最新の技術と最新情報で
最適な環境と安心を提供する
サイバーセキュリティカンパニー

Information
SIPS Security Report


  SIPS セキュリティレポート

    

当社ではSIPSによる調査・情報収集した内容を基に、日本へのサイバー攻撃の傾向や注意事項などを、不定期に“SIPSセキュリティレポート”として、メールにて 【無料配信】いたします。
当該レポートの情報を、ぜひ貴社セキュリティ対策の参考にしてください。


【配信日】 2021年1月15日


情報流出を最小化するゼロトラストの考え方


最近、「ゼロトラスト(Zero Trust)」という言葉を耳にするようになってきた。
ゼロトラストとは、「社内(内部ネットワーク)は安全」という考え方では守りきれないという事から、全てのトラフィックを信頼せず攻撃されることを前提にした
セキュリティ対策を行うというものである。

これまでファイアウォールやIPS/IDSなどでネットワークの境界を監視するというセキュリティが主流であったものの、昨今はそれでは不十分ということから
「ゼロトラスト」という考え方が注目されている。

特に最近では、クラウドサービスの利用が増加し利便性は高まっているものの、外部委託先にデータ を保存することから、内部ネットワークの境界はより曖昧になってきている。
コロナ禍でのテレワークも同様で、自宅から社内ネットワークにアクセスする事が増え、内部と外部が 曖昧な状況になってきている。

そして昨年は安全性が高いはずのVPNがハッキングされ、VPN経由で攻撃されパルスセキュア社製 VPNやフォーティネット社製VPNを利用していた
日本国内の数百社が攻撃を受け、情報流出する結果となった。
パルスセキュア社、フォーティネット社製VPNに関してはダークウェブで情報が流出していることが確認 されたが、それ以外にも中国ブラックマーケットでは、
日本のVPNに関する情報が売買されていて、 昨年1年間で10件以上の掲示を確認していて、VPN機器の数にすると数百台から1千台以上ある。

安全なはずのセキュリティ機器であるVPNがハッキングされ、このVPNを信頼している企業は無残にも 情報流出する結果となっている。
正に「すべてのトラフィックを信頼せず攻撃されることを前提」としたゼロトラストの考え方が重要になる。

一般的に企業はクラウドサービスやプロバイダーが提供するサーバを利用しているが、このサーバまで 気にして対策している企業はほんの僅かである。
殆どの人がクラウドやプロバイダーは安心と考え、社内は「このセキュリティソリューションを入れておけば 大丈夫」という考え方をする人が多いが、実はこれは
大きな間違いである。

外部委託しているサーバだけではない。アクセスしたデータはサーバから様々な経路を通り情報要求者の元へ届くのだが、この途中にある様々な機器も信頼できない。
データが流出する場所は、サーバだけではなく通信経路にある全ての機器が対象になる。

クレジットカード情報はハッキング情報としては価値があり、常にサイバー攻撃者達は狙っている。
これはネット社会で1つのクレジットカード情報があれば利用額の範囲内で簡単に利用することができる からである。

中国ブラックマーケットで昨年「日本の最新クレジットカード情報を販売します」と言った掲示は、1年間で50件程確認されていて、情報提供者にコンタクト
した際にクレジットカード情報の保有数を確認すると【数十万個】保有しているという回答であった。
仮にこの保有数で計算すると、昨年中国からのサイバー攻撃により流出している日本のクレジットカード 情報は500万個から5000万個あるという事になる。

今年に入ってからもクレジットカード情報の流出は止まらない。
1月に入ってから既に4件の掲示を確認していて、VISA/Master/JCBなど具体的なブランドまで指定 して売買しているケースもある。
また情報流出はハッキングによるものだけではなく、フィッシングにより流出するケースも多い。

1月13日のNHKニュースでは他人名義のクレジットカード情報を登録したスマホ決済により不正利用 した中国人2人を逮捕し、警視庁は中国国内から
指示を受けて不正利用していたとして調べているとなっている。
クレジット会社では、中国のIPから不正ログインが確認されていて、100人分のカード情報がスマホ決済 に不正に登録されていたことが分かったという。

しかしこれは実際に流出しているクレジットカード情報のほんの僅かな数である。
このようなサイバー犯罪を防ぐためには、【サーバハッキングによる情報流出】【通信経路における情報 流出】【フィッシングによる情報流出】などの各流出原因に対してどのようなセキュリティ対策を考えるか、 いわゆる「ゼロトラスト」の考え方が重要なのである。

この10年間で年々サイバー攻撃、サイバー犯罪のニュースも増加している。
その中でもクレジットカード情報流出は増加の一途を辿り、年間200億円以上の大きな被害を出して いる。つまり200億円以上を不正利用され、
その金額を日本企業のどこかが負担しているという事である。
コロナ禍で経済状況が悪化している中で200億円が中国を主としたサイバー犯罪者に流れているので ある。

企業は至急「ゼロトラスト」の考え方でセキュリティ対策を実施してほしい。
勿論、個人ユーザもフィッシングなどの罠にかからないよう十分注意しなければならない。




  


※当レポートの情報はサイバー情報提供サービス“SIPS”で確認した情報を基に提供しています。
※当レポートにて提供する情報は弊社サービス上で確認した数字で全てのサイバー攻撃に対する数字を表したものではありません。
※当レポートに関するお問い合わせは下記までお願いします。