有識者と討論 サイバー攻撃の最新手口と対策 有識者と討論 サイバー攻撃の最新手口と対策

サイバー攻撃が社会の大きな課題となっている。テレワークに対応するために企業が構築した新しいネットワーク環境の脆弱性を突いたり、巧みな言葉で人をだましたり、攻撃者は様々な方法で攻撃を成功させようとしてくる。アンダーグラウンドでは、攻撃をサポートするためのツールや個人情報も売買され、攻撃の組織化、巧妙化に拍車をかけている。では、企業や私たち生活者は、サイバー攻撃にどのように立ち向かうべきか。ここでは、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」を有識者と共に分析しながら、今後の動向と対策を考えていく。
(聞き手 日経BP総合研究所 フェロー 桔梗原 富夫)

社会インフラやテレワークを狙う攻撃 ゼロトラストはまず組織の課題に向き合うべき

Vol.2 フィッシングの脅威トレンド ECサービスやアプリを狙った新しい攻撃手法とは?Vol.3 reCAPTCHAの課題 不正ログインを防ぐために必要な方針とは?Vol.4 ワンタイムパスワード、SMS認証の課題 セキュリティと利便性を両立するには

社会インフラを大混乱させたランサムウエア、新たに登場したテレワークの「隙」を狙う攻撃、そして、より悪質化しているフィッシング攻撃などが、2021年の「情報セキュリティ10大脅威」にランクインした。有識者たちは、この状況をどう見ているのか。

警戒感が高まる社会インフラを標的とする攻撃

東海大学 情報通信学部 客員教授 博士(工学) 元内閣官房内閣サイバーセキュリティセンター(NISC) 内閣審議官 三角 育生氏
東海大学
情報通信学部 客員教授 博士(工学)
元内閣官房内閣サイバーセキュリティセンター(NISC)
内閣審議官
三角 育生

桔梗原IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」はサイバー攻撃の動向を知り、その対策を検討する上で有用な情報となります。2021年版のランキングを見て、どのような印象を持ちましたか。

三角組織編の1位がランサムウエアであることは納得です。ランサムウエア自体は以前から存在していましたが、最近の攻撃は、影響がさらに大きくなっている印象があります。米国東海岸の燃料輸送を担うコロニアル・パイプラインの情報システムがランサムウエア攻撃を受けて安全措置として制御システムもシャットダウンし運営停止に追い込まれ、社会的に大きな影響が生じたことを覚えている人は多いでしょう。米国土安全保障省のCISA(Cybersecurity and Infrastructure Security Agency:サイバーセキュリティ・インフラセキュリティ庁)が注意喚起を行っており、日本でも警戒感が高まっています。

梶浦コロニアル・パイプラインのインシデントは、社会インフラが標的となっただけに大きなインパクトがありましたね。ほかにも2019年には、米国フロリダ州のある都市がランサムウエアの被害に遭い、3週間にわたって市のコンピューターシステムが人質に取られたというインシデントもありました。このときは、市議会が補正予算を計上し、数十万ドルの身代金を支払っています。

ランサムウエアに限らず、社会インフラを標的にするサイバー攻撃は珍しくありません。フロリダ州の水道システムに攻撃者が侵入し、水酸化ナトリウム濃度を通常の100ppmから100倍以上の1万1100ppmに引き上げてしまうという事件も発生しています。このときはオペレーターがすぐに気づいて、通常値に戻したことで実害は免れたようですが、インフラを標的して、人の生活や命を人質に金銭を得ようと考える犯罪者がいることは明らかです。今後、IoTの適用範囲が拡大すれば、さらに増える可能性も高い。対策の強化は急務です。

新しい環境の構築はリスクを伴うもの

一般社団法人 日本経済団体連合会 サイバーセキュリティ委員会 サイバーセキュリティ強化ワーキンググループ主査 一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC) 代表理事 梶浦 敏範氏
一般社団法人 日本経済団体連合会
サイバーセキュリティ委員会
サイバーセキュリティ強化ワーキンググループ主査
一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)
代表理事
梶浦 敏範

桔梗原組織編では、昨年にはなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしています。

岡本新型コロナウイルスの感染が拡大し始めた初期、当社にはリモートアクセスVPNに関するお問い合わせが爆発的に増えました。より多くのユーザーが利用できるように拡張したいという既存のお客様だけでなく、新しくVPNを構築したいという新規のお客様も多く、そのほとんどが「できるだけ短期間に、まずはつながる環境を」という要望をお持ちでした。おそらく、当時、多くの企業がなにより事業継続を優先したのだと考えられます。

私たちのお客様が被害に遭ったという報告はありませんが、社会的には、急ぐ余りセキュリティ対策が十分には行なえなかった企業も少なくなかったのかもしれません。それがランキングに反映されたのだと考えられます。

その後、テレワーク環境はVPNだけではすべてのユーザーのインターネットアクセスをカバーしきれず、各拠点から直接インターネットやクラウドサービスにアクセスできるようにする「インターネットブレイクアウト」を行うなど、様々な課題に直面しながら最適化が進んでいます。ただ、どんな仕組みであれ、従来とは違う環境には新しいリスクがあります。利便性の向上を目指すだけでなく、セキュリティ強化の視点も持ち、継続的に改善を図ることが重要です。

