コロナ禍により、テレワークを導入する企業が増え、浸透してきている。テレワークの実践は、人流を抑制し、新型コロナウイルス感染症の拡大を防ぐのに有効なだけでなく、移動時間が削減され、ビジネスパーソンの生産性向上にも貢献している。しかし、テレワークに起因するセキュリティの弱点を狙ったサイバー攻撃も増えているため、そうした攻撃への対策も必要だ。そこで、テレワークを狙うサイバー攻撃の現状と対策のポイントについて、キヤノンITソリューションズ株式会社 サイバーセキュリティラボ セキュリティエバンジェリストの西浦 真一が解説する。
2021年上半期のサイバーセキュリティ脅威動向
昨年に続くコロナ禍の中、2021年上半期も非常に多くのサイバーセキュリティの事件・事故が確認されている。国内のマルウェア検出数の推移を図1に示す。これは、2018年上半期のマルウェア検出数を100%とし、その後、半期ごとの検出数推移を表したもので、検出数は増加の一途をたどっている。特に新型コロナウイルスが脅威となった2020年以降は非常に高い水準にあり、好ましくない状態が続いている。
最新の2021年上半期に検出されたマルウェアについて、その内訳を示したものが図2である。バーの色で脅威のタイプを分けており、緑色が「Webブラウザー上で実行される脅威」、ピンク色が「メールの添付ファイルを主とする脅威」を示している。2020年に引き続き、検出の大多数を「Webブラウザー上で実行される脅威」が占めているが、「メールの添付ファイルを主とする脅威」も引き続き検出されている。この中では、「VBA/TrojanDownloader.Agent」がそれにあたる。Officeのマクロ機能を使って作成されたダウンローダーの汎用検出名であり、ダウンロードされるマルウェアとしては、Emotet(エモテット)やDridex(ドライデックス)、Ursnif(アースニフ)などが挙げられる。Emotetに関しては、2021年2月に攻撃者が用いるサーバーがテイクダウンされ、それ以降大規模な確認はされていないが、今後も「VBA/TrojanDownloader.Agent」」はほかのマルウェアのダウンロードに使われる可能性があるため、引き続き警戒しておく必要がある。
「Webブラウザー上で実行される脅威」の中でも注目すべきマルウェアが赤枠で示した「JS/Adware」から始まるマルウェア群である。これらはJavaScriptで作成されたアドウェアであり、図3にあるように2021年上半期に日本で検出されたマルウェアの47.9%、約半数を占めている。
図3の右側のグラフは、「JS/Adware.Agent」の国内検出数の推移を示しており、上半期を通して定常的に検出されていることがわかる。この傾向は2020年から続いており、コロナ禍によってWebブラウジングの時間が増加したことが要因の1つになっていると考えられる。
「アドウェアの中には、不正な広告を表示させるだけでなく、Webブラウザーのアクセス履歴を外部に送信するものもあり、注意が必要です。Webサイトのアクセス時に不用意に通知などの権限を許可しない、よくわからないアプリケーションのインストールを行わないことが重要です。」と、西浦はアドウェアの危険性を過小評価すべきではないことを強調する。
テレワークを狙うサイバー攻撃
続いて、テレワークを狙うサイバー攻撃について見ていく。図4はIPA(独立行政法人 情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」の2021年度版となる。毎年、情報セキュリティ脅威のランキングに変動はあるが、ここ数年大きな変化はなかった。しかし、2021年度版では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに追加され、3位にランクインしている。
テレワーク環境に潜むリスク
コロナ禍におけるICT環境の変化として、クラウドサービスの利用拡大が挙げられる。図5の左側のグラフは、都内企業のテレワーク実施率を示したもので、2020年3月に調査が始まった時点での実施率はわずか24%であったが、その後急速にテレワークが普及し、最近では60%前後で推移している。右側の棒グラフは、JIPDEC(一般財団法人 日本情報経済社会推進協会)が公表しているクラウドサービスの利用状況の推移を示したもので、直近の2021年1月調査によると、システムの半分以上をクラウド化した企業は1年前の37.0%から45.5%に上昇している。
クラウドサービスは、テレワークとも親和性が高く便利だが、クラウドサービスの利用に起因するリスクもあると西浦は指摘する。「リスクの1つがクラウドサービスからの情報漏えいであり、Mis-Configuration、つまり設定ミスによる情報漏えいが増加しています。その結果、2021年1月にはNISC(内閣サイバーセキュリティセンター)からも注意喚起がなされています。」(図6)
しかし、直近でも設定ミスによる意図しない情報漏えいが多数確認されている。クラウドサービスを利用する際は、公開範囲の設定などに細心の注意を払うべきだ。
また、個人端末の業務利用もリスクがある。図7は、2021年4月にキヤノンマーケティングジャパンが独自に行った調査の結果を示したもので、4割近くが個人所有の端末を業務で利用していたことがわかる。また、業務利用したことがある人に対し、どれくらいの頻度かを確認したところ、約6割の人が個人端末を週1回以上使っていたと回答している。企業が管理できない個人所有の端末は、必要な対策を適切に実行することが難しく、マルウェア感染などによる情報セキュリティリスクが高いと考えられる。
テレワーク環境を狙う攻撃
テレワーク環境で使用するサービスを狙う攻撃例として、最近増加しているRDP(リモートデスクトッププロトコル)を使用した攻撃を紹介する。コロナ禍のテレワーク需要において、RDPをインターネット上に公開している機器が世界的に増加した。その中にはBlueKeepやDejaBlueなどのRDPに関連する深刻な脆弱性に対するパッチが適用されていない機器も確認されており、注意が必要だ。図8のグラフは、ESET社によるRDPを狙った攻撃の国内検出データの推移を示している。2020年第1四半期の検出データを基点に推移を見ていくと、2020年第3四半期を境に検出が急増しており、その後も高い傾向が維持されている。2021年第2四半期の時点で、2020年第1四半期と比べ15倍以上の攻撃が確認されている状況だ。
このようにRDPはランサムウェアの感染経路になる、窃取された認証情報がダークウェブ上で売買されるなど、さまざまな被害につながる可能性がある。米国のメディアによる最近の情報では、ダークウェブ上で130万件以上のRDPの認証情報が取引されていたとも報じられている。RDPを使用する場合は、VPNとの併用や接続にあたり十分な認証を行うなど、セキュリティ対策が必須である。
続いて、VPN機器の脆弱性を悪用する攻撃例を紹介する。図9に示した通り、脆弱性を悪用するためのコード・ツールの公開も確認されており、脆弱性対策が不十分なまま利用を続けると、攻撃者に脆弱性を突かれ、認証情報や組織の機密情報が外部に流出するなどの被害に遭う恐れがある。Pulse Secure製VPN機器は、このような脆弱性を悪用され、2020年8月に国内外900社の認証情報が公開された。その中に国内の企業が38社含まれていたと報道されている。また、Fortinet社製FortiOSのSSL VPN機能の脆弱性に関しても、2020年11月に脆弱性の影響を受ける約5万台の機器情報が公開された。その情報には、機器のIPアドレス、ユーザーアカウント名、平文のパスワードなどが含まれていた。
この2つの脆弱性は、いずれも2019年前半に脆弱性情報が公開されており、セキュリティパッチもリリースされている。しかしながら、セキュリティパッチを適用していなかった機器を中心に、こうした被害に遭ってしまったという状況だ。セキュリティパッチが公開されている場合は、速やかに適用しておくべきだ。
加えて、攻撃が確認されている期間に古いファームウェアのまま使用されていた場合は、メーカーが侵害や攻撃を受けているかを確認するための方法を公開している場合もあるため、そうした情報も確認しておきたい。また、気づかないうちにすでに攻撃を受け、認証情報が漏えいしていた場合にも備え、認証情報の変更も推奨したい。
次にRDP、VPN機器を侵入経路にしたランサムウェアの攻撃例について解説する。図10が実際に確認されている攻撃の概要図である。攻撃者はVPN機器に対して脆弱性の悪用や、すでに漏えいしていた認証情報の悪用・侵入を試み、侵入に成功した攻撃者は被害組織の中にあるRDP端末などに対してブルートフォース攻撃、パスワードリスト攻撃、辞書攻撃などを行い、感染の起点を作成する。RDPに対してインターネット上からアクセスが可能な場合は、直接RDP通信を行い、攻撃を仕掛けることも確認されている。
