パブリッククラウド

セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

「パブリッククラウド(クラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。IoTの浸透にも伴い、日本国内のクラウド市場は近い将来1兆円を超える規模になると言われており、現在急速に普及しています。世界的規模でみると、Amazon Web Services (AWS)、 Microsoft Azure、Google Cloud Platform (GCP) 、IBM Cloudといったメジャーサービスが現在シェアの半数以上を締めていますが、どんどん新しいサービスも登場しています。今回はクラウドコンピューティング時代に求められる本当に良質なクラウドサービスの選び方や、セキュリティソリューションについて解説していきたいと思います。

 

クラウドとは

クラウドは大きく分けて「パブリッククラウド」と「プライベートクラウド」の2つに分けられます。パブリッククラウドとは、企業や個人など不特定多数のユーザに対し、インターネットを通じて、サーバやストレージ、データベース、ソフトウェアなどのクラウドコンピューティング環境を提供するサービスのことを言い、AWS等もパブリッククラウドに含まれます。特定ユーザにのみ向けたプライベートクラウドと異なり、パブリッククラウドは高額のハードウェアや通信回線を自社で購入・保守する必要がなく、必要なときに必要な量のクラウド環境を、素早く利用することが可能となります。

プライベートクラウドとは、ひとつの企業のためだけに構築された環境を提供するサービスのことです。企業がクラウドコンピューティングのシステムを自社で構築し、企業内の部署やグループ会社のみでクラウドサービスを利用します。パブリッククラウドが誰でも使えるサービスであるのに対し、より利用者が限られたクラウドサービスと言えます。企業内でシステムを構築・管理できるので、より柔軟に運用できます。プライベートクラウドは、「オンプレミス型」と「ホスティング型」の2つがあり、オンプレミス型は独自のサーバを所有し、独自のクラウド環境が構築できます。ホスティング型は、サーバや設置場所はクラウドのプロバイダーが提供し、システムの一部を企業が占有して利用する方法です。

 

代表的なパブリッククラウド

・AWS

AWSは2006年からサービスを開始しており、世界では売上でトップシェアクラスのユーザ数を誇ります(米調査会社のガートナー2020年8月発表、2019年の世界シェア45%)。AWSはAmazonが自社商品の在庫管理やデータ分析を行うため、インフラやアプリケーションを一般利用者に公開したのが始まりです。クラウドコンピューティングを利用して、ストレージやデータベース、サーバなど、さまざまなサービスを貸し出しています。

AWSはサーバやストレージなどのインフラを提供するIaaS(Infrastructure as a Service)の種類が豊富なため、パブリッククラウドによるシステムの構築では、OSやミドルウェアの制限が少ないのが特徴です。その点では、利用者側でOSを含めたソフトウェアのセキュリティ管理などまで行う必要があります。

・Microsoft Azure

Microsoft Azureとは、2008年10月にマイクロソフト社のデベロッパーカンファレンスで発表され、2010年10月に「Windows Azure」としてサービスを開始しました。クラウドだけでなくオンプレミスでもMicrosoft Azureと同様の機能を利用することのできる「Azure Stack」が提供されていることも特長の一つです。さらに、アプリケーションとサービスのオンライン上のマーケットであるAzure Marketplaceでは、Microsoftやそのパートナーから提供されるサービスやツールを利用することができます。

・GCP

Google Cloud Platform(GCP) とは、Google がクラウド上で提供するサービス群の総称です。Google 社内で使われているものと同じテクノロジーやインフラを使用して、お客様のインフラ環境をクラウド化できます。

基本的な構成要素が初めから各種サービスとして用意されているため、それらを使用してすばやく開発を行うことができます。日本では2016年の11月から提供開始しています。

 

パブリッククラウドベンダーの選び方

メジャーなパブリッククラウドはそれまでの実績や規模から安心を覚え導入する企業も多いですが、パブリッククラウドベンダーを選ぶ場合は「メジャーである」という以外にも、きちんとサービスの質や信頼性をチェックする必要があります。パブリッククラウドを提供する事業者の信頼性は一つの重要な指標となります。会社の経営規模、事業としての安定性、そしてサービス利用者の数や、過去の事故情報の有無や安定性、そして何よりコストパフォーマンスが重要になってきます。

大規模な障害の影響

大きくなったデータセンターに障害や災害による被害があるとその影響は大きく、昨年、日本時間2019年8月23日に業界トップのAWSのサーバに数時間の障害があり、アクセス不能となっただけでも、その障害の影響力の大きさは大々的に報じられました。しかも障害発生中リアルタイムでサポートが受けられないことに不満の声も噴出しました。

メジャークラウド以外にも長い実績とクオリティの面優れたベンダーもあります。「Linodeクラウドコンピューティング」はアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。Linodeには、「専門家によるリアルタイムサポート体制」「コストとパフォーマンスの最適化」「クラウド料金のコスト削減を実現」「オープンクラウド (ベンダーロックインなし)」といったAWSと異なるアドバンテージが存在します。

コストパフォーマンス

クラウドコンピューティングを導入するメリットの一つに、オンプレミスに比較し、通産でのコストパフォーマンスがよいというのがあげられます。しかし、メジャーに代表されるAWSはそのコスト試算が非常に分かりにくいという声がしばしば聞かれます。実際本当に安いの?というのに疑問があるのです。

信頼性コストパフォーマンスから選ぶならLinode

AWSの代替としてお勧めしたいのがLinodeクラウドコンピューティングです。LinodeはアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。

  • コストとパフォーマンスの最適化
  • クラウド料金のコスト削減を実現
  • オープンクラウド (ベンダーロックインなし)
  • リアルカスタマーサービス
  • 100%独立したオープンクラウド
  • シンプル
  •  非競合

LinodeではAWSとは異なるこれらのアドバンテージを掲げ、現在世界中で800000人の利用者と開発者に選ばれています。

Web脅威を可視化し、遮断するクラウド型WAFを提供するクラウドブリックは、Linodeの日本パートナーです。詳細はこちらの記事をご覧ください。

 

進化するパブリッククラウドのセキュリティ

パブリッククラウドとプライベートクラウドはどちらにもメリットとデメリットがあります。パブリッククラウド多くは初期費用が無料なため、低コストで導入できるのがメリットです。ただしセキュリティ面では、専有環境を持てるプライベートクラウドの方が優れているとも言われてきました。そのため、セキュリティを含め、自社が必要とする要件や規模に合わせてプライベートクラウドを導入する企業も多かったのです。

CASB(Cloud Access Security Broker)

「CASB(Cloud Access Security Broker)」は2012年に米ガートナーが最初に提唱したクラウドサービスに対する情報セキュリティコンセプトです。一般的に「キャスビー」と呼ばれます。CASBのコンセプトは、「ユーザー(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化/制御することで、一貫性のあるセキュリティポリシーを適用する」ことです。サービス利用においてインターネットを経由する際にCASBを経由させることでセキュリティを担保することができるようになります。CASBの機能には可視化・分析、コンプライアンス、データセキュリティ、脅威防御といったものがあります。

  • 従業員や部署単位でのクラウドサービス利用を可視化し、把握できる
  • 自社のコンプライアンスに合致したクラウドサービスを利用できる
  • 複数のデータ保護対策を、クラウドサービスに上げる際に適用できる
  • マルウェア対策や、内部不正を検知して迅速に対処できる
  • セキュリティ対策における多層防御を強化できる

こうしたセキュリティが導入されているパブリッククラウドは安心して利用することが可能です。もちろんLinodeのすべてのデータセンターは、24時間365日のオンサイトセキュリティ診断、アクセス制御など、最新の設備を維持されています。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その2

ベライゾン(Verizon)の2020 DBIR Reportによると、昨今のデータ侵害の約5割がWebアプリケーションの脆弱性を狙った攻撃によって発生すると報告されています。Webアプリケーションに対する攻撃は益々増加し、関連規制も強化しつつあります。このような状況で企業が顧客の信頼を失わずにビジネスの持続性を保っていくためには、Webアプリケーション・セキュリティに対する最新情報を踏まえ、セキュリティ対策を強固にする必要があります。前回にご紹介した5つのセキュリティ・トレンドに続いて、今回も企業の信頼性とビジネス継続性を守れる最新のWebアプリケーション・セキュリティ・トレンドをまとめてお伝えします。

 

1. 個人情報保護強化

データ侵害による個人情報漏えいや個人情報不正利用など個人情報と関わるセキュリティ事故と被害が急増し、個人情報保護の重要性は年々高まっている現状です。

東京京商工リサーチによると2020年日本国内における個人情報漏えい被害の件数はおよそ2515万件に達するといいます。
また、外部からのサイバー攻撃による個人情報漏えいや不正利用等の他にも、企業が顧客の情報を無断収集・配布する行為によって顧客の個人情報が侵害された場合もあります。例を挙げると、2019年就職情報サイト「リクナビ」が、学生への説明が不十分なまま「内定辞退率」を企業に有償提供していた事件が代表的です。

被害拡大と共に個人情報保護法の改正により企業の個人情報収集・使用などに関する規制も強化され、2020年6月改正個人情報保護法は個人データを利用する企業の責任を重くした内容となっています。

顧客の個人情報侵害による信頼性の低下は長期的な観点からみると企業のビジネスに悪影響を与える可能性が高いです。したがって企業は顧客の信頼を失わないために個人情報と関わる規制に厳重に準拠するなど、個人情報保護に関するあらゆるイシューをWebアプリケーション・セキュリティに反映する必要があります。

 

2. ビルトインセキュリティbuilt-in security

ソフトウェア、サービスなどITシステムの企画·開発·運営のライフサイクルの全段階でセキュリティをビルトインすることの重要性が高まっています。

ビルトインセキュリティのメリットは、セキュリティを内蔵することを前提にソフトウェアやサービスを設計・開発する過程で、開発者が脆弱性を早期に識別し、対策を立てることが可能であることです。何よりもセキュリティ事故を未然に防ぐ事前対策を備えられることから、Webアプリケーション・セキュリティのトレンドとして注目されています。

 

3. アプリケーション・モニタリング Application Monitoring

アプリケーション・モニタリングは多様化しながら急増するサイバー攻撃を早期に発見し、被害拡大を抑えるために必需的に実装すべきのセキュリティ・ソリューションとして注目されています。

広くなるIT環境の中、いつどこから攻撃してくるか把握しきれないサイバー攻撃を人が直接毎分毎秒監視することはかなり時間と手数がかかる作業になります。そのためWebアプリケーションをリアルタイムでモニタリングする機能を企業システム内に搭載し、24時間サイバー攻撃を警戒・監視することが重要なセキュリティ・トレンドになっています。

  • アプリケーション・モニタリングによるメリット
  • 様々なソースからデータを収集
  • Webアプリケーションから脅威を検知・対応
  • 検知及び対応機能の拡張は脅威検知機能の正確さを向上
  • エンドユーザに影響する前にエラーを把握・処理

上記のようなメリットによってアプリケーションのセキュリティ性能と効率性が高まり、顧客の満足度まで確保できます。

 

4. Web攻撃の変化

Webアプリケーション・セキュリティの全般的な向上によってサイバー攻撃者も更なる進化を重ねて、Webアプリケーションを攻撃するための新しい手口を模索しています。そのため安全なWebアプリケーション・セキュリティ実現をためには、Web攻撃動向の変化を注意深く分析し、最も危険度高い攻撃を把握することを通じて、根本的な解決に繋げる対策に取り組むことが重要です。

ペンタセキュリティがリリースしたWebアプリケーション脅威分析レポート「WATTレポート」によると、2020年上半期Web攻撃Top5は次のようになっております。

  1. Extension Filtering(32.71%)
  2. Request Header Filtering(16.73%)
  3. SQL Injection(15.21%)
  4. Error Handling(7.46%)
  5. URL Access Control(5.71%)

Request Header Filteringの場合、2018年6.27%だった発生率は2020年上半期に16.73%まで上がり、その頻度が極めて増加したことが分かりました。また、Extension FilteringやSQL Injectionの場合、毎年のように発生していますが、URL Access Controlは2020年に新しくTop5に登場したWeb攻撃であります。このようなWeb攻撃動向の変化が2021年にも起こらないとは断言できませんので、一般的に知られているWeb攻撃への対策はもちろん、知られていない新しいWeb攻撃の登場を常に警戒する必要があります。

 

5. 2要素認証 Two-Factor Authentication

2要素認証とは、1つの要素だけで認証していた過程にもう1つの要素を加えてセキュリティの強化を図る手法のことです。例えば、一般的なIDとパスワードのような認証は「ID+パスワード」という1つだけの要素で認証を行います。それに対し2要素認証は、ユーザが知っているもの(パスワード、暗証番号、秘密の質問への回答など)、ユーザが持っているもの(トークン、携帯電話、USBなど)、ユーザの身体的な要素(顔または音声認識、指紋など)、この3つの認証要素のうち2つを組み合わせた認証プロセスです。

2要素認証は他人の個人情報と権限を奪取して企業のシステムに潜入したり、不正利用したりするサイバー攻撃が増えていることから企業のビジネスを守るセキュリティ・トレンドとして注目されています。

実際、2020年「ドコモ口座不正」事件の根本的な原因は本人確認の甘さでありました。ドコモ口座の開設に厳格な本人確認はなく、ドコモメールアドレスを用意するだけで登録が済んでしまいます。この単純な本人確認の過程によって、犯人は何らかの方法で預金者の名義や口座番号などを盗み出し、名義人に成り済ましてドコモ口座を開くことが可能であったため、不正引き出しの被害が発生したと分析できます。

このような被害に遭わないために2要素認証を導入して本人かどうかを徹底的に確認する厳重な本人確認が企業のWebアプリケーションに必需的なものとなっています。

 

さいごに

信頼できない企業にビジネス継続性があるとは言えません。なら、信頼できる企業になるっためには何が必要でしょうか?信頼を守る最も基本的な方法は、サイバー脅威からビジネスに関する情報はもちろん、顧客の情報まできちんと保護することです。
特にWebアプリケーションはコロナ禍につれ非対面生活が持続している今、更に注目すべきのセキュリティ領域であります。Webアプリケーションを基づいて行われる非対面活動が増加しており、サイバー攻撃者は急速に利用度が高まって成長しつつあるWebアプリケーションでユーザは見え切れなかったセキュリティの四角を見抜くためにその目を光らせているからです。

したがって、変化の流れを止めないIT環境でWebアプリケーションセキュリティを発展させるために、企業は昨今のIT環境で狙われやすい脆弱性、セキュリティ脅威の動向、最新セキュリティソリューションなどを把握し、これらをセキュリティ対策を立てる意思決定に反映する必要があります。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その1

サイバー攻撃者の主な標的になっているWebアプリケーションエリアは企業の核心情報に近接しています。そのため徹底したセキュルティ対策を立てることが何よりも重要です。急激に変化しつつある昨今のIT環境において、「果たしてどのようなセキュリティ対策をとるべきなのか」という問題を解くことはそう簡単ではありません。しかし企業はキュリティトレンドへ常に注目し、あらゆるサイバー攻撃に対抗できる対策について考え続ける必要があります。

そこで今回は、2021年企業が注目すべきWebアプリケーションセキュリティトレンドを2回にわたって説明したいと思います。

 

1. マシンラーニング・AI

医療・金融・製造等、様々な産業で使われているマシンラーニングとAI技術がもはやセキュリティ分野にも積極的に活用されており、この傾向は2021年以降にも堅調な推移が見込まれます。現在、セキュリティ分野ではAIが人の代わりに悪性コードの判明・分析を行い、誤検知率を低減させ、管理者の管理負担を軽減させる役割を果たしています。

2021年には以下の目標を目指して取り組みを続けていくと思われます。今後もAI・マシンラーニングによるセキュリティパフォーマンスは益々向上すると推測できるでしょう。

  • セキュリティ脅威検知技術の柔軟性向上
  • Webアプリケーションでの作業をモニタリングし、不正プログラムを検知
  • データの処理及び分析機能の向上
  • Webアプリケーションに発生できる脅威を予測

一方、これらの技術はセキュリティ分野だけでなく、サイバー攻撃を行う側にも利用されています。企業はIT技術の進歩がサイバー攻撃者に逆手に取られる可能性にも常に警戒し、対応策を講じておく必要があります。

 

2. クラウドコンピューティング・サーバレース環境

クラウドへ移行する企業と組織が多くなっている現在、急速に進むクラウドシフトと共にサーバレース環境も成長し続けています。
サーバレース環境とは、サーバの構築やメンテナンスの必要なく、アプリケーション機能を開発、実行、管理できるクラウドコンピューティングモデルの1つです。体表的にはFaaS (Function as a Service) があります。

サーバレース環境の導入におけるメリット

  • サーバー管理はサーバレスプロバイダーがすべてやってくれる
  • サーバー導入や管理などが一切不要になるため、開発の際プログラムを書く作業に集中できる
  • 使用時間と容量に合わせて費用が発生するため、費用対効果が高い

しかし、サーバレス環境ではさまざまなイベントソース(HTTP API、クラウドストレージ、IoTのデバイス間通信など)によって攻撃範囲が拡張されます。また、サーバレスは新規プラットフォームであるため、現在サーバレースを標的とした攻撃パターン等の情報は少ない状況です。企業はWebアプリケーションが見知らぬ脅威に遭わないために新しい技術導入にも注意を深める必要があります。

 

3. API統合

API(Application Programming Interface、アプリケーション・プログラミング・インターフェイス)は、異なるアプリケーション間の相互作用を可能にするために標準化されたツール、定義、プロトコルを意味します。このAPIを統合するということは、「2つ以上のアプリケーションがAPIを通じて互いにデータを交換できるようにする結び付き」だといえます。 このAPI統合によるメリットを簡単にご紹介すると以下の通りです。

  • ビジネスサービスの速度や生産性が向上
  • ユーザとパートナーにAPIを提供することによって、関連データが円滑に共有され顧客の満足度を向上

それぞれのアプリケーションがすべてつながるIT環境において、API統合の重要性は更に高まるはずです。しかし、API統合によって共用・個人ネットワークまたはクラウドネットワーク上でAPIが露出される可能性も高くなっており、これがサイバー攻撃者にとっては新たな機会になるかもしれません。 安全が保証できないAPIエンドポイントが深刻なデータ侵害のきっかけになりうることに注意を深める必要があります。

 

4. 企業のデータサイエンス

データサイエンスとはデータの中で有意義な情報と知識を探索・解析し、データの新たな価値を発見する学問分野のことです。データに基づいた合理的な意思決定を助けるデータサイエンスは、企業の経営活動に欠かせない学問分野となっています。セキュリティ分野においても、数えきれないIT環境の情報を収集·分析してこそ、より安全で徹底したセキュリティ対策を立てられるため、データサイエンスの重要度は高くなっております。

なお、データサイエンスがWebアプリケーションのセキュリティに提供するメリットは次の通りです。

  • セキュリティ脅威検知機能向上
  • 膨大なデータを分析し、攻撃者の行動を分析
  • データ保護(データサイエンスがマシンラーニングと結合する場合)

データサイエンスを踏まえた意思決定により、企業はサイバー攻撃を予測し、重要情報を守るセキュリティを実現できます。

 

5. 浸透テスト

企業は浸透テストを通じて「攻撃者の手口」や「攻撃者に狙われやすいセキュリティ脆弱性」を調べられます。浸透テストとは、ホワイトハッカーを通じて、実際の攻撃行為のシミュレーションを行うことです。浸透テストは情報セキュリティレベルを能動的に評価できる次のような情報を提供するため、Webアプリケーションのセキュリティのトレンドとなっています。

浸透テストが提供する情報

  • アプリケーションの脆弱性
  • アクセスされた重要データ
  • テスターがシステム内で検知されなかった時間

「敵を知り、己を知れば百戦危うからず」という諺のように、ハッカーが侵入した状況を意図的につくって、そこから攻撃者の手口や保護対象のセキュルティ脆弱性、敏感なデータなどを識別したら、実際の攻撃にも対応できるセキュアな環境を構成することができるでしょう。

 

さいごに

企業は、サイバー攻撃者の手口を用いる浸透テストや有意義な情報を収集・分析するデータサイエンスに基づいて先制的防御システムを構築できます。しかし、クラウド、サーバレス環境やAPI などのビズネス活動の利便性を増進させる技術が、サイバー攻撃に利用される場合もあることに警戒する必要があります。また、セキュリティ強化に使われるAI•マシンラーニングなどのIT技術が、サイバー攻撃者にとっても攻撃を高度化させる材料として使われる可能性も考えておくべきです。

次回のWebアプリケーションのセキュリティトレンドでも、注目すべきのセキュリティトレンドをご紹介いたしますので、一読をお願いいたします。

フィッシング

日本がフィッシング攻撃のグローバルターゲットに!その現状に対して緊急レポート

フィッシング対策協議会の報告によると、2020年12月のフィッシングは1,204 件増加し、過去最多となる32,171 件となりました。これは前月11月にはじめて3万件の大台を突破した3万967件からさらに1204件の増加となります。前年よりこちらでも度々警告してきたフィッシング詐欺の増加ですが、増加の一途をたどっています。しかもグローバルで11月に観測された攻撃キャンペーンの上位10件はいずれも日本を標的とするフィッシング攻撃です。それらはAmazon、楽天、三井住友カードの利用者をターゲットにし、中でもAmazonは1日あたり数十万件単位で送信されており、100万件を超える日も確認されています。今日本がフィッシング攻撃の標的にロックオンされているのは間違いなく、今回はその現状に警鐘を鳴らすと共に、企業がとり得る対策についてもお届けしたいと思います。

引用:フィッシング対策協議会

 

フィッシング攻撃とは

フィッシング(phishing)とは、インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為です。第三者がユーザをだましてオンラインから個人情報を入手しようと試みます。フィッシング サイトが要求する情報には次のようなものがあります。

  •  ユーザ名とパスワード
  • 社会保障番号
  • 銀行口座番号
  • PIN(暗証番号)
  • クレジット カード番号
  • 母親の旧姓
  • あなたの誕生日

金融機関や有名企業を装った電子メールに、「アカウント更新のため」などとして電子メール内に書かれているURLをクリックさせ、表示された偽のWebサイトに口座番号などのID、パスワードなどを入力させ、個人情報を取得するというものです。偽のWebサイトとはいえ、見た目はそっくりに作られているため、それが偽のWebサイトであるということに気づくのは困難です。

 

