はじめに
Emotet の流行、ランサムウェアによる工場停止などセキュリティ関連のニュースは後を絶ちません。皆さんの会社は サイバー攻撃への対策 は大丈夫ですか? 「完璧です」とは言えなくても、常に最悪の事態を想定して備えておく必要はありますよね。
今年(2022年)4月、 NISC (内閣官房内閣サイバーセキュリティセンター)が、
「サイバー攻撃を受けた組織における対応事例集」 というレポートを出しました。
事例集では10 のケース (うち1つは、何故か学術研究機関のセキュリティ体制の話だったので実際には 9) のサイバー攻撃被害の概要と、対策や気づきなどをまとめています。
「パッチ適用をしていなかった」「簡単なパスワードを使っていた」のような基本的な対策不足が原因であるケースから、「取引先のアカウントが乗っ取られてメールで未知のマルウェアを配布された」といった高度な対策が必要になるケースまで色々紹介されていました。
サイバー攻撃のきっかけ3選
サイバー攻撃というと範囲が広いですし、原因や対策についてまとめると膨大な量になってしまうので、本記事では サイバー攻撃の “きっかけ” という観点からまとめていきます。
事例集にあるサイバー攻撃の目的については「機密情報の窃取」「ランサムウェアによる身代金要求」「クリプトマイニング」など様々です。
では、どのようなきっかけで攻撃が開始された(足がかりとなった)のでしょうか?
多く見られるケースとして、以下の 3 つを挙げることができるでしょう。
①インターネットからアクセスできるサーバー (IaaS) への不正アクセス
②クラウド サービス (SaaS) への不正アクセス
③マルウェアが添付されたメールの開封
それでは、この3つをさらに詳しく説明していきます。
①インターネットからアクセスできるサーバー (IaaS) への不正アクセス
1つ目は、Web サイトやクラウド サービスをホスティングしているサーバー (Windows や Linux) の 管理者アカウントが乗っ取られるパターン です。
Azure や AWS 等のパブリック クラウド上に仮想マシンを作成すると、その直後から大量の不正アクセス試行が観測されることを知っている方もいると思います。
これらの不正アクセス試行は自動化されており、仮想ネットワークを適切に構成していない環境で、かつローカル管理者名とパスワードが簡単なものである場合は、すぐに不正アクセスが成功してしまいます。
対策としては、以下のようなことが有効です。
● Administrator や root 等の分かりやすい管理者名を使用しない
● 推測困難なパスワードを使用する
● (ネットワーク観点では)アクセス元 IP アドレスを制限する
ただ、実際のケースでは検証や開発環境などでは簡単なパスワードを使用してしまうケースが多いように感じています。
「自分は大丈夫だろう」「こんなシステム誰も狙われないだろう」というバイアスがかかってしまうのだと思いますが、攻撃は自動化されているので、どんなシステムであろうと攻撃対象であることを肝に銘じて対策を行いましょう。
ちなみに、開発機に本番環境のパスワードを平文で保存していて攻撃に利用された、というケースも見たことがあります。 検証機、開発機といえども油断しないようお気を付けください。
②クラウド サービス (SaaS) への不正アクセス
2つ目は、Microsoft や Google などの SaaS (もしくは IDaaS) に対して不正サインインが成功 し、アカウントが乗っ取られてしまうパターンです。
こちらについては、管理者ではなく 利用者のアカウントが狙われる のですが、管理者以外がサインイン ログを見る機会はなかなかないと思いますので、利用者自身で被害を感じることは少ないと思います。
しかし、これまで様々なお客様の環境を分析してきた経験からも ほぼ全ての企業が攻撃されている と考えて間違いありません。
これらの攻撃も自動化されており、流出したメールアドレスに対してよく使用されるパスワードでサインインを試みる 「パスワード スプレー」 と呼ばれる攻撃が一般的です。 もしあなたが ”P@ssw0rd” のような推測が容易なパスワードを使用している場合は、アカウントが乗っ取られている可能性がとても高いです。
ちなみに メールアドレスは比較的簡単に漏えい してしまいます。 例えば、「業務で使用しているクラウド サービスがハッキング被害にあった」「フィッシング サイトで入力してしまった」「パソコンから連絡先が抜かれた」など様々な経路があり、一度漏えいしたメールアドレス (とパスワード)は永遠にブラックマーケットの海を漂い続け、攻撃に使用されるリストに掲載され続けます。
Facebook や LinkedIn などの大手クラウド サービスも過去にハッキング被害にあっており、公表されていないインシデントも含めると本当にたくさんあると思います。 下記のサイトで自分のメールアドレスがブラックマーケットに漏洩していないかを確認できますので、是非試してみてください。
ただし、ここで漏えいが検知できなくても実際に攻撃されていた (つまり漏えいしていた) というケースも確認していますので、参考程度としてご理解ください。
対策としては(メールアドレスが漏洩するのは諦めたとして...)、 以下が有効です。
● 推測が困難なパスワードを使用する
● パスワードを使いまわさない
● 多要素認証を使用する
しかしながら、フィッシング サイトなど攻撃者の Web サイト上でパスワードを入力してしまった場合はどれだけ推測困難なパスワードを使用していても漏えいしますので、セキュリティ担当者は「不正サインインがないか監視」し、不正サインインが見つかったらパスワード リセットなどの 必要な対応を素早く実施 する必要があります。
③マルウェアが添付されたメールの開封
3つ目は、 マルウェアが添付されたメールの開封 です。
メールは常にサイバー攻撃の代表的なエントリ ポイントであり続けていますが、
数年前から Emotet (エモテット) と呼ばれるマルウェアが流行 していることをご存じでしょうか。
JPCERT/CC でも下記のように注意喚起を行っています。
マルウェアEmotetの感染再拡大に関する注意喚起
Emotet は他の多くの不正メールのようにマクロ付きの Office ファイルを開封させることでデバイスを侵害しようとするのですが、これほど爆発的に広がった背景には 「めっちゃ業務メールっぽい」 という特徴があります。
Emotet に感染すると、デバイス上に保存されているメールやアドレス帳の情報が窃取され、そのメールで実際にやり取りをしていた 取引先などにさらに不正メールを送付する という特徴があります。実際に業務で使用していたメールなので本物っぽく見えてしまうんですね。 自分の会社のみならず、取引先に迷惑をかけてしまうというのがやっかいです。
対策としては、
●メール セキュリティを実装する(システム担当者)
●メール訓練を実施する(システム担当者)
●少しでも不審な点がないか注意する(利用者)
などがありますが、こちらも完ぺきに対策することはかなり困難です。
Emotet に限らず攻撃者はセキュリティ対策をバイパスしたり、人間の心理をうまく利用したりして、なんとか攻撃を成功させようとして常に進化し続けています。
さいごに
NISC が出したサイバー攻撃被害の事例集を 「サイバー攻撃のきっかけ 3 選」 という観点で少し深堀りしてみました。もう一度、サイバー攻撃の主なきっかけ3つをおさらいしてみましょう。
①インターネットからアクセスできるサーバー (IaaS) への不正アクセス
②クラウド サービス (SaaS) への不正アクセス
③マルウェアが添付されたメールの開封
「セキュリティ」というとものすごく高度な対策が必要なのではないかと思われがちですが、「推測困難なパスワードを使用する」のような 基本的な対策こそが非常に有効 だったりします。 会社のアカウントだけでなく、個人のアカウントでも簡単なパスワードを使っていないか改めてご確認ください。
今回は触れませんでしたが、事例集の中には「パッチを適用していなかった」という反省も記載されており、こちらも基本的な対策でありながら効果が高い例になります。
なお、弊社ネクストリードでは、 Microsoft 365 を中心にセキュリティの導入や監視の支援をしています。 皆さんの環境が攻撃されていないか、セキュリティ上の改善点がないかなどについて簡単なアセスメントを実施することが可能ですので、もし少しでもご心配な点があればお気軽にご連絡ください。
今回の投稿が少しでも皆さんのお役に立つヒントになれば幸いです。