情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年11月1日号
***************************************************************
情報セキュリティとサイバーセキュリティは視点と考え方が違う
***************************************************************
情報セキュリティとは、情報の機密性、完全性、可用性を維持することと定義されていて、これらを維持
運用するために、情報セキュリティマネージメントシステム(ISMS)が必要であるとされている。
一方でサイバーセキュリティとは、サイバー空間への防御という考え方から、情報セキュリティの3要素で
ある「機密性」「完全性」「可用性」に対する脅威、つまり不正アクセスによる情報の改ざんや滅失、情
報流出に対するリスクをどのように対処するかというものになる。
一般的に情報セキュリティ対策としてファイアーウォールやアンチウイルス、IPS、WAFといったセキュリティ
対策製品などを使いながら、いつ来るか分からない攻撃に備え、情報セキュリティの機密性、完全性、
可用性を保つというセキュリティ対策が進められてきた。
機密性、完全性、可用性を維持するために、セキュリティ対策製品を使用するという考え方である。
しかし昨今のサイバー攻撃は、これらのセキュリティ対策製品をすり抜け、内部に侵入して攻撃する手法
がほとんどで、日本でも被害が続出している。
サイバー攻撃にも様々な手法が存在するが、毎年増加している攻撃のひとつに「ランサムウェア攻撃」が
あり、日本でも今年に入り、インターネット上でランサムウェア被害を公表した会社は70社を超えた。
また、被害を受けながらも何らかの理由で公表していない会社も多く存在していて、その数は公表して
いる会社の3倍以上は存在するのではないかと考えられる。
SIPSによる情報収集の中にも、公表されていないハッキング情報は多数あり、正にその数が多いことが
実証されている。
公表するか否かは、各社の判断であるが、個人情報の流出が含まれる場合には個人情報保護法に
則った適切な対応が必須となるので注意しなければ、法的に裁かれる恐れがあるので注意したい。
さて一向に止む気配がないランサムウェア攻撃だが、テレビ、新聞、ネットニュース等でも様々報じられて
いても次々に被害に遭うのは、企業側の問題なのか、それとも攻撃者が凄いのか・・・等と考えてしまう。
昨日も大阪急性期・総合医療センターや秋田県のJA大潟村のシステムがランサムウェア攻撃の被害に
あったことがニュースで取り上げられている。
今年9月に日本の酒造メーカーである日本盛がランサムウェアの攻撃を受けた。システム障害の影響に
より通信販売の商品の発送を一時見合わせるなど被害は拡大したが、攻撃はSSL
VPNの機器の脆
弱性を利用して内部に侵入したものと分析されている。
昨年発生した徳島県半田病院もVPN装置の脆弱性が放置されたままであったということが分かっていて
各社のネットニュース等でも、VPNの脆弱性を確認するよう注意喚起の記事が多数見られた。
では、これらのVPN装置の脆弱性を確認し、最新のバージョンにアップデートすれば問題はないのだろうか。
VPN装置のアップデートは、冒頭で説明した情報セキュリティマネージメントシステムの運用の一つで、
VPNの脆弱性というリスクを考え、そのリスクを最小化するためにアップデートするという方法である。
システム上は最新バージョンにアップデートしたことで、情報セキュリティ対策を取ったことになる。
しかし、それでも攻撃者は侵入してくることがある。
攻撃者たちはサイバー空間で他の侵入のための情報を入手してターゲットの機器にアクセスしてくるのだ。
闇市場には「VPN接続情報の販売」「サーバ管理者権限の販売」など管理者としてVPNやサーバに
ログインする権限情報が無数に販売されている。
ログイン権限であるのだから、脆弱性の有無など関係がない。管理者になりすましログインしてしまえば
最高権限の下で自由に内部をコントロールできてしまうのである。
サイバー空間で、このような情報が売買されて管理者権限で侵入してくるというリスクを想定して対策を
取る・・・これがサイバーセキュリティの考え方になる。
もちろん、管理者権限がサイバー空間(闇市場)に流出している事が事前に分からなければならない。
事前に分かれば対処方法もあり、サーバー攻撃を警戒した対策が取れる。
つまりサイバー空間の情報を入手できるか、否かが攻撃を受けるか否かに関係してくるという事になる。
ランサムウェアグループといっても多数のハッキンググループがあり、日本に対するランサムウェア攻撃で最も
多いのは「LockBit3.0」と呼ばれるグループである。※以前はLockBit2.0
この「LockBit3.0」のランサムウェアソースコードが9月に流出した。一部報道では、内部で衝突があり
メンバーが流出したという記事もあるが、闇市場には次のようなメッセージとともにソースコードが存在した。
「Our team managed to hack server LockBit servers as a
,Builder LockBit3.0 was
found on of the servers.」
SIPSではもちろん、即時情報とソースコードを入手したが、本来はセキュリティ関連機関やセキュリティ
ベンダーがこれを分析して対策を提示すれば、その後多くの企業が救えたのかもしれない。
そんな中、衝撃的なニュースが飛び込んできた。
昨年半田病院にランサムウェア攻撃をしたハッカー集団「LockBit3.0」が身代金3万ドルを受領した
というニュースである。
半田病院は身代金を支払わないとして、自らの被害を公開しテレビや新聞の取材を受けて情報を提供
して同様の被害を受けないように注意喚起を行っていたはずである。
その後、半田病院のランサムウェア攻撃に関連して有識者会議が開かれ、報告書が提出されたが、それ
を見ると、「被害発生後にデータ復旧を担当した事業者が復旧に難色を示していたが、突然年末に全面
復旧を果たした。暗号技術が解決しなければ復旧は不可能であり、何かしらの方法で復旧に必要な手
段を入手し復旧した可能性がある」と指摘している。
復旧を依頼されたIT事業者の関係者が身代金支払いの交渉をした可能性があるということだが、身代
金は約450万円で復旧作業費としてそれ以上の金額を受注すれば利益が出るという事だろうか?
半田病院が被害にあった直後、朝日新聞の記事に対して「実はうちも・・・」と寄せられた先に取材をすると
そこでも大手IT企業に調査を依頼したが、ランサムウェアに関する情報や、再発防止策の助言を求めても
明確な回答はなく、セキュリティに詳しい人が関わっている様子はなかったという。
どちらにしても、サイバーセキュリティ事業をしている側からすればひどい話である。
先ずは顧客を第一に考え、顧客の被害を少しでも少なくするためにどうするかを考えなければならない
立場のセキュリティ事業者がビジネス利益を最優先にしているとすれば本末転倒である。
サイバーセキュリティは、サイバー空間の特に悪意の闇ビジネスを行っている「闇市場」で何が行われてい
て、これからどんなことが行われるのか理解した上で、その情報を基に顧客に対するリスクを提示し対策する
ということが出来なければ、いくら机上の知識があったところで本当の意味の対策は取るのは難しい。
まして、身代金を支払い表面的に解決したように見せて攻撃者を助長する行為などあってはならない。
闇市場での活動は年末年始に向けて著しく動き始めている。
ランサムウェアだけではない、インジェクション攻撃や不正ログインのための管理者権限情報の売買など
非常に危険な情報が大量に流通している。
今年9月、日本政府でもサイバー空間を常時、巡回監視し、安全保障上の脅威となり得る不審な通信
や挙動をいち早く把握し、対処する「積極的サイバー防衛」を取り入れるとしていて、当然関係省からも
各々の業種に指針が出てくるはずである。
サイバーセキュリティというキーワードで、今一度自らの脅威リスクを見直すことをお奨めしたい。
考えている間にも攻撃者の足音は近づいている。
それが結果として、事業継続と事業発展に繋がるという事を今一度推奨させていただきたい。
***************************************************************
<参考URL>
IT
media:2022/10/26
酒造会社にランサム攻撃 VPN機器の脆弱性を悪用 商品発送が一時見合わせに
https://www.itmedia.co.jp/news/articles/2210/26/news178.html
産経新聞:2022/10/26
露ハッカー集団「3万ドル受領」 徳島の病院サイバー攻撃で
https://www.sankei.com/article/20221026-ZRPNOQ4FPRMIPHF6HRGOMLNDFA/
Med IT Tech:2022/6/16
半田病院にランサムウェア被害、有識者会議の調査報告書公表
様々な問題浮き彫りに
https://medit.tech/handa-hispital-cybersecurity-incident-report-2022-june/
SoftwareISAC:2021/12/30
ランサムウェア、徳島県の病院から学ぶこと
https://softwareisac.jp/wp/?p=19936
読売新聞:2022/9/13
「積極的サイバー防御」重要インフラ対象に導入へ…政府、攻撃元に侵入や無力化検討
https://www.yomiuri.co.jp/politics/20220912-OYT1T50308/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved