2022年上半期のサイバー攻撃動向

2022年上半期のサイバー攻撃の動向~企業に求められるセキュリティ対策を解説~

2022年上半期のサイバー攻撃の動向

2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。

 

2022年上半期のサイバー攻撃について

2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。

 

2022年上半期の代表的なサイバー攻撃「ランサムウェア」の概要と被害実態について

前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。

 

2022年上半期:企業や自治体を襲ったサイバー攻撃

〇自治体を襲ったサイバー攻撃:

広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。

 

〇自動車関連企業を狙ったサプライチェーンに対するサイバー攻撃:

3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。

 

〇大手菓子メーカー、サイバー攻撃で164万人以上の個人情報流出の疑い:

3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。

 

〇衣料品チェーン大手を襲ったサイバー攻撃:

全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。

このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。

 

企業でのサイバー攻撃対策の在り方

企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。

 

頻発しているサイバー攻撃、企業はどうすればいい?

サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。

 

ウェビナーイメージ

【ウェビナー】サイバー攻撃に対応するために、今必要なセキュリティ対策は?

~昨今多発している不正アクセス等のサイバー攻撃対策に効果的なクラウド型WAFサービスをご紹介~

 

この度、パートナー企業である大興電子通信株式会社様と共同でオンラインセミナーを開催いたしました。大興電子さんからは「不正アクセスなどのサイバー攻撃、どのように対応するか?~サイバー攻撃の発生状況と対策の必要性~」を、弊社からは「企業情報セキュリティの考え方の基礎と今求められているクラウド型WAFその選び方について」をテーマに講演しました。セミナーを見逃した方や、もう一度セミナーを見たい方のためにセミナー動画を共有いたします。

サイバー攻撃を防ぐためのWebセキュリティ対策や今注目を浴びているクラウド型WAFについて詳しく説明していますので、WAFをよくわからない方にもお役に立つ情報がたくさんありますので、ぜひご覧ください。

7

C製薬会社

業種 医薬品製造業及び卸売業
規模 大企業

※本事例は、お客様のご希望により匿名で掲載しております。

今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)

 

WAFを導入したきっかけ

「Webサイトを24時間365日安全に運用・管理したい」

弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」

クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」

クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。

病院へのサイバー攻撃、危険性、対策

病院へのサイバー攻撃、その危険性と対策について

病院へのサイバー攻撃、ランサムウェアによる被害

近年、大企業や公的機関を標的としたサイバー攻撃の被害が多数報告されています。多くの人々に影響を与える危険性が高い攻撃ですが、中でも、人命に直接関わる機関である病院を標的としたサイバー攻撃への対策が重要視されています。IT化の進んだ現在、病院でも数多くのIT機器やシステムが利用されており、それらに障害が発生すると業務に甚大な影響が想定されます。人命に関わる事故が起こる可能性も否定できません。そうした事情を受け、この記事では病院へのサイバー攻撃の事例や原因、対策について解説していきます。

 

病院を狙ったサイバー攻撃の実例

病院を狙ったサイバー攻撃には、どのようなものがあったのでしょうか。代表的な事例として、2021年11月頃に発生した事件があります。徳島県つるぎ町立半田病院がサイバー攻撃の被害に遭った事件です。患者の住所や診察履歴等が記録されていた電子カルテが使用できなくなり、業務に大きな支障が生じました。電子カルテが使えなくなったことで、診察にかかる手間が大幅に増えただけでなく、過去の通院歴や処方箋等も分からないため、患者への聞き取りや薬局等から得られる情報から診察を行っていたようです。半田病院によると、2021年10月31日未明、電子カルテに不具合が発生し、英語で「あなたのデータは盗まれ、暗号化された。」といったメッセージが印刷された書類が大量に印刷された、とのことです。それに伴い、電子カルテの一切が閲覧不可能になってしまったようです。システムの復旧に関しては、2022年1月4日より、電子カルテを管理するサーバーの復旧に伴い、通常の診療が再開されたと発表があります。実に2ヶ月もの間、診察業務に支障をきたしていたことにあります。この一連の被害は「ランサムウェア」の感染によるものとされています。

 

ランサムウェアとは?病院のシステムへの被害とは

まず、「ランサムウェア」について解説していきます。大企業などで被害が多数報告されており、特に企業のセキュリティ担当者の方は、きちんと概要を理解して対策を講じる必要があります。

ランサムウェアとは

「ランサムウェア」とは、簡単に言えば「データやシステムを使用不可能な状態にし、その復元と引き換えに身代金を要求する」マルウェア、およびそれを利用したサイバー攻撃です。「Ransom(身代金)」と「Software(ソフトウェア)」とを組み合わせた言葉です。例えば、ある企業が顧客の情報を一括して管理するシステムを利用していたとします。顧客情報の中には、各自の個人情報や取引履歴等、業務に必要な情報が多数含まれています。その重要なシステムが「ランサムウェア」に感染してしまうと、顧客情報が暗号化されてしまい、企業はそのシステムを使うことができません。そこで、攻撃者はランサムウェアにより、「このデータを元に戻してほしければ、身代金を支払え」と要求し、企業がそれに応じてしまった場合、攻撃者は不当に金銭を得ることとなります。

主な感染の経路としては、スパムメールや改ざんされたWebサイトなどから、不正なサイトへの誘導されてしまうことが指摘されています。想定される被害としては、システムの情報の暗号化や、PCそのものをロックしてしまう、といったものが挙げられます。また、暗号化と同時にデータを盗み出し、「身代金の支払いに応じなければ、データを公開する」といった二重の仕方で脅迫する例もあります。個人情報等、外部への公開が望ましくない情報を扱っている場合、特に注意が必要となります。

 

病院がランサムウェアに感染するとどうなる?

