サイバー攻撃者が、企業に気づかれずに収集する「3つの脆弱性」　外部公開資産経由の侵入を阻止するポイント

システムの抜け穴を見つけ出すセキュリティのプロ集団

市川遼氏：みなさま、ご覧いただきありがとうございます。本日は「ハッカー視点で解説 サイバー攻撃で狙われる企業とは」というタイトルで発表させていただきます。

当社のことを初めてお聞きになる方も多いかと思いますので、最初にご紹介から始めさせていただきます。当社はGMOサイバーセキュリティ byイエラエ株式会社と申しまして、セキュリティ診断を主要事業として行っております。

GMOイエラエでは、これまで10年以上セキュリティ診断を実施してきており、9,000件を超えるような診断を数多くの企業に実施してきました。また、世界最高峰のセキュリティコンテストで優勝したメンバーが所属するなど、技術力に強みを持っている会社です。



こちらのセキュリティ競技コンテストでは、課題となるシステムに攻撃を仕掛けてデータを盗み取ることで、侵入技術を競います。システムへの侵入方法を深く理解していることで、システムに狙われやすい穴がないか、見つける力に優れている会社です。

最近では、技術力の高さを評価いただき、自治体や政府・公共機関へのサービス提供実績も増えています。防衛省や自衛隊にペネトレーションテスト訓練を実施したり、経済産業省のサイバー攻撃に関する検討委員会に参加するなど、公的機関への技術提供も積極的に行っております。



それでは、当社のことをご理解いただけたかなと思いますので、簡単に自己紹介もさせていただきます。私は市川と申します。現在、GMOイエラエのホワイトハッカーの知見を活かしたプロダクトを作っておりまして、開発のマネジャーを担っております。


私も学生の頃からいろいろなCTF（Capture The Flag:サイバーセキュリティのスキルを競うイベント）に出場して、侵入技術に関する知見を高め、セキュリティエンジニアとして診断なども手掛けてきました。

社会的に影響が大きかった脅威のトップ3

本日は、攻撃視点で見る、狙われやすい企業と狙われにくい企業ということで、セキュリティエンジニアの目線から解説させていただきます。

まず初めに、最近、外部公開資産経由の攻撃が増加している点について解説します。こちらはIPA（独立行政法人情報処理推進機構）が発表した、2023年に社会的に影響が大きかった脅威の一覧です。1位が「ランサムウェアによる攻撃」、2位が「サプライチェーンの弱点を悪用した攻撃」、3位が「内部不正」と続いております。



赤字で記載している箇所が本日のテーマでお話しする、外部からの攻撃と関連している箇所となります。内部不正にも注意が必要な一方で、基本的には外部の攻撃者に対して脅威が発生しています。

これらの脅威を引き起こすサイバー攻撃ですが、昨今では特に外部公開資産経由の攻撃が増加しています。過去には、USBやメール経由でエンドポイントに侵入することで、重要情報の奪取を行う攻撃が一般的だった中、最近では外部公開サーバーの弱点を狙うような攻撃が増加しています。



攻撃者としても、エンドポイントを攻めるよりも、直接内部に近い箇所に侵入することができるため、コスパが良く、狙われやすくなっていると考えられます。

また、こちらは警察庁の調査ですが、ランサムウェアの攻撃の感染経路のうち、約8割が外部公開資産経由の侵入であるというデータも出ております。6割がVPN機器、2割がリモートデスクトップからの侵入という調査結果が出ております。

サイバー攻撃で狙われやすい企業とは？

これらの外部公開資産経由の攻撃が増加している背景として、「Ransomware as a Service」と呼ばれるランサムウェアの攻撃のビジネス化も要因の1つとして挙げられます。こちらは、Ransomware as a Serviceを図解したものです。Ransomware as a Serviceとは、ランサムウェアをビジネスサービスのように提供することです。



まず初めに、上側の①②ですが、実行犯はサービス提供事業者からランサムウェアのウイルスや侵入を行うための入口を購入します。続いて、下側です。購入した情報を活用して攻撃することで、標的となる企業を攻撃し、身代金を奪います。

Ransomware as a Serviceにより分業化が進み、それぞれが得意な領域を分担して効率的に作業をすることで、攻撃実行にかかる工数や、金銭的コストが大きく減少しています。攻撃に関わる工数が削減されることで、外部公開資産に対する攻撃が増加しています。

このように、外部公開資産経由の攻撃が増加している背景を理解した上で、どのような企業がサイバー攻撃で狙われやすくなっているのでしょうか？　結論から申し上げると、当然ですが、外部から見て弱い企業が狙われやすいと考えられています。



先ほどのRansomware as a Serviceの図を見ると、イニシャルアクセスブローカーという侵入口の販売事業者が存在します。弱くて簡単に入れそうな企業は、リスト化して実行犯に販売されてしまうリスクがあります。

攻撃者としても、見るからに堅牢な企業を狙うよりも、ガードが手薄な企業を狙うほうが、費用対効果を高く攻撃ができるため、いかに外から見て簡単に弱いと思われないかがポイントとなります。

また、外部から見て弱い企業は、セキュリティに対する意識が低い企業であるとみなされる可能性があります。セキュリティ対策が進んでいないと判断されることで、より攻撃者にとって狙われやすくなる可能性があります。

企業に気づかれずに集められる3つの脆弱性

では、攻撃者は外から見てどのような情報を盗んでいくのか、プロセスで考えていきましょう。攻撃の初期段階においては、攻撃者はOSINT（Open Source Intelligence）と呼ばれる、一般に公開されている情報をもとに情報を収集・解析し、弱点となる箇所がないか確認します。


これらの調査行動は、企業側に気づかれないようにサイレントに行われることも多く、また、公開情報のため防ぐことが難しい状態です。

企業に気づかれずに収集できる脆弱性としては、スライドにある3つが考えられます。1つ目は、不要なポートの開放です。こちらは通常のアクセスの範囲内でも確認することが可能であり、利用していないポートが開いていると、攻撃に利用されてしまう可能性があります。



次に、暗号化されていない認証情報の窃取です。暗号化されていない場合、データを盗聴することで認証情報を奪われ、機密情報にアクセスされる可能性が出てきます。

また、既知の脆弱性が存在するソフトウェアの利用ですが、OSやソフトウェアのバージョン情報は、設定次第では簡易的な調査で簡単に見つけ出すことが可能です。すでに攻撃コードが出回ってしまっているソフトウェアを利用している場合、重大なリスクとなる可能性があります。

それでは、先ほどの脆弱性を利用した具体的な攻撃ステップを紹介します。こちらは社内ネットワークから脆弱性を悪用して、攻撃者が社内ネットワークに侵入する過程を図示化したものです。まず初めに、脆弱性がある外部公開資産、VPN装置や意図せず公開されたサーバーに対して、脆弱性を悪用して侵入を行います。



侵入した後、アンチウイルスソフトなど、横展開を行っていく上で障壁となるセキュリティ機構を無効化し、認証情報を窃取したり、権限昇格を繰り返しながら、内部の探索と横展開を行います。そして、最終的に重要な情報を持つ資産にたどり着き、ランサムウェアを実行するという流れです。

脆弱性を利用した攻撃の手口

ここからは、より具体的な事例を見ながら解説していきます。まず初めに、脆弱性があるVPN装置を利用した攻撃手法について紹介します。脆弱性があるVPN機器を利用している場合、どのような攻撃が行われるでしょうか？　管理画面が公開されていて、バージョンが古いVPNを利用している場合で考えてみましょう。

脆弱性があるVPN装置については、以下のようなものが考えられます。パストラバーサルとは、サーバー上の任意のファイルが読める脆弱性です。サーバー上に保管されているファイルの中には機密情報を含むものもあり、例えば管理者のアカウント情報などが読み取られる恐れがあります。窃取された認証情報を用いて、さらなる攻撃につながる場合もあります。


任意コード実行の脆弱性がある場合、攻撃者はVPN機器上からさらなる活動を行うことができます。VPN機器は内部ネットワークに接続されていることが多く、利用者が限られたネットワークでは、セキュリティ対策が十分にされていないケースもあります。この場合、攻撃者は容易に横展開を行うことができ、被害がより甚大になる恐れがあります。

ソフトウェアの脆弱性で認証バイパスができるケースもあります。管理者権限は特殊な操作を行うことができ、上記に挙げたパストラバーサルや任意コード実行に相当する機能が付いていることも珍しくありません。認証バイパスの脆弱性を悪用されることによって、より深刻な攻撃に発展する可能性が高まります。

VPNの脆弱性を突かれた実例から見える、4つの課題

それでは、先ほどの脆弱性を利用した、実際の事故事例を見ていきましょう。こちらは病院で実際に起きた事故事例を図示化したものです。VPNの脆弱性を突かれて、電子カルテや医療機器向けネットワークでランサムウェア攻撃を実行された事例となります。こちらのシステムでは、課題は大きく4つありました。それぞれ見ていきましょう。



まず、不正侵入につながる機器の脆弱性が長年放置されていたこと。攻撃者が企業を狙う時に一番最初に目を付けるのは、外部と内部をつなぐVPN装置などの機器です。ここに脆弱性が残っていると、内部ネットワークへの侵入を許してしまいます。

VPN機器に脆弱性が残っていても、未認証では悪用できない、正規ユーザーの認証情報が必要なものもあります。ここで、2点目の認証情報の流出が影響します。

サイバー攻撃を通じて流出したパスワードなどの情報は、ダークウェブで取引されることがあります。パスワードが平文で流出し、かつそのパスワードを別のシステムで使い回していたために、別サーバーから入られてしまったケースもよくあります。攻撃者は流出した認証情報を用いてVPN機器にアクセスし、そこから内部のネットワークへ侵入します。

境界防御型のネットワーク設計をしている組織の場合は、内部のネットワークは守りが甘いことも珍しくありません。ひとたび攻撃者が内部に入り込むと、攻撃者はネットワーク内の防御が甘いサーバーや端末をターゲットにしていきます。

マルウェア対策ソフトが導入されていない端末でランサムウェアを実行されてしまい、重要データが保管されているサーバー内のデータも暗号化されてしまいました。これら4つの原因は、それぞれ単体では大きな問題にならないこともありますが、このように偶然が重なってしまった結果、大きな事故につながります。

Webサーバーに対する攻撃手法

同様に、Webサーバーに対する攻撃手法についても紹介します。脆弱性があるWebサーバーを利用している場合、どのような攻撃が行われるでしょうか？

基本的には、先ほど説明したVPN機器と同じですが、VPN機器はそれ自身ではなく、先につながっている内部ネットワークなどが目的なのに対して、Webサーバーには個人情報などの重要なデータが直接保存されていることがあります。



また、Webサーバーから配信されるコンテンツを書き換えられた場合、Webサイトを訪れたユーザーにマルウェアをダウンロードさせるといった攻撃手法もあります。

それでは、先ほどの脆弱性を利用した実際の事故事例を見ていきましょう。こちらは「水飲み場攻撃」と呼ばれる、アクセスしたユーザーに悪影響を及ぼす脆弱性を図示化したものです。



まず初めに、攻撃者はWebサイトを攻撃して内容を改ざんします。悪意あるサイトを訪れたユーザーは、マルウェアをダウンロードさせられ、実行されてしまうことにより感染します。感染した端末は、攻撃者の管理しているサーバーに接続し、そのサーバーを経由して、攻撃者はユーザーの機密情報を盗んだり、さらなる危害を加えます。

日々約79件もの脆弱性が見つかっている

ここからは、これらの脆弱性がある外部公開資産を作らないために、外部から弱い企業と思われないためには、どのような対応をすれば良いかを解説します。

外部公開資産が脆弱な状態で放置されてしまう原因として、管理の難しさが挙げられます。まず初めに、外部公開資産となるWebサイトやサーバーを簡単に構築可能になってきているという点です。WordPressなどを活用して、サイトを各事業部で知らないうちにどんどん作られているような企業の方は、多いのではないかと思います。



次に、海外・子会社など、グループ会社の存在です。昨今、業界再編や海外進出などを目的としてM&Aが増加しています。特に離れた拠点に子会社を有する場合、本社から管理が行き届きにくく、状況の把握が難しくなっています。現地法人には専任のセキュリティ担当がいない場合も多く、各社のセキュリティ対策が難しい状況です。



このように資産の把握が難しくなる中、注意すべき脆弱性情報も日々増加しています。2023年は2万9,065件件の脆弱性情報が新たに発見されるなど、1日当たり約79件の脆弱性が見つかっている状態です。



