『情報セキュリティ10大脅威 2022』が公開!存在感を増す脆弱性悪用の脅威
独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の2022年版が公開されました。*1
「組織編」の1位、2位は昨年に続きそれぞれ「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」となっています。最近もEmotet再流行の兆しがある通り、この1位、2位の牙城が崩されることはあまりないように見受けられます。
今回の記事で着目したいのは6位、7位にランクアップしている脆弱性関連の脅威です。
本記事では脆弱性関連の脅威がランクアップしてきた背景や関連する事例、脅威に対する対抗策をご紹介します。
1.脆弱性関連の脅威がランクアップした背景とは?
本発表におけるIPAのプレスリリースでは、脆弱性関連の脅威がランクアップした背景を「Apache Log4j」の事例を用いて説明しています。*2 昨年末に大きな話題となったLog4jですが、オープンソースのログ出力ライブラリであり、Javaを使用する多くの製品/ソフトウェアにLog4jが使用されていたことから、影響範囲が他と比べ特に広いこともあり「史上最悪」の脆弱性と呼ばれるほどになっていました。
また、影響範囲が広いだけでなく脆弱性公開時点ですでに多くの攻撃が観測されていたため、ゼロデイ攻撃の的になっている企業も多くありました。
このような大きなニュースもあり、今回脆弱性関連の脅威がランクアップしてきたようです。
2.脆弱性を利用した攻撃の事例
続いて実際に脆弱性を悪用した攻撃の事例を、少し古いものもありますが2点ご紹介します。
①ベルギー国防省の事例(Log4j)
ベルギー国防省が2021年12月16日にLog4jの脆弱性を悪用した攻撃を受けたと公表しています。*3 攻撃を受けたのはインターネットに接続しているコンピュータ・ネットワークの一部としており、ネットワークの停止にまで追い込まれたと発表しています。
ベルギー政府はどこから攻撃を受けたかまでは公表していませんが、Microsoftによると中国、トルコ、イラン、北朝鮮の政府の指示を受けたハッキンググループがLog4jの脆弱性を悪用し、全世界的にマルウェアの展開をしていると報告しています。
Log4jの脆弱性に関しては一度パッチを当てた後も追加で関連の脆弱性が発見されるなど、延々対処が終わらないという状況にもなりました。システム担当者は常に脆弱性の公開情報をウォッチし、対処していかなければいけない状況となっています。
②大手電機メーカーの事例(ウイルス対策ソフトの脆弱性)
2019年3月18日に大手電機メーカーの中国拠点内ネットワークにあるウイルス対策管理サーバーが未公開脆弱性を突いたゼロデイ攻撃を受け、踏み台となり、複数の端末を経由して国内のシステムにも侵入が広がったと報告しています。*4
この攻撃に関しては本来組織の環境を守るためのウイルス対策ソフト自体の脆弱性を突いた攻撃となっています。脆弱性自体が未公開(パッチが提供されていない)ものであったため脆弱性を見つける以前の段階でパッチを当てる間もなく攻撃を受けてしまいました。
組織の環境にある脆弱性を早期に発見し、早急に対処を行うということは非常に大事なことですが、それだけではこの事例のようなゼロデイの攻撃は防ぐことができない現実があります。
3.脆弱性を悪用した攻撃に対する対策
今回はいくつか事例もあげて、脆弱性を悪用した攻撃についてご紹介しました。
昨今存在感を増している脆弱性を悪用した攻撃ですが、組織が行うべき対策を最後にまとめます。
- IT資産の棚卸と最新の脆弱性情報の収集
まずは自組織にどのようなIT資産があるのか、その中にはどのようなソフトウェア/製品が存在しているのかを把握することが重要です。棚卸した情報を基に最新の脆弱性情報とその対策情報を収集し、自組織の資産にどのような脆弱性が存在するのかを把握しておく必要があります。
このような情報をエクセル台帳などで管理し、手動で情報を集めていくのは手間もかかりますし情報の正確性といった面でも課題が残ります。そういった課題を解決するために脆弱性診断・管理ツールを導入するのも一つの手立てとなるでしょう。
- ゼロデイ攻撃を防御できるソリューションの導入
既知の脆弱性への対策としては上記の対策は有効ですが、情報公開前の脆弱性を悪用するゼロデイ攻撃に関してはその限りではありません。
このようなゼロデイ攻撃への対策としては、未知の攻撃でも防御することができるシグネチャだけに依存しないソリューションの導入が有効となります。この対策を行うことでパッチが公開されるまでの期間に関してもバーチャルパッチという形で保護をすることができます。
4.まとめ
本記事では今年の情報セキュリティ10大脅威でも急上昇となった脆弱性を悪用した攻撃についてまとめました。昨年末のLog4j騒動により、私も以前にも増して脆弱性対策の重要性を認識させられましたが、皆様も基本的な対策を継続しつつゼロデイ攻撃への対策など新たな施策も検討し、自組織の保護に努めていきましょう。
マルウェア“Emotet(エモテット)”が再流行中!巧妙な手口と対応策を解説
2019年11月末ごろにメディアに取り上げられ一気に知名度を上げたマルウェアですが、2022年2月に入りEmotetによる攻撃被害が増加していることをJPCERTコーディネーションセンターが明らかにしています。感染端末の情報を窃取し、その端末を踏み台として他社への感染拡大を行う悪質な特徴があります。
本記事ではEmotetによる攻撃手口と対応策について紹介します。
1.Emotetの攻撃手口について
Emotetは攻撃者から送られてくる不正なメールに添付され、端末上で添付ファイルを開くと感染するウイルスです。国内で報告されているEmotet拡散を狙うメールは、普段やり取りしている顧客になりすまし、ほとんどが日本語で記載されています。「新型コロナウイルスを題材としたメール」、「URLリンクを悪用したメール」「”Re:”をつけて実際のメールの返信を装う」等が報告されています。*5
感染までの基本的な流れは以下です。
- 攻撃者からマクロ付きファイル(Excel/Word, ZIP形式等)が添付されたメールが届く。
- ユーザが添付ファイルを開く。
- Powershellやコマンドプロンプトが起動し、外部からEmotet本体をダウンロードする。
- 端末上でEmotetが実行される。(Emotetは他のマルウェアを感染させるプラットフォームとしての機能がメインであり、さらに攻撃者が用意したサーバから他のマルウェアがダウンロードされる)
- 社内・社外の端末にEmotetが伝染する。
- 機密情報を取得し外部へ送信する。
Emotetの被害は日本含め200ヶ国以上で拡大しており、被害総額は25憶ドルと言われています。Emotetの攻撃手口が巧妙化していると言えます。
2.対応策
Emotetの感染を防ぐためには、以下のような対策が挙げられます。
- 組織内への注意喚起の実施
- OSに定期的なパッチを適用
- 定期的なオフラインバックアップの取得
- 「Officeマクロの自動実行」の無効化
- 「メールの監査ログ」の有効化
このような基本的な対応策が行われていることが非常に重要です。
3.まとめ
Emotetのように巧妙化した手口、感染力の高いマルウェアから組織を守る為にはセキュリティツールの導入だけではなく、攻撃側の手口を把握し改善策を練っておくなどユーザリテラシーの向上が求められます。そのためにもセキュリティ教育を企業・組織内で継続的に行っていくことが必要です。また、侵入されることを前提に最小限の被害にとどめるための対策も並行して行うことが重要です。
