「事件ベースで改めて考えてみるゼロトラストセキュリティ」
ここ1年、COVID-19の影響によりテレワーク環境やクラウドの利活用など、様々なシステム改革が推し進められました。その反面、このような環境変化によるサイバーセキュリティインシデントのニュースも増加しました。
弊社としても1年ほど前からゼロトラストを前提としたセキュリティ対策を提案しておりましたが、ここで改めて、事件を振り返ったうえで、必要なセキュリティ対策を考えてみたいと思います。
カプコンの個人情報漏えい事件の原因について
2021年4月13日、株式会社カプコンより、2020年11月4日に公表された個人情報の流出に関する調査結果の最終報告書がプレスリリースとして公開されました。*1プレスリリースの詳細は割愛しますが、本インシデントの原因は、VPN装置とされています。
COVID-19の影響により、北米現地法人が使用するVPN機器への負荷が大きくなったため、旧型のVPN装置を急遽使用することになりました。この旧型VPN装置が攻撃者の侵入経路の入り口となってしまい、米国および日本拠点の機器に横展開しRagnar Lockerランサムウェアに感染した、となります。
この旧型VPN装置が具体的にどのメーカであるのか、どんな脆弱性を抱えているのか、どんな方法で突破されたのかなどの詳細は明かされておりませんが、このようなVPN装置によるセキュリティインシデントの発生は1年以上も前から警鐘が鳴らされており、本メールマガジンでも1年前から話題として取り上げております。
また、弊社が昨年に開催した第9回セキュリティユーザカンファレンスの1セッションでも、VPNの話題を取り上げています。
「通信経路およびデータ共有の増加によるリスクと対策」(第9回セキュリティユーザカンファレンスDay1-3)
ここ1年で発生した特徴的なインシデント
各所で警鐘が鳴らされ続けていたVPNを初め、COVID-19の影響により推し進められたテレワークやクラウドの積極的な活用などのシステム改革の反面、様々なセキュリティインシデントが国内でもここ1年で多く発生しました。
代表的なものを少しまとめてみます。
| 発生時期 | 被害者 | 発生した事象 | 原因 |
| 2020/5/28 | NTT Com | 不正アクセスによる情報流出*2 | VDIサーバ経由で攻撃者が不正アクセス |
| 2020/8/7 | 三菱重工 | マルウェアによる個人情報の流出*3 | テレワーク中にSNS経由で社用ノートPCにマルウェアが混入 |
| 2020/8 | 不特定多数の日本企業 | 国内の40~80社のPulse Secure社のVPN装置のIDやパスワードなどの認証情報が大量に流出*4 | CVE-2019-11510の脆弱性パッチ未適応 |
| 2020/11/20 | 三菱電機 | クラウドサービスに対して外部から不正アクセス*5 | マイクロソフト365へのなりすましによる不正ログイン |
| 2019/3 ~ 2021/1 | 産業系の日本企業 | 産業系の日本企業を狙ったバックドアを仕込むステルスアクティビティ*6 | VPN機器の脆弱性を突いて侵入 |
VPN装置自体が狙われることもありますが、テレワーク特有のBYODやクラウドなどもインシデントの原因となるケースが現れています。
このような事態に則して、「ゼロトラストセキュリティ」という言葉が各セキュリティベンダからも積極的に発信されています。読者の皆様も聞き覚えがあったり、耳にタコができるほど聞いていたりするかと思います。
弊社でも、昨年に開催したセキュリティユーザカンファレンスのメインテーマに持ち上げております。
しかし、昨年はテレワークのためのシステム構築にリソースを割かれていたがゆえに、ゼロトラストセキュリティはそこまで浸透しなかったように思われます。IDC Japanの2021年1月に実施された国内企業883社に対する調査結果でも、以下のように言及しています。
"また、今後強化するセキュリティ対策ではあまり差異がなく、リモートワークで今後強化すべき対策がまだ明確になっていないと思われます。"
(引用:*7)
改めて考えるゼロトラストセキュリティ対策
「ゼロトラストセキュリティ」という言葉が各所から飛びかう反面、対策をする側はどこから手を付けるべきか分からない、といった命題があります。
システム構成や働き方によって、絶対にこれをすれば良い、という対策を断定することはできませんが、筆者としては、事件ベースで考えると現時点では以下の3つの対策が現在のゼロトラストセキュリティにおいて必須と考えます。
a. VPN起因の侵入経路をなるべく塞ぐ
b. アクセスしてくる人をとにかく信頼しない
c. マルウェアを活動させない、あるいは活動を検知/すぐに対処できる
