ニュース

ISR、多様化するサイバー攻撃の現状と対策について説明
ゼロトラストに基づいたMFAでさらなるセキュリティ強化を

 株式会社インターナショナルシステムリサーチ(以下、ISR)は21日、「APT攻撃から恐喝型の攻撃まで、さまざまに変化するサイバー攻撃~多様化するサイバー攻撃において、自社や顧客のデータを守るための施策とは?」をテーマにした記者説明会を開催した。今回の説明会では、今回の勉強会では、米国および日本におけるサイバー攻撃の状況を整理して振り返りつつ、ゼロトラストの考え方に基づいたMFA(多要素認証)によるセキュリティ強化について紹介した。

 まず、近年の海外におけるサイバー攻撃のトピックとして、「SolarWinds事件」と「Oktaへのサイバー攻撃」を挙げる。「SolarWinds事件」は、サプライチェーン攻撃による被害規模の大きさや、攻撃を検知するまで約9か月に及んで侵入され続けていたことから、史上最大のサイバー攻撃といわれている事件。攻撃者は、SolarWinds社が提供する管理ソフト「Orion」のアップデート版にマルウェアを書き込み、拡散させた。これにより、エンドユーザーの1万7000社が影響を受け、攻撃者が実際に侵入したのは、米国政府機関を含む約100組織とされている。2020年12月8日にFireEye社が攻撃を検知し、ブログで公表した。

「SolarWinds事件」の概要

 一方、「Oktaへのサイバー攻撃」は、ネットワーク認証サービスのOktaが、サイバー犯罪グループのLAPSUS$から攻撃を受けた事件。攻撃者は、GitHubから既製のツールを使用し、Sitel社のFireEyeのエンドポイントエージェントを無効化させ、Sitel社の社内環境へ侵入した。今年3月22日に、LAPSUS$がOktaシステムのスクリーンショットをオンラインで公開したことで事件が明るみに出た。

「Oktaへのサイバー攻撃」の概要 【編集注】「OktaがSitelから完全な調査報告書を受け取る」の日付が2022/3/17となっていますが、2022/3/22の誤りと思われます
【訂正】

 ISRでは、この2つの事件を比較し、共通点として「新たな認証要素が追加された」ことが攻撃を検知するきっかけになったと分析する。「SolarWinds事件」では、攻撃者がFireEyeの社員から窃取したクレデンシャル情報を利用して、自身のスマートフォンをMFAで使用する新たな認証器として登録。これをシステム管理者が発見した。「Oktaへのサイバー攻撃」では、Sitel社従業員のOktaアカウントに、攻撃者が新たな認証要素を追加。このアラートを管理者が受け取り、検知につながっている。

「SolarWinds事件」と「Oktaへのサイバー攻撃」の比較

 また、2つの事件の相違点については、攻撃が検知されてから公表までの期間に大きな差があったと指摘する。「SolarWinds事件」では、FireEyeが不正アクセスを検知すると、すぐに攻撃について公表・調査を行い、数日後にはSolarWindsに報告している。一方、「Oktaへのサイバー攻撃」では、アラートを受け取った後、アカウントを一時停止し、Sitel社に通知。Sitel社はフォレンジック会社に調査を依頼し、公表されたのは調査が完了してから3か月後のタイミングだった。

「SolarWinds事件」と「Oktaへのサイバー攻撃」の共通点と相違点

 次に、日本におけるサイバー攻撃のトピックとして、マルウェア「Emotet」の被害が急増している状況を説明。IPA(情報処理推進機構)によると、Emotetに関する相談件数は、昨年10~12月は12件だったものが、今年1~3月には656件まで急増。3月中に寄せられたEmotet関連の相談件数は、511件と過去最高を記録している。

IPAへの「Emotet」に関する相談件数が急増

 また、Emotetの被害例も紹介。ソフトウェア等販売企業のケースでは、従業員の使用するパソコン1台がEmotetに感染。端末に保存されていたメール情報が窃取され、同社従業員を装った不審メールが発信された。この事例では、「スパムフィルターによる検疫」「エンドポイント保護プラットフォーム(EPP)による検疫」「FireWallによる制御」「セキュアWebゲートウェイ(SWG)による制御」の4段階の防御を行っていたにも関わらず、Emotetはこれらすべてをすり抜けていたという。

 こうしたサイバー攻撃の現状を踏まえて、ISR 代表取締役のメンデス・ラウル氏は、「コロナ禍、さらにはロシアのウクライナ侵攻などの影響で、世界的にサイバー攻撃が増加傾向にある。また、攻撃手法も進化し続けており、海外の政府機関が起こすAPT攻撃から犯罪者が起こすランサムウェアや脅迫型攻撃まで多様化している。この状況下において、日本企業は、サイバーセキュリティに関する意識を一段と高める必要がある」と訴える。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

 増加するサイバー攻撃への対策ポイントについて、ラウル氏は、「今後、サイバー攻撃から企業を守るためには、攻撃者が侵入できる入り口を徹底的に閉めることが重要になる。そして、入り口を閉めるためには、セキュリティ対策を根本的に見直し、経営者が『Security First』の考え方にマインドチェンジすることが必須となる。特に、認証については、パスワードのみの認証という入り口を閉めるとともに、MFAをさらに強化することが求められる」との考えを述べた。

 「MFAの問題点として、本人確認をしないSMSによるMFAは突破される可能性がある。また、コード入力によるMFAも、途中でセッションハイジャックやフィッシングによって偽サイトにリダイレクトされ、ハッカーの侵入を許してしまう恐れがある。そこで、当社では、ゼロトラスト(すべてのアクセスを信用しない)の考え方に基づいたMFAソリューションを提案している。ゼロトラストMFAとしては、窃取されにくい指紋や顔などの生体情報を用いたMFAや、FIDO2対応のセキュリティキーを使用するMFAがある。最近のサイバー攻撃は、パスワード認証のみのVPNを狙うケースが多く、この入り口を完全に閉めるためにも、ゼロトラストMFAの導入を検討してほしい」と、ゼロトラストに基づいたMFAソリューションの導入を強く推奨した。