SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

マクニカの研究者が警告 海外拠点サーバー、サポート切れOS、リモート環境が危ない!

 日本企業の海外拠点に侵入し、日本の本社が侵害されるケースが増えている。この状況の原因は何なのか、どう対策すべきなのか、マクニカのセキュリティ研究センターセンター長である政本氏、センター長補佐の瀬治山氏、エンジニアの勅使河原氏に、動向の変化とともにお話をうかがった。

パッチ管理が不十分な海外拠点からの侵入が多発

株式会社マクニカ セキュリティ研究センター センター長 政本 憲蔵/セキュリティ研究センター センター長補佐 瀬治山 豊/セキュリティ研究センター 主席 勅使河原 猛
株式会社マクニカ セキュリティ研究センター センター長 政本 憲蔵氏
セキュリティ研究センター センター長補佐 瀬治山 豊氏/セキュリティ研究センター 主席 勅使河原 猛氏

 2021年以降のサイバーセキュリティの動向としては、マクロ的には極端な変化はないと政本氏は語る。

 「メールやWebではなく、DMZ上のサーバーSSL-VPNといったネットワーク機器、アセットから初期侵入している点も以前と変わっていません。日本の本社を狙うにしても手薄なところ、具体的に言えばグループ会社や関連会社、あるいは海外拠点から侵入するケースが多いことも継続しています」(政本氏)

APT10 が海外から入ってくる様子
APT10 が海外から入ってくる様子 [画像クリックで拡大]

 SSL-VPN装置は外部に業務委託しているケースが多く、業務委託先がパッチを当ててないために侵入されたケースもある。こうした海外拠点や、現地の会社との合弁会社のようなところは、セキュリティ専任担当がおらず、兼任で担当している。そのため、セキュリティ意識はあまり高くない。本来であれば、本社のCSIRTチームが直接管理するか、もしくはある程度声を届けるような仕組みが必要なのだが、これができている企業は少ない。

 「私たちもOSINT調査をしていると、たまにパッチが当たっていないSSL装置などがインターネット上で見つかります。調べてみると、どうやら日本企業の海外拠点のようだと分かるわけです。そこで、日本の本社のCSIRTチームに連絡します。そうすると、その日本のCSIRTチームがまず事業部に連絡をして、事業部から現地法人に連絡し、現地法人から業務委託先に連絡し、パッチが当たってるか確認する、というような伝言ゲームが始まります。そこで温度感が薄れてしまうわけです」(政本氏)

 委託先とユーザー企業でパッチ適用の契約に認識の違いがあることも、要因の一つであると言う。基本的に、パッチ適用は契約に含まれていないケースが多い。これは、パッチには必ず適用しないといけないものから、必ずしも適用しなくてもいいものまであり、その判断はユーザーに委ねられる。しかも、IPSがあればパッチを当てなくてもいい場合もある。そのため、業務委託先としては判断できない。

不用意に公開された外部サーバーが危ない

 ここ1、2年で発生した製造業など日本のグローバル企業での顕著な事案について聞くと、「とてもたくさんあります」と瀬治山氏は言う。瀬治山氏は日本企業のランサムウェア系インシデントを追いかけているが、日本は大企業から中小企業まで膨大に発生しているという。最近の集計では、2020年5月から2022年6月の間で198件ほど発生した。これは、Emotetなどの感染事案は含んでおらず、純粋にランサムウェアや、標的型攻撃で社内に入られてしまったインシデントのみの数字であるという。

提供:マクニカ
提供:マクニカ [画像クリックで拡大]

 なお、世界での状況は、暴露型ランサムウェアによりリークサイトに企業名が載ったケースの集計でグローバルでは5,819社となっている。実態はこの数倍から十数倍あるのではないかと瀬治山氏は言う。また、最近の傾向で気になることもあるとした。グローバルでの被害件数と、日本での被害件数を比較したときに、これまでは両方とも増えるか、グローバルが増えても日本は減るという状況が続いていた。

提供:マクニカ
提供:マクニカ [画像クリックで拡大]

 しかし、今年は違う動きが発生している。例えば、グローバルでは前月と比較して減っているのに対し、日本は3月から4月、5月から6月に大幅に増えている。この状況は今まででは見られなかったことであるとした。また、日本は海外拠点に侵入されるケースが多く、前述の198件の1/4ほどが海外拠点を経由したインシデントとなっている。

 ランサムウェアの被害経路としては、RDPが約50%、脆弱性が約20%と外部公開資産が多くなっている。これはグローバルのデータであるが、警察庁から発表された2021年のランサムウェア被害の感染経路データでは、VPNが約54%、RDPが約20%となっていて、もはや70%から80%はこうした外部公開資産経由で侵入されている。

提供:マクニカ
提供:マクニカ [画像クリックで拡大]

 現在、非常に狙われているRDPの侵入可能な入口がどれぐらいあるのか調査してみたところ、世界的には約530万台、日本では14万台あったという。攻撃者側から見ると侵入口の供給過多になっていて、入りたい放題と言ってもいい状況と推定できるとした。これもコロナ禍の影響と考えられるが、2020年1月と最近の4月を比較すると、グローバルでは4%程度の増加であるのに対し、日本は53%増と、特に増えている。

次のページ
サポート切れOSの使用率高い日本

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16474 2022/08/30 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング