企業において、サイバー攻撃の対象となる領域を軽減し、サイバーセキュリティを最大化する方法について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
近年の情報漏えい事故において、「サイバーアタックサーフェス(サイバー攻撃を受ける可能性の高い領域)」や、それに近い言葉を耳にした人も多いだろう。サイバー攻撃がどのような経路で発生し、組織のどこにリスクがあるかを理解することは重要だ。今回のパンデミックにおいて、このアタックサーフェスはこれまでにないほどのスピードで急速に拡大してしまった。そして残念なことに、企業は今日、攻撃を受ける可能性の高い領域がどこにあり、どれほど複雑になっているのかを特定できなくなっている。結果として、デジタルおよび物理的な資産が、サイバー犯罪者の攻撃を受ける余地を残したまま放置される事態となっている。
しかし幸いなことに、以下に紹介するベストプラクティスを実践すれば、アタックサーフェスの可視性を改善できる可能性が高い。可視化によって、アタックサーフェスを最小化し、適切に管理するために必要な施策を打てるようになるだろう。
アタックサーフェスとは何か?
簡単に言うと、アタックサーフェスは企業が保有する物理的およびデジタル的な資産のうち、サイバー攻撃を容易にするために侵害される可能性のあるものを指す。攻撃者の目的としては、ランサムウェアの拡散やデータの窃取、ボットネットの形成、バンキング型トロイの木馬のダウンロード、仮想通貨マイニングマルウェアのインストールなど多岐にわたるが、最終的には攻撃対象の拡大を狙う。つまり、攻撃対象が大きければ大きいほど、攻撃者が標的とする範囲が拡大するということだ。
アタックサーフェスは大きく2つのカテゴリに分類される。
デジタル・アタックサーフェス
ネットワークに接続されたハードウェア、ソフトウェア、そのほかすべての構成要素が含まれる。
アプリケーション:アプリケーションの脆弱性は一般的なものであり、攻撃者は重要な情報システムやデータへの有効な侵入口となり得る。
コード:マルウェアや脆弱性が含まれている可能性があるため、サードパーティによってコンパイルされたコードには大きなリスクがある。
ポート:攻撃者は開いているポートや特定のポートを使っているサービスがないかを探し回っている。例えば、RDP(Remote Desktop Protocol)に使われる3389番のTCPポートが対象となり得る。これらのサービスが適切に設定されていなかったり、バグが含まれていたりすると悪用される恐れがある。
サーバー:エクスプロイトを使った脆弱性攻撃やDDoS攻撃の標的となり得る。
Webサイト:Webサイトにおけるコードの欠陥や設定ミスといった要素もデジタル・アタックサーフェスに含まれる。サイト改ざんやフォームジャッキングのように悪意のあるコードが埋め込まれる可能性がある。
証明書:証明書を失効したままにしてしまう企業は少なくなく、攻撃者に悪用される恐れがある。
これらは、アタックサーフェスのすべてを網羅しているわけではない。デジタル・アタックサーフェスの急拡大を示すため、2020年にFTSE30社を対象に行われた調査の概要を以下に示す。
- 失効した証明書324件
- 古いバージョンとなったSHA-1ハッシュ・アルゴリズムを使用した証明書25件
- インターネット上に公開された、テスト用と見られるWebサイト743件
- 保護されていない入力フォーム385件。そのうち、認証に使われているもの28件
- 既知の脆弱性があるWebフレームワーク46件
- サポートされていないPHP5.xバージョンのソフトウェア80件
- 既知の脆弱性があるバージョンのWebサーバー664件
フィジカル(物理的な)・アタックサーフェス
攻撃者が物理的にアクセスできる、すべての端末が含まれる。
- デスクトップコンピューター
- ハードドライブ
- ノートパソコン
- 携帯電話・モバイル機器
- USBドライブ
従業員も物理的な攻撃対象の主要な当事者であると言えるだろう。それは、サイバー攻撃の過程でフィッシング詐欺やその派生型を含め、ソーシャルエンジニアリングによって誘導されてしまうリスクがあるからだ。また、従業員の中には、企業のセキュリティ管理から逃れ、承認されていないアプリケーションや端末を使用するなど、シャドーITを行う者もいる。承認されていないツールは、多くの場合、十分に保護されていないために企業を新たな脅威にさらしている可能性がある。
アタックサーフェスは拡大しているのか?
企業は長年にわたり、ITインフラやデジタル資産を構築してきた。しかし、パンデミックにより、劇的に変化するビジネス環境に合わせてリモートワークをサポートし、ビジネスを維持するための大規模な投資をしてきた。そのため、アタックサーフェスも拡大しているのだ。以下はその一例である。
- リモートワークに使用する端末(ノートパソコン、デスクトップコンピューター)
- クラウドアプリケーションとインフラ
- IoT端末と5G
- サードパーティのコードやDevOpsの使用
- リモートワークのインフラ(VPNやRDPなど)
この傾向は今後も続いていく。専門家によると、多くの企業において業務の在り方が恒久的に変わる、デジタル化の転換点を迎えたという。こうした変化は、以下のようなリスクをはらむ。
- セキュリティの理解が不足している従業員を狙ったフィッシング攻撃
- サーバー、アプリケーション、そのほかのシステムを標的にしたマルウェアや脆弱性攻撃
- 盗まれたパスワードやブルートフォース攻撃によって得たパスワードによる不正なログイン
- 設定ミスの悪用(クラウドアカウントなど)
- Web証明書の盗用
また、アタックサーフェス拡大のリスクは上記にとどまらない。実際、攻撃者による数百もの手法が存在し、その中には非常に拡散しているものがある。例えば、ESET社は、2020年1月から2021年6月の間に、RDPの設定ミスを突いた710億件の攻撃を発見している。
アタックサーフェスのリスクを軽減するには
拡大するアタックサーフェスに対しては、サイバーセキュリティのベストプラクティスに従い対処するのが重要だ。その範囲を理解し、軽減・管理するための措置を講じることが第一歩となる。以下に、そのヒントを記す。
- はじめに、アタックサーフェスの範囲を理解する。デジタルおよび物理的な資産の監査、ペネトレーションテスト、脆弱性スキャンなどを実施する。
- アタックサーフェスの範囲を最小化し、関連するサイバーリスクを軽減する。
- リスクに基づいたパッチの適用と構成管理
- 老朽化したハードウェアの廃棄と端末の整理
- ソフトウェアやOSの更新
- ネットワークのセグメント分け
- DevSecOpsに関するベストプラクティスの実装
- 継続した脆弱性の管理
- サプライチェーンリスクの軽減
- データセキュリティ対策(暗号化の強化など)
- 認証やアクセス管理の強化
- ゼロトラストの考え方を取り入れる
- 継続したログ収集とシステムの監視
- ユーザーの意識を高めるための研修やトレーニング
企業のIT環境は常に変化し続けている。具体的には、仮想マシンやコンテナー、マイクロサービスの普及、従業員の入社・退社、さらには新しいハードウェアやソフトウェアの導入といったものだ。そのため、アタックサーフェスの状態を可視化して管理していくためには、リアルタイムの情報に基づいて判断できる柔軟で高度なツールが求められる。アタックサーフェスのリスクを軽減するには、ほかのセキュリティ施策と同様に、「可視性と統制」に注目するべきである。