パッチ管理が不十分な海外拠点からの侵入が多発
セキュリティ研究センター センター長補佐 瀬治山 豊氏/セキュリティ研究センター 主席 勅使河原 猛氏
2021年以降のサイバーセキュリティの動向としては、マクロ的には極端な変化はないと政本氏は語る。
「メールやWebではなく、DMZ上のサーバーやSSL-VPNといったネットワーク機器、アセットから初期侵入している点も以前と変わっていません。日本の本社を狙うにしても手薄なところ、具体的に言えばグループ会社や関連会社、あるいは海外拠点から侵入するケースが多いことも継続しています」(政本氏)
SSL-VPN装置は外部に業務委託しているケースが多く、業務委託先がパッチを当ててないために侵入されたケースもある。こうした海外拠点や、現地の会社との合弁会社のようなところは、セキュリティ専任担当がおらず、兼任で担当している。そのため、セキュリティ意識はあまり高くない。本来であれば、本社のCSIRTチームが直接管理するか、もしくはある程度声を届けるような仕組みが必要なのだが、これができている企業は少ない。
「私たちもOSINT調査をしていると、たまにパッチが当たっていないSSL装置などがインターネット上で見つかります。調べてみると、どうやら日本企業の海外拠点のようだと分かるわけです。そこで、日本の本社のCSIRTチームに連絡します。そうすると、その日本のCSIRTチームがまず事業部に連絡をして、事業部から現地法人に連絡し、現地法人から業務委託先に連絡し、パッチが当たってるか確認する、というような伝言ゲームが始まります。そこで温度感が薄れてしまうわけです」(政本氏)
委託先とユーザー企業でパッチ適用の契約に認識の違いがあることも、要因の一つであると言う。基本的に、パッチ適用は契約に含まれていないケースが多い。これは、パッチには必ず適用しないといけないものから、必ずしも適用しなくてもいいものまであり、その判断はユーザーに委ねられる。しかも、IPSがあればパッチを当てなくてもいい場合もある。そのため、業務委託先としては判断できない。
不用意に公開された外部サーバーが危ない
ここ1、2年で発生した製造業など日本のグローバル企業での顕著な事案について聞くと、「とてもたくさんあります」と瀬治山氏は言う。瀬治山氏は日本企業のランサムウェア系インシデントを追いかけているが、日本は大企業から中小企業まで膨大に発生しているという。最近の集計では、2020年5月から2022年6月の間で198件ほど発生した。これは、Emotetなどの感染事案は含んでおらず、純粋にランサムウェアや、標的型攻撃で社内に入られてしまったインシデントのみの数字であるという。
なお、世界での状況は、暴露型ランサムウェアによりリークサイトに企業名が載ったケースの集計でグローバルでは5,819社となっている。実態はこの数倍から十数倍あるのではないかと瀬治山氏は言う。また、最近の傾向で気になることもあるとした。グローバルでの被害件数と、日本での被害件数を比較したときに、これまでは両方とも増えるか、グローバルが増えても日本は減るという状況が続いていた。
しかし、今年は違う動きが発生している。例えば、グローバルでは前月と比較して減っているのに対し、日本は3月から4月、5月から6月に大幅に増えている。この状況は今まででは見られなかったことであるとした。また、日本は海外拠点に侵入されるケースが多く、前述の198件の1/4ほどが海外拠点を経由したインシデントとなっている。
ランサムウェアの被害経路としては、RDPが約50%、脆弱性が約20%と外部公開資産が多くなっている。これはグローバルのデータであるが、警察庁から発表された2021年のランサムウェア被害の感染経路データでは、VPNが約54%、RDPが約20%となっていて、もはや70%から80%はこうした外部公開資産経由で侵入されている。
現在、非常に狙われているRDPの侵入可能な入口がどれぐらいあるのか調査してみたところ、世界的には約530万台、日本では14万台あったという。攻撃者側から見ると侵入口の供給過多になっていて、入りたい放題と言ってもいい状況と推定できるとした。これもコロナ禍の影響と考えられるが、2020年1月と最近の4月を比較すると、グローバルでは4%程度の増加であるのに対し、日本は53%増と、特に増えている。
