情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年7月4日号
***************************************************************
2022年上半期のサイバー脅威情報から学ぶこと
***************************************************************
2022年も半年が経過し、日本に対するサイバー攻撃は減少の兆しも見えない。
ランサムウェア攻撃、SQLインジェクション攻撃、XSS攻撃、マルウェア攻撃などやりたい放題である。
この半年間で日本はいったいどくらいの情報資産価値や金銭を失っているのだろうか?
そこで、上半期の脅威情報を参考に下半期のサイバー脅威にどのように立ち向かうべきか、考えて
みることにする。
SIPSの調査で過去最高の脅威情報の確認数であった昨年の上半期の脅威情報確認数を大きく
上回った今年の上半期は、約400件の情報をピックアップしている。
ピックアップというのは、脅威レベルが高いという意味で、脅威レベルがそれほど高くない、または慢性化
する攻撃や情報流出に関するブラックマーケットの書き込みはピックアップしていないからである。
つまり、ブラックマーケットに書き込まれる脅威情報はこれ以上の件数が存在し、その数はピックアップ
している数の10倍以上にも上る。
特に注目したい脅威情報としては、「特定企業を狙った攻撃による情報の売買」である。
これは、企業名、ドメイン、サービス名等を特定し、様々な方法で情報を窃取し販売。といった内容の
書き込みであり、全体の脅威情報の40%以上が存在する。
流出した情報の内容はメールアドレスからログインアカウント情報、クレジットカード情報、機密情報まで
様々だが、特定企業が狙われた大きな要因は、ロシアのウクライナ侵攻が大きく影響していると言える
だろう。攻撃している国で見るとやはり中国とロシアが圧倒的に多く確認されている。
さてブラックマーケットでは様々な脅威情報が売買されているが、圧倒的に多いのは流出情報の売買で
ある。情報が流出しても、それを悪用した2次利用、3次利用が無ければ、特定企業のシステムが攻撃
されたのだから、攻撃された企業が自己責任でその被害に対応すれば良い。
しかし問題なのは、流出した情報を使う2次被害、3次被害であり、これは別の企業や個人が被害を
受けることになる。
結果としてこれがサイバービジネス(サイバー犯罪)を引き起こし、最終的に膨大な金銭が奪われている。
流出した情報は、様々な役割を持つ。例えばメールアドレスの流出は、個人から見るとそれほど大きな
痛手にはならないかもしれない。しかしそのメールアドレスはフィッシング攻撃に有効に使える材料なのだ。
特定企業のメールアドレスが流出すれば、その企業向けにスピアフィッシング攻撃が可能になる。
仮に1000人の社員がいる企業にフィッシングメールを送ると仮定しよう。
昨年セキュリティ企業の日本プルーフポイント社が発表したレポートでは、フィッシングのシミュレーションを
行ったところ平均5人に1人が添付ファイルをクリックしたという。
この成功率をあてはめた場合、1000人に送れば200人がフィッシングメールに反応する事になる。
フィッシングと言っても手法は様々あるが、昨今で多いのが悪性プログラムを挿入させる攻撃である。
挿入されたマルウェアは拡散させるために感染PCのアドレス帳から窃取した宛先にメールを送り、感染を
拡大させる。これが情報窃取マルウェアであれば感染したPCから様々な情報が流出する。
一般的な情報窃取マルウェアは各種ログイン情報やクレジットカード情報、暗号資産情報を盗み出す
ものが多く、これにより流出した情報は次なる攻撃もしくはサイバー犯罪に流用できる。
つまり、流出したメールアドレスがログイン情報にアップグレードしたということである。
ログイン情報(ID/パスワード)が分かれば、対象のサーバもしくはサービスになりすましログインが可能に
なり、ログイン後その中で自分の望む行為が実行できてしまう。しかも正規のログインであるため、運営
会社にも管理者にも不正を知らせるアラートは上がらないという事になる。
このように拡散され20%ずつフィッシングが成功しマルウェアが蔓延すると、その中には企業役員などの
上席者やシステム管理者が含まれてくる可能性が上がる。
上席者であれば重要情報にアクセスできる権限を持ち、システム管理者に至っては社内システムの
全てにアクセスできる権限を持っているかもしれない。
こうなれば、攻撃者の思う壺で、企業の重要情報を窃取し、高値で売買することもでき、ランサムウェア
によってシステムを暗号化させて身代金を要求することもできる。
さて情報流出の要因としては①ハッキング、②マルウェア、③人為的ミスが上げられる。
ハッキングの場合、脆弱性を突きシステム内に侵入し、情報をまとめて窃取する事ができるが、侵入した
