• サプライチェーン攻撃の脅威と対策

    近年、取引先やグループ組織等を介してサイバー攻撃を受ける「サプライチェーン攻撃」の脅威が高まっています。
    IPA*が発表している「情報セキュリティ10大脅威 2023」の組織編では、「サプライチェーンの弱点を悪用した攻撃」が2位にランクインしています。
    以下表の脅威について、別記事『セキュリティ10大脅威について』でも詳しく紹介しているためご参照ください。

    _____11.png

    *IPA(独立行政法人情報処理推進機構)出典 【情報セキュリティ10大脅威 2023

     

    本記事では、「サプライチェーン攻撃」の脅威とその対策を紹介しています。
    サプライチェーン攻撃について深く理解することで被害を防ぎ、自組織の信頼を確立させましょう。

     

    1. サプライチェーン攻撃とは

    標的に関連する媒体から間接的に侵入する攻撃

    サプライチェーン攻撃の特徴は、標的を直接攻撃することが難しい場合に、標的に関連のある別媒体から間接的に攻撃をおこなうことです。ゆえに標的とする組織がどれだけセキュリティ対策を強化していても、関連組織やソフトウェアのセキュリティが脆弱であると、攻撃者の侵入を許してしまうおそれがあります。

     

    サプライチェーン攻撃の種類

    • ソフトウェアやハードウェアの供給経路を介した攻撃

    ターゲットとしている組織が利用する製品やソフトウェアの提供元に侵入し、不正なプログラムを仕掛けて被害を拡大させるケースです。このケースでは、製品を開発している企業がウイルスに感染してしまうと、正規品を使用しているにもかかわらずマルウェアに感染する可能性があります。

     

    • 取引先やグループ組織を経由した攻撃

    ターゲットとしている組織ではなく、そのサプライチェーンとなる取引先や関連組織などに対して不正アクセスやマルウェア攻撃を仕掛けるケースです。このケースでは、マルウェアはそれらの関連組織から盗んだ情報をもとにターゲット組織に侵入します。万全のセキュリティ対策を施していても、関連組織のセキュリティに脆弱性がある場合、攻撃者の侵入を許してしまうのがこの攻撃が脅威である理由の1つです。

     

    2. サプライチェーンの弱点を悪用した攻撃への対策

    取引先や関連組織のセキュリティ取組状況の確認

    サプライチェーン攻撃を防ぐには、自組織だけではなく関係するあらゆる組織と連携した対策が必要です。取引先や関連組織のセキュリティ対策の甘さが原因・発端となって被害が広がるケースも少なくありません。セキュリティポリシーや対策内容の共有、リスク評価の実施、監視体制の整備など、関連組織が十分なセキュリティ対策を講じているかどうかを確認しておきましょう。

     

    自組織のセキュリティ対策強化

    自組織が被害者ではなく加害者にならないためにも、セキュリティ対策を強化することが大切です。常に最新セキュリティアップデートの適用や、ウイルス感染後に端末を切り離すことで拡大を食い止めることができる「EDR」や「不正侵入防止システム」の導入なども組み合わせてセキュリティ環境を構築していく必要があります。

    また、従業員のセキュリティ意識を高めることも大切です。セキュリティ意識が低い場合、「メールに添付されたファイルを開いてしまいランサムウェアに感染してしまった」といった事故が起こりかねません。ヒューマンエラーを完全に防ぐことは難しいですが、リスクを減らすためにも従業員ひとりひとりのセキュリティ意識を高めることが重要です。

     

    WorkRichでは、セキュリティパッチ適用状況やセキュリティ対策ソフト更新状況を管理し、毎月の運用レポートにて管理状況をお知らせすることで、脆弱性や脅威への対策を行っています。セキュリティ対策強化の一環としてお役立てください。

    もっと見る
  • ランサムウェアの脅威と対策

    サイバー攻撃は大企業が狙われると思われがちですが、昨今ではサイバー攻撃の標的は中小企業へとシフトしつつあり、規模の大小にかかわらずセキュリティ対策の必要性が高まっています。
    近年被害が拡大しているサイバー攻撃のひとつがランサムウェアです。IPA*が発表している「情報セキュリティ10大脅威 2023」の組織編では「ランサムウェアによる被害」が1位にランクインしています。

    以下表の脅威について、別記事『セキュリティ10大脅威について』でも詳しく紹介しているためご参照ください。

    _____11.png

    *IPA(独立行政法人情報処理推進機構)出典 【情報セキュリティ10大脅威 2023

     

    本記事では、「ランサムウェア」の脅威とその対策を紹介しています。
    ランサムウェアの侵入経路や被害の形は年々変化しており、手口の巧妙化にも対応するためにもランサムウェアに関する理解を深め、適切な対策をとることが大切です。

     

    1. ランサムウェアとは

    PCやスマホなどのデバイスを人質にとり、代わりに身代金を要求するマルウェア

    ランサムウェアとは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。ウイルスに感染したパソコン等の端末やサーバ上のデータを暗号化し、使用できない状態にすることで、それらを復旧することと引き換えに身代金を要求するマルウェアです。
    また、近年では感染した端末のデータを窃取した上で、窃取したデータの暴露を脅迫するケースが増加しています。

     

    ランサムウェアの主な感染経路

    • 「Webサイトからの感染」

    偽サイトの閲覧や、不正広告の閲覧、ダウンロードしたファイルの開封によって感染します。偽サイトは、普段見慣れているサイトと見分けがつかないほどそっくりに作られており、画面構成やボタンの配置なども類似しています。
    webサイトにアクセスする際に、アドレスにスペルミスや怪しい文字列が含まれていないか注意しましょう。
    ※怪しいと感じた場合には、ウイルスチェックサイトでウイルスサイトでないか確認することを推奨します。

     

    • 「メールに記載されたリンクや添付ファイルからの感染」

    メールに添付されたファイルやリンクにランサムウェアが仕込んであり、ウイルスを起動するように誘導され感染します。
    関係者になりすまし、受信者が添付ファイルやURLを開くよう仕向けるため、開く前に怪しい点がないことを自身で確認しましょう。メールを介したウイルス感染についての解説は以下の記事からご覧いただけます。

    別記事標的型攻撃メールの脅威とその対策

     

    • 「USBメモリなどからの感染」

    USBメモリーなどの外部記憶デバイスに保存したファイルにウイルスが仕込まれており、ファイルを起動することで感染します。気が付かないうちにランサムウェアがデータに紛れ込み、組織全体で感染が拡大する可能性があります。

    ランサムウェアによって暗号化されたファイルを元に戻すのは極めて困難な上、身代金を支払ってもファイルが元に戻る保証はありません。そのためランサムウェアへの対策を行い、感染を防ぐことが何よりも重要です。

     

    2. ランサムウェアへの対策

    不審なメールやURLは開かない

    ランサムウェアの感染経路で多く見られるのは、メールやWebサイトを経由して感染するケースです。
    サイバー攻撃の手法は近年高度化・巧妙化しており、ユーザーの心理的な弱点を狙う手法も頻繁に用いられています。
    そこで、組織がセキュリティ対策を行うだけでなく、従業員一人一人のセキュリティに対する意識を高めることが重要です。
    たとえば、「取引先からのメールであっても違和感がある場合は添付ファイルを開封しない」、「アクセスに誘導するURL付きメールを受信した場合、興味を引く内容であっても安易にURLをクリックしない」などの注意が必要になります。

     

    OSを最新の状態にする

    最も手軽におこなえる対策として、セキュリティパッチの更新が挙げられます。
    OSやソフトウェアを最新のバージョンにアップデートすることで、ランサムウェアの感染リスクを下げることができます。
    アップデートにはセキュリティの強化や既知の脆弱性の修正などが含まれており、ウイルス対策に有効です。
    古いバージョンのOSやアプリケーションを使用している場合、脆弱性が残りランサムウェアに感染するリスクが高くなるため、常にOSやソフトウェアを最新の状態に保つことを推奨します。

     

    機密データなどのバックアップ

    ランサムウェアに感染すると、組織内のネットワークに接続された端末内のデータが暗号化され、情報にアクセスできなくなることもあります。被害を最小限に留めるためにも定期的にデータのバックアップを取得することを推奨します。

    万が一にも攻撃者へデータが渡ってしまった場合も、データを暗号化していれば解読できず、悪用を防ぐことが可能です。
    普段からデータや通信経路の暗号化、定期的なセキュリティチェック、従業員のIT教育など、組織のセキュリティ対策を高めることで大切な情報資産や組織を守ることに繋がります。

     

     

     

    もっと見る
  • セキュリティ10大脅威について

    IPA*より2023年版の「情報セキュリティ10大脅威」が公開されました。
    「情報セキュリティ10大脅威」はその年に社会的影響が大きいと想定される10の脅威を選出したものです。

    本記事では企業などの組織への情報セキュリティ脅威と対策の概要をご紹介します。

     

    _____11.png

    *IPA(独立行政法人情報処理推進機構)出典【情報セキュリティ10大脅威

     

     

    情報セキュリティ 10 大脅威(組織)TOP10

    1位 ランサムウェアによる被害

    ランサムウェアとは、コンピューターウイルスの一種で、感染したコンピューター内のファイルやデータを暗号化して使用不能にし、復号化キーを持つ攻撃者に身代金支払わせることを目的としたマルウェアの一種です。

    メールの添付ファイルや不正なwebサイトから感染することが多く、感染した場合には身代金を支払ってもデータを完全に復元することが困難な場合もあります。また、近年では攻撃手法も進化しており、感染者から他のユーザーへさらなる被害を引き起こす「ワーム型」ランサムウェアも出現しております。

    ランサムウェアへの対策としては定期的なデータバックアップの取得やセキュリティソフトの導入・最新化、怪しいメールの添付ファイルやwebサイトへの注意喚起などが重要です。感染が発覚した際には、直ちに社内のセキュリティ管理者などへ相談し、安易に身代金を支払わないように注意しましょう。

     

    2位 サプライチェーンの弱点を悪用した攻撃 

    商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼びます。サプライチェーン攻撃とは、企業のサプライチェーンに存在する脆弱性のある関連会社やベンダーを介して、ターゲット企業に侵入する攻撃手法です。

    攻撃者はターゲットとなるセキュリティ対策の強固な企業・サービス・ソフトウェア等は直接攻撃せずに、セキュリティ対策が脆弱な組織やサービスを介して間接的に攻撃を行います。そのため、直接攻撃するよりも難易度が高く、発見が遅れることも多いため、標的型攻撃などに用いられることがあります。

    対策としては、サプライチェーン内の企業のセキュリティ対策評価やセキュリティポリシーに準拠したベンダー選定を行うことが重要です。また、システム面では適切なアクセス制御やセキュリティ対策ツールの導入・監視を行い、検知とその後の対応を迅速に行える状態にしておくことも大切です。

     

    3位 標的型攻撃による機密情報の窃取

    標的型攻撃とは、特定の組織(官公庁、民間団体、企業等)を狙う攻撃のことであり、機密情報等を窃取することや業務妨害を目的としています。

    攻撃者は、調査や情報収集を繰り返して、ターゲット組織の脆弱性を見つけ、メールなどの手段を用いて攻撃してきます。標的型攻撃は、狙われた組織向けに巧妙に作り込まれているため、完璧な防御対策を立てることは困難ですが、被害を最小限に抑えるためにも対策を行う必要があります。

    攻撃の侵入を防ぐ入口対策として、ウイルス感染を入口で防ぐために最新のウイルス対策ソフトやEDRソリューションの導入が有効です。また、同時に従業員のセキュリティ意識を高めるなどの教育・訓練を行うことも大切です。

    詳しい対策などに関しては下記記事をご覧ください。

    標的型攻撃メールの脅威とその対策

     

    4位 内部不正による情報漏えい

    企業や組織の内部にいる社員や関係者が、機密情報や個人情報を不正にまたは誤って、情報漏洩を起こすことを指します。

    例えば、組織に不満を持った社員が、機密情報を盗み出し、競合他社へ情報をリークするなどです。内部不正による情報漏えいは、企業や組織にとって大きな被害をもたらすことがあり、漏洩された情報が競合他社や犯罪者に渡り、ビジネス上の損失や法的な問題を引き起こす可能性があります。

