コロナ禍でのサイバー攻撃の動向
まず、過去1年間におけるサイバー攻撃の状況を振り返った。コロナ禍となった2020年7月には、マルウェアであるEmotetの活動が再開し、多くの被害が発生した。また、8月には情報処理推進機構(IPA)からランサムウェア攻撃に関する注意喚起[※1]が出されると、さらにVPN装置の脆弱性が悪用され約900台のサーバーで使用されていたユーザー名やパスワードがハッキングフォーラムに公開されるといったこともあった。11月にはパッチが適用されていないFortinet社製機器5万台の情報が公開、政府からはパスワード付きZIPファイルとパスワードを記載したメールを送付するPPAPの利用を廃止すると発表され、民間企業も追随する動きが起こっている。
2021年1月には欧州刑事警察機構がEmotetを制圧したことを発表するが、2月には国内でEmotet感染端末利用者への注意が促された。4月に内閣サイバーセキュリティセンターが重要インフラ事業者に向けて、ランサムウェアによるサイバー攻撃に関する注意喚起を行い、具体的な対応策を示している。そして7月には、米国の非営利研究団体MITREが2019年と2020年に報告された脆弱性タイプについて、危険度の高い脆弱性タイプをランキングで発表した[※2]。
[画像クリックで拡大]
新型コロナウイルスのパンデミックで企業の勤務形態が変化し、社内PCや私物のPCを自宅で利用するようになった。これまでは境界防御で守られていた社内利用のPCは、元々持ち出すことを想定していない。テレワークでの業務遂行を優先したため、自宅で使うPCのセキュリティ対策は十分にとられていないことが多いのだ。
境界防御が十分でない自宅環境でマルウェアに感染し、VPNで社内につないだためにマルウェアを社内に持ち込むケースもある。さらに、テレワークの利便性を高めるためSaaSなどのクラウドの利用が増え、それらの設定不備でも情報漏洩が発生している。これらが新たな課題となっていると説明する。
[※1] IPA、「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」
[※2] MITRE、「2021 CWE Top 25 Most Dangerous Software Weaknesses」
VPN装置の管理不足、クラウドの設定不備などの課題に直面
山口氏はテレワーク環境の課題を、「社内リソースへの接続環境」「クラウドリソース」「テレワーク端末」という3つのブロックに分けて解説した。社内リソースへの接続環境を急いで整備したために、VPN装置の管理不足が数多く発生している。その代表が「Fortinet社のSSL-VPNに脆弱性が存在し、認証を回避して任意のファイルを読み取られるというものです」と山口氏。SSL-VPNを突破されると、社内に侵入され情報漏洩など大きな被害に発展しかねない。さらにこの件では脆弱性の影響を受けるホスト情報が公開され、問題をさらに大きくしている。11月に情報が公開されて以来、この脆弱性を狙った攻撃が増えているのだ。
[画像クリックで拡大]
この脆弱性は既に2018年に公開され、パッチを適用していなかったことが問題の原因だ。つまり機器の管理不足で、脆弱性を内包したまま放置されていた。パッチを適用すればこの問題は解決するが、再発防止の観点では、そもそもインターネットに公開しているシステムの管理を堅牢にすることが重要だ。しかしながら、現実には管理が行き届いていない。
背景は様々で、たとえば企業の統廃合などで管理漏れ機器がある場合や、そもそも管理すべき機器を把握できていない。また、設定が適切か、不審なログがないかなどの定期的なチェックをしていないこともある。山口氏は、「新たな脆弱性が見つかっていないか、ベンダーなどの情報をウォッチする必要があります」とも言う。
ビジネス継続が必要なために、パッチ適用でVPN装置を止められない場合もある。この場合はメンテナンスを実施しやすくするため、冗長構成などで機器を停止できる時間を作る工夫が求められる。さらに第三者の視点を入れれば、考慮漏れを防ぐことにもつながる。
管理が大変な場合は、外部のVPNサービスを利用し管理者の負荷を減らす方法もある。IIJでは、VPNサービス「IIJ フレックスモビリティサービス」を用意している。また、「IIJ脆弱性管理ソリューション with Tenable.io」を用意しており、クラウド上の脆弱性管理サービスを利用して、定期的なセキュリティ診断とシステム状況の可視化ができる。これによりクリティカルな脆弱性が内在していないかをタイムリーに確認可能となる。
もう1つが、クラウドリソースの課題だ。オンプレミスでは多層防御により、サーバーの設定不備があったとしてもファイアウォールなどで守ることができるため、実害を防げる。一方クラウドでは、リソース設定の誤りやアカウント管理の不備が直接実害に結びつく。クラウドは、「いわば一枚岩の状態です」と山口氏。クラウドは日々進化するため、ユーザーが機能を熟知するのは難しい。そのため、クラウドのストレージが公開状態になったり、アクセスキーが漏洩したりすることもある。
[画像クリックで拡大]
一方でユーザーに目を向けると、監視が不十分でデータの持ち出しや意図しない利用なども見られる。使い方やルールが定められておらず、ユーザーが自由に使ってしまいデータが漏洩するケースもある。対策は、ユーザーが使い方をしっかり理解することだ。「ユーザー側で管理が必要な範囲とその理解を、後追いでも良いのでしっかりと拾い上げる必要があります」と山口氏は述べる。