サーバに重要情報が存在するかどうかは分からない。しかも高度な技術を持たない限り、セキュリティ
ソリューションによって検知され失敗する恐れもある。このようにメリットとデメリットが存在する。
一方マルウェアを利用する場合、ある程度安定したレベルの情報が入手でき、成功率も安定はするが、
一度に大量の情報を得られなく、実施手順も多いというデメリットもある。
しかし一番多い流出事案は、実は「人的ミス」による流出である。
セキュリティニュースを取り上げているサイトを見てもらうと分かるが、「ハッキングによる流出」や「マルウェア
による流出」よりも圧倒的に「誤送信」「誤設定」などによる人為的ミスによる流出のニュースが多い。
攻撃者は、このような情報を収集できるように準備しておけば、流出情報は自然と集まる事になる。
流出情報の売買以外で脅威情報として気になるものは、攻撃の予兆や予告である。
特に多いのは、「サーバの管理者権限の販売」や「Webshellの販売」である。
管理者権限を利用すれば最高権限でサーバにログインができる。Webサーバであれば、Webshellを
使って各種情報を取得することも可能となる。
このようなサイバー攻撃の予兆となる脅威情報は、大きな不正アクセス、情報流出事故を引き起こす
可能性が極めて高い。
今年に入り、何十件もの予兆と考えられる情報がブラックマーケットに書き込まれ、残念ながらその後
事故が発生し大きな被害を出している企業が何社もあった。
経験上、このような予兆となる脅威情報が書き込まれると、必ずといって不正アクセス事故が発生する。
ハッキングが可能になるわけだから、大量に機密情報が窃取される可能性や改竄、消失、暗号化等
システム停止による莫大な被害を受ける可能性がある。
まして特定の企業であれば、その会社やその会社のサービスを使っている個人にとっても大きな脅威
となり得る。
2022年下半期も攻撃数は確実に拡大するだろう。この時に企業はどう対策するのか?
①ハッキングに対しては各種脆弱性対策をしなければならないが、それだけで守れるだろうか?
ハッキングの予兆はどうやって把握するのか、組織的なハッキンググループの攻撃に対応できるのか。
高度化するサイバー攻撃は、攻撃が起きてからでは間に合わない。
②マルウェアに対してはアクセスしても感染しないようにするためにどうすればいいか?
具体的に効果がある対策は何だろうか?しかし自社を対策するだけで大丈夫なのか?
ネットショップのログイン情報が流出して、顧客になりすまし多額のショッピングをされても、名義本人が
購入を否定しクレジットカードのチャージバックシステムを使ったら。企業は返金しなければならず商品も
戻ってこない。大きな損失を生むことになる。
マルウェアによる流出情報は大量にブラックマーケットに存在していて常時アップデートされているのである。
③人為的ミスに対しては、企業のトップが率先して社内のセキュリティレベルを上げる教育が必要だろう。
いくら企業としてシステムのセキュリティを固めても、危機感のない社員が情報流出を繰り返せばどうか?
繰り返し社内教育をするために適切な方法はあるのか?
解決するための情報はブラックマーケットに山のように存在している。
ここれらを使い、情報セキュリティマネジメントシステムに則り実施運用する事が重要になる。
下半期は通常上半期よりサイバー攻撃が増加する傾向にある。高度化された攻撃が我々を襲う。
その時に生き残るために、今からやれることをやっておきたい。
-----------------------------------------------------------------------------------
<参考URL>
朝日新聞DIGITAL:2022/6/30
サイバー攻撃の「被害業者」に業務改善命令 経産省
https://www.asahi.com/articles/ASQ6Z6K3ZQ6ZULFA02V.html
日経XTECH:2022/6/29
検知を回避するサイバー攻撃相次ぐ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/061600176/
ZDNet
Japan:2022/6/27
「Android」「iOS」を狙う新種のスパイウェア「Hermit」--グーグルが警告
https://japan.zdnet.com/article/35189518/
CYBERSECURITY & INFRASTRUCTURE SECURITY
AGENCY:2022/6/23(英文)
Alert (AA22-174A)
Malicious Cyber Actors Continue to
Exploit Log4Shell in VMware Horizon Systems
https://www.cisa.gov/uscert/ncas/alerts/aa22-174a
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved