの主要工場など、重要な情報を保有する場所では、エアギャップの存在は常識と言っていいでしょう。 ネットワークと物理的に切り離した機器は、情報漏えいや不正操作に対する脅威は少ないとしても、決して安全とは言えません。世界中にリスクを知らしめる契機になったのが、2010年にイランの核施設が最初の攻撃を受けた「Stuxnet(スタックスネット)」です。 この事件は、国家間のサイバー戦争と形容されたスケールの大きさに加えて、ウランを生成する遠心分離機が物理的に破壊されたこと、それまでは攻撃対象になることが少なかった制御系システムが狙われた点、そしてクローズドの環境への侵入などの点から、後のサイバー攻撃の形とその対策に大きな影響を与えました。 ここではクローズドのシステムへの侵入に着目しますが、攻撃の起点はUSBメモリに仕込まれたマルウェアです。それ以前も外部メモリを使う不正行為は起きていましたが、「Stuxnet」を契機にこの手口は知れ渡り、一般企業でもメモリを扱うルールが見直され、エアギャップの状態も決して安心はできないという認識も拡がりました。 エアギャップを切り崩す意外なルート サイバー攻撃を仕掛ける側は、普通は思いつかないような経路から情報を窃取していきます。エアギャップの環境でデータを操作する方法は、特に「Stuxnet」以降、各地で研究が進んだようですが、比較的よく知られているのが、イスラエルの研究者が発表した「Air-Fi(エアファイ)」と命名された手法です。 その発想は非常にユニークで、“コンピュータのメモリをWi-Fi(無線LAN)のボードとして使う”というものです。 コンピュータに内蔵される電子部品は、高い周波数の電流が流れると電磁波を発生します。強すぎるとノイズになって、周囲の機器が誤動作する原因にもなるので、電磁波の影響を受けにくい材質で囲うなどの対策を施しますが、能動的に強い電磁波を発するデバイスもあります。その一つがWi-Fi用のボードです。 「Air-Fi」は、Wi-Fiで使われる周波数のうち2.4GHzを伝送チャンネルとして、メモリボードを2.4GHzの信号を出すデバイスに見立てるというわけです。 Air-Fiの実験時のシステム構成 出典 Linux addicted あらゆるコンピュータが内蔵するメモリに着目 もちろん、普通のメモリモジュールには2.4GHzの電磁波を発振する機能などありません。専用プログラムの動作が必要です。何らかの方法でマルウェアを送り込んでしまえば、あらゆるコンピュータに搭載されている内蔵メモリからデータを送信し、PCやスマートフォンに備わるWi-Fiデバイスで受信できるようになるのです。 イスラエルのチームが行った実験では、市販のSDRAMをプログラムで制御して伝送した結果、通信距離は2~3m、最長で8mという結果が出ました。通信速度は100bpsと低速でビットエラーの率も高いため、実践的な攻撃手段としてはまだ実力が不足しているようです。 ただ、通信速度は遅くとも、ユーザーIDとパスワードは十数文字程度です。通信距離は数mでも、情報漏えいの原因として多い内部不正の道具として使うには十分でしょう。この先、Wi-Fiデバイスの感度が上がってくれば、通信距離も伸びるはずです。近い将来、注意すべき内部不正の手口として警鐘が鳴らされるかもしれません。 電球の振動から会話を盗む? 各国の大学や研究機関からは、スパイ映画さながらの盗聴手段に関する研究報告も挙がってきています。その一つが、室内の会話で生ずる空気の振動が伝わる電球のほんのわずかな揺れを検出し、会話を解読してしまうという技術。光の振動を音声(空気の振動)に変換するという発想で、マイクを使わずに盗聴できる点が特徴です。 LampPhoneの概要 出典:YouTube もちろん、盗聴の方法はいろいろあります。スマートフォンの動きを捉えるために内蔵されるジャイロセンサーを使えば、マイクなしでも振動から音声の解析はできそうです。端末のマイクを操作すれば、もっと手っ取り早く会話の把握はできるでしょう。ただ、いずれの方法もマルウェアを仕込まなければならず、特に電話用マイクへのアクセス(不正操作)は困難なため、難易度は高くなります。 そこでこの方法、光を電話のように使うため「LampPhone」と命名されましたが、端末の操作や、盗聴の対象となる室内の細工が不要な手段として、研究されているものです。