重要インフラ分野の企業に侵害リスク調査を無償提供、マクニカネットワークス

　マクニカネットワークス株式会社は30日、交通機関やガス、水道といった重要インフラ分野を担う企業や組織などを対象に、侵害リスク調査サービスを無償提供すると発表した。

　調査用ツールを実行し、端末の状態を解析。その結果を、同社のセキュリティ研究センターに所属するアナリストが分析して、リモートワーク環境において発生するリスクに関する未然防止の観点と、実影響の有無の観点から評価するという。

　「セキュリティ対策の状況を可視化することが困難であったテレワーク端末に関して、テレワークでよく使われるアプリケーションなどの脆弱性や、すでに侵害されている端末の有無を明らかにし、未然防止と実影響の両面からセキュリティリスクを把握することができる」（マクニカネットワークス 第1技術統括部統括部長の高橋峻氏）。

第1技術統括部統括部長の高橋峻氏

　未然防止の観点では、危険な脆弱性のあるソフトウェアを洗い出す「ブラウザやプラグインの脆弱性」、古いバージョンの会議ツールを利用した端末を洗い出す「オンライン会議ツールの脆弱性」、リモートワーク端末がインターネットから直接接続可能な状態であるか否かを調査する「IPアドレスのチェック」の3点から評価を行う。

　また実影響の有無の観点では、ディスク上に保存されたマルウェアの検出だけでなく、メモリ上に展開されたマルウェアも検出。さらに、マルウェアの犯行の痕跡をもとに侵害の有無の確認も可能にするという。

　「ウイルス対策ソフトでは検出が困難な脅威の痕跡も検出できる。決して万全といえる状態で始まったわけではなかったテレワーク環境において、初動時点で侵害がなかったかどうかを調べることも可能である」（同）と述べた。

2つの観点から端末の可視化を行う

ウイルス対策ソフトでは検出が困難な脅威の痕跡も検出

　サービスの利用企業が、マクニカネットワークスから提供を受けたツールを従業員に配布し、在宅で利用しているPCをスキャンしてもらって、その結果を同社の分析サーバーにアップロードする。その後、分析結果をメールで報告する形となり、1～2週間程度で結果が報告されるとした。

　ツールには、脅威ハンティングツール「ThreatSonar」などで実績を持つ台湾TeamT5社のものを用いて、重要インフラ14分野の企業を対象に、1社あたり最大500台までの調査サービスを無償で提供する。上限は30社までで、申し込みは5月29日まで受け付ける。

サービスの流れ

　500台以上の調査の場合には別途相談となるほか、重要インフラ14分野以外の企業の場合には、有償でサービスを提供するとのこと。台数によって料金は異なるが、500台の場合は300万円を予定している。

　なお政府では「重要インフラ14分野」として、「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス（地方公共団体を含む）」「医療」「水道」「物流」「化学」「クレジット」「石油」の14分野を定めているという。

　また内閣サイバーセキュリティセンター（NISC）では、「重要インフラとは、ほかに代替することが著しく困難なサービスを提供する事業が形成する国民生活および社会経済活動の基盤であり、その機能が停止、低下または利用不可能な状態に陥った場合に、わが国の国民生活または社会経済活動に多大なる影響を及ぼすおそれが生じるもの」と定義している。

　マクニカネットワークスの池田遵社長は、「当社は、新型コロナウイルスの感染拡大のなかで、日本の国民生活を守る手伝いがなにかできないかと考えて、今回の無償サービスを実施した」と前置き。

　「テレワーク、在宅勤務の拡大が推進されているが、ここには、企業内ネットワーク環境とは異なるセキュリティリスクがある。セキュリティシステムを介さずに、インターネットと直接通信することでのリスク、労働環境の変化による心のすきを悪用したフィッシング被害、急ピッチで環境の構築を進めたことによる脆弱性や設定不備を悪用した攻撃、家庭用ルータへの攻撃など、テレワーク環境特有の脅威が存在する。テレワークを導入したことで、結果として、企業・組織システムへの侵害拡大や、情報搾取につながるリスクが顕在化している」とコメントした。

代表取締役社長の池田遵氏

　さらに、「重要インフラ14分野に属する企業や組織においては、一般企業と比較して、テレワークへの移行は容易ではないが、一部の職種を対象にしたり、交代制の勤務を行ったりすることなどにより、少しずつテレワークを進めている状況にある。そのような企業や組織において、セキュリティリスクの高いテレワーク環境を踏み台とした攻撃が発生した場合、重要インフラサービスの提供に影響を与えるようなインシデントを引き起こす可能性がある」と指摘。