各項目について、説明いたします。
a. VPN起因の侵入経路をなるべく塞ぐ
VPNが侵入経路となるのは、主に以下の2つが原因です。
- VPN装置の脆弱性パッチがあたっていない。
- VPNにログインするためのID/パスワードが漏れているあるいは使い回されている。
こちらは、日々のセキュリティ運用の中で留意していれば、対策は十分に可能かと思われます。
b. アクセスしてくる人をとにかく信頼しない
業務上の理由により、VPNやその他リモートアクセス装置を止められず脆弱性パッチをあてられなかったり、ID/パスワードが知らぬ間に漏れていた、ということもあります。そのため、攻撃者からアクセスを試行される事態を完全に防ぐことは現実的には困難です。
よって、外部からのアクセスは全て「検証する」ことが大事になります。
例えば、日本国内で発生したVPNへの不正アクセスの件では、アクセスログに海外のIPアドレスが残っていた、なんて話もあります。
裏を返せば、海外IPアドレスは怪しいからアクセスさせない、とすれば不正アクセスは未然に防ぐことができたはずです。
このように普段と同じユーザからのアクセスであるかを「検証」し、異常なものを弾くことが、これからのセキュリティでは必須となります。
c. マルウェアを活動させない、あるいは活動を検知/すぐに対処できる
aやbに注意しても、SNSや標的型攻撃メールなど、マルウェアの侵入経路は残ったままとなります。例えば、昨年に日本国内で猛威を振るったEmotetは、マクロ付きドキュメントファイルを送信する標的型メールにより侵入しました。
そのため、マルウェアが侵入し実行されることを前提としたうえで、動作させない、あるいはすぐに対処できるといった対処が必要です。いわゆるEPP(Endpoint Protection)やEDR(Endpoint Detection and Response)を始めとしたエンドポイント対策ですね。
この観点は、ゼロトラストセキュリティであろうとなかろうと、変わらず必要な観点になります。
ただし、BYODの参入などによりエンドポイント数が増加することから、管理・監視に掛かるワークロードが増大するという声もよく聞きます。
そのため、防御力と負荷の2つを考慮した上で、最適なエンドポイントセキュリティを選択する必要がありますが、これが悩みの種だったりします。ちなみに、弊社ではMTD(Moving Target Defense)による低負荷+高い防御力を実現しているMorphisec※と、高いEPP+EDRの能力をもつCortex XDRの2つをご紹介できますので、興味のある方はご連絡ください。
※第2回セキュリティブログ「エンドポイント保護のためのMoving Target Defense 技術」で詳細をご紹介しておりますので、こちらもご参考いただければと思います。
この3つによる多層防御が実現すれば、テレワークなどを狙う攻撃による被害を抑えることができると思われます。
もちろん、この3つを行えば万全というわけではなく、環境や業種などによっては上記以外のセキュリティ対策も必要となります。
弊社はMorphisecやCortex XDR以外にも様々なケースを想定したセキュリティソリューションを取り揃えておりますので、今後のセキュリティ対策にお困りでしたら、いつでもご相談ください。
セキュリティニュース(国内編)「中小企業のセキュリティはマルっとお任せ!『サイバーセキュリティお助け隊』」
昨今のサプライチェーン攻撃の増加に対応するべく、中小企業のセキュリティ事情をサポートする制度「サイバーセキュリティお助け隊」が開始されました。
日本全体のセキュリティレベルの向上のため、こういった活動が広がるとよいですね。制度の内容をまとめてみました。(他記事1本)
中小企業のセキュリティはマルっとお任せ!『サイバーセキュリティお助け隊』
IPAが主導する、「サイバーセキュリティお助け隊」の運用が開始されました。*8
同制度は、中小企業において不可欠なセキュリティサービスをパッケージ化し、一定要件をクリアしたサービスについて「サイバーセキュリティお助け隊サービス」として登録するもので、下記のような要件をクリアすることで登録可能になります。
- 相談窓口の設置:一元的な問い合わせ窓口(契約、技術、運用)
- 異常監視:24時間体制での監視、攻撃の検知
- 緊急時の対応支援:契約内容に基づき、ユーザからの要請を受けた際に技術者を派遣する対応
- 簡易サイバー保険:インシデント発生時の初動対応(駆付け支援等)の費用を最低限補償するもの
また、
- 中小企業でも導入/維持できる価格
- 中小企業向けセキュリティサービス提供実績
- 中小企業でも導入/運用できる簡単さ:IT やセキュリティの専門知識のないユーザでも導入/運用できるような工夫