感染起点の確立に成功した攻撃者は、C&Cサーバーと通信を行いながら、被害組織のさまざまな端末、ファイルサーバーやドメインコントローラーに対して感染を拡げる。その過程において、感染の起点を作成するために使われたRDPに対する攻撃や、Cobalt Strikeといったオフェンシブセキュリティツールの悪用も確認されている。攻撃者は情報を窃取し、ランサムウェアのダウンロード、そして暗号化を実行する。
このようなランサムウェアを仕掛ける攻撃者グループの手法は日々凶悪化している。2019年から2020年にかけて暗号化を行うだけでなく、リークサイト上で機密情報の暴露を行う二重の脅迫といった攻撃手法が話題となったが、現在はより凶悪なものへと進化している。図11にあるように、二重の脅迫に加えて、被害組織のサービスに対してDDoS攻撃を加える三重の脅迫、さらには漏えいした情報から発覚した顧客や取引先に対して攻撃を通知するなどの嫌がらせを行う四重の脅迫も確認されている。こうした攻撃手法の凶悪化とともに、ランサムウェアの発生件数と被害金額が増加傾向にある。
ランサムウェア被害金額に関しては、Covewareが公表しているランサムウェアによって支払われた身代金の平均値、中央値が参考となる。2021年第1四半期の身代金の1件あたりの平均額は22万298ドル、日本円に換算すると約2,400万円と高額になっている。
国内の事例として大手ゲーム会社の事例を紹介する。ランサムウェア攻撃者グループの攻撃により、データの暗号化のほか、1万5,000件以上の個人情報が窃取された可能性が報じられており、北米の現地法人が保有するVPN機器が攻撃を受けたことが発端で、社内ネットワークへの侵入が要因とされている。攻撃を受けたVPN機器は旧型で、新型コロナウイルス感染症拡大に起因するネットワーク化に伴い、通信障害発生時の緊急避難目的に使用されていたとされる。テレワーク需要の急拡大により、市場からVPN機器が枯渇したことも報じられていたが、緊急避難目的、あるいはやむを得ない事情で使用を見合わせていたVPN機器を再利用したケースも少なくないかもしれない。こうした旧型の機器を使用する場合でも、可能な場合は、ファームウェアを最新のものに更新する、サポート契約を再開するといった基本的な対策を実施した上で使用するよう注意が必要だ。
次に、JNSA(NPO日本ネットワークセキュリティ協会)が公開している「インシデント損害額調査レポート2021年版」に掲載の事例から、インシデント発生時の損害額を見ていきたい。図12は、従業員がメールに添付されていたファイルを開いた際にマルウェアに感染してしまったモデルケースを挙げている。感染を受け、出入りのITベンダー経由でインシデントレスポンス事業者に対応を依頼。感染内容、被害範囲などの調査を実施した。調査の結果、メールを介して感染が拡大するマルウェアであり、従業員端末3台とサーバー1台の感染が判明したものの、個人情報の漏えいなど顧客に影響はないことが確認された事例である。
損害額の見積もりは600万円となっているが、事故原因・被害範囲の調査に500万円、再発防止策に100万円という内訳だ。実施される調査はデジタルフォレンジックという調査で、相場はPC端末1台あたり100~150万円。サーバーでは150~200万円となる。つまり、端末3台、サーバー1台の調査を行うと、500万円という金額になる。また、ネットワーク内に侵入されて感染を拡げるようなランサムウェアに感染してしまった場合は、事故原因や被害範囲の調査がより困難となる。さらに、暗号化されてしまったシステムの復旧費用も必要になるため、より大きな損失を被ることが想定される。こうしたモデルケースでは、機会損失などの被害も含めて、損失額が3億7,800万円と、非常に高額なものとなった。
テレワーク環境を狙う攻撃への対策
テレワーク環境を狙う攻撃への対策のポイントについて解説したい。図13で示した通り、対策には「脆弱性への対応」「製品の適切な利用」「被害を受けた場合を想定した対策」「情報収集とセキュリティ教育」という4つの観点がある。