それでは、病院のシステムがランサムウェアに感染した場合、どのような被害が想定されるのでしょうか。現代の病院では、数多くのIT機器やシステムを利用しています。それら全てが医療に関わるものであるため、ランサムウェアへの感染によりシステムやデータが利用不可能な状態になってしまうと、人命に危険が及ぶことも十分に想定されます。実際に、ドイツのデュッセルドルフ大学病院がランサムウェアの被害に遭ったことで救急患者の受け入れができず、治療が遅れた結果、命を落としたという事例が報道されています。

病院のシステムが利用不可能になることで、人命に危険がおよぶ可能性がある、ということ。これが、病院がランサムウェアに感染した場合に想定される大きな被害です。

 

なぜ病院が被害にあうのか

それでは、なぜ病院がランサムウェアの被害に遭うのでしょうか。主な理由としては、業務や扱う情報の重要性の高さと、セキュリティ対策の不十分さという二点が挙げられます。病院がランサムウェアの攻撃対象として狙われやすい理由の一つとして、想定される被害が人命に関わり、社会全体に甚大な影響を及ぼす可能性がある、ということが指摘されています。診察記録等の重要な情報を扱っているため被害が深刻化しやすく、感染した際に身代金の支払いに応じやすいのではないか、という理由から攻撃者に狙われている可能性があります。昨今の新型コロナウイルスの感染拡大を受け、治療法やワクチンなど、データそのものの価値も高まっているとの見方もあります。

また、病院が被害に遭いやすい理由として、病院のセキュリティ対策が不十分になりがちである、という事情もあります。IT企業をはじめとする大企業のセキュリティ対策に比べると、病院は経営状態のひっ迫等の事情により、十分な予算をセキュリティ対策に割り当てることができていません。セキュリティをはじめとするIT関係の技術者・スタッフの確保も不十分な場合が多く、重大なセキュリティホールに気づかずに業務を遂行している可能性があります。このような事情により、病院がサイバー攻撃の標的となりやすいのではないか、と指摘されています。

 

取るべき対策

一般的なランサムウェア対策として、三つの対策が想定されます。一つはセキュリティ対策です。そもそもランサムウェアに感染しないように、感染経路であるスパムメールや不審なWebサイト等へのアクセスを避けるよう注意喚起を行い、インシデントが起こった際の対応手順などのセキュリティ教育をきちんと実施することで、被害の最小化が期待できます。もう一つがデータのバックアップです。十分な対策を講じても、感染の可能性が完全にゼロになるとは言い切れません。データのバックアップをとっておけば、万一ランサムウェアに感染し、データが暗号化されてしまった場合でも、対応が可能となります。最後の一つが、セキュリティ対策ソフト、プラットフォーム等の導入です。マルウェアの検知と駆除や、未知のウイルスに対する振る舞い検知など、セキュリティ対策製品の導入は必須の対策となります。病院の場合は「セキュリティ対策が不足しがち」ということもあり、IT関係のスタッフの補充など、根本的な対策が必要となります。基本的な対策としてWAFの導入をお勧めします。攻撃を防ぐだけでなく被害を最小限にするための対策も必要でしょう。その役割を担うのがWAFであり、Webサイトセキュリティに欠かせない対策です。

病院のランサムウェア被害の急増を受け、厚生労働省は医療機関の情報セキュリティに関する改定指針に、ランサムウェア対策を明記し、バックアップデータの扱い等についての内容を盛り込みました。また、一定以上の規模の病院では、情報セキュリティの責任者を設置する必要性も指摘されています。国のガイドラインやセキュリティベンダーの指示にしたがい、十分な対策を施す必要があります。

 

まとめ

病院がランサムウェアをはじめとするサイバー攻撃の被害に遭った場合、人命に関わる甚大な社会的影響が懸念されます。病院関係者だけでなく、社会全体で情報を共有し、対策に努めていく必要があるでしょう。近年、大企業等で多くの被害が報告されているランサムウェア。セキュリティ教育やセキュリティ製品の導入、バックアップといった十分な対策を講じましょう。

Toyota ransom picture

企業を狙ったランサムウェア攻撃から学ぶ、企業に必要なセキュリティ対策

Toyota ransom picture2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を、3月1日に停止することを発表しました。同時にその原因が「トヨタ自動車の取引先企業がランサムウェアに感染したため」だということも明らかになり、大きな話題となりました。その他に、3月14日にはトヨタ自動車系の部品メーカー、デンソーのドイツの現地法人がサイバー攻撃を受けたこともありました。この事件もランサムウェアによるサイバー攻撃でした。取引先企業がランサムウェアの感染により、業務に必要なシステムが使用不可になったため、工場を停止することになりました。工場停止は3月1日だけで、翌3月2日からは全ての工場の稼働が再開しましたが、たった1日の稼働停止でも計1万3千台以上の車両生産に遅れがでるなど、決して小さくない余波が広がっています。

ここではトヨタ自動車関連企業へのサイバー攻撃事件の説明および本事件から学びとれる「企業セキュリティに必要なランサムウェア対策」について解説していきます。

 

トヨタ自動車を狙ったサイバー攻撃の経緯

サイバー攻撃を受けたのはトヨタ自動車の主要取引先(一次取引先)である「小島プレス工業」という企業です。同社は愛知県豊田市を拠点とし、主に車の内外装の樹脂部品を製造しています。2月26日夜、小島プレス工業は社内サーバーの障害を検知したため、安全確認のためにネットワークを遮断しました。しばらくして再起動するとコンピュータ画面に英文で「このリンクにアクセスしないと機密情報を公開する」といった趣旨の脅迫文が表示されたといいます。同社はすぐに専門家に相談し、被害の拡大を防ぐためにすべてのネットワークを遮断。これにより、業務継続に必要不可欠な「部品の受発注システム」が使用不能となってしまいました。

本件は「ウィルスに感染させ、脅し、金銭を要求する」という手口から見て、ランサムウェアによるサイバー攻撃と判断して間違いないと思います。

なぜ全ての工場の稼働を停止したのか?

一言で言えば、小島プレス工業がトヨタ自動車の一次取引先だからです。一次取引先である同社は、自動車製造に欠かせない多種多様な製品を”直接”トヨタ自動車に納品する役割を担っています。しかし、感染したランサムウェアに対処するためにネットワークを遮断したことで、トヨタ自動車やその他の二次取引先とも部品取引が困難となりました。これにより完成車メーカーであるトヨタ自動車は、自動車の製造に必要な多くの部品を調達できなくなり、やむなく全ての工場の稼働停止を決断しました。

サイバー攻撃による被害の影響

工場の稼働停止はたった1日で済みましたが、それでも計1万3千台以上の生産に影響が出たと推測されています。また、障害が起こったシステムの完全復旧には1~2週間ほどかかる見込みで、それまでは暫定的に構築したシステム/ネットワークを利用して業務を継続するということです。前述の「脅迫文」について、小島プレス工業は「脅迫文」に従わずに即時ネットワークを遮断したため、リンク先のページ内容や要求金額なども把握しておらず、身代金も支払っていないことが関係者への取材で明らかになっています。なお、脅迫文には「このリンクにアクセスしないと機密情報を公開する」と書かれていたそうですが、今現在、データ流出等の被害は確認出来ていません。

 

デンソーのドイツ現地法人を狙ったサイバー攻撃

デンソーはトヨタ系部品会社で最大手企業です。北アメリカをはじめ、南アメリカ、欧州、アジア地域やアフリカにも海外拠点があります。今回、サイバー攻撃を受けたのはドイツにある現地法人でした。デンソーによりますと、3月10日、現地の従業員が社内のシステムへの不正アクセスを確認し、身代金を要求するサイバー攻撃「ランサムウェア」であることが明らかになりました。デンソーを攻撃した集団は「Pandora」と名乗るサイバー犯罪グループであり、デンソーを攻撃して盗み取った発注書や図面などおよそ15万7000件の機密情報を公開するとの犯行声明を出しました。

サイバー攻撃を受けたデンソーのドイツ現地法人は自動車部品の販売や開発の拠点であるため、今現在、ランサムウェア感染による自動車部品生産や調達への影響はないと確認されています。

 

ランサムウェアとは?危険性と被害事例

ランサムウェアの最大の特徴は、一度感染すると、業務に不可欠なシステムや機密データが暗号化(ロック)および窃取されて使用不能となることと、それを復号化(ロック解除)する対価として金銭の支払い等の条件を提示されることです。暗号化の性質上、一度ロックされたシステム・データはそれを仕掛けた攻撃者にしか解除出来ないため、被害者が取れる選択肢は「条件を呑み金銭を支払う」か「金銭を支払わず代案を練る」の2択しかなく、早急な解決を望む多くの企業は金銭を支払ってしまいます。

多くの場合、金銭を支払う事でロックは解除されるのですが必ずしもその保証はなく、盗まれた機密データがどのように扱われるかを把握することすらできない場合が多いです。また、金銭を支払ったにもかかわらず、さらなる条件を提示されるリスクもあります。

 

ランサムウェア被害に遭わないために必要な対策

ランサムウェアの被害に遭わないために、もっとも重要なのは「感染させないこと」です。基本的なセキュリティ対策から、漏れなく進めていきましょう。例えば、システムをこまめにアップデートし最新の状態を保つこと、想定しうる感染経路(※)を確認し社内の周知/対策を徹底するなど、社内全体のセキュリティ意識を高めることが感染予防につながります。また、セキュリティ意識を高めるだけではなく、機密情報の暗号化や重要なデータにアクセスできる人を制限するなど、サイバー攻撃に対する徹底した準備をしておけば、情報流出を阻止することができます。

※ランサムウェアの感染経路・・・メールの添付ファイル、怪しいウェブサイト、ネットワークの脆弱性、不正ログインなど。

 

感染を想定した準備も必須

最悪の事態を想定することは、セキュリティ対策をする上でとても重要です。感染を防ぐ対策だけでなく、「もしも感染したら」という視点で「被害を最小限に抑える対策」も積極的に進めていきましょう。例えば、企業にとって最悪な事態の1つは「重要情報やシステムにアクセスできず、事業継続が困難になること」です。よって、企業は最低限、下記項目の対策準備を進めるべきです。

・バックアップの取得

・バックアップとネットワークの常時離断

・アクセス権限分散

・共有サーバの分離

・代替システム/ネットワークの構築(の準備)

最悪を想定した準備が企業にどれだけの恩恵をもたらすかは、今回の小島プレス工業の被害実態を見れば明らかです。

 

まとめ

2022年になってから国内でランサムウェアを利用したサイバー攻撃が増加しています。ランサムウェアに一度感染すると業務に不可欠なシステムや機密データが暗号化(ロック)および窃取されて使用不能になります。それを復号化(ロック解除)するのは、それを仕掛けた攻撃者にしか解除出来ないです。自社で復旧するとしたら、膨大な資金や時間が必要です。最悪の場合、復旧できないかもしれません。したがって、感染経路を把握した上で適切なセキュリティ対策を立てておく必要があります。そして、前述のように「もしも感染したら」という観点で被害を最小限に抑える対策も必要でしょう。弊社が提案する対策を参考に安全なセキュリティ対策を講じて頂ければ幸いです。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その2

ベライゾン(Verizon)の2020 DBIR Reportによると、昨今のデータ侵害の約5割がWebアプリケーションの脆弱性を狙った攻撃によって発生すると報告されています。Webアプリケーションに対する攻撃は益々増加し、関連規制も強化しつつあります。このような状況で企業が顧客の信頼を失わずにビジネスの持続性を保っていくためには、Webアプリケーション・セキュリティに対する最新情報を踏まえ、セキュリティ対策を強固にする必要があります。前回にご紹介した5つのセキュリティ・トレンドに続いて、今回も企業の信頼性とビジネス継続性を守れる最新のWebアプリケーション・セキュリティ・トレンドをまとめてお伝えします。

 

1. 個人情報保護強化

データ侵害による個人情報漏えいや個人情報不正利用など個人情報と関わるセキュリティ事故と被害が急増し、個人情報保護の重要性は年々高まっている現状です。

東京京商工リサーチによると2020年日本国内における個人情報漏えい被害の件数はおよそ2515万件に達するといいます。
また、外部からのサイバー攻撃による個人情報漏えいや不正利用等の他にも、企業が顧客の情報を無断収集・配布する行為によって顧客の個人情報が侵害された場合もあります。例を挙げると、2019年就職情報サイト「リクナビ」が、学生への説明が不十分なまま「内定辞退率」を企業に有償提供していた事件が代表的です。

被害拡大と共に個人情報保護法の改正により企業の個人情報収集・使用などに関する規制も強化され、2020年6月改正個人情報保護法は個人データを利用する企業の責任を重くした内容となっています。

顧客の個人情報侵害による信頼性の低下は長期的な観点からみると企業のビジネスに悪影響を与える可能性が高いです。したがって企業は顧客の信頼を失わないために個人情報と関わる規制に厳重に準拠するなど、個人情報保護に関するあらゆるイシューをWebアプリケーション・セキュリティに反映する必要があります。

 

2. ビルトインセキュリティbuilt-in security

ソフトウェア、サービスなどITシステムの企画·開発·運営のライフサイクルの全段階でセキュリティをビルトインすることの重要性が高まっています。

ビルトインセキュリティのメリットは、セキュリティを内蔵することを前提にソフトウェアやサービスを設計・開発する過程で、開発者が脆弱性を早期に識別し、対策を立てることが可能であることです。何よりもセキュリティ事故を未然に防ぐ事前対策を備えられることから、Webアプリケーション・セキュリティのトレンドとして注目されています。

 

3. アプリケーション・モニタリング Application Monitoring

アプリケーション・モニタリングは多様化しながら急増するサイバー攻撃を早期に発見し、被害拡大を抑えるために必需的に実装すべきのセキュリティ・ソリューションとして注目されています。

広くなるIT環境の中、いつどこから攻撃してくるか把握しきれないサイバー攻撃を人が直接毎分毎秒監視することはかなり時間と手数がかかる作業になります。そのためWebアプリケーションをリアルタイムでモニタリングする機能を企業システム内に搭載し、24時間サイバー攻撃を警戒・監視することが重要なセキュリティ・トレンドになっています。

  • アプリケーション・モニタリングによるメリット
  • 様々なソースからデータを収集
  • Webアプリケーションから脅威を検知・対応
  • 検知及び対応機能の拡張は脅威検知機能の正確さを向上
  • エンドユーザに影響する前にエラーを把握・処理

上記のようなメリットによってアプリケーションのセキュリティ性能と効率性が高まり、顧客の満足度まで確保できます。

 

4. Web攻撃の変化

Webアプリケーション・セキュリティの全般的な向上によってサイバー攻撃者も更なる進化を重ねて、Webアプリケーションを攻撃するための新しい手口を模索しています。そのため安全なWebアプリケーション・セキュリティ実現をためには、Web攻撃動向の変化を注意深く分析し、最も危険度高い攻撃を把握することを通じて、根本的な解決に繋げる対策に取り組むことが重要です。

ペンタセキュリティがリリースしたWebアプリケーション脅威分析レポート「WATTレポート」によると、2020年上半期Web攻撃Top5は次のようになっております。

  1. Extension Filtering(32.71%)
  2. Request Header Filtering(16.73%)
  3. SQL Injection(15.21%)
  4. Error Handling(7.46%)
  5. URL Access Control(5.71%)

Request Header Filteringの場合、2018年6.27%だった発生率は2020年上半期に16.73%まで上がり、その頻度が極めて増加したことが分かりました。また、Extension FilteringやSQL Injectionの場合、毎年のように発生していますが、URL Access Controlは2020年に新しくTop5に登場したWeb攻撃であります。このようなWeb攻撃動向の変化が2021年にも起こらないとは断言できませんので、一般的に知られているWeb攻撃への対策はもちろん、知られていない新しいWeb攻撃の登場を常に警戒する必要があります。

 

5. 2要素認証 Two-Factor Authentication

2要素認証とは、1つの要素だけで認証していた過程にもう1つの要素を加えてセキュリティの強化を図る手法のことです。例えば、一般的なIDとパスワードのような認証は「ID+パスワード」という1つだけの要素で認証を行います。それに対し2要素認証は、ユーザが知っているもの(パスワード、暗証番号、秘密の質問への回答など)、ユーザが持っているもの(トークン、携帯電話、USBなど)、ユーザの身体的な要素(顔または音声認識、指紋など)、この3つの認証要素のうち2つを組み合わせた認証プロセスです。

2要素認証は他人の個人情報と権限を奪取して企業のシステムに潜入したり、不正利用したりするサイバー攻撃が増えていることから企業のビジネスを守るセキュリティ・トレンドとして注目されています。

実際、2020年「ドコモ口座不正」事件の根本的な原因は本人確認の甘さでありました。ドコモ口座の開設に厳格な本人確認はなく、ドコモメールアドレスを用意するだけで登録が済んでしまいます。この単純な本人確認の過程によって、犯人は何らかの方法で預金者の名義や口座番号などを盗み出し、名義人に成り済ましてドコモ口座を開くことが可能であったため、不正引き出しの被害が発生したと分析できます。

このような被害に遭わないために2要素認証を導入して本人かどうかを徹底的に確認する厳重な本人確認が企業のWebアプリケーションに必需的なものとなっています。

 

さいごに

信頼できない企業にビジネス継続性があるとは言えません。なら、信頼できる企業になるっためには何が必要でしょうか?信頼を守る最も基本的な方法は、サイバー脅威からビジネスに関する情報はもちろん、顧客の情報まできちんと保護することです。
特にWebアプリケーションはコロナ禍につれ非対面生活が持続している今、更に注目すべきのセキュリティ領域であります。Webアプリケーションを基づいて行われる非対面活動が増加しており、サイバー攻撃者は急速に利用度が高まって成長しつつあるWebアプリケーションでユーザは見え切れなかったセキュリティの四角を見抜くためにその目を光らせているからです。

したがって、変化の流れを止めないIT環境でWebアプリケーションセキュリティを発展させるために、企業は昨今のIT環境で狙われやすい脆弱性、セキュリティ脅威の動向、最新セキュリティソリューションなどを把握し、これらをセキュリティ対策を立てる意思決定に反映する必要があります。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その1

サイバー攻撃者の主な標的になっているWebアプリケーションエリアは企業の核心情報に近接しています。そのため徹底したセキュルティ対策を立てることが何よりも重要です。急激に変化しつつある昨今のIT環境において、「果たしてどのようなセキュリティ対策をとるべきなのか」という問題を解くことはそう簡単ではありません。しかし企業はキュリティトレンドへ常に注目し、あらゆるサイバー攻撃に対抗できる対策について考え続ける必要があります。

そこで今回は、2021年企業が注目すべきWebアプリケーションセキュリティトレンドを2回にわたって説明したいと思います。

 

1. マシンラーニング・AI

医療・金融・製造等、様々な産業で使われているマシンラーニングとAI技術がもはやセキュリティ分野にも積極的に活用されており、この傾向は2021年以降にも堅調な推移が見込まれます。現在、セキュリティ分野ではAIが人の代わりに悪性コードの判明・分析を行い、誤検知率を低減させ、管理者の管理負担を軽減させる役割を果たしています。

2021年には以下の目標を目指して取り組みを続けていくと思われます。今後もAI・マシンラーニングによるセキュリティパフォーマンスは益々向上すると推測できるでしょう。

  • セキュリティ脅威検知技術の柔軟性向上
  • Webアプリケーションでの作業をモニタリングし、不正プログラムを検知
  • データの処理及び分析機能の向上
  • Webアプリケーションに発生できる脅威を予測

一方、これらの技術はセキュリティ分野だけでなく、サイバー攻撃を行う側にも利用されています。企業はIT技術の進歩がサイバー攻撃者に逆手に取られる可能性にも常に警戒し、対応策を講じておく必要があります。

 

2. クラウドコンピューティング・サーバレース環境

クラウドへ移行する企業と組織が多くなっている現在、急速に進むクラウドシフトと共にサーバレース環境も成長し続けています。
サーバレース環境とは、サーバの構築やメンテナンスの必要なく、アプリケーション機能を開発、実行、管理できるクラウドコンピューティングモデルの1つです。体表的にはFaaS (Function as a Service) があります。

サーバレース環境の導入におけるメリット

  • サーバー管理はサーバレスプロバイダーがすべてやってくれる
  • サーバー導入や管理などが一切不要になるため、開発の際プログラムを書く作業に集中できる
  • 使用時間と容量に合わせて費用が発生するため、費用対効果が高い

しかし、サーバレス環境ではさまざまなイベントソース(HTTP API、クラウドストレージ、IoTのデバイス間通信など)によって攻撃範囲が拡張されます。また、サーバレスは新規プラットフォームであるため、現在サーバレースを標的とした攻撃パターン等の情報は少ない状況です。企業はWebアプリケーションが見知らぬ脅威に遭わないために新しい技術導入にも注意を深める必要があります。

 

3. API統合

API(Application Programming Interface、アプリケーション・プログラミング・インターフェイス)は、異なるアプリケーション間の相互作用を可能にするために標準化されたツール、定義、プロトコルを意味します。このAPIを統合するということは、「2つ以上のアプリケーションがAPIを通じて互いにデータを交換できるようにする結び付き」だといえます。 このAPI統合によるメリットを簡単にご紹介すると以下の通りです。

  • ビジネスサービスの速度や生産性が向上
  • ユーザとパートナーにAPIを提供することによって、関連データが円滑に共有され顧客の満足度を向上

それぞれのアプリケーションがすべてつながるIT環境において、API統合の重要性は更に高まるはずです。しかし、API統合によって共用・個人ネットワークまたはクラウドネットワーク上でAPIが露出される可能性も高くなっており、これがサイバー攻撃者にとっては新たな機会になるかもしれません。 安全が保証できないAPIエンドポイントが深刻なデータ侵害のきっかけになりうることに注意を深める必要があります。

 

4. 企業のデータサイエンス

データサイエンスとはデータの中で有意義な情報と知識を探索・解析し、データの新たな価値を発見する学問分野のことです。データに基づいた合理的な意思決定を助けるデータサイエンスは、企業の経営活動に欠かせない学問分野となっています。セキュリティ分野においても、数えきれないIT環境の情報を収集·分析してこそ、より安全で徹底したセキュリティ対策を立てられるため、データサイエンスの重要度は高くなっております。

なお、データサイエンスがWebアプリケーションのセキュリティに提供するメリットは次の通りです。

  • セキュリティ脅威検知機能向上
  • 膨大なデータを分析し、攻撃者の行動を分析
  • データ保護(データサイエンスがマシンラーニングと結合する場合)

データサイエンスを踏まえた意思決定により、企業はサイバー攻撃を予測し、重要情報を守るセキュリティを実現できます。

 

5. 浸透テスト

企業は浸透テストを通じて「攻撃者の手口」や「攻撃者に狙われやすいセキュリティ脆弱性」を調べられます。浸透テストとは、ホワイトハッカーを通じて、実際の攻撃行為のシミュレーションを行うことです。浸透テストは情報セキュリティレベルを能動的に評価できる次のような情報を提供するため、Webアプリケーションのセキュリティのトレンドとなっています。

浸透テストが提供する情報

  • アプリケーションの脆弱性
  • アクセスされた重要データ
  • テスターがシステム内で検知されなかった時間

「敵を知り、己を知れば百戦危うからず」という諺のように、ハッカーが侵入した状況を意図的につくって、そこから攻撃者の手口や保護対象のセキュルティ脆弱性、敏感なデータなどを識別したら、実際の攻撃にも対応できるセキュアな環境を構成することができるでしょう。

 

さいごに

企業は、サイバー攻撃者の手口を用いる浸透テストや有意義な情報を収集・分析するデータサイエンスに基づいて先制的防御システムを構築できます。しかし、クラウド、サーバレス環境やAPI などのビズネス活動の利便性を増進させる技術が、サイバー攻撃に利用される場合もあることに警戒する必要があります。また、セキュリティ強化に使われるAI•マシンラーニングなどのIT技術が、サイバー攻撃者にとっても攻撃を高度化させる材料として使われる可能性も考えておくべきです。

次回のWebアプリケーションのセキュリティトレンドでも、注目すべきのセキュリティトレンドをご紹介いたしますので、一読をお願いいたします。

DDoS攻撃

2020年、主要DDoS攻撃事件まとめ

この1年を振り返ってみると2020年はコロナ一色でした。コロナ禍でオフラインでの活動が制限され、その分デジタルシフトが一気に進みました。様々なサイバーセキュリティ事件も発生しつつありますが、特に今回はDDoS攻撃に注目してみたいと思います。カルペルスキーの調査によると、2020年DDoS攻撃量が2019年に比べ3倍に増加しています。日本では不正アクセスの被害に比べ、DDoS攻撃への注目度は比較的に低いようですが、「DDoS攻撃の地理的分布」をみると、日本は初めて9位(0.18%)にランクインしていることが分かります。それでDDoS攻撃に対してより一層厳しい注意が求められます。今回は世界各地から発生した2020年第3四分期までの主要DDoS攻撃事件をまとめてみました。

 

分期別DDoS攻撃事件

第1四分期

1月:ギリシアでは政治的な動機で行われたサイバー攻撃が観測されました。政府機関及び応急サービスのWebサイトを狙った2回のDDoS攻撃の試みで首相、警察、消防署のWebサイトが一時停止されました。1回目の場合、トルコのハッカー組織「Anka Neferler Tim」が犯人であることが明らかになりましたが、2回目の犯人はまだ見つかっていません。

3月 : 3月中旬、新型コロナウイルス感染拡大への対応で重要な役割を担う米保健福祉省(HHS) のWebサイトからDDoS攻撃の試みが検知されました 。この攻撃はデータの窃取などを目的としたものではなく、新型コロナウイルスにおける対応への妨害が目的とみられます。
ドイツとホランダのフードデリバリーサービス会社のLieferandoとThuisbezorgdは DDoS攻撃によるシステム障害で、顧客の注文をまともに処理できなかったため、全額返金するといった事件が発生しました。Lieferando社の場合、DDoS攻撃の停止と引き換えに2BTC ($ 13,000 USD以上) を要求されました。

第2四分期

5月:5月には特に米国の人権団体を狙ったDDoS攻撃が急増し、1ヶ月で約1,120件の攻撃が報告されました。これらの攻撃は米ミネソタ州のミネアポリスでアフリカ系アメリカ人のジョージ・フロイドが警察の不適切な対応で死亡した事件への抗議デモを妨害させる目的でした。抗議デモが広がるにつれてミネアポリス市警への不満も寄せられ、市警のWebサイトを狙ったDDoS攻撃も発生しました。犯人はハクティビズム(政治的主張を基づきハッキング行為を行う)のハッカー集団「アノニマス」で、「ジョージ・フロイドの死」事件に対するネアポリス市警の犯罪事実を暴露する目的で攻撃を行い、ミネアポリス市警のWebサーバがダウンしました。

6月:6月中旬から7月初旬まで、ロシアでは憲法改正の是非を問う国民投票が実施され、投票期間中に中央選挙管理委員会とオンライン投票サービスを狙らったDDoS攻撃が発生しました。
6月中旬、米国の情報セキュリティ会社Cloudflareは6月18日から21日まで四日間DDoS攻撃を受けました。この攻撃は1秒あたり最高7億5400万パケットの速度を持ち、極めて大規模なDDoS攻撃でした。攻撃トラフィックは31万6000以上のIPアドレスから発信されたもので、Cloudflareの無料プラン利用者が使っていた1つのIPアドレスを狙った攻撃であったと見られています。

 第3四分期

2020年第3四分期は多数の組織がArmada Collective、FancyBear、Lazarus などのハッカーグループから脅迫メールを受け、DDoS攻撃の停止と引き換えにビットコインで身代金を要求された事件がありました。

8月~9月:脅迫型DDoS攻撃の標的となったNew Zealand Stock ExchangeのWebサイトが数日間オフラインになる事態が発生しました。その他にもPaypal、Braintree、 Indian Bank Yes Bank 及び多数の金融機関にビットコインで金額を要求する脅迫メールが送られたことが確認されています。
また第3四分期では、メディア組織を狙ったDDoS攻撃事件が少なからずありました。ロシアのテレビ放送局のDozhd は8月24日、週・夜間放送中、ニュース報道を停止させようとする攻撃を受けました。携帯キャリアのUgraproも9月初旬頃、一秒あたり5,000パケット以上のジャンクトラフィック攻撃がロシアや他の地域から送り付けられ、大きな被害を受けました。

 

2021年DDoS攻撃動向予測

2020年も残り僅かとなりますが、いまだに新型コロナの流行は落ち着いていない状況です。クリスマスと年末年始を迎え盛んになる取引行為も主にオンライン上で行われると予測できます。このようなオンライン活動の増加がDDoS攻撃被害の原因にならないように細心の注意を払うことが重要です。

今回の2020年主要DDoS攻撃を調べてみた結果、DDoS攻撃は地域や産業群を問わず発生していること、そしてDDoS攻撃者は社会・政治面における話題に伴って動いていることを把握できました。企業のセキュリティ担当者は以下のようなトピックにおいてDDoS攻撃の可能性を常に念頭に置く必要があります。

デジタルトランスフォーメーションと2021年オリンピック

企業にはDX(デジタルトランスフォーメーション)を通じて事業競争力を向上させることが重要な課題となっていますが、その一方サイバー攻撃の被害が増加していることもデジタル化の過程で解決すべきの問題であります。今年にDDoS攻撃の発生が増加したのは、コロナ禍につれて一気に進んだデジタルシフトが主な原因だと見られているため、DXの推進と共にDDoS攻撃への警戒心を持ち、被害を未然に防止することが重要です。

2021年開催予定である東京オリンピックもDDoS攻撃者にとって良いチャンスになる可能性があります。Ciscoの報告書によると、2016年リオオリンピックで約1カ月間の大会期間中に検知されたDDoS攻撃が223回で、極めて大規模な攻撃が行われました。2021年の東京オリンピックでこのような攻撃が発生しないという保証はできません。

加速するDXと国際的なイベントであるオリンピックによって大規模なサイバー攻撃に露出されないためには、DDoS攻撃を含むサイバーテロに徹底的に備える必要があります。

Cloudbricは全てのレイヤーに対するDDoS攻撃を遮断し、大規模のDDoS攻撃にも速やかに対応できる「Advanced DDoS Protection」を提供しております。「Advanced DDoS Protection」は、全世界45ヶ所のエッジロケーションからDDoSインテリジェンスを収集・分析・配信を行うため、様々な手段で攻撃を仕掛けてくるDDoS攻撃を防いで安全なオンライン環境を構築します。
詳細は下記のリンクをご確認ください。

Cloudbric ADDoS

情報漏えい対策WAF

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 


ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。

 

ECサイトが受ける不正アクセス攻撃とリスク

ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。

  • 現金化しやすい「ポイントチャージ」商品を大量に購入する。
  • 登録しているクレジットカード情報を盗み出し、別サイトで決済する。
  • 住所を変更し、現金化しやすい商品を大量に購入、発送する。