F5ネットワークスジャパン合同会社 SE本部 部長 岡本 裕治氏
F5ネットワークスジャパン合同会社
SE本部
部長
岡本 裕治

伊藤その際にカギになるのが、どのユーザーが、どんなデバイスから、どういうネットワーク経由で、いつアクセスしたかの管理。つまりゼロトラストに近いコンテキストベースの認証やアクセス制御だと考えています。

梶浦自宅などの様々な場所から、多種多様なデバイスを通じて社内やクラウドに分散しているリソースにアクセスする。現在のワークスタイルは、攻撃ポイントが無数にありますからね。確かにテレワークが進み、改めて「ゼロトラストセキュリティ」の有効性を認識しました。

三角しかし、ゼロトラストの実現については、技術ではなく組織的な課題も多いと感じます。ID管理や認証・認可の仕組みを入れるのは技術的に可能ですが、日本の企業は明確なジョブディスクリプションがなく、誰が、どういう責任を持ち、どんな仕事をどの組織体制でやっているかが非常に曖昧なことが多いのです。この状態で、どうやって適切な権限管理を行うのか。ゼロトラストの実装を目指すには、早い段階でそのような組織的問題に向き合う必要があると思います。

図 「情報セキュリティ10大脅威 2021」

図 「情報セキュリティ10大脅威 2021」

出典:IPA(情報処理推進機構)

[画像のクリックで拡大表示]

個人を狙う脅威もますます巧妙化

F5ネットワークスジャパン合同会社 SE本部 CTO室 ソリューションアーキテクト 伊藤 悠紀夫氏
F5ネットワークスジャパン合同会社
SE本部 CTO室
ソリューションアーキテクト
伊藤 悠紀夫

桔梗原個人編は、昨年と変わらず「スマホ決済の不正利用」「フィッシングによる個人情報等の詐取」が1位と2位になりました。フィッシングの脅威拡大については、F5ネットワークスは独自に調査を実施し、注意喚起を行っているそうですね。

加田もともとフィッシング攻撃の多くは、攻撃者が用意した偽サイトに誘導して、そこでIDやパスワードなどの情報を窃取するというものでした。しかし、最近はリスクベース認証や多要素認証を回避するために偽サイトに誘導したら、そこでマルウエアを送り込み、より多くの個人情報を窃取する攻撃も多く報告されています。中でも注目したいものはデバイスの情報を窃取する攻撃です。前述した方法でユーザーのデバイスに侵入したマルウエアがMicrosoft 365や各種SNSサービスにアクセスしている際のデバイスのフィンガープリントと関連するCookieおよびクレデンシャルやセッション情報を盗聴・窃取。攻撃者は、その情報を使ってユーザーのデバイス環境になりすましてサービスにアクセスし、情報を盗み出すのです。これらのデバイスから収集した情報がダークウェブで売買されているケースも発見されています。既に信頼されているデバイスの情報を通じてログインに必要な情報が盗まれてしまっているわけですから、どんな認証も基本的に対抗できません。

伊藤ユーザーが利用しているサービスに不正ログインする方法としては「不正な同意許可攻撃」と呼ばれる、スマートフォンアプリを悪用した攻撃もあります。スマートフォンを利用している時、アプリから「許可」を求められて、あまり深く考えず許可をしてしまっている人は注意が必要です。そのアプリが攻撃者の用意したアプリだった場合、攻撃者にサービスやデータへのアクセス権を与えることになってしまいます。

このような状況を踏まえると、ECなどの個人が利用するサービス、Microsoft 365のようにビジネスで利用されているサービスを問わず、あらゆるWebサービスの認証強化は社会の大きな課題だといえます。

F5ネットワークスジャパン合同会社 シニアソリューションエンジニア 加田 友広氏
F5ネットワークスジャパン合同会社
シニアソリューションエンジニア
加田 友広

―これからのサイバー攻撃に関して、特に注視している動向などはありますか。

梶浦私は国際情勢の緊迫化が気になっています。いまやサイバー空間は軍事の舞台でもありますから、大国の国際的な対立や紛争がサイバー空間に及び、治安が乱れれば、それに乗じた攻撃も増えるかもしれません。

また、冒頭で触れたように社会インフラを標的とする攻撃は、非常にインパクトが大きい。どのように備え、対処すべきか官民挙げて検討すべきだと考えています。

三角国家間の対立など、サイバー攻撃には様々な側面があります。ですから、攻撃のトレンドだけを追うのではなく、様々な状況を総合的に判断し、どんなインシデントのリスクがあるのかを見極める目がさらに必要になるのではないでしょうか。

岡本国内では、いわゆる「改正個人情報保護法」の施行が2022年4月に予定されています。この改正法では個人情報漏えい時の報告義務が事業者に課されることになります。また、現在の企業のIT環境はクラウド化が進み、マルチクラウド化も進んでいます。さらにエッジコンピューティングの活用なども進んでおり、データの所在の分散が進んでいます。そのような中、それぞれの場所でいかに一貫したポリシーに基づいて適切にデータを保護していくかがこれからの重要なテーマとなるでしょう。私たちは、セキュリティベンダーでもありますから、利用者や事業者・提供者にとって堅牢かつ快適さを実現するアプローチについての議論を活発化させたいと考えています。

―ありがとうございました。F5ネットワークスのみなさんには、次回以降、最新の脅威が具体的にどんな手段で攻撃を仕掛けてくるのか、そして、個人や企業はどのように対策すべきかについて、さらに詳しくお話をお聞きします。

お問い合わせ

F5ネットワークスジャパン合同会社
URL:https://www.f5.com/ja_jp/ContactFormJP