といったことも求められます。価格に関しては端末型であれば1台あたり2,000円以下、1台から契約可能であるということも条件になります。*9
逆にこれ以上の投資は現状の中小企業には難しいということなのでしょうね。
本制度に登録されているサービスには特定のマークを使うことが許可されているため、中小企業のセキュリティ担当者は導入するサービスを検討する際に参考になるでしょう。
現状、初回審査をクリアした5社が登録されており、4月より順次サービスを開始するとのことです。
この制度によって「セキュリティ対策が重要なのは理解しているし上からも何とかしろと言われているが、正直なにから手をつけていいのか分からない中小企業のセキュリティ担当者」と「セキュリティ対策が不十分な中小企業を攻略してサービスを提供したいMSSP」のマッチングが進むとよいですね。
Trello流出事件、二次災害に注意......3年前からの警鐘生かされず
4月上旬、タスク管理ツールである「Trello」を経由した情報漏洩が話題になりました。*10 「Trello」は直感的操作が可能なUIを使って自分のタスクを管理することができるツールで、個人はもちろんビジネスで使用する人も多いものです。
その手軽さゆえか、なんでもかんでも情報を「Trello」上で管理し、さらには情報の公開範囲を「インターネットに接続している全ての人」にしていることに気づかず、機微な情報を全世界にさらしてしまっている人がなんと多いこと、というのが今回問題になった件の内容です。
流出してしまった情報は法的にも倫理的にも問題大アリなものが多く、
- 就活生の個人情報(顔写真、本名、住所、電話番号)
- 就活生の不採用理由
- クレジットカードの情報
- 銀行の暗証番号とパスワード
- 悪口
という最悪なものが多分に含まれておりました。さらに悪いことに、「Trello」内の検索エンジンだけでなく、Google検索で機密情報を含むページがバシバシヒットする状況だったとのことです。恐ろしいですね。
基本的には利用者が公開範囲の設定に気を付けていなかったことが原因です。
1月にGitHub上にアップロードされたプログラムのソースコードが公開設定ミスにより流出したという事件もありましたが、本件も同様に人的ミスに起因される事故です。
「Trello」の公開範囲設定の画面には「公開:インターネットに接続(Googleを含む)している全ての人がこのボードを閲覧できます。ボードメンバーのみが編集できます」と明記されており、この注意書きに注意を払わなかった者が悪い、ということになりますが、さすがにGoogle検索でヒットしないようにする対策くらいは「Trello」側で実装できたはずなので、100%利用者責任と言い切るのも違うかと思います。
これを防ぐことはほぼ無理ですね。教育にも限界がありますし。先述の参照先の記事では「Qiita(エンジニアコミュニティ)で本件に警鐘を鳴らす記事が3年前に投稿されており、見事、懸念通りの事態になってしまった」と落胆しておりました。*11
どうかお気をつけください。
セキュリティニュース(海外編)「情報収集意欲を狙ったサイバー攻撃にご注意を」
このメルマガを購読してくれている読者の皆様は、サイバーセキュリティの情報収集意欲が高いものだと思います。
そんな皆様を攻撃者が狙うケースが最近活発化していますので、事例の一つを今回はご紹介いたします。(他記事1本)
情報収集意欲を狙ったサイバー攻撃にご注意を
2021年3月31日に、セキュリティの専門家を標的とする偽のサイバーセキュリティ企業のウェブサイトが発見されました。*12
セキュリティの専門家を騙して情報を収集することを目的としており、偽の研究者や人事担当者などのTwitterやLinkedInのアカウントを作るなどもしており、用意周到さが伺えます。このサイトのアクターは北朝鮮であると言われています。
この偽の会社の名前は「SecuriElite」で2021年3月17日に設立され、現在もwebサイトが検索でヒットする状態となっています(2021年4月21日現在)。
そのため、読者の皆様はくれぐれも「SecuriElite」で検索しないでください。誤ってアクセスしてしまうと、エクスプロイトコードが実行され被害に遭う可能性があります。
このサイトの他にも、最近ではTwitterをはじめとしたSNSアカウントで研究者のアカウントを偽造し、尤もらしい発言をすることでサイバー研究者を悪性のwebサイトに誘導・マルウェア感染させ情報を盗むといった活動が活発化しています。
読者の皆様の中には積極的にサイバー攻撃の情報収取を行っている方もいると思われますが、偽のアカウントに騙されないように、ご注意ください。
パスワードレスの認証セキュリティは幻想なのか?
