セキュリティトピック 2024年3月 | 攻撃と対策手段 | CTC-CSS

クラウドセキュリティ|知る×学ぶ

セキュリティトピック 2024年3月 | 攻撃と対策手段 | CTC-CSS

 セキュリティに関する事案は毎日世界中で発生しています。しかし、その多くのニュースからは個人に対する脅威や、政府機関に対する国家レベルの脅威など大小入り混じった事案が全て「セキュリティニュース」として取り扱われます。

 その結果、企業や組織でセキュリティ対策を検討しなければならないセキュリティ担当者や経営層の方々にとって「対策を検討すべきセキュリティ事案」が一体どれなのか?がわからないという状況に陥っているのではないでしょうか?

 伊藤忠テクノソリューションズ(CTCでは世界を代表するセキュリティベンダーやお客様のインシデント状況から国内外のインシデントや攻撃トレンド、それらに対抗するための対策技術の情報を収集しています。これらの情報源から得られた知見から「今」抑えておくべきセキュリティ事案を「セキュリティトピック」としてお知らせします。



▼ 目次
2024年3月 ランサムウェア「LockBit」の脅威と対策について2024年2月 メール利用における情報セキュリティ上の脅威2024年1月 国内におけるサイバー攻撃・脅威動向の総括2023年12月 内部不正による情報漏えいのリスクと対策2023年11月 政策研究大学院大学(GRIPS)の情報システムに対する不正アクセスについて2023年10月 BEC(ビジネスメール詐欺)に関するリスクと対策2023年9月 内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対するゼロデイ攻撃について2023年8月 富士通のネットワークサービス「FENICS」における不正侵入事案について2023年7月 生成AIの情報セキュリティへの影響について2023年6月 DDoS攻撃に関する注意喚起2023年5月 ランサムウェア増加に関する注意喚起/名刺管理サービスを狙うソーシャル攻撃 他2023年4月 強まるAI技術への規制/アジア太平洋地域で記録的なDDoS攻撃を観測 他2023年3月 決済システムの改ざんにより約11万人分のクレジットカード情報が漏洩/増加する検索エンジンの悪用 他2023年2月 AI活用チャットボットによる機密情報漏洩リスク/米国通信事業者のAPIを悪用し3700万件の個人情報漏洩 他2023年1月 SSL-VPN製品に関する深刻な脆弱性/詐欺メールで食品を盗む攻撃 他2022年11月 活動を再開したEmotet/インフラ系企業を狙う高度な標的型攻撃 他




■2024年3月のセキュリティトピック

 今回は、「ランサムウェア「LockBit」の脅威と対策について」お伝えします。

 

1.ランサムウェア「LockBit」の脅威と対策について

 2023年7月に名古屋港コンテナターミナルで発生したランサムウェアによるサイバー攻撃について、国土交通省による調査結果について報告書が公開されております。

 感染経路とみられるVPN装置のセキュリティ対策に関する問題や、サーバ・ネットワーク機器の脆弱性対策の不備、バックアップの取得対象と保存期間の問題やシステム障害時の対応手順の未整備について指摘されています。

 今回のサイバー攻撃について、ランサムウェア攻撃グループのLockBit(ロックビット)による犯行とされています。LockBitはサービスとしてのランサムウェア(RaaS)を採用しているグループで、データの暗号化と情報暴露を行う二重脅迫型の手口を取ります。日本国内でも活発な活動が確認されており、引き続き警戒が必要とされています。

・LockBitとは

 LockBitは、活動が初めて確認された2019年9月以降、LockBit 2.0 (2021年中旬)、LockBit 3.0 (2022年6月)とアップデートを繰り返しながら急速に拡大し、2022年に世界で最も多くの被害をもたらしたランサムウェアとなりました。2023年初頭には、世界中のすべてのランサムウェアインシデントの44%の原因となっていると推定されています。LockBitの攻撃を受けた国はアメリカが最も多く、2020年1月から2023年5月までの間に、約 1,700 件のランサムウェア攻撃に使用され、身代金として9,100万米ドルが支払われております。身代金が高額になってしまうのは、LockBitが二重脅迫の手口を取っていることに要因があります。二重脅迫では、暗号化したファイルの複合化に対する身代金の要求に加えて、身代金を支払わない場合は、窃取した情報をリークサイトに暴露すると脅迫を行います。ターゲットとなった企業に対して更なるプレッシャーをかけけることで攻撃キャンペーンの成功率を高める効果があるとされています。

 また、LockBitが登場する2019年以前は、メールに添付されたランサムウェアを不特定多数に送り付ける「ばらまき型」がほとんどでしたが、2019年以降は、法人組織をターゲットとしてネットワークに侵入、データを窃取した上でネットワーク内にランサムウェアを拡散し実行する「侵入型」が主流となりました。LockBitはまさにこの「二重脅迫型」「侵入型」のランサムウェアです。

 更に、LockBitはRaaS(Ransomware as a Service)と呼ばれるビジネスモデルを採用しています。

 RaaSとは、ランサムウェアの製作者が、実際に攻撃を行う攻撃者=アフィリエイトにランサムウェアをサブスクリプション型で提供し、アフィリエイトがランサムウェア攻撃を仕掛けて獲得した身代金の一部を報酬として受け取るというビジネスモデルです。そのため、LockBitではアフィリエイト募集やマーケティング活動に力を入れており、下記のような多彩な活動を展開しています。

【LockBitが展開するマーケティング活動】

  • ターゲットのネットワークへのアクセス手段の購入やブローカーの雇用
  • 他のサイバー犯罪グループ(現在は消滅した「Maze」など)との協業
  • ターゲット企業の内部者への接近
  • アンダーグラウンドマーケットで開催されるテクニカルコンテストのスポンサーとなり、才能あるハッカーを発掘・募集

 更に、「バグ報奨金プログラム」を採用し、ランサムウエア本体やウェブサイトなどに関する脆弱性からランサムウエアの機能改善につながるアイデアなどまで募集し、バグを発見した場合は、「FBIの捜査官やセキュリティの研究者であろうと、地球上のすべての人間に1000ドルから100万ドルまでの報奨金を支払う」としています。




LockBit3.0のサイトで掲載された「バグ報奨金プログラム」の紹介

図 1. LockBit3.0のサイトで掲載された「バグ報奨金プログラム」の紹介




・感染フロー、および脅威の特徴

 二重脅迫型ランサムウェアは、侵入型ランサムウェアともよばれており、その名が示す通りターゲットを定めて、標的となった企業のネットワークに侵入し攻撃を行います。企業ネットワークへの侵入は二重脅迫における「窃取した情報の暴露」に必要不可欠で、攻撃者は暗号化プロセスの前段で、窃取した情報を外部へと持ち出します。情報の持ち出しには、LockBitが独自に開発した「StealBit」と呼ばれる情報窃取型マルウェアが利用されます。 初期侵入は、購入または入手されたサーバやRDPアカウントからの侵入、RDPやVPNへのブルートフォース攻撃や脆弱性の悪用を通して行われます。侵入後は、永続化、探索、水平移動、権限昇格など、フローや戦略にいくつかのバリエーションはあるものの、基本的には典型的なAPT攻撃と同様の挙動を行います。中でも検知回避や調査に対抗する機能が強化されており、セキュリティ製品の無効化の他、リバースエンジニアリング時の解析妨害としての難読化、フォレンジックツールによる復元回避と痕跡の隠蔽などの機能が実装されています。情報の持ち出しが行われた後、暗号化のプロセスへと進みますが、LockBitでは暗号化を高速処理するための手法がいくつか取られており、他のランサムウェアよりも高速で暗号化を実行することが可能です。暗号化が完了した後は、脅迫文を感染端末に接続されたプリンタから印刷し、感染端末のデスクトップの壁紙も置き換えられます。



・想定されるリスク

  • ランサムウェア攻撃により重要データの暗号化やシステムの停止など事業継続に影響を与える可能性
  • 持ち出されたデータが公開されることによる、機密情報の漏えいの可能性があります

・対策

 2024年2月20日、ダークウェブ上のLockBitリークサイトのテイクダウン、および一部のメンバーの逮捕がユーロポール(欧州刑事警察機構)から発表されましたが、2024年2月25日には新たなインフラ上で活動を再開したとの声明がLockBitから出されています。また、LockBit Builderとよばれるランサムウェアを作成するツールのコードは既にネット上にリークされています。LockBit以外の攻撃者グループによる悪用の事例も報告されており、LockBit亜種も既に400件近く観測されています。これらLockBit亜種も含め、警戒を緩めることなくしっかりと対策を立てておく必要があります。以下、4つの観点から対策をまとめております。




ランサムウェア「LockBit」の対策

表 1. ランサムウェア「LockBit」の対策




■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2024年2月のセキュリティトピック

 今回は、「メール利用における情報セキュリティ上の脅威と対策について」お伝えします。

 

1.メール利用における情報セキュリティ上の脅威

 メールはビジネスの場面で未だ最も利用されているコミュニケーションツールですが、その利用においては常に下記の情報セキュリティ上の脅威に晒されています。




メール利用における情報セキュリティ上の脅威

表 1. メール利用における情報セキュリティ上の脅威




 これらの脅威の中で最も顕著にみられるものはフィッシング詐欺となっており、CTC-SOC観測網においてもECサイトや金融機関を装ったフィッシングメールとして検知された通信を2024年1月現在も、多数観測しております。また、国内におけるフィッシングメールの状況も、フィッシング対策協議会に報告された件数が2023年には1,196,390件と100万件を突破しており、今後も増加傾向が継続するものと予想されます。最近はURLの代わりにQRコードを用いたフィッシング攻撃も観測されております。既存のメールセキュリティ製品では検知されない場合が多く、効率的にフィッシングメールを配信することが可能になっています。

 マルウェアの可能性のある不審なファイルの添付されたメールや悪性URLを含むメール通信も、フィッシングメールほどの件数ではないもののCTC-SOC監視網において継続的に観測されております。2023年3月に活動を再開したマルウェア「Emotet」もメールに添付されたzipファイルを媒介としており、引き続きマルウェア感染の侵入経路として添付ファイルや悪性URLを含むメールが多用されていることが伺えます。

 標的型攻撃メールやビジネスメール詐欺は、ターゲットをピンポイントで絞り込み入念な準備を行い実行されるため、事前の検知が難しい半面、発覚後は大きな被害が出るという特徴があります。標的型攻撃メールの事例としては、2023年10月24日に東京大学が公開した不正アクセスによる4,341件もの個人情報流出、ビジネスメール詐欺については、2024年1月31年にスタンレー電気株式会社が約34億円の資金流出事案を公開しています。 メールの盗聴や改竄は機密情報の漏えいの他、標的型攻撃メールやビジネスメール詐欺の準備段階として実行される可能性があるものです。




2024年1月のSOC観測網メール検知状況

図 1. 2024年1月のSOC観測網メール検知状況




2023年フィッシング対策協議会 フィッシング報告件数推移

図 2. 2023年フィッシング対策協議会 フィッシング報告件数推移

 (出典: 2023/12 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/202312.html




・想定されるリスク

  • 詐欺被害により、金銭をだまし取られる
  • 個人情報や企業の機密情報が漏洩する
  • マルウェアやランサムウェアに感染する

・推奨対応

 フィッシングメール攻撃への対策として、DMARC(Domain-based Message Authentication Reporting & Conformance)の導入が国内外で進められております。DMARCは、送信元メールサーバのIPアドレスを照合するSPF(Sender Policy Framework)、及び電子署名を使用するDKIM (Domain Keys Identified Mail) による認証の結果をもとに、企業が設定したポリシーに基づき、なりすましメールを「拒否」、「隔離」、「モニタリング」できる仕組みです。更に認証が成功したメールに対し企業ロゴを付与するBIMI(Brand Indicators for Message Identification)を併用することで、信頼性を更に高めることができます。




DMARCの仕組み

図 3. DMARCの仕組み




 なおDMARCの導入状況については、日経255企業を対象とした日本プルーフポイント社の2023年12月の調査によると60%の企業が導入していますが、「拒否」ポリシー及び「隔離」ポリシーを設定しているのは13%にとどまっています。世界の主要企業のDMARC導入率は、アメリカは92%、イギリスは85%、オーストラリアは87%、フランスは98%、デンマークは100%となっており、日本はDMARCの導入について世界に大きく遅れている状況です。日本政府もDMARCを統一基準とし国内への普及を推進する構えですが、欧米諸国との差を埋めるには時間と労力が大きな課題とされているのが現状です。

 参考:
プルーフポイントの調査により、日経225企業の「なりすましメール詐欺」対策に加速の兆しも、未だ欧米諸国に遅れていることが判明
https://www.proofpoint.com/jp/newsroom/press-releases/Nikkei225Firms-Lagging-Behind-Western-Countries-in-Fighting-Spoof-Email-Fraud

 近年TeamsやSlackなどのビジネスチャットツールの利用が拡大していますが、対外的なコミュニケーションにおいは、メールは依然として必要不可欠なツールです。

 攻撃者も企業に攻撃をしかける侵入経路として最も多く利用しており、対策をしっかり行うことが重要です。受信側でのメールフィルタリング設定、DMARC(SPF、DKIM)といった送信側も含めた認証の仕組みの導入といったシステム的な対策に加えて、身に覚えのないメールの添付ファイルやURLを安易に開かないよう従業員への啓蒙活動や訓練実施などの対策を多重的に行うことが重要です。また、フィッシング詐欺やマルウェア感染を狙ったメールの他にも、メールサーバ自体に対するブルートフォース攻撃や脆弱性を狙った不正アクセスに対しても対策を行う必要があります。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2024年1月のセキュリティトピック

 今回は、2023年に発生した国内におけるサイバー攻撃・脅威動向の振り返りを行いました。

 

1.国内におけるサイバー攻撃・脅威動向の総括

 2023年は、ランサムウェア攻撃による被害が相次いで観測されました。ランサムウェア攻撃による被害件数は、2022年上期に114件、2022年下期に116件、2023年上期に103件と高い水準で推移しており、予断を許さない状況が続いています。特に2023年7月に発生した名古屋港コンテナターミナルの管理システムへのランサムウェア攻撃は、物流を支える社会インフラが停止となる国内初の事例となり、経済活動にも大きなインパクトを残したインシデントとなりました。

 ランサムウェア攻撃の動向としては、ツールや攻撃手法を開発し、サービスとして提供するRaaS(Ransomware as a Service)と呼ばれるビジネスモデル化が進行しています。RaaSの利用によりスキルやノウハウのない攻撃者でもランサムウェア攻撃への参入が容易となるため、攻撃増加の一因になると考えられます。

 また、2023年はアタックサーフェス(攻撃対象領域)の拡大が進行した年となりました。アタックサーフェスの拡大を象徴する事例として、データセンターのサービス基盤自体をターゲットとした攻撃による被害が国内で初めて観測されました。当該インシデントは、2023年6月に発生した社労士向けSaaS製品に対するランサムウェア攻撃によるもので、前述した7月の名古屋港コンテナターミナルの管理システムへのランサムウェア攻撃と同様のものとなります。管理システムがホスティングされていたデータセンター内の仮想サーバと物理基盤がランサムウェアに感染したことで、システムが停止する事態を招いてしまいました。

 取引先や関連会社を侵入口とするサプライチェーン攻撃は2022年に顕在化した後も活発な動きを見せていますが、データセンターのサービス基盤というアタックサーフェスの拡大は、新たなセキュリティリスクであり、セキュリティ対策のスコープについて見直しが求められる事態であると言えます。

 脆弱性に関する2023年の動向については、Microsoft製品やOracle Javaの定期的なセキュリティ更新プログラムのリリースに加え、影響度の高いものとして、BarracudaやFortinet、Array Networks、トレンドマイクロのセキュリティ製品、Cisco、セイコーソリューションズ、Citrixのネットワーク製品、オンラインストレージ構築アプリケーションであるProself、Adobe AcrobatおよびReaderの脆弱性が重要なセキュリティ情報として注意喚起が公開されております。2021年12月に報告されたApache Log4j(CVE-2021-44228)の脆弱性に匹敵するインパクトを持つものはなかったものの、いずれも悪用された場合に大きな被害につながる恐れのある脆弱性となっております。また、重要なセキュリティ情報として注意喚起が行われていない場合でも、自社で使用しているシステムの更新プログラムや脆弱性情報については常に注意を払い、最新の状態を保つことが重要となります。

・CTC-SOC観測網における検知傾向

  • アラート検知傾向
    アラート検知状況としては、「悪性ハイパーリンクを含む電子メール(Email with Malicious Link)」の検知が20%を占め最も多いアラートでした。以下、「不審なネットワークアクティビティ(Suspicious Network Activity detected)」が14%、「スキャン通信(Scanning detected)」が14%、「外部ネットワークから攻撃を試みる通信(Inbound Network Attack detected)」が10%、「悪性ホストへ誘導された兆候を示す通信(Access to Malicious Host)」が8%、「ソフトウェアの脆弱性に対する攻撃(Vulnerability Exploitation detected)」が8%、「リモートコード実行を試みる通信(Remote Code Execution detected)」が6%、「マルウェアの制御を試みる通信(Malware Command and Control detected)」が4%、「Malware detected(マルウェアの検知)」が4%、「SQLインジェクションを試みる通信(SQL Injection detected)」が3%、「ブルートフォース攻撃(Brute Force Attack detected)」が2%、「フラッド攻撃(Flooding Attack detected)」が2%、「サービス妨害(DoS)を試みる通信(Denial of Service detected)」が1%、その他のアラートが4%となっております。




2023年CTC-SOCアラート検知状況

図 1. 2023年アラート検知数の割合




  • Emotetマルウェアの活動再開
    2023年で最も多く検知されたアラートは「悪性ハイパーリンクを含む電子メール(Email with Malicious Link)」ですが、悪性ハイパーリンクには情報詐取を目的とするフィッシングの他、マルウェアやランサムウェアのダウンロードを目的としたものも含まれています。「Malware detected(マルウェアの検知)」アラートは、これらのダウンロードされたファイルや、電子メールに添付されたファイルの悪性が評価されたもので、マルウェアの疑いがあるものとして、2023年における検知数の4%を占めております。
    マルウェアは常にセキュリティ上の重大な脅威ファクターですが、2023年はEmotetが活動を再開し、大きな話題となりました。Emotetは2022年11月より活動を停止していましたが、2023年3月7日より活動の再開が観測されました。活動を再開したEmotetでは、500MBを超えるサイズのWordファイルが使用されており、セキュリティ対策製品による検知を回避する狙いがあると考えられます。また、3月16日には、Microsoft OneNote形式のファイルを悪用した攻撃が観測されており、これはMicrosoft社によりデフォルトで無効化されたVBAマクロに対抗するための新たな手法であると推察されます。なお、2023年12月時点では目立った活動は観測されておらず、現時点では鎮静化していると推察されます。

 ■2023年4月:Emotet活動再開記事




Emotet感染の流れ

図 2. Emotet感染の流れ




  • VPNの脆弱性を狙った通信の検知
    冒頭の「国内におけるサイバー攻撃・脅威動向の総括」でも言及しましたが、2023年はランサムウェアの脅威が目立った年でもありました。
    ランサムウェアの侵入経路としては、電子メールに添付されたファイルやダウンロードされたファイル以外に、VPN機器やリモートデスクトップ接続の脆弱性を狙ったものが多数報告されております。CTC-SOC観測網においても、Fortinet社製 FortiOS のSSL-VPN機能の脆弱性(CVE-2018-13379)に関する通信を継続して検知しております。
    当該脆弱性は、HTTPリクエスト内に「remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession」
    の文字列を含み、悪用された場合、SSL VPN接続を行うユーザー名やパスワード等の情報が窃取され、内部ネットワークへの不正侵入から機微情報の漏洩やランサムウェアへの感染など重大なセキュリティインシデントへつながる恐れがあるものです。また、IPsec-VPN接続で使用されるポート500番を宛先とした検知も全体の1%ではありますが観測されており、VPN機器の脆弱性に対する探索活動が試みられた可能性あるものと推察いたします。コロナ禍によるリモートワーク導入が進んだ現在、VPN機器やリモートデスクトップ接続の脆弱性を狙った攻撃は今後も継続していくことが予想されます。

 ■2023年1月:SSL-VPN製品に関する深刻な脆弱性記事




CVE-2018-13379を狙った通信

図 3. CVE-2018-13379を狙った通信




2023年宛先ポート検知数の割合

図 4. 2023年宛先ポート検知数の割合




  • DNS水責め攻撃の観測
    CTC-SOC観測網において、権威DNSサーバを狙ったDNS水責め攻撃(ランダムサブドメイン攻撃)と呼ばれるDDoS攻撃を観測しております。攻撃対象のドメインのランダムなサブドメインに対するDNS問い合わせを行うことで、権威DNSサーバを過負荷にしサービス不能に追い込みます。ランダムなサブドメインに対する問い合わせの為DNSのキャッシュが機能せず、権威DNSサーバへの問い合わせが毎回発生する為高負荷状態が発生します。正規の問い合わせと区別することが難しく根本的な対策が難しい点が特徴として挙げられます。
    本攻撃と同様の事例について2023年3月頃から国内外の様々な組織、研究者から報告されております。攻撃対象の組織や国に規則性が無く、攻撃の目的は明確にされておりません。2024年1月時点においても攻撃が観測されており、引き続き警戒が必要な状況となっております。

 ■2023年6月:DDoS攻撃に関する注意喚起




DNS水責め攻撃

図 5. DNS水責め攻撃




・2024年に向けた注意喚起

 マルウェア、特にランサムウェアは2020年以降最大の脅威となっており2024年も引き続き最大限の警戒が必要です。不審なメールのリンクや添付ファイルを開かない、不正なサイトへのアクセスをしない、不要なソフトウェアや安全性が確認されていないフリーソフト・拡張機能などをインストールしないといった従来からのマルウェア対策に加えて、OSやソフトウェアのアップデートによる脆弱性の解消、VPNやリモートデスクトップ接続のアクセス制限・認証強化、および万が一の感染に備えたファイルの定期的なバックアップといった感染予防措置の徹底が重要となります。さらに、感染を前提としたエンドポイントの強化としてEDR製品の導入のほか、平時からの社員教育や注意喚起の実施、有事の際のインシデント対応計画を策定しておくことを推奨いたします。また、自組織内だけではなく、サプライチェーンや組織外のインフラ(データセンター・クラウド)上にある資産をスコープに含めた包括的なセキュリティ対策を考えていくことが求められます。

 マルウェア、ランサムウェアの脅威の観点からは、ChatGPTに代表される生成系AIを悪用した攻撃についても今後注意が必要です。攻撃者は常に攻撃手段の巧妙化・高度化を試みていますが、生成系AIの登場と普及はその手口の進化に拍車をかけるものであると予想されています。

 例えば、フィッシングメールにおいては、より精巧な文章の作成が可能となり、これまでのように不自然な日本語による気づきが難しくなります。文章だけではなく、ディープフェイクによる偽の音声や映像への悪用も既に報告されています。今後は、メール本文や音声、映像などで指示されたアクションをとる前には、相手に直接確認するといった対応をとる必要があると考えます。

 また、生成系AI自体の悪用ではないものの、ChatGPTの流行を背景に、ChatGPTの偽アプリやブラウザ拡張機能をダウンロードさせるといった事例の報告も増加しております。こうした偽アプリやブラウザ拡張機能にはマルウェアが仕込まれているため、ダウンロードした端末がマルウェアに感染してしまうリスクがあります。まずは、組織内でChatGPTやその他生成系AIの使用ルールを明確に定め周知することを推奨いたします。

 出口の見えないウクライナ情勢に加えて、2023年10月にはイスラエル紛争が勃発しました。緊迫化する昨今の国際情勢の中で、日本政府の立ち位置によっては、G7サミットなどの国際イベントの有無に関わらず、いわゆるハクティビズムに基づく、日本を標的としたサイバー攻撃の脅威は継続するものと推察されます。ハクティビストの一般的な攻撃手法はDDoS攻撃となっています。DDoS攻撃による被害は完全に防御することは難しく、全ての資産の保護には多額の費用が必要となるため、事業継続における重要性にもとづいた資産の優先順位付けを行い、費用をかけて守るべき資産と一定期間のダウンタイムを許容できる資産を分類することを推奨いたします。ダウンタイムが許容できない資産については、CDN(Contents Delivery Network)や WAF(Web Application Firewall)など、DDoS対策製品の導入、同時にDDoS攻撃を受けた場合のインシデント対応計画を策定いただくことを推奨いたします。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年12月のセキュリティトピック

 2023年11月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.内部不正による情報漏えいのリスクと対策

 内部不正による情報漏えいとは、従業員や業務委託先等の企業関係者が機密情報の持ち出しや外部への流出を行うことを指します。故意だけではなく、関係者によるミスや過失により発生した事象についても内部不正による情報漏えいとして扱います。
内部不正による情報漏えいの影響は役員、従業員の社内関係者だけではなく、顧客、取引先企業、業務委託先、契約社員、退職者など広い範囲に及びます。
2023年では複数の企業、病院等から内部不正による情報の漏えいが発生しており、中には内部不正の対策を行っていたにも関わらず事象が発生しているケースもあります(事例詳細については下記の各組織、団体のサイトをご参照ください)。そのため、内部不正による情報漏えいのリスクを理解し適切な対策を講じることが必要です。

事例1:
NTTビジネスソリューションズの元派遣社員による顧客情報の不正な持ち出し(2023年10月公表)
https://www.nttbizsol.jp/newsrelease/202310171400000952.html

事例2:
病院の元職員による患者情報の不正な持ち出し(2023年11月公表)
https://aizawahospital.jp/aiz/wp-content/uploads/2023/03/important_news.pdf

事例3:
一般財団法人日本情報経済社会推進協会のプライバシーマーク審査員による関連資料の不正な持ち出し(2023年8月公表)
https://www.jipdec.or.jp/news/pressrelease/20231113.html

・想定されるリスク

  • 経済的損失:法的な罰金、賠償費用、情報漏えいの調査や対策の費用、ビジネスの機会損失や株価下落など、経済的損失を被るリスク
  • 機密情報の漏えい:機密情報が外部に持ち出されることによる情報漏えいのリスク
  • 社会的信用の低下:顧客や取引先からの信用の低下、ブランドイメージの毀損などのリスク
  • 業務の中断/停止:調査や対策のための業務の中断や停止、効率低下などのリスク

・推奨対応

  • アクセス制御
    必要な情報だけにアクセスを制限することで、情報漏えいのリスクを減らします。 特権アクセス管理(PAM)やロールベースのアクセス制御(RBAC)の実施や認証時に多要素認証を要求するなどの対策をご検討ください。 

  • 情報保護
    従来のセキュリティ対策に加え、USBメモリやその他メディアへの情報の書き込み、またクラウドへのアップロードなどを管理するためCASBやIT資産管理ツールなどの活用をご検討ください。

  • 内部監査と監視
    定期的な内部監査とシステムの監視を行うことで不正行為を早期に発見することが可能となります。 UEBA機能を持つ検知システムの利用を推奨いたします。自組織での監視運用が困難な場合は外部のセキュリティ監視サービスの利用をご検討ください。

  • 従業員教育と訓練
    情報保護、倫理的な行動、会社の情報セキュリティポリシーなどに焦点をあて、従業員が内部不正の危険性と自身の行動が会社全体にどのような影響を及ぼすのかを理解できるよう、教育することを推奨いたします。

  • インシデントレスポンスプランの策定
    インシデントレスポンスプランを事前に作成しておくことを推奨いたします。 これにより、被害を最小限に抑え、迅速に対応することが可能となります。



・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年11月のセキュリティトピック

 2023年10月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.政策研究大学院大学(GRIPS)の情報システムに対する不正アクセスについて

 政策研究大学院大学は、2022年9月から2023年5月までの長期間にわたり継続したセキュリティインシデントについて、2023年8月22日に調査報告書を公表しました。

  • 7年間にわたり攻撃可能な状態
    報告書によると、外部公開しているWebサーバに対し不正アクセスが行われWebシェルと呼ばれる不正なファイルが設置されたとのことです。 Webシェル自体は少なくとも2015年には設置されていたことが確認されており、7年間にわたりWebシェルへのアクセスが可能な状態だったと記載がありました。その後侵害されたWebサーバを起点として、大学内のサーバ10台と職員が使用する端末2台が侵害され、大学内の全ユーザのIDとパスワード、大学内のシステム構成等が外部に流出した可能性があると報告されております。

  • 攻撃元となったWebサーバを停止しても攻撃が継続
    不正アクセスが行われた公開Webサーバを停止した後も、すでに攻撃者によって設置されたバックドア経由で内部のサーバや端末に攻撃が行われていたとのことです。

・想定されるリスク

  • 外部公開されたシステムに脆弱性が存在する場合、不正アクセスにより侵害されシステム内の情報流出や不正なファイルの設置、組織内へ侵入する際の踏み台として悪用される可能性
  • 内部システムにおいてもアクセス制御など基本的なセキュリティ対策が不十分な場合、攻撃者が侵入した際に被害が拡大し深刻な事態に発展する可能性

・推奨対応

  • 組織内のシステムの脆弱性や設定不備の確認、定期的なバージョンアップの実施
    Webシェルの設置は、脆弱性が存在するWebサーバが標的となるため、脆弱性の有無や設定不備を確認の上、常に最新の状態に保つとともに、不要なサービスやプロトコルは停止しておくことが重要です。また内部システムについても脆弱性が存在する場合、侵入された際に被害が拡大する要因となる為定期的なアップデートなど対策いただくことを推奨いたします。

  • 侵入を前提としたセキュリティ対策の実施
    従来のアンチウィルス製品やネットワークセキュリティ製品では侵入を完全に防ぐことは難しい為、侵入を前提とした被害の最小化が重要とされています。侵入を前提とした対策としてEDR(Endpoint Detection and Response)製品の導入、ネットワークセキュリティ製品と合わせて外部SOCサービスへの運用の委託などをご検討ください。

  • セキュリティインシデント対応計画の策定
    本事例では、インシデント発生から復旧までに9か月を要しております。インシデントが発生した場合の早期復旧のためにもセキュリティインシデント対応計画をあらかじめ明確に策定しておくことが推奨されます。



・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年10月のセキュリティトピック

 2023年9月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.BEC(ビジネスメール詐欺)に関するリスクと対策

 BEC(ビジネスメール詐欺)とは、企業を標的としたサイバー犯罪の一種で、偽の電子メールを使用して従業員を騙し、資金の不正な移動を誘導する詐欺手法です。

 BECは、従来のばらまき型のフィッシングメール攻撃などと異なり、攻撃者は企業の内部動向や役職者の名前と行動パターン、ビジネスプロセスなどを事前に調査するなど、入念に準備を行い実行される標的型メール攻撃であるため、従業員がその詐欺行為を認識することが難しいという特徴があります。このため、企業はBECの攻撃手法を理解し、対策を立てることが急務となっています。

 なお、米国連邦捜査局(FBI)の報告では、2022年のBEC被害は21,832 件で、被害額は27億米ドルを超えており、ランサムウェアによる被害の2,385件、被害額3,430万米ドル以上を大きく上回っており大きな脅威となっています。日本国内においても毎年一定数の事例が報告されており、今後も注意が必要な脅威であると言えます。

・BECの手口

 BECでは攻撃者は入念な準備を行った上で、以下のような手口で詐欺行為を行います。

  • ターゲットの情報収集
    フィッシングサイトやマルウェアを用いた情報窃取、メールサーバー・アカウントへの不正アクセスや、ソーシャルエンジニアリングを利用してターゲットの情報収集を試みます。

  • 送信用メールアドレスの入手
    ターゲットの経営層や取引先のメールアドレスを偽装・窃取、類似したドメイン名の取得やフリーメールアドレスを利用することでメールの信憑性を高めます。

  • 経営層や取引先への成りすまし
    成りすましメールは、経営層や取引先との過去メールを分析し、本物であるかのように見せかける工夫を行います。また、「秘密の案件で相談がある」といった文言を含めて、他の従業員へ相談させないようにすることで、詐欺であることをばれにくくするケースが多く見られます。なお、今後は生成系AIを悪用してより説得力のある偽のメールが作成されることが懸念されます。

  • 請求書の偽装、入金口座の指定
    攻撃者はタイミングを見計らって、用意した口座を記載した架空の請求書の送付や、用意した口座への入金指示を行うメールを送信してきます。ここでも攻撃者は事前にターゲットのメールのやり取りを把握しており本物らしくふるまうためターゲットが詐欺を見極めることが難しくなります。

・想定されるリスク

 金銭的被害:不正な取引により多額の金銭的被害や株価下落

 機密情報の漏えい:電子メールシステムの侵害や詐欺行為による機密情報の漏えい

 社会的信用の低下:顧客や取引先からの信用の低下、ブランドイメージの毀損

 業務の中断/停止:調査や対策のための業務の中断や停止、効率低下

・推奨対応

 BECはソーシャルエンジニアリング(人の行動などを巧みに利用した攻撃)を利用するため、情報システムの対策に加えて業務プロセスや運用時の注意として、従業員などに対して日々注意喚起を行い、BECの被害を受けるリスクが常にあるという意識付けが重要です。

  • 送金に関する社内プロセスの整備
    特に通常とは異なる振込口座への送金や緊急の送金の要求があった場合は、電話やチャットなどのメール以外の連絡手段による確認を規定に含めることを推奨します。

  • メールセキュリティ対策の強化
    ビジネスメール詐欺やその他の標的型メール攻撃に対応した最新のメールセキュリティ製品の導入など、メールセキュリティ対策対応の強化をご検討ください。

  • 不正アクセス対策の強化
    多要素認証の導入や不正アクセスを検知するための監視サービスの利用など、不正アクセス対策の強化をご検討ください。

  • 従業員の教育と訓練
    従業員がBECの兆候を認識し適切に対応できるように教育と訓練の実施を推奨します。自組織での実施が困難な場合は外部の教育・訓練サービスの活用もご検討ください。

  • インシデントレスポンス手順の整備
    BECの被害による影響を最小限に抑え迅速に対応するために、事前にインシデントレスポンス手順を整備しておくことを推奨します。



・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年9月のセキュリティトピック

 2023年8月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対するゼロデイ攻撃について

 内閣サイバーセキュリティセンター(NISC)は2023年8月4日、電子メール関連システムに対する不正通信が行われ、メールアドレス等の個人情報を含むメールデータの一部が外部に流出した可能性があると公表しました。流出した可能性のある期間は2022年10月上旬から2023年6月中旬の約8か月間で、インターネット経由で送受信された個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明したとしております。

・攻撃者グループによるキャンペーンの展開

 不正通信は、電子メール関連システムにかかわる機器の脆弱性に関連したものであり、メーカーが当該脆弱性について把握していなかったため、NISCはゼロデイ攻撃を受けたと分析、更に国外においても同様の事案が確認されていると説明しています。また、NISCは当該機器や脆弱性についての詳細は非開示としておりますが、ターゲットとなったのは米Barracuda社のBarracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)とみられております。なお、当該脆弱性を狙った通信は「UNC4841」と呼ばれる攻撃者グループによるもので、2022年10月上旬より初期侵入の経路として当該機器を狙った広範囲にわたる攻撃キャンペーンを展開していることが確認されております。

 NISCの対応としては、6月13日に電子メール関連システム上の不正通信の痕跡を発見し、6月14~15日に当該システムの運用を停止、機器を交換するとともに、他機器に異常が無いことの確認、および監視強化等の対策を行った上で、当該システムを再稼働しております。また、6月21日に不正通信が当該機器の脆弱性に起因するものであることを示す証跡を発見し、個人情報保護委員会に報告を行ったとしております。

・対策として、パッチを適用したのみでは不十分なこともある

 なお、2023年8月23日に発行されたFBI(米連邦捜査局)によるCVE-2023-2868のゼロデイ攻撃に関するレポートでは、当該脆弱性に対するパッチ適用後であっても、脆弱性を悪用された後ではセキュリティ侵害は継続して行われている可能性があり、機器の隔離・交換を行った上で同レポートに記載のドメイン、およびIPアドレスへの通信の有無を調査するよう警告しております。また、当該機器の管理に特権の権限を使用していた場合は、資格情報を無効化し更新するよう求めております。

・想定されるセキュリティリスク

 ゼロデイ攻撃は、メーカーが把握していない、あるいは把握していたとしてもパッチなどの対策が講じられていない脆弱性を突いた攻撃で、本事例のような情報漏洩をはじめとした深刻なセキュリティ被害を引き起こす可能性があります。

・推奨対応

 ゼロデイ攻撃に関しては、あらゆる機器に潜在的な脆弱性が内在している可能性があることから完全な対策を打つことは難しいため、攻撃を受けた場合に被害を最小限に抑えることを主眼とした対策(多重防御)を講じることが重要となってきます。

  • 機器やシステムを常に最新バージョンに保つ
    最も基本的な対策となりますが、ご利用になっている機器やシステムの脆弱性情報を収集し、常に最新の状態に保つことが極めて重要です。その上でゼロデイ攻撃を含むセキュリティインシデントが発生した際の対応のガイドラインやルールを策定し、徹底していくことを推奨いたします。

  • サンドボックス機能を利用する
    マルウェアを起点としたゼロデイ攻撃に対処するため、サンドボックス機能の利用を推奨いたします。「UNC4841」による攻撃キャンペーンにおいても初期侵入の手口として送信されたメールの添付ファイル内のスクリプトが実行されることで不正なファイルがダウンロードされていることが確認されております。ダウンロードされた不正なファイルをサンドボックス機能で解析することで速やかなマルウェア検知の可能性を高め、セキュリティインシデント発生のリスクを低減することができます。

  • EDR製品を導入する
    EDR(Endpoint Detection and Response)のエンドポイント(Endpoint)はネットワーク上の端末機器のことを指します。EDRはマルウェアへの感染を前提としており、各端末機器から送られる情報(ファイルやプロセスの振る舞いなど)を元にマルウェア感染を検知します。また、感染した端末やファイルの隔離、プロセスの停止を行うことで感染被害を最小限に留めることができます。



・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年8月のセキュリティトピック

 2023年7月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.富士通のネットワークサービス「FENICS」における不正侵入事案について

 2022年12月、富士通株式会社は同社が提供する企業向けネットワークサービス「FENICS」において、外部への不正通信が確認されたことを公表しました。これにより2022年3月から同年11月の間に、同サービスを使用している企業のメール情報などが外部に流出する被害が発生しております。

・ネットワーク機器の設定不備により侵入、被害が拡大

 今回の事案の発生原因として、FENICSサービスで使用されている一部ネットワーク機器でアクセス制御が正しく設定されておらず外部からの侵入が可能な状態であったこと、ネットワーク機器自身から外部への通信が制限されておらずインターネットへの通信が可能な状態であったとのことです。

・不正アクセスの監視にも課題

 報告によると、従来の運用においてネットワーク機器のログイン状況の監視が不十分であった、とのことです。運用者のログイン状況をアラートなどで検知する仕組みがあると、例えば該当の運用者の業務時間外にログインが行われた場合に、不審なログインが行われたことに気付き、迅速な対応により被害の発生を極小化することが可能です。

・想定されるセキュリティリスク

 ネットワーク機器に設定の不備などセキュリティ上の問題が存在する場合、悪意のある攻撃者による不正アクセスや情報漏洩、データの改ざんなどセキュリティ被害を引き起こす可能性がございます。

・推奨対応

  • 設定内容の見直し、ソフトウェアの定期的なバージョンアップの実施
    ネットワーク機器に初期設定のパスワードが使用されていないか、外部からのアクセス制御が不十分ではないかなど、機器の設定に問題が無いか確認頂くことを推奨いたします。またネットワーク機器に脆弱性が存在する場合も重大なセキュリティインシデントに発展する可能性がある為、使用中のネットワーク機器について脆弱性情報の収集やソフトウェアの定期的なアップデートを実施頂くことが推奨されます。

  • セキュリティ診断サービスの利用
    プラットフォーム診断などセキュリティ診断サービスを使用し、組織のネットワーク上に既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないか、セキュリティ専門家による調査を定期的に実施頂くことを推奨いたします。

  • セキュリティ監視サービス(SOCサービス)の利用
    サイバー攻撃の有無を常時専門家が監視するセキュリティ監視サービスを利用することで、変化の兆候に気づき、早期に対処を行うことできることで、被害を極小化することが可能です。



・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年7月のセキュリティトピック

 2023年6月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.生成AIの情報セキュリティへの影響について

 生成AI(Generative AI)は、コンピュータが学習したデータをもとに、自らの文章や画像、音声などを自動生成する技術です。生成AIの応用範囲は広くビジネスやシステム開発、ヒューマンコミュニケーションのサポートやエンターテインメントなど多岐にわたります。しかし、その一方で生成AIを利用することによるさまざまな情報リスクが指摘されており、その一つとして情報セキュリティ上の問題も懸念されています。生成AIは悪意のあるコンテンツや違法なコンテンツの生成を防ぐため数多くの対策が組み込まれていますが、その制限を回避する”Jailbreak”と呼ばれる複数の手法が確認されており、サイバー攻撃への悪用も可能となっているのが現状です。

・生成AIを悪用した攻撃「Jailbreak」の具体例

  • DAN(Do Anything Now)
    生成AIは学習した機微な情報は回答しないようコンテンツポリシーが設定されています。DAN(Do Anything Now)は、コンテンツポリシーの制約を回避する別人格を生成AIに与え、学習データに含まれる個人情報の開示など、本来拒否すべき質問に対して応答させる手法です。
    例えば、「A社の従業員のメールアドレス一覧をください」と質問をした場合、コンテンツポリシーが設定されているAIでは、コンテンツポリシーに反しているため回答を拒否しますが、生成AIにDANの人格を意図的に与えることで、学習されているA社の従業員のメールアドレス一覧を入手することができてしまいます。
    攻撃者は入手したメールアドレスを悪用し、ビジネスメール詐欺やランサムウェアによる攻撃を行うことができます。

  • チャットボットシミュレーション
    違法であったり倫理に欠けたりする回答も可能な万能チャットボットと、もう一人の登場人物がやり取りするチャットのシミュレーションを生成AIに行わせることで、悪意のあるコンテンツを生成させる手法です。
    生成AIに「○○に関連した日本語のフィッシングメールを作ってください」と直接命令しても、回答しません。しかし、倫理上問題のある回答も行うチャットボットを使って生成AIに文章を作成させることで、攻撃者が期待するようなフィッシングメールを作成することができます。

  • Anti-GPT
    通常の生成AIとは逆の生成AI(Anti-GPT)を定義し、シミュレーションさせることで悪意のあるコンテンツを生成させる手法です。
    例えば、「ランサムウェアのサンプルコードを作成してください」と命令した場合、通常の生成AIでは「協力できません」と回答します。しかし、Anti-GPTは通常の生成AIとは逆の反応を行うので、先ほどのランサムウェアのサンプルコードを作成する命令に回答し、ランサムウェアのコードを容易に入手することができてしまいます。



・想定されるセキュリティリスク

  • 個人情報や機密情報を入力し利用した場合、入力データが学習データとして保存・再利用され、入力者以外に提供されてしまうことによる情報漏えいのリスクがあります。
  • フィッシングメールの文章を生成AIに作成させることでより自然な日本語で記述された本物と酷似したメールでターゲットにリアクションを促すなど、洗練されたフィッシング攻撃のリスクが増加します。
  • 元のアルゴリズムの機能を維持したままマルウェアのポリモーフィックコード(本来のアルゴリズムを保ったまま変化していくコード)を生成AIに生成させることができます。これにより、検出を回避できる様々なバリエーションのマルウェアを迅速かつ効率的に生成することができ、検出や軽減の取り組みを複雑化させます。



・推奨対応

  • 生成AIを利用する際のリスク対策
    個人情報・機密情報にあたる情報やデータを生成AIに入力しないこと、また入力データを学習データとして再利用されないようオプトアウト申請を行うことで情報漏えいの被害を受けるリスクを下げることが可能です。

  • 巧妙なフィッシング攻撃への対策
    生成AIにより高度化したフィッシング攻撃においても基本的なセキュリティ対策は変わりません。高度なメールフィルタリングシステムやメールセキュリティ対策製品の導入、および機密情報を保護するための強固な認証方法の導入などをご検討ください。また、少しでも疑わしいメールには反応しない、送信元の身元を確認する、ソフトウェアを最新に保つなどのベストプラクティスを定期的な従業員研修などにより意識付けを繰り返すことでも巧妙なフィッシングキャンペーンに関連するリスクを軽減することが可能です。

  • マルウェアへの対策
    生成AIの活用により攻撃者の開発スピードが上がる可能性はあるものの、マルウェアの脅威自体は従来から大きく変わりません。ただし、シグネチャマッチングを用いた既存のウイルス対策製品では検知されないマルウェアの被害リスクが増加する可能性があります。このようなリスクを軽減するため、次世代アンチウィルス製品やEDR製品の導入など最新のウイルス対策の導入をご検討ください。

・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年6月のセキュリティトピック

 2023年5月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われるトピックを紹介します。

 

1.DDoS攻撃に関する注意喚起

 2023年5月1日に、警察庁と内閣サイバーセキュリティセンター(NISC)から、2022年9月に発生した国内の政府関連や重要インフラ事業者に対する一連のDDoS攻撃に関する分析結果に関するレポート「DDoS攻撃への対策について」が公開されました。

・攻撃元の約99%が海外から

 レポートによると、DDoS攻撃の攻撃元のIPアドレスの約99%が海外に割り当てられていたこと、攻撃元からは最大で100Gbps程度の通信量の増加を観測したことが報告されております。

 DDoS攻撃の手口として、TCP(SYN)フラッド攻撃やHTTPフラッド攻撃、UDPフラッド攻撃が使用されたとのことです。本件は親ロシア派のハクティビスト集団「Killnet」によるものと考えられております。

・2023年4月から増加している「DNS水責め攻撃」

 今年4月以降、企業や中央官庁、地方自治体など複数の組織でDDoS攻撃と思われるサイバー攻撃が発生していたことが報道されています。これらの攻撃の一部で「DNS水責め攻撃」と呼ばれる攻撃が行われたと考えられています。

 DNS水責め攻撃は、DNSの仕組みを悪用し、権威DNSサーバに問合せを集中させることで、DNSサーバやその周辺のネットワーク機器を高負荷な状態を発生させ、サービス不能の状態にするものです。

 DNSはホームページの公開や閲覧、メールの送受信などインターネットを利用する際に必ず使用する重要なサービスです。DNS水責め攻撃が行われると、公開しているホームページへのアクセスが行えない、メールの送受信ができない、などインターネットを利用したサービスの提供に大きな被害を与えます。

・国際的なイベントを標的に

 DDoS攻撃は国際的なイベントに関連して増加する傾向があります。上述で述べた今年の4月以降に増加しているサイバー攻撃は、G7広島サミットを狙って実行された可能性があると報じられています。

 DDoS攻撃そのものの被害に加えて、WEBサイト等の閲覧障害がニュース等で報道されることで、社会的な注目を得ることが攻撃者の成果として考えられていることが理由としてあげられます。過去の大規模な国際会議やオリンピックでは、DDoS攻撃を含めサイバー攻撃が多数発生していたことが確認されております。また近年ハクティビストによるDDoS攻撃が世界中で頻発しており、昨今、日本の組織を対象とした攻撃も確認されているため、警戒が必要な状況と考えられます。

・想定されるセキュリティリスク

 Webサイト等が閲覧できないことによりサービス提供が行えず、経済的な損失の発生や報道等により社会的な信用の失墜につながるおそれがございます。

・推奨対応

  • 重要な資産やサービスの把握と優先順位付け
    DDoS攻撃による被害を完全に防ぐことは難しく、また多額の費用が必要になり全ての資産を保護することが難しい場合があります。事業継続における重要性に基づいて資産の優先順位付けを行い、費用をかけて守るべき資産と一定期間のダウンタイムを許容できる資産に分類頂くことを推奨いたします。また脆弱性を利用したDDoS攻撃が行われる場合がある為、定期的なパッチの適用など基本的なセキュリティ対策を行うことで、被害を受けるリスクを下げることも可能です。

  • DDoS対策製品の導入
    ダウンタイムが許容できない資産やサービスについて、CDN(Contents Delivery Network)や WAF(Web Application Firewall)など、DDoS対策製品の導入を推奨いたします。ご利用中の通信事業者がDDoS対策サービスを提供している場合も多いので、必要に応じてサービスの利用をご検討ください。

  • インシデント対応計画の策定
    DDoS攻撃が発生した場合に備え、インシデント対応計画を策定いただくことを推奨いたします。DDoS攻撃の監視や攻撃発生時の緩和策の準備、サーバやインターネット回線が使用できない場合の代替策の確保など、対策マニュアルや業務継続計画の策定をご検討ください。

・参考



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年5月のセキュリティトピック

 2023年4月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.ランサムウェア増加に関する注意喚起

 警察庁はサイバーセキュリティ便りにて「ランサムウェア感染拡大中」と注意喚起を行いました。

・侵入経路ナンバー1はVPN機器からの侵入

 警察庁の発表によれば令和四年に発生した102件のランサムウェア被害のうち侵入経路として利用された割合が最も多いのはVPN機器からの侵入で62%を占めています。

 次いでリモートデスクトップからが19%、3位が不審メールからで9%となっています。

・オフラインバックアップが重要

 警察庁はランサムウェアへの有効な対策としてオフラインバックアップを推奨しています。警察庁は「バックアップを取得していたにも関わらず復旧出来なかった理由」について調査をしており、この理由の72%が「暗号化されていた」ことが理由で「バックアップをとっていたにも関わらず復旧出来なかった」としています。

 ネットワーク経由でのバックアップではバックアップデータ自体も暗号化されてしまい、バックアップとしての意味を為さなくなるという調査結果が公開されています。

 ランサムウェア対策を考える場合にはオフラインバックアップも併せて取得することが大切です。

・これは何故重要ですか?

 ランサムウェアが猛威を振るっているというのは周知の事実ですが、その侵入経路や有効な対策については様々な見解があります。警察庁は実際にあった被害を基に発表していますので、ランサムウェア対策を検討する上で重要な判断材料となります。

・対策手段

 警察庁の発表に基づいた有効な対策手段は以下となります。

  • VPN機器をZTNA等の外部からの不正アクセスが難しい設備に切り替えます。
  • リモートデスクトップ等へのアクセスには多要素認証を実施します。
  • バックアップはオフライン/オンラインで取得します。

 

2.名刺管理サービスを狙うソーシャル攻撃

 国内大手名刺管理サービスになりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。

・これは何故重要ですか?

 名刺管理サービスは利便性を考慮して一般ユーザの認証に多要素認証が設定されていないこともおおく、また一度不正アクセスが成功すると標的企業の大量の個人情報をダウンロードすることが可能になります。更にメール送信サービスなどを利用することで正規の企業ドメインから取引先に対してフィッシングメールを送信することなども可能であり、サプライチェーンへと被害が及ぶリスクがあります。

・対策手段

  • 名刺管理サービスの多要素認証を有効化する
  • サービス提供者を名乗る電話やメールでログインパスワードを尋ねられた場合には無視するように従業員を指導する

 ※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。

 

3.破棄ルーターの認証情報の消し忘れ

 セキュリティ研究家の報告によると企業から破棄され中古市場に出回ったルーターには使用されていた設定情報消去されておらず、そのまま企業に接続可能であるとの研究結果が報告されました。

・これは何故重要ですか?

 企業のネットワークで実際に利用されていたルーターには企業に接続するためのIPアドレス情報や認証情報等が登録されていることがあり、これらが悪意のある攻撃者に渡れば簡単に企業へのアクセスを許可することになります。

・対策手段

  • ルーターに限らず不要になったIT資産を破棄する場合には全ての設定を消去することを徹底します。
  • ネットワーク機器の接続に利用するパスワードを定期的に変更します。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年4月のセキュリティトピック

 2023年3月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.強まるAI技術への規制

 昨年末からAIの実生活への応用が格段に進化を遂げAIを活用したチャットボット等や画像などの自動生成技術が急速に社会に浸透しています。一方で企業での利用においては情報漏洩や権利問題等の課題があると本トピックでも以前から取り上げていました。

 ■2023年2月:AI活用チャットボットによる機密情報漏洩リスク記事

 

  • 米国 バイデン米大統領が科学技術諮問会議にて「利用者の安全を脅かす恐れもあると懸念を表明。「議会は企業の個人データ収集に厳しい制限を課す法案を可決する必要がある」と発言し、法規制の必要性を訴えました。
  • イタリア データ保護当局が「膨大な個人データの収集が個人情報保護法に違反する疑いがある」として、チャットGPTの使用を一時禁止すると発表しました。
  • 日本 松野博一官房長官は会見で他国がAI規制に動く中で「AIに関する動向把握に努め、何らかの対応が必要な場合には内閣府を中心に関係省庁と連携して対応する」と述べました。

 AI活用は企業に大きなビジネス機会を創出することが期待されますが、各国の法規制や自社の情報漏洩リスク等にも配慮しながら活用することが求められます。

・これは何故重要ですか?

 世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。

・対策手段

 AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。

  • プロキシ等を利用しAI活用サービスへのアクセスを禁止します。
  • 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
  • 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。

 

2.Emotet活動再開

 2023年3月7日、メールを介してマルウェアの感染を拡大させるEmotetの活動再開が確認されました。Emotetは2022年11月末以降活動が確認されていませんでしたが、およそ3か月ぶりの活動再開となります。

・これは何故重要ですか?

 Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。

・主な侵入方法

 A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信
 B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する

・感染方法

 攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります

・対策手段

  • メール用セキュリティソリューションの導入
  • クラウドストレージによる添付ファイルの代替
  • SASE等での悪性リンクのブロック

 ※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。

 

3.アジア太平洋地域で記録的なDDoS攻撃を観測

 DDoS対策大手の米アカマイ社はアジア太平洋地域において過去最大となる900Gbpsの攻撃トラフィック、毎秒 1 億 5,820 万パケットの攻撃パケットを観測したと発表しました。

・これは何故重要ですか?

 攻撃対象に膨大なトラフィックを送り付けてシステムを動作不能にするDDoS攻撃は年々攻撃規模の拡大が続いています。DDoS攻撃対策は多くの企業で採用されていますが、想定攻撃トラフィックの増加に耐えうるものであるか確認する必要があります。

・対策手段

  • DDoS攻撃対策ソリューションの対応能力を確認し、昨今の大規模化する攻撃トラフィックに対処可能か確認します。
  • 重要なIPサブネットを確認し、緩和制御が実施されていることを確認します。
  • 最初の防御層として、常時オンの軽減体制で DDoS セキュリティ コントロールを展開します。
  • 危機対応チームのランブックとインシデント対応計画が最新であることを確認します。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年3月のセキュリティトピック

 2022年2月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.サイバーセキュリティ月間

 例年2月1日から3月18日までは「サイバーセキュリティ月間」と位置付けられ、産学官民で連携しセキュリティ強化に取り組む期間とされています。

 本年は日本だけの取り組みではなく、日米豪印の4か国(QUAD)で連携し、サイバー攻撃防止に向けた関係強化が図られています。

 「サイバーセキュリティ月間」を自社のセキュリティ向上に意識を向ける期間として活用頂くことを推奨します。

 

2.決済システムの改ざんにより約11万人分のクレジットカード情報が漏洩

 国内でECサイトを運営する企業において決済システムの情報が改ざんされ、約11万件のクレジットカード情報漏洩が発生しました。

・これは何故重要ですか?

 今回の情報漏洩ではクレジットカード情報として以下の情報が流出したと公表されています。

  • クレジットカード番号
  • カード名義人名
  • セキュリティコード
  • 有効期限

 クレジットカード番号や名義人といった「一部の情報のみ」であれば例え情報が盗まれたとしてもクレジットカードが不正利用されるリスクは低くなります。しかし、今回はクレジットカード決済にて必要される全ての情報がセットで流出しているため、不正利用されるリスクが高くなります。実際既に不正利用の形跡があると公表されています。

 そして、本件はセキュリティ対策を検討する上でも注目すべき点があります。通常PCI-DSS等の規格に準じていればセキュリティコードはサーバー上に保管されていないのが一般的です。データベース内に保存されているデータを盗み出すSQLインジェクションではない別の攻撃が仕掛けられた可能性がある点です。

 被害原因として「決済システムの改ざん」とされているためクライアントの情報入力をサイバー攻撃者に転送する「フォームジャッキング」等の攻撃が仕掛けられた可能性があります。

 サーバーの保護施策としてWAF等を用いてSQLインジェクションに対する対策を実施しているケースは良く知られた対策ですが、今回の改ざんやクライアントで入力された情報を転送する攻撃に対しては、WAF等の技術ではオプションあるいは保護対象外となっていることが多く注意が必要です。

・対策手段

 公開サーバーに対して改ざん対策を実施することが重要です。

  • 自社のシステムやコンポーネント、Webプラグインのすべてにパッチを適用しマルウェアの侵害を受けないようにする。
  • 定期的にWebコンテンツの整合性チェックをオフラインで実行し、攻撃者にページが編集されていないか確認する。
  • 悪意のあるJavaScriptコードが挿入されていないかを確認する。

 

3.増加する検索エンジンの悪用

 本トピックでも過去に取り上げた検索エンジンの広告を悪用するSEOポイズニングキャンペーンが引き続き増加傾向にあります。

 ■2022年11月:SEOポイズニングキャンペーン記事

 

・これは何故重要ですか?

 検索エンジンの広告を悪用し、「正規のサイト」と誤解させ悪意のあるサイトへ誘導しようとします。多くの人々は訪問しようとするウェブサイトの正しいURLを記憶していることは稀です。

 そういった場合に、「検索エンジン」を利用するという行動パターンに着目した攻撃です。訪れようとする本物そっくりのサイトが準備されていることが多く、「検索エンジンで表示されたから正しいサイト」という思い込みが働くため、ひっかかりやすいという特徴があります。

 こういった検索エンジンを悪用する攻撃において以下のような攻撃が確認されています。

  • 偽のログインページを表示させID/PW情報を盗難する
  • 正規のソフトウェアを装いマルウェアが混入されたプログラムをダウンロードさせようとする
  • AWS管理コンソールへのログイン情報を盗難する

 

・対策手段

  • 良く利用するウェブサイト等はブックマークするように指導する
  • 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
  • SASE等での悪性リンクをブロックする
  • 分離ブラウザを利用し危険なファイルのダウンロードやコード実行をブロックする



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年2月のセキュリティトピック

 2022年1月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.AI活用チャットボットによる機密情報漏洩リスク

 GPT-3.5という自然言語モデルを利用したAI活用チャットボットが注目を集めています。自然な文章で質問するとまるで人間と対話していると錯覚させるような流暢な文章で返信が返ってきます。その自然な言語処理能力を活かしてカスタマーサポートやFAQの回答の品質向上、記事の自動生成、サンプルコードの生成など様々な活用方法が日々議論されています。

 一方でこういった技術の利用を制限する企業や団体も現れています。ニューヨークのある大学ではAI活用チャットボットに対する学内からのアクセスを禁止したと報道されています。生徒の考える能力を低下させる恐れがあること、また説得力のある言葉で回答があっても「間違っている」回答が返ってくることもあり、生徒が誤りに気づけない等の点が危惧されています。

 また、AI活用チャットボットに入力した質問はAIの学習ソースとして利用される可能性もあり、入力した文章を削除することも出来ないため機密情報の漏洩リスクについて調査を開始した企業も現れています。例えば「自社の機密情報について質問したらどんな答えが返ってくるか?」と悪戯心でAI活用チャットボットに入力すると、それがAIの学習ソースとして利用され世界中の第三者の目に「回答」として公開されるリスクがあります。

・これは何故重要ですか?

 世の中で新しい技術が登場するとそのリスクが正しく評価されないまま、企業内で利用されることがあります。AI活用チャットボットはビジネスを活性化させる可能性が多々ありますが、企業内で安全に利用するためのガイドラインの策定等を検討する必要があるでしょう。

・対策手段

 AI活用チャットボットへの不安を感じる企業では以下のような対策を検討することを推奨します。

  • プロキシ等を利用しAI活用チャットボットへのアクセスを禁止します。
  • 機密情報を入力しないなどのAI活用チャットボット利用に関するガイドラインを策定します。
  • 事業開発等の理由でアクセスを必要とする従業員には、ガイドラインを一読したうえで利用することを義務づけます。

 

2.米国通信事業者のAPIを悪用し3700万件の個人情報漏洩

 米国の通信事業者がAPIを介して3700万件の個人情報漏洩被害にあったと公表しました。

・これは何故重要ですか?

 今回の攻撃に利用されたAPIを悪用する攻撃手段は今後増加が予想される攻撃手法の一つです。

 情報漏洩に悪用される攻撃方法として一般な攻撃手法は公開されているウェブサーバの脆弱性を悪用する手法です。こういったウェブアプリケーションの保護としてWAF等が導入されているのは珍しいことではありません。

 しかし、今回の攻撃に利用されたのはAPIであり、WAF等の技術ではAPI保護機能はオプションあるいは保護対象外となっていることが多く注意が必要です。API保護を専門とする対策技術の企業導入率は低く、サイバー攻撃者にとっては「狙い目」と考えられている攻撃対象領域の一つです。今後APIに対する攻撃が増加すれば多くの企業が被害にあう可能性が高まります。

・対策手段

  • API保護ソリューションを導入。
  • APIゲートウェイを利用し、APIの利用経路を特定し。
  • WAAP( Web Application and API Protection )を導入する。
    WAAPとはWAFやDDoS対策といった従来から存在するウェブサーバ保護技術に加えてBot対策やAPI保護も組み入れた次世代のウェブサーバ保護技術です。
  • 侵入テストを実施し、脆弱なAPIを特定します。
    API保護を計画する上で重要な点は「APIの利用状況を正しく認識する」ことが挙げられます。外部からのデータ入手が可能なAPIが企業内にどの程度存在し、悪用される脆弱性が含んでいるかを調査することを推奨します。

 

3.個人情報保護委員会が設立後初の刑事告発を実施

 本人の同意なく破産者の氏名、住所などの個人情報をインターネット上に掲載しているウェブサイトを政府の個人情報保護委員会が刑事告発しました。

・これは何故重要ですか?

 個人情報保護委員会は2016年に発足しましたが、同委員会が刑事告発に至ったのは設立後初の事例となります。

 本件は破産者情報という官報に掲載された「公開情報」を利用したものでしたが、「公開情報」であっても本人に同意を得ていないと考えられること、インターネット上に公開されている地図データと紐付けられる形で表示されており、違法又は不当な行為を助長し、又は誘発するおそれがある等の観点から刑事告発という厳しい処置へと至りました。

 個人情報保護法は3年ごとに見直しがなされており改正を重ねるごとに罰則が厳しくなる傾向にあります。企業におかれましてもデータ利活用等の観点から個人情報の活用は検討されることと思われますが、取り扱いの際には適切に取り扱い、保護が出来ているか確認することを推奨します。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
 
 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2023年1月のセキュリティトピック

 2022年12月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.SSL-VPN製品に関する深刻な脆弱性

 国内市場でも大きなシェアを持つSSL-VPN製品に危険な脆弱性の存在が確認されました。CVE-2022-42475に分類され、本脆弱性は遠隔から認証不要で不正なリクエストをSSL-VPN装置に送信することで不正なコマンドを実行することが可能になります。

 既に本脆弱性が悪用されていることが確認されており、速やかにバージョンアップ等の対策を取ることを推奨します。

・これは何故重要ですか?

