動向が気になるニュースが流れてきました。京都大学で2024年11月に開催される学園祭のポータルサイトが不正アクセスを受け、データが削除されたことが発表されました。なお、削除されたデータはバックアップを取得していたとのことです。
筆者はこのインシデント聞いたとき、サイバー攻撃が本当に"見境がなくなっている"と感じました。かつては中小企業のセキュリティ対策が進まない理由として、社長が「ウチに重要な情報などないので、ハッカーが狙うことはない」と考えている時代もありました。
しかし昨今は、例え学園祭のポータルサイトという、一部の人だけが知っているようなシステムすらもサイバー攻撃の標的になってしまうのです。脆弱(ぜいじゃく)なシステムを運用していても、サイバー攻撃者に見つからなければ攻撃を受けないという甘えはもう通用せず、インターネットにつながった瞬間から、全てのシステムが標的になっていると考えた方がいいかもしれません。
●まずはパッチ適用なんだけど……それだけでは脅威が防げないワケ
恐らく、ここまでの結論であれば「ITmedia エンタープライズ」の読者の方は理解しているでしょう。ではこれに対して私たちはどうすればいいのでしょうか。筆者は脆弱性管理を徹底し、サイバー攻撃者に攻撃するのを「面倒だ」と思わせるのが重要だと思います。
サイバー攻撃の標的にならないためには、脆弱性情報にアンテナを張り、攻撃よりも早く最新のアップデートを適用することが大事です。脆弱性情報を効率良く収集するには、JPCERTコーディネーションセンター(JPCERT/CC)が公開している情報や、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開する「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)が参考になるはずです。
余談ですが直近、JPCERT/CCはFortinetのセキュリティ管理プラットフォーム「FortiManager」の脆弱性について注意喚起をしています。こちらもぜひ対応してください。
とここまで書いておいて何なのですが、話はそう簡単にはいきません。警察庁が公開している令和6年上半期版の注意喚起「サイバー空間をめぐる脅威の情勢等」によると、ランサムウェア攻撃の感染経路として最も高いの「VPN機器」、次いで「リモートデスクトップ」となっています。ここまでは皆さんの肌感覚とも一致しているはずですから、この点に関する脆弱性に注意すればいいでしょう。
しかし、同資料の「侵入経路とされる機器のセキュリティパッチの適用状況」を見ると、その半数が「最新のセキュリティパッチを適用済み」だと回答しています。となると、セキュリティパッチを適用するという対策だけでは、侵入を防げないことになってしまいます。
これはサイバー攻撃側の分業と、脆弱性だけの対策では足りないことを意味しています。同資料ではサイバー攻撃側の状況の説明として、以下のようにまとめています。
サイバー特別捜査部による事案捜査及び実態解明により、ランサムウェアの開発・運営を行う者(Operator)が、攻撃の実行者(Affiliate)にランサムウェアなどを提供し、その見返りとして身代金の一部を受け取る態様(RaaS:Ransomware as a Service)も確認された。さらに、標的企業のネットワークに侵入するための認証情報などを売買する者(IAB:Initial Access Broker)も存在するように、複数の関与者が役割を分担してサイバー攻撃を成り立たせている。
(警察庁の令和6年上半期版の「サイバー空間をめぐる脅威の情勢等」から引用)
ここで注目すべきは、イニシャル・アクセス・ブローカー(IAB)と呼ばれる組織です。これは認証情報を奪い、それを攻撃者に売却することでビジネスとするグループです。これはつまり、「正規のID/パスワード」や「認証済みのクッキー情報」が奪われていることになるので、組織の入り口であるVPN、そしてリモートデスクトップにそれを使ってログインしてしまえば、最新のセキュリティパッチを適用していたとしても、堂々と正面玄関から侵入ができてしまいます。この流れを考えると、統計数値にも納得がいくかもしれません。
これに加えて、私たちが認識しにくいのは、このIABが情報を盗んだタイミングと、攻撃が実行されるタイミングがズレることです。多くの統計情報やインシデントレポートで、近年では侵入してきたその経路は分かったとしても、肝心の原因や時期について調査しきれず「不明」とされているものが目立っています。
IABが無差別でスキャンし認証情報を奪った後、買い手が付くまで時間がかかったとも考えることができるでしょう。こういったタイムラグがあると、その間に脆弱性対応を実施していたとしても、脆弱性が残っていた時期に奪われた可能性まで考えることはなかなかできないのではないかと思います。つまり脆弱性対応を実施したとしても、「それ以前にゼロデイ/ワンデイ攻撃が実行されていたとしたら?」と想定しておく必要があるのです。
●情シスやセキュリティ担当者だけの頑張りでは脅威は防げない
そしてこの問題は、「シャドーIT」なのかもしれないとも思っています。恐らく、ここまでの対策も、情報システム部門やセキュリティ対応部門であれば何とかガバナンスを効かせ、対策が打てるものでしょう。
しかし、最近では事業部門単位でSaaSを契約したり、利便性を高めたりするために独自のVPNなどをこっそりと立ててしまったりすることも想定しなければなりません。それは「アタックサーフェス」を広げることとなり、情報システム部が考えるガバナンスを、そこにも効かせる必要があります。
これを正しく検出するには、対応ソリューションの導入など、それなりにお金と時間がかかるでしょう。しかし、それを待つほど攻撃者は甘くありません。そうなると、自分はセキュリティには関係ないと思っている従業員・利用者にも、ある程度この現状を把握しておいてもらう必要があると思っています。
「ウチに重要な情報などないので、ハッカーが狙うことはない」と思っていた社長は、同業他社が次々とやられていく姿を見ています。報道を見て、もはやセキュリティが経営課題であることを知りはじめています。次は、私たち「従業員」の番です。
しっかりとセキュリティの現状を把握する……というのは難しいと思いますので、まずは「インターネットにつなぐと、攻撃の対象になる」という認識の下、つなぐ前に適切な場所に相談し、今からやろうとすることが攻撃につながってしまわないかどうか、社内の識者に問い合わせることから始めてください。もはやどんなに小さく、知名度のないシステムも攻撃の対象になる上に、実際の攻撃は時間をずらしてやってくる可能性があり、調査には多くの時間とお金がかかります。
そうなる前に、知識と知恵で対策を打っておきましょう。それには、あなた自身の協力が必要です。ぜひ、知ることから始めましょう。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。