NewNormal時代のゼロトラストセキュリティ

【連載コラム】ちょっと気になる、
サイバーセキュリティのはなし！

• 第5回：Webサイトは安全ですか？サイト改ざんによる情報漏えいの対策

  最近、Webサービスを悪用し、他人の銀行口座から不正に送金させるサイバー犯罪が報道され大きな話題になっています。過去にも、会員限定Webサービスに不正ログインし、貯まったポイントを詐取する攻撃なども多数報告されています。個人情報の入手元は判明していませんが、偽サイトで騙されて個人情報を入力するフィッシング詐欺や、Webサイトの改ざん・侵入によって情報窃取された可能性が考えられます。
  
  ということで、今回は情報窃取として狙われやすいWebサイトの管理を取り上げてみます。
  
  ひと通り対策はしているつもりでも、どこから攻撃されるかわからないのが昨今のサイバー攻撃ですので不安を抱えながらWebサイトを運用するご担当者もいらっしゃるのではないでしょうか。しかし運用担当者がシステム全て、セキュリティ攻撃の動向を把握し、監視することは難しく、サーバーのOSに加えて、CMS(Contents Management System)のバージョンアップやセキュリティパッチ適用も必要であり、規模が大きく複雑なほど運用担当者の負荷は増大しています。

  なぜWebサイトは攻撃されるのか？

  • Webサイトは外部からアクセスが容易に可能
  • 窃取したい個人情報等を所持している
  • サイト訪問者をマルウェアに感染させることができる（Web改ざん）
  • 管理が甘いWebサイトが多く、検知されにくい

  などが理由としては上げられます。

  もし改ざんされたらどうなるか？

  • 攻撃者が用意した悪意あるサイトへ利用者が誘導される。
    ⇒巧妙なフィッシングサイトの場合、騙されて個人情報を入力してしまう可能性あり。
  • 攻撃者が用意した悪意あるサイトへ利用者が誘導される。
    ⇒巧妙なフィッシングサイトの場合、騙されて個人情報を入力してしまう可能性あり。
  • サイト上のフォームへの入力情報をオンラインスキミングされる。
    ⇒気づかない内にサイト利用者の個人情報などが窃取される。

  改ざんされたあなたは被害者となりますが、そのサイトを介して二次被害が発生した場合、加害者的な立場になる恐れがあります。

  どのような方法で攻撃されるのか？

  IPA(独立行政法人情報処理推進機構)から下記のような攻撃手口が発表されています。

  • 窃取したアカウント情報を悪用した不正ログイン
  • ソフトウェアのぜい弱性を突く
  • ウェブアプリケーションのぜい弱性を突く
  • 組織の内部犯行者がアクセス制御の不備を突く

  ぜい弱性や設定不備などは定期的な管理によって予防することはできますが、完全な防御は不可能です。サイバー攻撃への対策は、被害を最小化することが重要であり、そのためには、自らのWebサイトの状況を日々確認し、問題が無いことをチェックすることが必要になります。 　　

  どう対策すればよいか？

  これらの対策には、日々の監視が重要です。下記にてご紹介する2つの商品を活用して現状の把握、そして常時監視していくことがWebサイトを守る手段として有効ではと当社は考えています。

  　　

  • ～当社グループ会社のセキュアブレイン社 GRED Webセキュリティ診断～
  　　

  定期的に自動で診断し、ぜい弱性を発見した場合は管理者にアラートメールを送信し、詳細はポータル画面よりレポートでご報告します。

  　　

  • ～当社グループ会社のセキュアブレイン社 GRED Web改ざんチェック～
  　　

  24時間365日監視し、Webサイトの改ざんを検知した場合はアラートメールを管理者へ送信し、安全な画面へ自動で切り替えます。その後の詳細はポータル画面よりレポートでご報告します。こちらは無料トライアルもございますので、ぜひお気軽にお問合せください。

  　　

  放置されたWebサイトにご注意を

  Webサイトは大小かかわらずほとんどの企業組織が公開しています。情報セキュリティ管理のレベルもさまざまで、定期的なシステム更新や監視、ログの保管などを行っているところもあれば、公開した後、ほとんど管理されていないものも多数存在します。また企業組織の広報が公式に運営するWebサイト以外に、開発用、テスト用、社員間の情報共有用など各部門が独自に立ち上げた「隠れサイト」は情報セキュリティ管理者にとって悩ましい存在です。各部門が個別に管理・運用していく内に更新が止まったり、いつしか管理部門が曖昧になったりすると、これらは攻撃者にとって格好のターゲットとなります。
  もし、上記で紹介したサービスを採用しても、管理者が知らないサイトが存在し、サービスの監視対象から漏れていたら・・・。そこを攻撃された場合は容易に侵入されてしまう恐れがあります。ご注意ください。

