トピック

サイバーセキュリティの脅威と対策:日本のインフラと人的要因の影響

近年、急速なデジタル技術の進化により、サイバー攻撃の増加は深刻な問題となっています。今回のブログでは、2021年に発生した米石油パイプライン大手企業へのランサムウェア攻撃や、最近報道があった名古屋港へのランサムウェア攻撃を振り返りつつ、サイバー攻撃がもたらすインフラへの影響を踏まえ、浮き彫りになった問題やその解決策の一つとなるパスキーについて詳しく探ってみましょう。

サイバー攻撃がインフラに与える影響

国内のインフラがサイバー攻撃のターゲットになった場合、その及ぼす影響は計り知れません。

例えば、2021年5月に、米石油パイプライン大手であるコロニアル・パイプライン社がランサムウェア攻撃を受けました。この攻撃により、1週間にわたって燃料の供給が停止されました。事件当時ガソリンスタンドではパニック買いが起こり、価格急騰を招くなどの深刻な影響がありました。この攻撃を仕掛けたのは、Dark Side(ダークサイド)と呼ばれる犯罪者グループでした。

コロニアル・パイプライン社は、この混乱を早く解決する方法としてDark Sideに身代金440万ドル(約4億8000万円)を支払うことを決めました。その後、FBIが支払われた身代金総額の85%に相当する金額を押収していますが、サイバー犯罪者にとって、インフラへの攻撃は、成功すれば多額の収入が得られる格好のターゲットになり得ることを印象づける事件となりました。

日本国内のインフラへの攻撃を見ると、直近では2023年7月5日、名古屋港運協会がNUTS(名古屋港統一ターミナルシステム)におけるランサムウェア攻撃にあったことを公表しました。バックアップからシステムを復旧させたとのことですが、この攻撃で2日程の間、港湾のコンテナターミナルの作業が止まりました。名古屋港は製造業の中心となる港であり、輸入・輸出を行っている企業を中心にサプライチェーンにも影響を与える結果となったようです。

昨今のサイバー攻撃は、機密情報窃取や金銭搾取のため、より悪質な方法を使うようになっています。特にランサムウェア攻撃の場合、犯人グループはできるだけ多くの身代金を得るため、医療機関を狙うことが増えました。医療機器やシステムの停止は人命に関わるので、被害者である医療機関が犯人グループに対して身代金を支払う確率が高くなるためです。

これまでサイバー攻撃によって人命が奪われることはなかったと言われていますが、医療機関や製薬企業、自動車産業もサイバー攻撃の対象になってきていることから、人命に対しての新しい脅威にもなってきています。

VPNのリスク

先述したコロニアル・パイプライン社のランサムウェア攻撃の初期アクセスは、多要素認証が設定されていないレガシーVPNシステムに、盗まれたID・パスワードの一要素認証だけで侵入されたと、同社CEOが米上院議員の公聴会で証言しています。名古屋港のランサムウェア攻撃にしても、2023年7月23日に公表された名古屋港運協会経緯報告によると、攻撃の初期アクセスは、リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと述べています。

そもそもVPN(Virtual Private Network)とは、専用の回線を仮想的に構築し、離れた場所同士を繋いで安全なデータ通信を可能にする仕組みです。リモートワークや遠隔地の拠点通信のセキュリティを高める手段として広く使われています。VPNは通信が暗号化されるため、セキュリティ強化が見込めると思われがちですが、近年VPNを利用したサイバー攻撃は増加しています。ここで2つのサイバー攻撃の例を見ていきたいと思います。

VPN機器の脆弱性を狙った侵入
海外製VPNは、品質と価格の面でバランスが取れているため、多くの企業が選択肢として検討しています。しかしながら、海外製VPNを導入する場合、複数のベンダーが介入する場合があります。その場合、ベンダー同士でエンドユーザーに提供する運用保守の責任範囲の所在が曖昧になったり、サイバー攻撃とその対策に関する知識や技術力が不十分な場合があり、アフターサービスもあまり期待できないことがあります。実際に、ベンダーがメーカーから提供された重要なセキュリティパッチを数年放置し、エンドユーザーが利用するパッチ未適用のVPN機器の脆弱性が悪用され、ランサムウェアに感染してしまうという事件も発生しています。