不正アクセス攻撃によってサイト運営者がうけるリスク

ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。

  • 購入者をはじめ、社会からの信頼を失墜。
  • 事実告知やお詫び等の費用・労力。
  • 当該サイトを一時閉鎖することによる、売上減少。
  • 漏洩原因の調査、システムの改修等の費用。
  • 購入者様のカード差替費用。
  • 行政当局、マスコミへの対応。
  • 個人情報流出への損害賠償の支払い。

こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。

 

パスワードリスト攻撃の手法

パスワードリスト攻撃

「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。

ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。

パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。

その他の攻撃

ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。

 

パスワードリスト攻撃による実際の攻撃事例

ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742

こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。

パスワードリスト攻撃への対策にも有効なWAF

「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。

  • 多要素認証(二段階認証)が導入されている。
  • リスクベース認証が導入されている。
  • これまでログインされたことがないIPアドレス (接続元) からアクセスがあった場合のみ、追加の認証を要求する。
  • 住所変更、クレジットカード変更など、重要な情報を変更するときには、ID・パスワード以外の情報を追加で要求する。
  • ログインすると、自動のメールなどで「現在ログインされました」という通知が送られる。(万が一不正アクセスが発生しても、早期に気付ける仕組み)

こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

Main

WAFを選ぶ際、チェックすべき4つのポイントとは

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発し、その有用なセキュリティ対策としてWAF(ワフ)を導入する企業が増えています。現在色々な製品が市場にでていますが、どういった基準で選定すべきなのか、今回はWAFを選ぶ際に見るべき4つのポイントを中心にお届けします。

 

ウェブ脅威を可視化し遮断するWAF(ワフ)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査してWebサイトを保護し、不正ログインを防ぐ役割で用いられます。Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。オンラインショッピング、ネットバンキングを始め、ゲーム、SNSなどエンターテインメントでの利用、企業間での受発注などビジネスでの活用等、Webサイトの活用はどんどん広がっています。そうした社会インフラとしての拡大に伴い、Webサイトはサイバー攻撃の格好のターゲットにもなっています。

引用:JPCERT/CC

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)による最新のインシデント報告対応レポート(2020年4月1日~2020年6月30日)によると、フィッシングサイトに分類されるインシデントが73.9%、スキャンに分類されるシステムの弱点を探索するインシデントが13.8%、Webサイトの改ざんによるインシデントが4.1%を占めています。ここで脅威の1位に位置するフィッシングサイトのインシデントは、この期間で3,839件発生しています。クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃やSQLインジェクション等を用いて信頼できるWebサイトに悪意のあるスクリプトを埋め込んだ後、フィッシングサイトへ訪問者を誘導し、マルウェアに感染させたり秘密情報・個人情報の漏えいを起こしたりします。また、対象のウェブサイトを改ざんすることも可能です。企業がもしこうした攻撃を受けた場合の被害はかなり深刻なものとなりますが、WAFを用いる事でこうした高度なサイバー攻撃を防御することも可能になります。

 

WAFを選ぶ際に見るべき4つのポイント

1. 初期費用・運用コスト

まずは、初期費用と運用コストを合わせた総合的なコストを考慮する必要があります。導入にかかる費用に関しては、導入時の初期費用だけに目を奪われないよう注意する必要があります。自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースも想定されます。そのため、コストは導入と運用のトータルでのコストを比較するようにします。オンプレミス型や複雑な製品等、自社での運用が前提のものは、自社内で人員リソースを確保する費用も発生します。クラウド型のWAFなら専用ハードウェアを必要としないため、導入が簡単で運用の手間も少ないと言われています。従業員の運用スキルの有無も考慮してタイプも選定しましょう。

2. セキュリティのクオリティ

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。セキュリティレベルが低いと、導入しても意味がありませんし、高度過ぎると場合によっては正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があります。またセキュリティ強度が高くなるほど、誤検知率も高くなる可能性があります。検知率、誤検知率、性能面において総合的に優れた製品を選ぶようにしましょう。

3. サポート体制

緊急時のサポート体制が整った企業の製品であることは言うまでもありません。WAFを適切に運用するためには高度な知識が必要です。また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。何かあった時、しっかりしたサポートが受けられるのかどうかは事前にしっかり確認しておく必要があります。

4. 導入実績

導入実績が豊富な製品は最新のセキュリティに対応するノウハウ・経験が蓄積されています。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えられます。多くの顧客に選ばれているということは、多種多様な業種のセキュリティニーズに応え、質の高い製品とサービスを提供できているという証でもあります。実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

 

さいごに

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、対策は十分と言えません。FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有の脆弱性を狙ったもの等、高度化した攻撃を防ぎきれないケースがあります。WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。WAFを選ぶ際は、ここであげたポイントを基に、コスト、セキュリティ、サポート、導入実績で優れた製品を選ぶようにしましょう。

 

導入実績1万件を超えるクラウドブリック(Cloudbric)

クラウドブリック(Cloudbric)はクラウド型WAFサービスで、アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応可能です。独自のロジックベース検知エンジンを使用し検知率、誤検知率、性能面にて優位性を確保しています。その技術力は世界の専門家にも認められ、全世界13,500以上、国内5,500以上のユーザに支持されています。
従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応し、不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートなしに脅威を防止することができます。高セキュリティながらリーズナブルな価格で導入可能であり、追加料金不要でWAF・DDoS対策・無償SSL証明書が利用できます。24時間365日安心の監視体制と専門家による手厚いサポートも受けられます。既に導入実績も1万件を超え、高品質な独自セキュリティ、コスト、サポート体制と全てのポイントにおいて高い評価を得ています。