イスラエルの大学と研究機関で組織したチームによるもので、2020年に東京で開催されたセキュリティ分野の国際会議「CODE BLUE 2020」でも発表されました。 行われた実験の内容は、ビルの3階にあるオフィスを対象に、音楽を低く流した状態で被験者がスピーチ。25メートル離れた位置で、オフィスの天井からつり下げた12ワットの電球の揺らぎを、光学センサーを取り付けた望遠鏡で光の変化として検出するという方法です。音声に変換したデータは、Googleの音声認識サービスでほぼ正確に内容を書き起こし、流した曲も音楽認識アプリで特定できたとされています。 スマートフォンにゴーストタッチ 2022年の夏には、中国とドイツの大学関係者のチームによる「ゴーストタッチ攻撃」に関する論文が公開されました。現在のスマートフォンやタブレットの多くは、液晶表面の微弱な静電容量の変化を検知して命令を伝える方式ですが、ノイズに弱い点が課題の一つ。微弱な入力に反応してしまうという特性を利用し、他人の端末を操作してしまうのがこの攻撃です。 想定した環境は、企業の会議室をはじめ、図書館やカフェなどのスペース。テーブルに伏せて置いたスマートフォンに対し、テーブルの下に仕込んだ信号を発振する装置から、操作を試みるという方法です(同時に示された過去のアンケートでは過半数が端末を時々か頻繁に伏せて置くと回答)。 ゴーストタッチ攻撃の仕組み 出典:https://www.usenix.org/system/files/sec22summer_wang-kai.pdf 実際に試した攻撃は、不正なURLをスマートフォンに送り、マルウェアをダウンロードする行為と会話の盗聴。後者は端末のマナーモード状態が条件ですが、攻撃者が電話をかけてゴーストタッチで応答すれば、会話が傍受できてしまいます。信号発生装置と増幅器、モニターを設置して行った実験では、スマートフォン11機種のうち、9機種まで成功したとされています。 オンラインミーティングの映像からキー入力を推測 英国で発表されたレポートでは、マルウェアを仕込んだスマートフォンのタップ操作から、銀行の暗証番号などを読み取る技術が報告されました。“オフ”にしていても微弱な音声を発するスマートフォンのタップ音を、家庭に普及してきたスマートスピーカーなどで採取して解析する手法です。 一方、米国の大学では、オンラインミーティングなどの映像から体の動きを解析し、キー入力の内容を推測する研究に着手しています。肩と腕の動きや目線などの情報から、押されたキーの位置を推測し、単語や数字を生成するという方法です。今のところ正答率は高くはないのですが、ソフトウェアが人の動きを学習し、照合する辞書が充実してくれば、十分“実用的”な盗聴手段になり得るとされています。 明日の攻撃手法をヒントに身辺を見直す ここで採り上げた攻撃の手法は、いずれも実験の段階で差し迫った脅威ではありません。しかし、決して荒唐無稽な話ではないでしょう。例えば、コンピュータのメモリをWi-Fiボードに見立てる「Air-Fi」、テーブル上のスマートフォンを不正操作する「ゴーストタッチ攻撃」は、企業の会議室や工場の面談スペースのようなクローズドの空間では、今でも不可能な行為ではないはずです。 電球の振動を音声に変換する「LampPhone」も、今は大がかりな準備が必要ですが、時間と予算の制約が少ない国家絡みの諜報活動では、これに近い手段が使われても不思議ではありません。この仕組みを発表した研究者は、音声を採取する技術は“6年で飛躍的に進歩したケースが多い”点を強調していました。音声の分野に限らず、5~6年のスパンはサイバー攻撃の進展には十分な時間と言えるでしょう。 「ゴーストタッチ攻撃」や「LampPhone」のような手法が身近な脅威になるのはもう少し先としても、私たちが今できることは、これらをヒントにした身の回りの安全点検です。例えば、「ゴーストタッチ」よりリスクが高いのは、今はスマートフォンの置き忘れと画面の盗み見です。 「LampPhone」の発想をヒントに、当面は安価に入手できる小型の盗聴器の存在に注意を向けるべきでしょう。他人に不正操作されることはなくとも、混雑した電車の座席や昼休みのカフェで、企業システムへのログインパスワードや、銀行の暗証番号を入力することも危険な行為です。 先進的なサイバーリスクの研究成果に着目しつつ、つい面倒で忘れがちな身の回りの情報機器の安全な取り扱い方を再点検しておきましょう。
-