フィッシングの種類

スピアフィッシング

スピアフィッシングは、単純ですが危険性の高い、Eメール経由の標的型攻撃です。一見何の変哲もないメールの 本文にリンクが記載されていたり、ファイルが添付されていたりします。他のフィッシングとの違いは、普通のフィッシングは範囲や標的を絞らずに行うのに対し、スピアフィッシングは特定の企業の特定の人物や社員を標的にする点です。標的を絞り込むため精度が高まり、通常のフィッシングよりも悪質で危険度が高いと言われています。サイバー犯罪者は標的に関する情報を慎重に収集し、標的を引き付ける「餌」を用意します。うまく作られたスピアフィッシングメールは本物とほぼ見分けがつかないため、相手をより簡単に釣り上げられるのです。不特定多数に送り付けるスパムメールならメールを開く人も3%程度なのが、狙いを定めたスピアフィッシングでは、70%ものメールが開かれてしまうと言う統計もあります。

攻撃者は、基本的に実用的で小さなプログラム、Microsoft WordのマクロやJavaScriptコードを使って文書を攻撃の手段に変え、一般的なファイルに埋め込みます。その唯一の目的は、さらに有害なマルウェアを標的のコンピューターにダウンロードすることです。コンピューターに感染したマルウェアは、標的のネットワーク全体に拡散することもあれば、集められるだけの情報を集めまくることもあります。このようにして、マルウェア作成者は目的の情報を探し出します。こうした高度に入念に準備して行うスピアフィッシングでは、大企業の幹部、金融機関の職員等影響力のある人物に狙いを定めます。

スピアフィッシングのメールの大半は、ITの監督権限のある方、あるいはネットワークドメインのアドミニストレータを標的に送られます。ここを攻略すれば社内ネットワークにマルウェアを広げることができるからです。

スピアフィッシングの中でも、特に大きな獲物、すなわち最高経営責任者(CEO)などの経営幹部を狙うフィッシングのことを、ホエーリング(whaling)やホエールフィッシング(whale phishing)と呼びます。社外の取締役等はその会社の社員ではないことから、業務関連の連絡に個人用のメールアドレスを使っている場合も多く、ホエールフィッシングの標的に狙われやすいという指摘もあります。

新型コロナウイルスの感染拡大に便乗した、中国、北朝鮮、ロシアの攻撃グループによる複数のスピアフィッシング攻撃等も報告されています。

ラテラルフィッシングメール

ラテラルとは横方向を意味し、サイバー攻撃により内部ネットワークに不正侵入後、横方向への感染を拡大する行為を「ラテラルムーブメント」と呼びます。ラテラルフィッシングは、攻撃者が組織内のメールアカウントを何らかの手法で乗っ取り、その組織の正規アカウント(ドメイン)から、取引先等なんらかの横つながりにある企業に対し、フィッシングメールを送るものです。正規の内部アカウントからのメールなので、現在の攻撃検知の想定外のため、一般に検知が困難です。フィッシングが浸透してから、「偽ドメインからのメール」へ警戒を強める従業員も多くなりました。有名企業を騙るメール名でも、ドメインが異なれば不用意に開かいのは最早常識となりました。しかし、ラテラルフィッシングは、「正規ドメイン」からフィッシングメールが送付されて来るので、この常識が通用しません。

インターネットバンキングの被害にも

インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金されるケースがあります。フィッシング詐欺では、実際に存在する銀行やクレジットカード会社、ショッピングサイト、SNSなどを装った偽のメールやショートメッセージ(SMS)が送付され、本物のログインページを精巧に模した「偽のログインページ」に誘導されます。この偽のログインページで入力してしまったアカウント情報などは、悪意のある第3者に送信されます。この不正に盗まれた情報は、不正送金などのために悪用される恐れがあります。そしてIDやパスワードなどの情報を入力させて盗み取り、口座から預金を不正に引き出すのが典型的なものです。実際に送付されてくるメールでは、「システムトラブル」や「セキュリティ対策のため」などを装い、偽のログインページにアカウント情報を入力させるように巧みに誘導する文面になっています。フィッシングで偽サイトに誘導されている場合は、URLなどを確認することで、正規のサイトであるかどうか確認することが可能です。

 

企業に影響のあるフィッシング被害

なりすまし被害

自社がフィッシングのなりすましにあうケースが想定されます。例えばECサイトの場合、対象サイトは売上減だけではなく、サイトの信頼回復に時間がかかるとの報告もあります。一見しただけではニセモノと見分けがつかないサイトが多いこと、またネットショップ側になりすましたメールでフィッシングサイトへ誘導されることもあります。

そこで企業としては入手したいのが『SSLサーバー証明書』です。SSLサーバー証明書は『https://』で始まるサイトの暗号化だけでなく、第三者のなりすましによる偽サイトを防ぐためにも役に立ちます。 ただし、SSLサーバー証明書にはランクがあり、中には信頼できない機関によって発行されるものも存在するため注意が必要です。 最上位の証明であるEV(Extended Validation)SSL証明書であれば、認証基準に基づいた実在確認をするため、非常に高い信頼性が期待できます。

Webページが改ざん被害

またSQLインジェクションではWebページが改ざんされ、フィッシングサイトへ訪問者を誘導されることもあります。あるいは、SQLインジェクションを利用してサーバー上のファイルを書き換えることでWebページを改ざんされることもあります。この場合、訪問者をフィッシングサイトに誘導したり、ウィルスに感染させたりといった被害が予想されます。
他にもロスサイトスクリプティング(Cross Site Scripting、XSS)によってお問い合わせフォームに悪意のあるスクリプト(JavaScriptなど)を入力して、ホームページを改ざんする攻撃も存在します。埋め込んだスクリプトを利用して、訪問者のcookie(クッキー)情報を盗み取り、各種サービスのログインID・パスワードを盗みとります。
このようなケースの場合、実際は自社が被害者であるにもかかわらず、加害者として扱われてしまうことになります。クロスサイトスクリプティングによる情報流出が発生すると、甚大なクレームが発生し、会社の社会的な信頼も失われてしまいます。

 

さいごに

SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を防御するには、防ぐ有効な手段としてWAFが注目されています。WAFの大きなメリットは、ホームページに予期していない脆弱性が潜んでいたとしても、攻撃パターンを読み取ってアタックを未然に防いでくれる点です。また、脆弱性を修正されるまでのタイムラグにゼロデイ攻撃を受けつづけるリスクも減少します。WAFを導入することで、ホームページのセキュリティが格段に向上します。

Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

Cloudbric WAF+

テレワーク脅威

2021年セキュリティ脅威予測 : テレワーク環境がサイバー攻撃の弱点に!

トレンドマイクロは12月22日、脅威動向を予測したレポート「2021年セキュリティ脅威予測」を公開しました。その中で自宅のテレワーク環境がサイバー攻撃の弱点になりうると警鐘をならしています。2020年、多くの企業は新型コロナウイルス(Covid-19)のパンデミックに対応するため、業務機能、クラウドマイグレーション、テレワークのサポート等、さまざまな側面から運用とセキュリティのプロセスを見直す必要に迫られました。こうした状況の中、これまでのセキュリティリスクに加え、2020年に企業が直面した課題だけでなく、今後も続くであろう混乱に対する備えについても懸念が高まっています。テレワークの実施が恒常化したいま、テレワーク環境を狙ったサイバー攻撃が急増しています。手口が高度化・巧妙化する脅威の侵入を完全に防ぎ切ることは、もはや難しいとみられます。これからは、テレワーク環境で使われるエンドポイントからの侵入を前提にしたセキュリティ対策が必要になってくるでしょう。そんな中どのようなセキュリティ対策が効果的なのか、今回は紐解いていきたいと思います。

 

テレワーク環境がサイバー攻撃の弱点になっている

テレワークが当たり前になった現在、社員の自宅は、今後も引き続きオフィスとして利用される可能性があります。これにより、多くの社員が自宅からデバイス(私的なデバイスを含む)を使用して社内ネットワークの機密情報にアクセスする状況となり、こうした業務体制があらゆる企業にとって深刻なリスクとなります。このような状況においては、安全なアクセスを維持し、攻撃経路を阻止できる強固なセキュリティツールを導入しない限り、攻撃者は、容易に社内ネットワークへ侵入し、利用可能なターゲットを見つけるために端末へと移動を続けることになります。

1.自宅のテレワーク環境がサイバー攻撃の弱点に

今後、サイバー攻撃者が脆弱なホームネットワークから従業員の自宅のコンピュータを乗っ取って、組織ネットワークへ侵入することが顕著になることが予想されます。サイバー攻撃者にとって、自宅のルーターは格好の標的となります。侵入済みのルーターへのアクセス権をアンダーグラウンド市場で販売する傾向が見られるでしょう。加えて、企業の経営幹部やIT管理者のテレワーク環境など、サイバー攻撃者にとって価値の高いホームネットワークへのアクセス権を提供するアンダーグラウンドのサービスは需要が高くなるとみられています。
また、VPNシステムの脆弱性による侵入やアンダーグラウンド市場で脆弱性が適用されていないシステムのリストが確認されており、多くの組織にとって今後はVPNの脆弱性に一層注意する必要があります。

2.新型コロナウイルスに便乗した脅威の継続と医療機関を狙ったサイバー攻撃の深刻化

サイバー犯罪者は、新型コロナウイルスに対する人々の不安に便乗し、サイバー攻撃をおこなっており、この傾向は2021年も継続するとみられます。2021年は新型コロナウイルスに対するワクチンの開発や治験、提供が進むことで、ワクチン開発関連組織へのサイバー偵察・情報窃取が行われることが懸念されています。

3.修正プログラム適用までの空白期間を狙う「Nデイ脆弱性」の悪用が横行

2021年はベンダーにより修正プログラムが提供されている既知の脆弱性「Nデイ脆弱性」が重大な懸念を引き起こすとみられています。デイ脆弱性は、該当のソフトウェアやシステム開発企業から公開開示文書などが公開されており、悪用できる方法を探しているサイバー攻撃者にとって、悪用できる脆弱性の特定が容易です。加えて、2020年はVPNの脆弱性を狙う攻撃を多く確認したほか、複数の攻撃キャンペーンでも既知の脆弱性が多数悪用されていたことを確認しています。

 

テレワークを行う際のセキュリティ上の注意事項

世界中が新型コロナウイルス感染症によるパンデミックの災禍に見舞われるなか、不安につけ込んだサイバー攻撃が次々に見つかってます。複数のセキュリティ調査機関によると、コロナウイルス関連情報に見せかけたファイルやドメインを使用するサイバー攻撃、パンデミックを悪用して利益を得ようとするランサムウェアなども確認されています。とくに感染拡大被害が大きい地域、過酷な勤務によって疲弊する医療機関をターゲットにした脅威がめだって増えており、攻撃者の卑劣さが改めてうかがえます。2021年のサイバー攻撃の脅威としては、テレワークが鍵になっていることが各種レポートから伺えます。例えばIPA(情報処理推進機構)ではテレワークを行う際のセキュリティ上の注意事項として以下のような注意点をあげています。

所属する組織や企業からテレワーク環境が提供されている場合

  1. テレワーク勤務者の方は、お使いのテレワーク環境に関して所属先が定めた規程やルールをよく理解し、それに従ってください。
  2. 不明な点等がある場合は自分で判断せず、まずは所属先のシステム管理者等に相談をしてください。
  3. 規程やルールとあわせて、お使いのパソコン等に対して<日常における情報セキュリティ対策>を実施してください。

所属する組織や企業からテレワーク環境が提供されていない場合

  1. 本格的なテレワーク環境が提供されておらず、自宅のパソコン等で業務に関わるメールの送受信や資料作成等を行う場合には、自身によるセキュリティ対策を強く意識する必要があります。自分はITにそれほど詳しくない、相談できるシステム管理者がいない、等の状況にある方は、普段使っている個人の環境のセキュリティ対策を見直すことから始めてください。
  2. そのために、以下の<日常における情報セキュリティ対策>を確認し実施してください。
  • 修正プログラムの適用
  • セキュリティソフトの導入および定義ファイルの最新化
  • パスワードの適切な設定と管理
  • 不審なメールに注意
  • USBメモリ等の取り扱いの注意
  • 社内ネットワークへの機器接続ルールの遵守
  • ソフトウェアをインストールする際の注意
  • パソコン等の画面ロック機能の設定

テレワーク時に特に気をつけるべき注意事項

  1. テレワークで使用するパソコン等は、できる限り他人と共有して使わないようにしてください。共有で使わざるを得ない場合は、業務用のユーザーアカウントを別途作成してください。
  2. ウェブ会議のサービス等を新たに使い始める際は、事前にそのサービス等の初期設定の内容を確認してください。特にセキュリティ機能は積極的に活用してください。
  3. 自宅のルータは、メーカーのサイトを確認のうえ、最新のファームウェアを適用、ソフトウェア更新してください。

公共の場で行う場合

  1. カフェ等の公共の場所でパソコン等を使用するときはパソコンの画面をのぞかれないように注意してください。
  2. 公共の場所でウェブ会議を行う場合は、話し声が他の人に聞こえないように注意してください。
  3. 公衆Wi-Fiを利用する場合は、パソコンのファイル共有機能をオフにしてください。
  4. 公衆Wi-Fiを利用する場合は、必要に応じて信頼できるVPNサービスを利用してください。
  5. デジタルデータ/ファイルだけではなく、紙の書類等の管理にも注意してください。

 

さいごに

働き方改革が推進される中で流行した新型コロナウイルスの影響で「テレワーク」が急増しています。セキュリティガイドラインの策定をはじめ、実践的なセキュリティルール・情報管理ルールの策定が企業には求められています。今回まとめたように、従業員がテレワーク時にとるべき行動をルール化し、ガイドラインとルールを遵守できる環境作りが大切になってきます。

情報セキュリティの重要性について理解してもらい、従業員一人ひとりに浸透させていくことが欠かせません。

特にテレワーク勤務者は、オフィスから目の届きにくい場所で作業をすることとなります。そのためにも、ルールの趣旨や、ルールを遵守することの重要性を自覚してもらうことが大切です。