  全て見る

• 第4回：いまEmotet被害が拡大中！知っておくべきその特徴とは。

  IPA(日本情報処理推進機構)やJPCERT/CCより2020年9月以降Emotet(エモテット)と呼ばれるマルウェアの相談件数増加が発表されています。EmotetはPCへ侵入後、PC内部の情報を窃取したり、メールアドレスを悪用して取引先などへスパムメールを送信する特徴があります。2014年にはじめて確認されましたが、国内では2019年10月頃より被害が拡大し、11月には菅官房長官（当時）が記者会見で注意喚起も行い話題になりました。2020年2月以降は目立った活動報告はなかったものの、7月より活動再開が確認され、そこから徐々に被害が拡大しています。

  • 相談急増／パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)(IPA～日本情報推進機構～公式HPより)
  • マルウエア Emotet の感染に繋がるメールの配布活動の再開について(追加情報)(JPCERT/CC公式HPより) ではEmotetにはどのような特徴があり、それらに対してどう対策をしていけばよいのでしょうか。

  Emotetの特徴

  • 取引先や公的機関になりすましてターゲットへ攻撃メールを送る。
  • メールに添付されたファイルを開封⇒マクロが実行され感染。
  • 添付ファイルではなく不審なURLをクリック⇒ファイルをダウンロード・開封、マクロが実行され感染。
  • PC内の情報窃取、社内感染拡大、なりすましメールによる外部への拡散を狙う。

  このEmotetは、見覚えのある人からの返信メールのように偽装されているため見破るのが難しく、多くの被害が発生しました。さらに、12月の前半に賞与明細を送る、コロナ感染の注意を呼び掛けるなど、日本の文化・風習を把握したさまざまな形式のメール文面が作られ、心理的な隙を突いてくる巧妙さが特徴です。

  被害内容

  • PCメモリ内に一時保存されたアカウントID、パスワードなどの情報を窃取。
  • 窃取されたパスワードを悪用されネットワーク内へ感染拡大。
  • 取引先などへ巧妙な詐欺メールをなりすまし送信。
  • Emotetが別のマルウェアをダウンロードしデータが暗号化される場合も。

  EmotetはPCに侵入した後、外部から悪意あるツールをダウンロードします。それを使ってアカウント情報などを取得後、WindowsOSファイル共有機能などのぜい弱性を突き、社内の感染を広げます。その過程でメールアカウントも乗っ取り、送信済みメールとアドレス帳を悪用し、なりすましメールを送信することで社外ネットワークにもEmotetを拡散させようとします。またランサムウェアをダウンロードし、PCデータを暗号化され業務が停止する場合もあります。

  企業活動への影響

  なりすましメールの送信によって取引先や顧客に迷惑をかけますが、自社では検知できず、取引先や顧客から指摘されて感染が発覚するケースが多々あります。お詫びや、取引に関する情報漏えいの確認・説明が必要になり、その後の事業にも大きな影響を及ぼします。

  対策内容

  • 組織内への注意喚起と報告体制の整備
  • WordやExcelのマクロ自動実行を無効化
  • 定期的なOSアップデート(セキュリティパッチ適用)
  • 定期的なデータバックアップ(ランサムウェア対策として)

  技術的な対策に加えて、従業員の理解と協力も重要です。Emotetの流行と概要を従業員に周知し、不審なメールに対する警戒を高めてください。ただし人的ミスはゼロにはできません。もし不審なメール、添付ファイルを開いてしまった場合にはすぐに担当部門へ報告してほしい旨も周知しましょう。報告があった時は、本人の非を責めるのではなく、迅速な報告に感謝するスタンスでいることが隠ぺいによる被害悪化の抑止につながります。

  その他の対策

  PC内での不審なふるまいを検知して封じ込めるタイプの対策システム・サービスを導入するのも有効ですが、お客さまの業態やシステム構成、組織体制などにより、対策内容も変わる場合があります。ご検討の際はぜひお気軽に当社へご相談ください。

  全て見る

• 第3回：サイバーセキュリティに関する政府および関連団体のレポート
  ご紹介

  近年、悪質なサイバー攻撃とその被害が増加しています。そこで政府は国全体のサイバーセキュリティレベルの向上が必要だとしてさまざまな施策や情報発信をしています。今回はそれらのレポートを簡単にご紹介しますので、対策の検討などにお役立てください。

  • 公安調査庁「サイバー攻撃の現状2020」

  こちらは国内外でサイバー攻撃が多発する状況を受け、現状を国民に広く伝えて意識向上をすべく内容についてとてもわかりやすく解説された資料です。冒頭は2017年に発生した世界規模のランサムウェアによるサイバー攻撃事例をはじめとした近年の攻撃傾向が解説されています。次にそれらの攻撃を行う組織（国家主体あるいはそれ以外の組織）の概要やその目的についての説明もされています。目的としてイメージしやすいのは重要情報の窃取やスパイ活動、金銭奪取等ですが、実は業務妨害を狙ったシステム破壊や政治的な影響操作を目的とした工作(搾取情報の公開や偽情報の発信など)も紹介されています。全10ページとボリューム的にも読みやすい資料です。

  • IPA「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集公開」

  IPA(情報処理推進機構)より企業のセキュリティ対策の参考となる「サイバーセキュリティ経営ガイドライン」が公開されていますが、それらをどのように実践していくのかをまとめた資料となります。これからセキュリティ対策を検討しようとするも、どこから手をつけてよいのかわからない！といった場合の参考書的な資料です。ガイドラインの重要な１０の項目を抜粋し、実際の企業の取り組み事例を解説をしているので、よりイメージがしやすくなっています。

  • 総務省「IoT・5Gセキュリティ総合対策2020」

  5G開始やIoT拡大を受けて、新たなセキュリティ上の懸念がでてくることから、直近で対応が必要な課題に対する対策についてまとめられた資料となります。

  IoT機器の拡大にあたり、NICT(国立研究開発法人 情報通信研究機構)が行った国内のIoT機器調査(NOTICE)ではパスワード設定不備や不正通信の踏み台にされている機器が多数発見されました。今後はマルウェアに感染したIoT機器や攻撃者のC&Cサーバの検知と利用者への注意喚起を行う電気通信事業者(ISP)への支援を強化していくとのことです。

  5G普及にあたっては様々な製品やサービスの登場に伴う新たなセキュリティリスクへの対策検討や、脆弱性、運用ノウハウ等の情報共有が重視されます。さらにローカル5G取扱い免許取得条件にはガイドラインに従い十分なセキュリティ対策がされていることが条件として付与される方向です。

  その他にも「クラウドセキュリティ」や「無線LANセキュリティ」、最新技術に対するセキュリティ方針や課題、関連する政策などがまとめられています。ご興味あればぜひ他項目もご覧いただければ幸いです。

  全て見る

• 第2回：見えない感染のリスクと早期検知・感染範囲特定の
  大きなメリット

  今、現実社会で目に見えない未知の新型ウイルスが社会に大きな影響を与えています。これまでの状況を振り返ると、脅威や対策においてコンピュータウイルスと類似する点があると感じられます。今回はこうした未知の脅威に対する早期検知と範囲特定をテーマにお伝えしていきます。

  今回のウイルスの怖い部分は「どこから感染したのかわからない」「感染しても症状が出ないことがある」「未知ゆえにワクチンなどの対策が確立されていない」といったものになると思います。現実世界では1人1人検査を実施しなくては感染有無を特定できず、また検査精度の関係で正しい結果が出ないケースもありました。無症状であったり、陰性と診断された人は、注意した生活をするものの近しい人に感染を広げてしまう恐れがあります。

  コンピュータウイルスの場合はどうでしょう。最近は特定の企業・組織だけを狙う標的型のサイバー攻撃の増加が続いています。攻撃者は標的の企業・組織が使っているアンチウイルスソフトなど対策状況を把握したうえで、検知されないような未知のウイルスを作成し送り込みます。するとアンチウイルスソフトでは検知できず、どこから感染したかも特定はできません。検知できるようになるのは遅ればせながらその未知のウイルスに対応したパターンファイルが配布された後で、気がついた時には、組織内への感染PCを拡大、欲しい情報の詐取など目的は既に達成された後。巧妙で恐ろしい攻撃は、現在は在宅勤務が広がる中、さらに脅威を増しています。自宅はオフィス内のセキュリティレベルよりも劣るケースがほとんどで、セキュリティパッチ更新など組織的な運用管理も行き届かない状況は攻撃者の標的になりやすいため、警戒が必要です。

  潜伏期間中の早期検知が困難で、感染ルートや範囲の特定が難しく時間もかかる・・・現実社会とコンピュータのウイルスにはこうした類似する点があるのですが、ではどのように対策すればよいでしょうか。今回はEDR(Endpoint Detection and Response(エンドポイントでの検出と対応))と呼ばれる近年話題となっているウイルス対策システムをご紹介します。EDRを活用することで感染とその範囲を早期に特定し、自動で端末の通信を遮断することで、ウイルスによる外部への情報発信や社内の感染拡大を防止します。

  EDRの特長

  • 感染後の被害発生と感染拡大の防止および原因調査を目的とする。
  • 未知のウイルスでも「ふるまい(特徴的な動作)」を検知し、自動で封じ込める。
  • 侵入経路の追跡と感染範囲特定も可能。