アカウント管理ソリューションを提供するEnzonic社が投稿した記事が、筆者個人的に面白かったため、取り上げてみます。
こちらは見出しが「パスワードレスは幻想である」というインパクトが強いものとなっています。*13当記事はなかなかに長いため要約しますと、
- パスワードレスソリューションを導入しても、従来のパスワードとの2要素認証にするため、真の意味のパスワードレスではない
- 仮にパスワードレスのみにしても、何かしらの理由でパスワードレス認証が成功しない場合、結局はパスワードを用いてリセットしないといけない
- 巧妙な攻撃者はパスワードレスソリューションの脆弱性を突く、あるいは無効化することでパスワードのみの認証に強制する
といった内容になります。
パスワードは残り続ける上に、巧妙な攻撃者はパスワードレス認証を回避するために、パスワードレスを使っているから安心、とはならいことを主張しています。
そして、Enzonic社が提供するセキュリティに特化したアカウント管理ソリューションの話につながるというわけです。なかなかに面白い観点だと思いました。
ただ、筆者個人としては、パスワードレスを突破するほど気概のある攻撃者であれば、通常のパスワードのセキュリティも突破するのでは?と考えます。
もちろん、パスワードレスやアカウント管理などで認証を強化することは、ゼロトラストセキュリティが謳われる現在では非常に大事な観点です。
しかし、もしこの認証が突破される攻撃である前提で話を考えるのであれば、侵入前提のセキュリティ対策に論点を向けるべきではないでしょうか。
Morphisec:最新のChromeに対するゼロデイ攻撃の防御を確認
Google Chrome のバージョン94より、メジャーバージョンアップを6週間周期から4週間周期に縮め、新機能の追加頻度を高くするそうです。*14
ちなみに、セキュリティアップデート自体は、2019年から隔週で行われるようになりました。十分高頻度であると言えますが、裏を返せばゼロデイの脆弱性が見つかっても2週間放置されることを意味します。*15
ちなみに最近では、バージョン 89にて深刻な脆弱性が発見され、アップデートに関する注意喚起が行われていました。*16
現在はバージョン 90.0.4430.72がリリースされています(2021/4/17現在)。*17
しかし、この最新バージョン 90.0.4430.72にもリモートコードを実行可能とするゼロデイの脆弱性が確認され、実証概念コードが既にGitHub上で公開されています。
前述の通り、セキュリティアップデートに少なくとも2週間必要であるため、ブラウザ側の対応は2週間後となり空白の無防備な時間が生まれてしまいます。
このエクスプロイトコードに対して、Morphisecでは防御できることがすでに確認されており、You Tubeにて動画が公開されています。(英語の動画となりますので、日本語の自動翻訳をオンにしてご視聴ください)
MorphisecはMTD(Moving Target Defense)技術によるメモリランダマイズを行って保護を行うため、このようなブラウザを狙う未知のゼロデイでも防御することが可能です。
シグネチャや学習パターンのアップデートの必要なく防御を行いますので、ゼロデイへの仮想パッチとしても強力に機能します。
Morphisecの詳細はこちら
■ 関連リンク・引用
*01: 不正アクセスに関する調査結果のご報告【第4報】, 株式会社カプコン:CAPCOM WORLD JAPAN, 2021/04/22
*02: 当社への不正アクセスによる情報流出の可能性について, NTTコミュニケーションズ, 2021/04/22
*03: 三菱重工、在宅勤務時に感染したマルウェアから個人情報流出, セキュリティ通信, 2021/04/22
*04: VPN装置からのパスワード大量流出、1年前の脆弱性が突かれたわけ, 日経クロステック(xTECH), 2021/04/22
*05: 三菱電機、不正アクセスで取引先の口座情報8000件流出, 日本経済新聞, 2021/04/22
*06: APT10: sophisticated multi-layered loader Ecipekac discovered in A41APT campaign, Securelist | Kaspersky's cyberthreat research and reports, 2021/04/22
*07: 2021年 国内企業の情報セキュリティ実態調査結果を発表, IDC: The premier global market intelligence firm., 2021/04/22
*08: 「サイバーセキュリティお助け隊サービス制度」がスタート - まずは5社から, Security NEXT, 2021/04/22
*09: サイバーセキュリティお助け隊サービス基準 , IPA 独立行政法人 情報処理推進機構, 2021/04/22
*10: Trello流出事件、二次災害に注意......3年前からの警鐘生かされず, IT総合情報ポータル「ITmedia」, 2021/04/22
*11: うわっ...私のtrello、丸見え...?(簡易チェックツール付き), Qiita, 2021/04/22
*12: Hackers Set Up a Fake Cybersecurity Firm to Target Security Experts, The Hacker News - Cybersecurity News and Analysis, 2021/04/22
*13: Passwordless: More Mirage Than Reality, The Hacker News - Cybersecurity News and Analysis, 2021/04/22
*14: 「Google Chrome」のリリース間隔が6週間→4週間に ~第3四半期公開のv94から実施,窓の杜, 2021/04/22
*15: Q4 2019 Summary from Chrome Security, Google, 2021/04/22
*16: Google Chromeに重要なセキュリティ脆弱性、アップデートを, マイナビニュース, 2021/04/22
*17: 「Chrome 90」の安定版公開 HTTPS接続強化や低帯域幅での動画改善など, IT総合情報ポータル「ITmedia」, 2021/04/22