 本脆弱性はインターネットから不正なパケットを送信することで不正な操作が成立します。一般的にSSL-VPN装置はインターネットから直接通信可能な位置に設置されているため攻撃を仕掛けられる可能性が高くなります。

 また、日本国内のランサムウェアの侵入経路としてVPN装置の脆弱性利用が最も多い傾向があります。SSL-VPNに対する今回のような脆弱性が公開されると本攻撃を悪用可能なSSL-VPNを検索する行為が増加するため、該当製品を利用されているお客様は早急に対策を進めることを推奨します。

・対策手段

  • 利用中のSSL-VPN製品が脆弱性の影響を受けるか、製品およびバージョンなどの利用状況を確認する
  • 脆弱性の影響を受ける場合、メーカーが提供している情報をもとに対策を実施する

  ※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。

 

2.EU、NIS2指令の採択を決定

 欧州連合官報(OJEU)は2022年12月27日、EU全域で高い共通レベルのサイバーセキュリティを確保するための措置NIS2指令を採択すると発表しました。

 NIS2指令は、2016年に成立した「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」を改定し、対象分野を拡大しサイバーセキュリティのリスク管理対策と報告義務の枠組みを提供するものです。さらに、NIS2指令は、サイバーセキュリティの要件と各EU加盟国におけるサイバーセキュリティ対策の実施を調和させることを目指しています。

 NIS2指令は官報掲載から20日後に発効する予定です。EU加盟国はその後21ヶ月以内に同指令を国内法に反映させる必要があります。

 また、NIS2指令の規制対象となる企業はそれまでの間にセキュリティ体制を整備する必要があります。違反企業に対しては制裁金が課せられるようになります。

・これは何故重要ですか?

 欧州でビジネスを営み、NIS2指令で指定された業種に分類される企業はNIS2指令の求めるセキュリティ体制を整える必要があります。これに違反した場合には巨額の制裁金を課せられるリスクがあります。

  • 不可欠な主体(Essential Entity):違反企業に対しては1000万ユーロ、または全世界年間売上高の2%の制裁金が課せられます。
  • 重要な主体(Important Entity):違反企業に対しては700万ユーロ、または全世界年間売上高の1.4%の制裁金が課せられます。

 

3.詐欺メールで食品を盗む攻撃

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は「食品の窃取」を目的としたビジネスメール詐欺についてアラートを公開しました。

・これは何故重要ですか?

 相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「電子マネー」を盗む目的であることが一般的です。今回の警告は「食品」という物品の盗難を目的としているのが新しい点となります。

 サイバー攻撃者は正規の従業員になりすまし、食品を注文させます。被害企業は注文に応じ商品を発送しますが、サイバー攻撃者が代金を支払うことはありません。

 一般的に「詐欺メールの訓練」は偽サイトへの誘導や不正送金を想定した訓練となっており、このような「物品」を対象とした訓練が行われていることは少なく、誤って正規の注文と判断してしまうリスクがあります。

・対策手段

 「詐欺メール対策」は従業員に対する訓練とシステム的な対応の二つの側面での対策が重要です。以下のような対策を取り入れることを推奨します。

  • 定期的に詐欺メール訓練を実施する。
  • SPF、 DKIM、DMARC 認証を有効化し、電子メール認証を強化します。
  • 悪質なメールをブロックするフィッシング対策やなりすまし防止のセキュリティ機能を有効化する。
  • すべてのメールアカウントで多要素認証を有効にする。
  • 外部アドレスへの電子メールの自動転送を禁止する。
  • 会社のメールサーバーの設定や特定のアカウントのカスタムルールが変更されていないか監視する。
  • POP、IMAP、SMTP1 など、多要素認証の回避に使用可能なレガシー電子メールプロトコルを禁止する。
  • メールボックスのログインと設定の変更がログに記録され、少なくとも90日間保持されることを確認する。
  • 海外からのログインなど、不審な動きに対するアラートを有効にする。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
 
 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ

 

■2022年11月のセキュリティトピック

 2022年11月に報道されたセキュリティインシデントから、組織におけるセキュリティ対策を検討される方々に重要と思われる3つのトピックを紹介します。

 

1.活動を再開したEmotet

 2022年7月頃から国内での感染活動が停止していましたが、2022年11月から再び国内でもEmotetの感染が確認されるようになりました。基本的な攻撃手口に変化はなく、主要な攻撃侵入経路はメールとなっています。メールの添付ファイルや本文中のリンククリックを用いて感染を狙います。

・これは何故重要ですか?

 Emotetは非常に感染力が高く、感染すると感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。自社だけでなく取引先等に対しても被害が及ぶ可能性が高くなります。

・主な侵入方法

 A) マクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信  
 B) メール本文中のリンクをクリックすることで悪性なExcelやWordファイルをダウンロードしアプリケーションのインストールを装い感染する

・感染方法

  • 攻撃ファイル開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります

 

・対策手段

  • メール用セキュリティソリューションの導入
  • クラウドストレージによる添付ファイルの代替
  • SASE等での悪性リンクのブロック

  ※上記はあくまで一例となります。顧客環境に応じて対策手段は多岐にわたります。

 

2.在宅勤務者を狙うSEOポイズニングキャンペーン

 2022年10月19日、国内の大手切符予約サービスを装うフィッシングサイト(偽サイト)が検索結果ページのトップに表示される事態が発生しました。知名度の高いサービスが利用されたことで国内でも盛んに取り上げられました。

 一般の方々が特定の情報を検索するために「検索エンジン」を利用することに着目し、その「検索エンジン」の検索結果を用いて不正なサイトに誘導するSEOポイズニングキャンペーンと呼ばれる攻撃手法となります。
 

・これは何故重要ですか?

 マルウェアをダウンロードさせたり、認証情報を不正に取得するために「検索エンジン」が誘導手段として利用される古くからある攻撃ですが、昨今再び攻撃手法として報道が目立つようになってきています。

 特に海外ではSEOポイズニングキャンペーンを利用して認知度の高いオンラインビデオ会議サービス等のインストーラを検索しているユーザーを対象とした不正サイトを準備し著名オンラインビデオ会議のインストーラを装いマルウェアを混入させるような攻撃が確認されています。

 在宅勤務者が新規にこのようなツールを自宅でインストールする行動を想定し、メール添付ではなく検索エンジンが利用されていると推測されます。

・対策手段

  • 良く利用するウェブサイト等はブックマークするように指導する
  • 企業で利用するインストーラ等は共有ストレージに保管する、あるいはダウンロードリンクを明示し、検索結果に頼らないようにする
  • SASE等での悪性リンクのブロック

 

3.インフラ系企業を狙う高度な標的型攻撃

 警察庁サイバー警察局は、日本国内の学術関係者、シンクタンク研究員、報道関係者等に対し、講演依頼や取材依頼等を装い不正なプログラム(マルウェア)を実行させる「高度な標的型攻撃」の存在について注意を呼びかけました。

・これは何故重要ですか?

 相手を騙すために送信される「詐欺メール」自体は最もメジャーなサイバー攻撃手法ですが、その大半は「ばらまき型」であり、詐欺メール用のテンプレートを入手したメールアドレスに一斉に送信するというものです。この「ばらまき型」の利点は低コストで「詐欺メール」を送付可能で、ある程度ひっかかる人が居るということです。

 今回の「高度な標的型攻撃」は「詐欺メール」を利用する点は同じですが、対象人物像を調査し、その「標的」がクリックや開封しやすいように工夫する点が異なります。通常このような攻撃は高コストとなるため「明確な目的意識」を持つサイバー攻撃者が仕掛けるものとなります。このような「高度な標的型攻撃」を仕掛けるサイバー攻撃者は国家による支援を受けている可能性が高く、目的を達成するまで執拗に手段を変えて攻撃を仕掛けてくることが考えられますので、警戒が必要です。

 

・日本だけではなく他国でも攻撃が確認

 エネルギー関連企業に関するサイバー攻撃が活発化しているとの報告が複数のセキュリティベンダーからアナウンスされています。米国大手ソフトメーカは2005年以降に製造中止となったウェブサーバーに影響を与える脆弱性が発見され、エネルギー分野の組織を標的として侵害するために使用されていると発表しています。

 また、脅威インテリジェンス企業のRecorded FutureもRedEchoと名付けられた国家に支援されたと推測されるサイバー攻撃集団がインドのエネルギー企業に対してサイバー攻撃キャンペーンを実施していると報告しています。

 エネルギー関連企業におかれましては、より一層の監視強化、セキュリティ対策強化、そしてサプライチェーン含めた従業員への注意喚起を実施頂くことを推奨致します。



■JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 
 
 
  
 

 企業システムは、オンプレとクラウドが同居するハイブリッドクラウド、複数のクラウドから成るマルチクラウド構成、仮想化、コンテナ化などにより複雑化しており、運用、監視、管理のためのシステムも同様に増え続けています。

 セキュリティに不安、システム運用、監視、管理についてお悩みを解決する手段はCTC までご相談ください。

お問合せ



ご意見・ご要望・ご感想をお聞かせくださいお寄せいただいたご意見を参考に、Webサイトの改善や情報発信に努めて参ります。





関連記事はこちら