クラウドではアカウント制御やロギング設定の不備が発生しやすいため、これらの点は念入りに確認する必要があるとも指摘する。また、クラウドベンダーが提供する監査機能やCSPM(Cloud Security Posture Management)といったツールを使うことで設定の監査を補うこともできる。
[画像クリックで拡大]
また、クラウドのユーザー利用の可視化という点では、いつ誰がどこから利用しているかを記録するようログを設定し、意図しない利用の監視も必要だ。これには、CASBが利用できる。特に、クラウド利用のルールを明確化など、ユーザーの理解向上が後回しになっていることは多いという。
これらクラウドの課題に対してIIJでは、「IIJ CSPMソリューション」を提供しており、アカウント制御や暗号化、アクセス制御、ロギング、ネットワークが監視対象となる。また、「IIJ CASBソリューション」もあり、サンクションITの範囲内でクラウドサービスのAPIと連携し、ファイルの共有ポリシーやユーザー行動を基にした検知などが可能となる。
境界型セキュリティがない弱体化したテレワーク端末の課題
3つ目の課題が、境界型セキュリティから追い出されたことで弱体化したテレワーク端末だ。また、脆弱性のある端末がVPNを使い社内リソースを利用することで、境界型セキュリティに抜け道を作ることにもなっている。
昨年流行したEmotetでは、攻撃に使われたメールの文面を見てみると、実際に自身で書いた文面が引用されるケースも報告されるなど巧妙化しており、より信用されやすく、添付ファイルを開かせるために進化している。Emotetは攻撃パターンが変化するのも特徴で、手を替え品を替え巧妙に仕掛けてくる。「システムで完全に防ぐことは難しく、人のリテラシーに頼る対策も必要です」と山口氏は言う。
[画像クリックで拡大]
対策としてはシステムと人の両面が必要で、まずは従業員が利用している端末をしっかり把握し、パッチ適用や不要なソフトウェアを入れないなどの管理が必要だ。これには、IT資産管理ツールを活用できる。また、「細かい話ですが印刷の制限は重要だと考えています。自宅で印刷したものをどうするのか。人の対策においては、紙媒体の管理も大事です」と指摘する。
その上で従来型のEPP(Endpoint Protection Platform)にEDR(Endpoint Detection and Response)を加えることで、高度な攻撃の早期発見と、いざという際の遠隔端末隔離も可能となる。さらに物理対策も重要で、画面の自動ロック、プライバシーフィルターなど、カフェやサテライトオフィスで業務をする際の対策として導入すべきものもある。テレワーク端末の紛失、盗難対策としてストレージの暗号化も重要だ。他にも、自宅の無線ルーターのアップデート、無線LANの暗号強度など、会社支給ではないものもチェックもする必要がある。
[画像クリックで拡大]
従業員への対策では、持ち帰った紙媒体や自宅でとったメモの管理なども考えておかなければならない。ルール整備に加えて、従業員リテラシー向上のためのセキュリティ教育が重要だ。普段から被害を受けた際にすぐに相談できる、社内体制を構築する必要もあるという。
そこでIIJでは、「IIJセキュアエンドポイントサービス」を展開しており、IT資産管理サービスも提供している。また、SOCの対応としてIIJのアナリストがフルマネージドでEDRの対応をするサービスもある。さらに「IIJテレワーク環境セキュリティアセスメントプログラム」では、テレワーク環境の弱点をヒアリングベースでスコア化し可視化も可能となる。
セキュリティ機能だけでなく人の面からも対策する
急ぎ用意したことで、脆弱性があるテレワーク環境が散見される。これに対しセキュリティ対策を適宜とっていくが、セキュリティ機能だけを強化しても守り切れないため、人の面での対策も重要だと改めて山口氏は指摘する。テレワーク、クラウド利用などの環境の変化に合わせたルールや規定などが、間に合っていない組織は多い。ルールを定めるだけで防げるものも多いため、「システムに頼りがちですが、少しずつユーザーが正しく使えるよう整備していくことが重要です」と山口氏は述べる。
[画像クリックで拡大]
最後にIIJ SOCによるサイバー攻撃の観測状況も紹介された。IIJでは、ISPだからこそ得られる情報で、独自のインテリジェンスを提供している。IIJ SOCで得られたセキュリティの情報は、「wizSafe Security Signal」として定期的に公開されている。他にもセキュリティのトピックスや脆弱性情報なども提供しているため、これらを日々のセキュリティ情報収集に役立てて欲しいと最後にエールをおくった。
【無料資料】『統合セキュリティ運用サービスガイドブック』
本記事で紹介した「IIJ C-SOCサービス」がよくわかる『統合セキュリティ運用サービスガイドブック』を無料で提供中! SASEやEDRにも対応し、24時間365日セキュリティインシデントへの対応を行う同サービスの機能詳細はもちろん、具体的な利用シーンや利用までの流れなど、導入検討の一助となる資料です!資料ダウンロードはこちらから。