    これを防ぐ対策の1つとしては、情報へのアクセス制限があります。情報へのアクセス権限を必要最小限に設定し、不要な情報へアクセスさせないと共に、アクセスログを管理することで不正アクセスの検知と対応を迅速に行うことが可能です。あわせて、これまでの脅威と同様に従業員へのセキュリティ教育なども有効です。

     

    5位 テレワーク等のニューノーマルな働き方を狙った攻撃

    近年では、新型コロナウイルス感染症の影響により、テレワークやリモートワークなど、オフィス以外での働き方が増えています。

    新たな働き方が進んだことに伴い、Web会議サービスや VPN 等の利用が急速に広まるとともに、そのシステムや通信が攻撃の対象とされることが増えてきました。例えば、テレワークで利用されるリモートデスクトップ接続ツールに対して、攻撃者が脆弱性を突いて不正アクセスを行ったり、VPN接続ツールに対して攻撃が行われることなどが挙げられます。

    組織としての対策は、テレワーク環境として十分なセキュリティ対策をおこなっているツールや通信を選定すると共に、運用時の適切な管理や定期的な脆弱性診断などを行うことです。他にも、パスワードのほかに、SMSや生体認証(指紋認証など)を利用した多要素認証を導入することも重要です。

     

    6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

    OS やソフトウェアに脆弱性が存在することが判明し、脆弱性の修正プログラム(パッチ)や回避策がベンダーから提供される前に、その脆弱性を悪用してサイバー攻撃が行われることをゼロデイ攻撃といいます。

    システムやアプリケーションのセキュリティが最新のものであっても、攻撃者はまだ発見されていない脆弱性を悪用するため、組織として対策を打つことができず、完全に攻撃を防ぐことが難しいと言われています。

    ゼロデイ攻撃に対抗するための対策としては、最新のセキュリティアップデートなどを速やかに適用すると共に、ゼロデイ攻撃が発生した場合の対処をあらかじめ策定し、攻撃に備えることが重要です。また、可能であればサンドボックスを活用することで、攻撃を未然に防ぐことができます。サンドボックスとは、不審なファイルを安全に実行して検証するためにPC内にある仮想環境のことで、万が一データを開いて確認しなければならない状況であっても、サンドボックス内で試すことで安全に確認することができます。

     

    7位 ビジネスメール詐欺による金銭被害

    悪意のある第三者が取引先等になりすまして偽のメールを送ることによって、組織や個人に対して金銭をだまし取る詐欺のことです。

    例えば、取引先からの支払いを要求する偽のメールを送り、支払先口座を第三者が指定する口座に変更することで、企業が第三者の口座に支払いをしてしまうケースがあります。ビジネスメール詐欺の被害は、組織や個人の金銭被害だけでなく、信用の失墜や機密情報の漏えいなど、深刻な影響を与えることがあります。

    対策としては、社員へセキュリティ教育を行い、偽のメールを見分けたり、取引先との情報共有や連携を強化するといった人的対策が重要です。また、不審なメールを検知するセキュリティソフトの導入や、メールに電子署名を付けるといった、システム的な対策も有効になります。

     

    8位 脆弱性対策情報の公開に伴う悪用増加

    脆弱性対策情報の公開は、情報セキュリティの向上に不可欠な取り組みですが、一方で悪用が増加する可能性があります。

    攻撃者は公開された情報を悪用し、当該製品への脆弱性対策を講じていないシステムを狙って攻撃を行います。近年では脆弱性関連情報の公開後に攻撃コードが流通し、攻撃が本格化するまでの時間もますます短くなっています。

    製品のセキュリティアップデートを迅速に適用し、常に最新の状態を維持すると共に、脆弱性関連の情報を収集するといった対策が必要です。脆弱性の情報が公開されてから対応されるまでの間を突かれるため、すぐに対応することができれば、被害を受ける可能性を最小限に抑えることができます。

     