脆弱性はありとあらゆる攻撃の要因となり得るため、セキュリティパッチは必ず適用すること。特にテレワークを行うためのツールやサービス、設備については、現在非常に狙われやすくなっており、前述のVPN機器のように脆弱性が報告されているものもあるため、セキュリティパッチ有無の確認は急務だ。脆弱性診断などのサービスを活用することも有効な手段だ。定期的な診断により、セキュリティ対策の漏れをいち早く把握して対策を行うことで、セキュリティの強化・維持を果たせる。
続いて、「製品の適切な利用」にも留意したい。製品は適切な設定で使用するよう徹底しておくことが重要だ。どのような製品でも、適切に使用しなければ攻撃の糸口になってしまう。セキュリティ製品であれば、定義ファイルの更新やファームウェアの更新が適切になされているかを把握し、複数の層で守ることも重要だ。セキュリティ上の脅威は高度化しており、1つのセキュリティ製品ですべての脅威から守ることは容易ではない。そこで、例えばゲートウェイとエンドポイントなどを組み合わせることで、より強固なセキュリティ対策を実現できる。
さらに、「被害を受けた場合を想定した対策」も重要だ。セキュリティの脅威は日々高度化・巧妙化しているため、被害を受けてしまった場合を想定し、その影響を最小化するための対策を立てるべきだ。例えば、情報資産の適切な管理を行い、アクセス管理の徹底、重要なデータの暗号化、定期的なバックアップなどの実施が重要だ。また、ログを継続的にモニタリングしておくことで、攻撃の痕跡や不自然な挙動に気づける場合も少なくなく、被害を最小限に抑えることができる。さらに、インシデント発生時の対応を明確化しておくことも有益なことだ。何から対処すればよいのか、何を優先して守るのか、インシデント発生時の対応をあらかじめ明確にしておけば、万が一の事態が発生しても慌てずに対処が可能だ。
「情報収集とセキュリティ教育」についても忘れてはならないと西浦は強調する。「これまでに説明した『脆弱性への対応』、『製品の適切な利用』、『被害を受けた場合を想定した対策』、これらを効果的に実施するためにも日々の情報収集は欠かせません。本日ご紹介したような脅威に関する情報は、IPA、JPCERT/CC、NISCなど、さまざまな機関から情報公開されています。この機会にご確認いただくことをお勧めします。また、セキュリティ上の最大のリスクは人だ、とも言われています。知らないことに対して備えることができる人は多くありませんが、あらかじめ知っていれば多くの人がそれらの危険から回避しようとします。例えば、フィッシングメールやバラマキメールの概要や目的を知っていれば、それに気づいて不用意にURLをクリックしない、添付ファイルを開かないといった対応が可能です。」
セキュリティ対策にあたり、さまざまな機関からガイドラインや提言が明示されている。自社のセキュリティ対策を見直す際は、こうしたガイドラインを参照することによって、より効率的に有効なセキュリティ対策を検討できる。ガイドラインの一例として、IPAが公開している「Web会議サービスを使用する際のセキュリティ上の注意事項」を紹介する(図14)。このガイドラインでは、Web会議サービスを選定する際に考慮すべきポイントや、安全に会議を開催するためのポイントが紹介されている。
また、テレワークセキュリティに関するガイドラインやチェックリストとしては、総務省から「テレワークセキュリティガイドライン」と「中小企業等担当者向けテレワークセキュリティの手引き」が公表されている(図15)。
「テレワークセキュリティガイドライン」には、安心してテレワークを導入するためのセキュリティ対策についての考え方や対策例が示されている。そして「中小企業等担当者向けテレワークセキュリティの手引き」には、セキュリティの専任担当者が不在の中小企業におけるシステム管理担当者を対象としており、テレワークを実施する際に最低限のセキュリティを確保してもらうためのチェックリストとなっている。
加えて、JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)からは、「緊急事態宣言解除後のセキュリティ・チェックリスト」が公開されている。テレワークを実施する際、オフィス内のネットワーク環境と比べてセキュリティ強度の低い環境で使用した端末などを、再びオフィスで使用する際の注意点・懸念点などがチェックリストとしてまとめられている。このようなガイドラインやチェックリストをうまく活用しながら、各社において最適なセキュリティ対策を検討・実施してほしい。