  感染発覚後速やかに感染範囲を特定する必要がありますが、感染範囲が特定できないまま、やみくもに検査を行うことは多大な工数と時間を要します。しかしEDRを活用すると、早期発見・範囲特定・封じ込めが自動で行われるため被害を防止、あるいは最小限に抑えることが可能です。またそれらの動きは管理者へと通知され、ポータルサイト上で一元的に確認・管理が可能なので、在宅勤務時の持ち出し端末のセキュリティ対策や状況確認の手段としても有効です。EDRサービスは当社でも取り扱っておりますので、導入を検討の際にはぜひご相談ください。

  当社取り扱いEDR商品

  • ・マルウェア感染追跡ソフトウェア「Cisco AMP」
  • Cybereason ～サイバーリーズン～

  全て見る

• 第1回：コロナ禍による突然のテレワークを乗り越えて
  ～第2波に備えるセキュリティ対策～

  今月より、セキュリティをテーマとしたコラムを連載することとなりました。セキュリティの話は難しくてわかりにくいこともしばしばですが、本連載では、時事のセキュリティトピックスについてわかりやすくお伝えしていきますので、どうぞお付き合いください。

  さて、約2か月に及んだ緊急事態宣言と自粛期間、みなさまの職場でも急遽テレワークを実施・拡大されたところは多いのではないでしょうか。現在は非常事態宣言が解除されて、テレワークから職場へ少しずつ戻っている組織も増えているかと思いますが、情勢が安定しないため第2波の心配も拭えない状況が続きそうです。

  緊急事態宣言発令時に開始されたテレワークでは、急な決定でやむを得ずこれまで禁止していた自宅へのPC持ち出し利用などで難を逃れたたケースもあったかと思います。情報セキュリティ管理者・責任者の立場としては、ルールやシステムの見直し、従業員へ対策の徹底を強くお願いして、と本来あるべき対応ができず、相当心苦しく、心配が大きかったのではと想像に難くありません。セキュリティの面から見ると、これまでの環境と異なるテレワークにはやはりさまざまなリスクがあります。先の3月4月には十分な対策を準備する時間は確保できなかったかもしれませんが、少し落ち着きを取り戻した今が改善のタイミングですので、もし再び全体テレワークとなった時に安心できるよう対策を整えて欲しいと思います。

  テレワークが急増したこの期間ですが、「脆弱性を狙った不正アクセス」や「マスク配布や給付金の手続き等を騙った詐欺メール・フィッシングサイト」といったサイバー攻撃の手口が報告が多数ありました。以下に“脆弱性”や“メール”に関するトラブルを含む、幾つかのテレワークの問題例を取り上げ注意のポイントを説明します。

  事例1 業務PCに勝手にフリーソフトをインストール

  リスク：インストールしたソフトに脆弱性が含まれている可能性。脆弱性を悪用され、PCへの侵入をきっかけに社内ネットワークやサーバに感染拡大する恐れ。

  対策：

  • 許可していないソフトはインストールさせないなど、ルール策定および徹底
  • PCの管理者権限設定による対策（従業員にインストール権限を付与しない）
  • PC内のソフトウェアや設定を可視化、確認できるシステムの導入 など

  事例２ ウイルス対策ソフトの定義ファイル更新をしない

  リスク：新型ウイルスの検知ができない

  対策：

  • 日次で定義ファイルの更新を行う運用ルールの徹底
  • 定義ファイルに依存しない次世代型アンチウイルスの導入
  • 常時クラウドから監視するウイルス対策システムの導入 など

  事例３ 業務PCで不審メールのファイルを開く、不審サイトにアクセスする

  リスク：ウイルス感染や、ID・パスワードを詐取される恐れ

  対策：

  • 標的型攻撃メールの訓練やセキュリティ教育により対策への意識を向上
  • 迷惑メールやスパムメールフィルタリングによる対策
  • URLフィルタリングによる対策 など

  事例４ 自宅で利用していた業務PCを職場に持ち帰り、そのまま社内LANに接続

  リスク：業務PCがウイルス感染に感染していた場合、社内へ感染拡大の恐れ

  対策：

  • 職場に持ち帰った業務PCが感染していないことを確認
  • 社内のPC・サーバなどの脆弱性状況を確認、最新状態に更新
  • 社内から社外へ不審な通信が行われていないか監視　など

  この他にもテレワークを行う上では注意いただきたいポイントが多数あります。独立行政法人 情報処理推進機構（IPA)や特定非営利活動法人　日本ネットワークセキュリティ協会（JNSA)など、テレワークに関するセキュリティ対策について情報を公開しているサイトがありますので参考にしてください。

  ご参考

  • テレワークを行う際のセキュリティ上の注意事項／独立行政法人 情報処理推進機構
  • 緊急事態宣言解除後のセキュリティチェックリスト／特定非営利活動法人　日本ネットワークセキュリティ協会

  全て見る