ニュース

テレワーク下でのセキュリティ対策には何が必要か? 最新のサイバー攻撃動向から考える

ISRが“ゼロトラストMFA”に関する説明会を開催

 株式会社インターナショナルシステムリサーチ(以下、ISR)は28日、テレワーク下でのサイバー攻撃動向と対策に関する記者説明会を開催した。今回の説明会では、米国で発生した重大なサイバー攻撃事件を振り返りながら、テレワークが普及した現在におけるセキュリティの課題とゼロトラストMFA(多要素認証)を用いたセキュリティ対策の重要性について解説した。

 まず、テレワーク下でのサイバー攻撃の実状について、ISR 代表取締役のメンデス・ラウル氏は、「新型コロナウイルス感染症拡大による在宅勤務の普及で、テレワーク人口が急増。これに伴い、自宅など外部からVPNを使用して社内ネットワークに接続し、テレワークを実施するケースも増えている。こうした状況の中で、VPN機器の脆弱性を利用した攻撃、さらにはテレワーク下で本人確認が行えていないことから、企業を標的としたサイバー攻撃が相次いでいる」と指摘する。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 VPNを利用した代表的なサイバー攻撃事件として、ラウル氏は、今年5月に発生したColonial Pipeline社へのランサムウェア攻撃と、昨年12月に発生したFireEye社へのサプライチェーン攻撃(SolarWinds事件)を挙げた。

 Colonial Pipeline社へのランサムウェア攻撃事件では、犯罪者グループDarkSideが、Colonial Pipeline社のコンピュータシステムに4月29日に侵入し、わずか2時間で100GB以上の企業データを盗み、5月7日には同社を操業停止に陥らせた。これにより、1週間にわたって燃料の供給が停止し、さらに同社は身代金440万ドルを支払ったという。この事件の最も初期の証拠はColonial Pipeline社のVPNへのログインであり、パスワード認証のみを適用していたレガシーVPNへのログインから攻撃が開始されたとみられている。

Colonial Pipeline社へのランサムウェア攻撃事件の経緯

 一方のSolarWinds事件は、昨年12月、FireEye社のMFAが突破され、VPNへのログインから侵入されたことで攻撃が発覚した。攻撃者は、あるユーザー(営業担当)のユーザーID/パスワード/従業員番号といったクレデンシャル情報を、SolarWinds社のIT管理ツール「Orion」経由で盗み、その情報を使って自分の新しい端末を登録し、MFAを突破した。この事件では、SolarWinds製品の利用組織1万7000社に被害が拡大し、実際に主な米国政府機関を含め約100組織が攻撃者に侵入されたという。

SolarWinds事件の概要

 これらのサイバー攻撃事件の課題についてラウル氏は、「Colonial Pipeline社の事件は、アカウントが無効化されていない、パスワード認証のみが適用された未使用のレガシーVPNプロファイルが存在していたことが大きな問題だったと考えている。FireEye社の攻撃検知に至るまでの課題としては、中継する処理やログイン画面に入力する行為があるため、中間者攻撃やフィッシングなどを受けるリスクがあった。また、MFAに利用するスマートフォンの登録がパスワード認証のみになっていたことも問題だ。これにより、MFAが突破され、VPNからの侵入を許してしまった」と説明した。

Colonial Pipeline社の課題
FireEye社の攻撃検知に至るまでの課題

 そして、こうしたVPNを利用したサイバー攻撃への対策として、「テレワーク下で進化する攻撃者の手法を知り、セキュリティ対策も進化させる必要がある。まずは、VPNの認証を強化するため、ゼロトラストアーキテクチャのMFAの採用も視野に入れたセキュリティ対策の再点検を行うことが重要だ。強固な認証を実現するゼロトラストMFAの一つとして、顔や指紋などの生体情報を用いた生体認証がある」と訴えた。

 すでに米国政府では、今年5月に、サイバーセキュリティの向上に関する大統領令の一部として、ゼロトラストアーキテクチャを採用したクラウドコンピューティング環境に移行し、その上でMFAを徹底して導入することを義務付けている。また、FireEye社は10月に「Mandiant社」に社名変更するとともに、従来のEDR(Endpoint Detection and Response)からXDR(Extended Detection and Response)へと提供するセキュリティサービスを強化している。

 こうした業界動向を踏まえ、ゼロトラストMFAに対する取り組みについてラウル氏は、「ゼロトラストモデルを採用した、マルチクラウド対応のシングルサインオン(SSO)製品『CloudGate UNO』のさらなる強化を進めている。9月には、新たにセキュリティ通知機能を搭載した生体認証アプリ『Pocket CloudGate』をリリースした。セキュリティ通知機能では、新規の端末登録やパスワード変更、パスワードリカバリーが行われると、ユーザーが利用するアプリにアラートが届く。ユーザーは、心当たりのない不正なアクセスがあった場合には管理者へエスカレーションし、管理者は該当アカウントの一時停止といった対応をとるなど、攻撃者からの侵入を防ぎ被害を最小限に抑えることが可能となる」と、今後も「CloudGate UNO」の進化に力を注いでいく考えを示した。

セキュリティ通知機能の概要