企業が標的型サイバー攻撃に対処する必要に迫られるのは時間の問題であるというのは誇張ではありません。トレンドマイクロでは、2014年、多くの企業が見えない敵と戦うのを確認してきました。最近の攻撃事例で非常に大規模なものは Sony Pictures への不正侵入でしょう。この攻撃により、大量の情報漏えいなど多くの問題が企業で発生しました。脅威からユーザを保護するセキュリティ企業として、弊社は、見えない敵を “見えるようにする” 努力を続けてきました。2014年のサイバー攻撃から学んだ一番重要なこととは何でしょうか。そして、2015年はそれをどう生かすことができるでしょうか。
■クラウド上の情報を保護する
2014年、クラウドコンピューティングのセキュリティに対する責任は、非常に明確になりました。容量を大幅に拡張するクラウドコンピューティングは、中小企業から大企業まで次々に導入が進められています。クラウドサービスを提供する企業では、同サービスの他に、物理的なハードウェアや設備といった基礎構造を運用しており、そうした「共同責任」という形式の元でユーザはある程度のセキュリティ保護を期待できます。しかしその一方、クラウド上の情報へのアクセスが、企業側で侵害を受ける可能性も忘れてはいけません。
昨年3月、何千件もの個人アカウントの秘密鍵が、Web 共有サービス「GitHub」上でアクセス可能になっていることが確認され、「開発者の悪しき習慣」が広く行われていることが明らかになりました。これは、顧客のユーザ名とパスワードを公式フォーラム上に流出させるのと同じ行為です。顧客の秘密鍵が公開されたということは、サイバー犯罪者が数千社の書類やアプリケーション、ソフトウェアにアクセスする可能性があり、ある意味ではより深刻であるとも言えます。また基本的に、侵入者は開発者としてログインするため、環境設定の全ファイルを削除したり、それらのファイルを人質に取ることも可能となります。
また、もっとさらに深刻な事例は、昨年のクラウド型コードホスティングサービス「Code Spaces」の閉鎖でしょう。攻撃者はコントロールパネルのアカウントにアクセスし、手当たり次第に顧客情報を削除し始めました。ソフトウェアサービスに極端に依存している企業にとって、徹底的なセキュリティ対策は当然の選択です。クラウドサービスでは、二要素や多要素認証の選択、人に見られたくない情報を完全に隠すプライベートモード、また認証基盤や役割基盤管理が提供されており、攻撃者によるこうした侵入を大幅に軽減し、より困難にします。
IT管理者は、管理するクラウド環境に対して、さまざまなクラウド向けセキュリティ対策を検討し、導入する必要があります。
Codes Spaces への攻撃事例は、クラウド上で事業を展開する企業に影響を与えると同時に重要な教訓ともなりました。不測の事態に備え、クラウド上の情報は定期的にバックアップを取って下さい。「3-2-1のルール(英語情報)」の実践は、バックアップの最善策です。情報が永久に削除されるという危機にさられて初めてその価値を見出すのでは手遅れです。
■重要なシステムを保護する
外部と接続している電子機器はどんなものでも遠隔から不正侵入される恐れがあります。2014年は、多くの小売業が POS(販売時点情報管理)システムへの攻撃の被害に遭いました。また、卸売業の情報漏えい事例も報告されています。支店で数多くの POS端末を使用する小売業やサービス業が不正侵入の被害を受け、流出したクレジットカード情報は最終的にアンダーグラウンドのフォーラム上でサイバー犯罪者たちに売買されます。
こうした攻撃を考えた時、独立型システムに不正プログラムがどのように侵入できるのか疑問に思うかもしれません。特に、POSシステムは Eメールの送受信を行わないことが多いため、侵入経路としてスピアフィッシングメールは利用できません。また、ほとんどの POSシステムは企業のネットワークにログインが必要な機能や活動を持たないため、企業のドメインにアクセスしません。
POS のようなシステムが必要とするのは、ローカルの管理者アカウントへの接続のみです。購入者や取引先のアカウント、また関連金融機関やクレジットカード会社と取引をする上での承認、処理、終了といった POSシステムの一連の活動には、ローカルの管理者アカウントへの接続で十分です。そのため、サイバー犯罪者の攻撃の機会は、保守作業で使用される遠隔管理機能「リモート・アクセス・ポイント」のみとなります。ほとんどの POSシステムは、RDP や VNC、TeamViewer といった遠隔管理サービスが実装されており、オペレーティングシステム(OS)のプログラム更新といったシステム管理全般を実行します。「BrutPOS」や「Backoff」といった既存の POSマルウェアはすべて、最終的に POSシステムに侵入するために「総当たり攻撃」を利用しました。
IT管理者は、POSシステムにアクセスできる IPアドレスを限定し、総当たり攻撃に有効なアカウントロック機能を厳格に実施して、攻撃者が POSシステム内の情報を窃取するのを防ぐ必要があります。
さらに、こうしたアクセス制限は POSシステムに限らず、企業や顧客の重要な情報を抱えるすべてのシステムにも適用すべきです。弊社の CTO である Raimund Genes の 2014年の主となる提言は「核となる情報を見極め、その情報に対して適切な防御を施すこと」でした。POSシステムは、核となる情報を処理し保存するシステムの適例ですが、これを小売業界に限定すべきではありません。他の業界にも、核となる情報を見極める必要のある情報を持つシステムがあり、同レベルの保護を適用すべきです。
■インターネット上の脆弱性を利用した攻撃からネットワークを保護する
2014年、幅広く利用されている複数のプロトコルやサービスで脆弱性が確認されました。こうした脆弱性にはそれぞれ名前があります。例えば、SSL の「Heartbleed」、Bash の「Shellshock」、SSL 3.0 の「POODLE」、TLS の「POODLE2.0」などです。そして、このような脆弱性を抱えたプロトコルやサービスを使用する企業は数多くのインターネットユーザを抱えていたため、多くの問題が発生しました。
IT管理者は、自社のネットワークに影響を与える重大な脆弱性を認識し、分析および対処するためのプロセスを準備し設定する必要があります。
2014年に弊社が経験したすべては、今年も継続することになるでしょう。幅広い範囲で使用されている OS やプロトコルに存在する、まだ発見されていない脆弱性が明らかになり、攻撃に利用されるでしょう。これを踏まえ、IT管理者およびすべてのセキュリティ企業は、こうした脆弱性による影響が最小限になるように十分に備えなくてはなりません。
IT管理者は以下の 3点を抑えると良いでしょう。
- ネットワーク内の影響を受ける場所を特定し保護するための緊急対応
- 脆弱性、脆弱性を利用した攻撃の方法、企業がさられている脅威を理解するためのスレットインテリジェンス
- 更新プログラムを適用した際、すべてのネットワークが保護されていること確認するための更新プログラム管理
全体的に見ると、2014年はセキュリティ業界は多くの課題に挑戦し、またそうした課題から多くを学ぶことができた年でした。しかし、こうした経験から得ることのできた真の価値は、今後の脅威に対して最善の対処を行うために、この学びを生かせるということでしょう。
参考記事:
by Ziv Chang(Director, Cyber Safety Solution)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)