    9位 不注意による情報漏えい等の被害

    メールの誤送信や記録端末・記録媒体の紛失等の不注意による個人情報等の漏えいです。

    不注意による情報漏えいは、外部からの意図的な攻撃ではなく、従業員への教育やセキュリティ意識向上などの対策が重要になってきます。

    紛失時の情報漏洩リスクを最小限にするため、セキュリティソフトなどを活用し、データの暗号化やリモートワイプなどの仕組みを構築・運用しておくことも大切です。

     

    10位 犯罪のビジネス化(アンダーグラウンドサービス)

    アンダーグラウンドサービスは、違法な商品やサービスを提供する非合法な市場のことを指し、犯罪に使用するためのサービスやツール、ID やパスワードの情報等が取引されています。

    攻撃に対する専門知識が無い者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がるおそれがあるといわれています。

    組織としては、これまで通りセキュリティ対策を徹底し、定期的なセキュリティ診断や監視を行うことが必要です。また、従業員への情報セキュリティ教育を実施し、一人一人がアンダーグラウンドサービスに関する危険性を認識できるようにすることもセキュリティ強化において有効です。

     

    「情報セキュリティ 10 大脅威 2023」で今年新しくランクインした脅威や、ランク外となった脅威もあります。

    しかし、ランク外になったとしてもその脅威が無くなったわけではありません。ランク外の脅威だから対策を行わなくて良いということではなく、あらゆる脅威に対して継続しての対策が必要となります。

    もっと見る
  • なぜフリーWi-Fiに繋いではいけないのか

    社外においてもインターネット接続が可能であれば、日々の業務を行えるようになったことで、いままで以上に通信環境が業務に与える影響が大きくなっています。そのような状況の中で、出張先や営業先など外で仕事を行う際の課題として通信環境をどう確保するか悩んでいる方もいるのではないでしょうか?

    外出時の通信環境として気軽に利用できるフリーWi-Fiがありますが、この記事ではフリーWi-Fiの危険性についてご紹介します。

     

    社内の機密情報の流出

    フリーWi-Fiは、通信が暗号化されていないことが多いため、悪意ある攻撃者がソフトウェアなどを利用して比較的簡単に通信内容を傍受することができます。通信内容を傍受されると、メールの内容や添付ファイル、webサイト等のID/パスワード、社内システムで管理している機密情報などが第三者に収集され、流出するリスクが高くなります。

    また、通信が暗号化されている場合でも安全とは言い切れません。
    フリーWi-Fiの場合、利便性向上などの目的で暗号化キーが公開されている場合があり、一定以上のスキルを持つ攻撃者であれば通信内容を傍受することが可能となってしまいます。大事な顧客とのやりとりの内容や社内で管理している個人情報などが漏洩することによる会社や個人への影響は計り知れません。

     

    なりすましアクセスポイントの可能性

    フリーWi-Fiはカフェや出張先のホテルなど公共施設で提供されていますが、容易に利用してはいけません。施設のフリーWi-Fiと同じもしくは似た名前で偽のWi-Fiが存在していることもあり、これは悪意を持った攻撃者が意図的に設置しているためです。
    なりすましアクセスポイント(偽のWi-Fi)に接続してしまうと、フィッシングサイト(偽サイト)へ誘導され、個人情報の入力を求められたり、マルウェアをダウンロードさせられたりします。
    気づかずに接続してしまうと大きな被害に合う可能性もあるため、接続時には十分に注意してください。

     

    端末を遠隔操作される

    なりすましアクセスポイントに接続し、端末にマルウェアをインストールされると、端末を乗っ取られることもあります。
    悪意を持つ攻撃者はあなたの端末を遠隔操作することが可能になり、様々な脅威に晒されることとなります。

     

     

    業務利用時の注意点

    フリーWi-Fiには上記でご紹介した危険性が含まれているため、各組織ではフリーWi-Fiの利用に関してシステム制御を行ったり、利用ルールを設けるなど対策を行っております。フリーWi-Fiの利用については各組織のルールに従い、不明な点があれば、IT管理者へ確認を行うようお願いします。