　その上で、「私たちの国民生活に不可欠であり、現在も新型コロナウイルスに最前線で戦う企業・組織がサイバー攻撃の被害にあうことは、社会活動、経済活動に極めて大きな悪影響を及ぼす危険性がある。これをなんとしてでも食い止めたい。重要インフラサービスを継続的に提供できるようにするために、これまでの当社の知見を生かして、サイバーセキュリティ強化の観点から支援したい」と語っている。

在宅勤務で利用するPCは企業ネットワーク配下よりもセキュリティが落ちる

　一方、マクニカネットワークス セキュリティ研究センターの政本憲蔵センター長は、在宅勤務でのPC利用において発生しているセキュリティ問題について説明した。

セキュリティ研究センターの政本憲蔵センター長

　政本センター長は、まず、「企業ネットワークの配下で使っていたPCを自宅で使用するだけで、セキュリティレベルが大きく下がると言わざるを得ない」と指摘する。

　それは「企業ネットワークは境界防御という点だけを見ても、ファイアウォールやIPS、ウェブフィルタリングなどが導入されている。家庭に比べて、攻撃者が入ってくることが難しく、また侵入されて情報が取られようとした場合に漏えいをブロックする仕組みもある。また、SoCやネットワーク型センサーで監視を行うことで不審な挙動があった場合にもいち早く発見できる」ことなどから、セキュリティレベルが高く保たれているからだ。

　それに対して「自宅では防御はブロードバンドルータだけであり、ファームウェアのアップデートが行われていないなど、その多くが脆弱性を抱えている。また、ブロードバンドルータを入れていない家庭も多い。そしてブリッジ設定をしていれば、インターネット側からPCに直接リーチされてしまうという懸念もある」としたほか、「ハイリスクなポートを経由した攻撃も懸念される」とも指摘する。

企業ネットワークと自宅ネットワークの違い

　この“ハイリスクなポート”として挙げられたのが、ファイル共有サービス（SMB）で利用されるTCPポート445と、リモートデスクトップサービス（RDP）で利用されるTCPポート3389である。

　「この2つは、企業ネットワークの配下でPCを使用している場合には外に公開されることがないものだが、ブロードバンドルータが導入されていないなど、自宅でブリッジ設定をしている場合には、SMBやRDPに直接リーチできてしまう」とする。

　例えばSMBでは、WannaCryでも悪用されたSMBv1の脆弱性など、一方のRDPでは、BlueKeepやDejaBlueなどの脆弱性があるという。

　なおマクニカネットワークスの調べによると、SMBが公開された国内のデバイスは、3月11日時点と比較して4月22日には44％増加。RDPでは、2019年6月18日に比べて50％増加しているとのこと。

　「当社が設置したハニーポットに対する攻撃を見ると、SMBでは4月29日までの1週間で、ひとつのIPアドレスに対して、世界中に広がる1万7645個のIPアドレスから、50万4459回の攻撃があった。RDPでは、718のIPアドレスから、3万7700回の攻撃があった。RDPでは、弱いパスワードであれば総当たり攻撃によって侵入される可能性もある」と報告した。

ハイリスクのポートが公開されたデバイスの増加

　一方では、新型コロナウイルスの広がりにあわせて、疑わしいドメインが増加していることも示した。

　「covid、corona、c0vidなどのほか、Zoomなどの文字列を含む疑わしいドメインの新規取得数がうなぎ上りに増加している。これを利用することで、不正なサーバーに誘導し、マルウェアに感染させたり、詐欺を行ったりといったことが想定される。そのほかにも、WHOや国立感染症予防センターをかたったメール、ウェブ会議への招待や給付金通知を装ったメール、ZoomやMicrosoft Teamsのインストーラを装ったマルウェアなどがある。注意が必要である」と述べた。

疑わしいドメインの増加

　こうした状況をとらえながら、「すでに脆弱な環境におけるテレワークは始まっており、しかも一定期間がたっている。感染を前提とした行動をした方がいい。今後、新型コロナウイルスの感染拡大が終息し、企業ネットワーク配下にPCを持ち帰る前に、侵害された痕跡がないかどうかを確認した方がいい。感染したPCを1台持ち込むと、企業全体で、クラスター感染する可能性がある」と警鐘を鳴らした。