VPN機器の認証における問題
VPNは通信が暗号化されているため安全のように思われますが、認証の視点から見るとセキュリティ上の懸念があります。流出した認証情報が悪用されたり、利用者のパスワード管理方法によってセキュリティが脅かされることが考えられるのです。実際に、パスワードの使いまわしや、全ユーザーに管理者権限を設定していた結果、不正アクセスをした侵入者に対しても管理者権限を付与してしまい、ウィルス対策ソフトを不正にアンインストールされ、攻撃の範囲を拡大されたという事例があります。攻撃者が一旦アクセス権を取得すると、社内のネットワークを横断し、様々な情報を吸い上げます。そのため、VPNには多要素認証の導入や、フィッシング耐性のあるパスキーによる強固な認証によって不正アクセスを防ぐことがお勧めです。

このようなサイバー攻撃のリスクを考えた場合、VPNの導入時にはクラウド型UTM(Unified Threat Management)を検討することを推奨します。クラウド型UTMは、統合脅威管理の進化形で、セキュリティ対策を一元化し、効率的に保護する手法です。ファイアウォール、アンチウイルス、アンチスパム、URLフィルタリング、IDS/IPS、アプリケーション制御などのセキュリティ機能をクラウド上で統合し、外部と社内ネットワークの間に設置します。また、ログ集計やレポート出力によって効果的なセキュリティポリシーの運用が可能です。限られたセキュリティリソースでも優れた保護を提供し、ビジネスの安全性を高めます。しかし、こういったサービスを使う場合でも、認証の強化が必要であるため、パスキーによるパスワードレス認証を利用することで多角的なセキュリティ対策のアプローチが必要です。

サイバー攻撃の始まりは人的要因が関係している

先述の2つの攻撃だけを見ても、初期アクセスにおけるセキュリティの設定の甘さがあり、これは人的要因によるものだと考えられます。例えばコロニアル・パイプライン社の場合、レガシー機器を含むすべてのアクセスに多要素認証を設定しておけば、犯行グループは盗んだ有効なID・パスワードを持っていたとしてもログインを成功させることはできませんでした。また、名古屋港のランサムウェアの場合は、脆弱性が発見された機器を放置せず、できるだけ早くセキュリティパッチを適用することで、セキュリティホールを作らずに済んだかもしれません。ランサムウェアの初期アクセスに関しては「たら・れば」の話になりますし、無論、上記の対策をしても犯行グループは様々な方法で侵入を試みるため、安心とは言い切れません。

しかし、人々は簡単な設定ミスにより侵害が起こるということを自覚し始めているようです。電子機器とシステムを提供するグローバル企業Thalesが発表した「2023 Thales Data Threat Report」によると、過去12ヶ月間にデータ漏洩に見舞われた組織では、回答者の55%が設定ミスや人為的ミスが主な原因であると指摘しています。

また、米国ニューヨークに本社を置く電気通信事業者Verizonが発表した「2023 Data Breach Investigations Report」では、企業がサイバーセキュリティに関するトレーニングを強化し続けているにもかかわらず、人的要因が依然としてインシデントの圧倒的多数を占め、侵害全体の74%に影響を与えていると述べています。さらに、人的要因の中でもソーシャル・エンジニアリング攻撃が最も一般的な方法の1つとなっているとし、ハッカーがサポートスタッフになりすまして電話口でID・パスワードを聞き出したり、ユーザーを騙して悪意のあるリンクや添付ファイルをクリックさせるフィッシングのような手口によって不正アクセスが増加しているとのことでした。

昨今のサイバー攻撃において、「侵害されて初めて気づく」や「自社の不正アクセスを他の企業や団体によって知らされる」ことが非常に多くなっています。企業におけるサイバーセキュリティの強化は、従業員の意識向上と適切なサイバーセキュリティ教育がより良いセキュリティ文化を醸成し、従業員一人ひとりが適切なセキュリティプラクティスを身につけることが、未来のサイバー攻撃に対抗するための重要なステップとなるでしょう。

終わりに

これからの社会において、サイバーセキュリティはますます重要性を増しています。私達ISRでは企業の重要な情報資産へのアクセスを担うサービスとして、セキュリティの確保は最優先で行われるべきだと考え、CloudGateサービスの提供開始当初より「Security First」という考え方に基づいた開発・運用・サポートを行っています。

ISRは2014年からFIDO Allianceに加盟し、FIDO規格に基づくパスワードレス認証を提供しています。

また昨今、パスワードの代わりとしてGoogle、Appleをはじめとする様々な企業が対応を始めた、フィッシングに強いパスキー認証にも対応し、MFAの必須化やパスワードレス認証の普及を推進してまいりました。

このブログが、サイバーセキュリティに関する知識を深め、行動を起こすきっかけとなることを願っています。今後も私達ISRは、日本に「Security First」が浸透するよう、様々な情報をブログとして発信していきます。