    また、利用者自身も接続先の信頼性を確認し、不審な点がある場合は接続を控えるようにすることも大切です。

     

    もっと見る
  • 標的型攻撃メールの脅威とその対策

    近年、スパムメールを通じて個人情報や機密情報の流出、各種ウイルス被害に遭う企業件数が増えています。
    被害へ発展する理由のほとんどが、標的となった企業関係者がメールを開封してしまうヒューマンエラーにあります。
    よって、従業員のITリテラシーとセキュリティ意識の向上により、日々の業務で気を付けることが重要です。

    本記事では、「標的型攻撃メール」の脅威とその対策を紹介しています。

     

    1. 標的型攻撃メールとは

    特定の企業や組織を狙った標的型サイバー攻撃の1種

    業務連絡メールやサービス案内メールなどを装い、受信者にファイルやリンクを開かせることで、感染を狙います。そのほとんどがターゲットを特定し、企業の機密情報などを搾取する目的で行われています。実際に、機密情報が奪われ、大きな損害が出てしまった企業被害も多発しているため、注意が必要な攻撃です。

     

    情報セキュリティ10大脅威の上位にランクイン

    「情報セキュリティ10大脅威」はその年に社会的影響が大きいと想定される10の脅威をIPA*が選出したものです。
    2023年度の組織ランキングでは、第3位に「標的型攻撃による機密情報の窃取」がランクインしています。
    誰もが日々利用している、メールを悪用した攻撃手段なため防ぐのが難しいのも特徴です。
    また、1位の「ランサムウェアによる被害」も標的型攻撃メールを介して行われることが多いと言われています。

    ______10___.jpg
    *IPA(独立行政法人情報処理推進機構)出典 【情報セキュリティ10大脅威

     

    2. 標的型攻撃メールへの対策

    システムを活用した対策

    ・メールセキュリティシステムによる悪意あるメールの自動判別
    ・ふるまい検知型マルウェア対策ソフト、およびそれと連動したEDRソリューションの導入
    ・不審メール通知機能の導入 など

    しかし、こういったシステム的な仕組みは100%万能ではありません。
    そのため、従業員一人一人のセキュリティに対する意識を高める必要があります。

     

    標的型攻撃メールを見分けるポイント

    メールを受信した際は、①件名、②差出人、③メール本文、④添付ファイルの4点を確認してください。

    ①件名
    災害情報、アンケート調査、履歴書送付などのキーワードを用い、開封しなくてはならないような心理状態にさせるものに注意してください。

    ②差出人
    差出人の組織名や個人名に心当たりがなく、フリーアドレスである場合は標的型メール攻撃を疑いましょう。また、実在するドメインと似せてある場合もあります。

    ③メール本文
    日本語として自然かどうかに着目しましょう。言い回しが不自然だったり、通常では使用しない漢字(繁体字・簡体字)で記載されていたりする場合は標的型メール攻撃の可能性があります。

    ④添付ファイル
    添付ファイルはマルウェア感染を誘導するものである可能性が高く、特に「.exe」「.scr」といった実行形式ファイルや「.lnk」などのショートカットファイルが添付されている場合は注意してください。

    他にも、より具体的なメールの見分け方については、IPAが【標的型攻撃メールの例と見分け方】を公開しているため、参考にすることをお勧めします。

     

    標的型メール訓練の実施

    従業員へのIT教育として、メール訓練を行うことも有効です。標的型メール訓練では、対象の社員に訓練であることは伝えず擬似的な標的型メールを送信します。従業員がメールの不審な点に気付き回避できるか、危険な行動(添付ファイルの開封、URLのクリック等)を回避できるか、を模擬的に調査し訓練するものです。
    疑似体験をすることで、実際の標的型攻撃メールの開封リスクを減らすことができます。
    また、開封率が高かった年代、部署などへのセキュリティ教育を強化する動きにも繋がります。

     

    今後、さらなる手口に発展していく可能性も考えられます。被害を最小限に抑止するため、システム的な対策だけでなく
    従業員一人一人のITリテラシーを高め、最後の砦「Human Firewall」となって防ぐごとが何より重要です。

    もっと見る