日々新たな脆弱性が見つかっている中、事業部や各子会社で作られた、セキュリティチームが把握していない資産は、手付かずのまま脆弱な状態で放置されやすく、個人情報漏洩のリスクを抱えています。特にWordPressのプラグインが更新されずに残っている場合など、非常に多くのお客さまで散見されています。

脆弱性情報の公開後、悪用されて攻撃が拡大するケースも

また最近では、「N-day脆弱性」にも注意が必要です。脆弱性が発覚し、情報が社会に公開されるまでの間の脆弱性を「0-day脆弱性」と呼びます。それに対して、脆弱性情報が公開された後の脆弱性は、公開されてからの日付を意味して、「N-day脆弱性」と呼ばれます。



公開された脆弱性情報は、対策を行う私たちにとって必要な情報ですが、攻撃者に悪用される可能性もあります。後ほどご紹介しますが、脆弱性情報が公開されると攻撃が拡大する事例も多数あり、公開後すぐに脆弱性に対して対応する組織作りが必要です。

こちらはApache Log4jで見られたN-day攻撃の事例です。12月9日に脆弱性が発覚した後、SNSで広く拡散されました。翌日からすぐに大幅にアクセスが増加し、攻撃数が倍々に増えていきます。



こちらはIvanti VPNの脆弱性事例です。1月10日に脆弱性情報が公開された後、11日、12日と攻撃数が増加していき、5日後の15日には1,700台のVPNに悪用と侵害が広まっていることが確認されました。Log4jの事例と同様に、情報公開後については、1日単位で攻撃数が増える可能性があるため、素早い対応が求められます。



以上の事例より、サイバー攻撃に狙われない企業にするためには、自社が保有する資産を的確に把握し、また脆弱性情報が公開された後すぐに対応できるよう、脆弱性管理を行う体制を作ることが必要です。

資産の把握と適切な脆弱性管理を実現する手法

ここからは、資産の把握と適切な脆弱性管理を実現する手法として、ASMをご紹介します。ASMとは「Attack Surface Management」の略称で、Attack Surfaceを管理していくという考え方です。特に日本では、インターネットからアクセス可能なIT資産の情報を調査し、それに存在する脆弱性を継続的に評価する取り組みをASMと呼んでいます。


日本では、2023年の5月に経産省がガイダンスを出すなど注目されている領域です。また、米国のセキュリティ機関であるCISAもASMの重要性を提唱するなど、政府機関も推奨している取り組みです。

ASMは、大きく4つのプロセスで構成されます。1つ目は「攻撃面の発見」です。保有・管理しているIPアドレスやホスト名の洗い出しを行います。2つ目は「攻撃面の情報収集」です。利用しているOSやソフトウェアのバージョン情報など、脆弱性の基となる情報を収集します。



3つ目は「リスク評価」です。収集した情報を基に、脆弱性診断などリスクの大きさを評価します。最後に「リスクへの対応」です。評価したリスクに対して、対応を行うのか、リスクを受け入れるかの判断を行います。これらのプロセスを回すことでASMを実現します。

リスクを見つけて対処するまでの4ステップ

それでは、具体的にどのような作業が必要か見ていきましょう。まず初めに、攻撃面の発見ですが、ヒアリングシートなどを用いて、各社・各事業部から情報を集めます。ドメイン名やIPアドレスはもちろん、サイトの種別や扱っている情報の内容など、重要度を決めるための指標も必要です。また、ヒアリングだけではなくワークフローを設計し、継続的に進める仕組み作りも重要です。



ヒアリングシートだけではなく、システムチーム主導での調査も可能です。例えば、Whois情報を探索すると、このように保有するドメイン情報を探索可能です。

また、サブドメインを探索するオープンソースのツールもございます。「subfinder」というツールですが、ドメインを入れると、関連するサブドメインを公開情報から探索することが可能です。



サーバー証明書の情報を探索することも有効です。「Certificate Search」というサービスがあります。ドメインの情報を検索すると、サーバー証明書の関連情報を引っ張ってくるものです。少し精査は必要ですが、こちらも資産を把握する上で有効な手法です。



続いて、脆弱性の基となる情報の収集です。利用しているOSやソフトウェアなど、こちらも基本的にはヒアリングを通じて事業部から情報を収集していきます。



次に、リスク評価です。ツールや手動でのセキュリティ診断を実施していただきます。また、日々の管理においては、JPCERTやIPAなど、公的機関からの脆弱性の注意喚起情報を基に、自社が利用するソフトウェアに脆弱性がないか確認をしていきます。メディアのニュースも参考にしましょう。



最後に、対応です。それぞれの脆弱性についてどのように対応すべきか、対策方法が定義されています。最新版へのアップデートなど、必要に応じて対策を行っていただきます。



それぞれのステップで必要な作業は、このように整理されます。攻撃面の発見、情報収集では、各部署へのヒアリングで情報を把握します。把握した資産に対して、リスク評価・診断を行います。最後に、最新版へのアップデートなどの対応を行います。

各ステップで気をつけるべきポイント

続いて、それぞれのステップにおいて、気をつけるべきポイントを見ていきましょう。まず1つ目です。攻撃面の発見では、先ほどヒアリングを通じて情報を集めるとお伝えしましたが、実際に事故が起きた際に、シャドーITに気づくというケースが発生しています。事業部の自己申告では網羅性に欠けてしまう、各部署からのヒアリングが回収し切れないなどの問題も発生します。



続いて、情報収集での課題です。こちらは運用面での負荷が挙げられます。開発段階で情報を集めていたならまだしも、後から管理台帳を作ることは非常に大変です。過去の開発会社に情報を確認する工数が発生する場合もあります。また、バージョンのアップデートの度に更新を行うなど、維持し続けることは困難です。



続いて、診断時の課題です。全社の資産に対して診断を行うと、膨大な指摘事項が出てきます。それぞれに対して指摘事項の精査を行う工数が発生します。また、脆弱性診断では攻撃的な通信が発生するため、各事業部に対してサイト負荷に対する事前調整を行う必要があります。これらの調整も非常に多くの工数が発生し、すべての資産に対する診断ができない状態です。



最後に、リスクへの対応です。最新版へのアップデートですが、依存関係があり自由にアップデートできない場合があります。検証しながらアップデートをしていくため、リスクレベルの高いものから優先順位をつけて対応するなど、地道な検証が必要となります。

脆弱性管理を効率化する方法

このように、ASMに取り組もうとすると、必ず人の手を介する必要があります。特にヒアリングや調整など、時間のかかる会話を各部署と交わすことは避けられません。また、誤検知の精査やアップデート作業なども手間の掛かる作業で、専門家がいない組織でスムーズに行うことは大変困難です。すなわち、ASMを効率的に実施するためや、人に依存せず、かつ手間が掛からない仕組みが必要です。



弊社では、脆弱性管理を効率化するための「GMOサイバー攻撃ネットde診断 ASM」というサービスを提供しております。「ネットde診断 ASM」には、先ほど説明したASM実現に必要な仕組みが備わっています。お客さまが事業部にヒアリングして資産の棚卸しをする必要はなく、GMOイエラエのホワイトハッカーが、攻撃者が情報収集するのと同じように、お客さまの資産を洗い出します。


発見されたAttack Surfaceに対して、定期的に脆弱性情報を自動で収集し、リスクの評価を行います。脆弱性の中には、すぐに対応が必要な危険度の高いものから、直ちに問題にはならないものまでさまざまです。お客さまで判断がつかない場合は、セキュリティに明るいGMOイエラエのメンバーが、トリアージまでサポートいたします。



IT資産の棚卸しは、お客さまのドメインはもちろん、会社名・製品名などのブランド名も用いて、公開情報を調査します。Certificate Transparencyログと呼ばれる証明書の発行情報を追跡することによって、サブドメインを洗い出したり、Whois情報から所有者の情報を収集します。IPアドレスを保有されているお客さまの場合、JPNICの登録情報から、他に所有しているIPアドレスを調べることもあります。

緊急度の高い脆弱性には約3日で対応した実績も

ASMは、継続的に行うことが重要な取り組みです。「ネットde診断 ASM」では、定期診断スケジュールの設定を行うことができ、週次・月次・年次から診断頻度を設定していただくことができます。



「ネットde診断 ASM」では、IT資産の棚卸しから簡易的な脆弱性診断まで、幅広くカバーしています。多くのASMでは、バージョン情報を基にした既知脆弱性の洗い出しまであることが多いですが、「ネットde診断」では、簡単に発火するSQLインジェクションやXSSなどであれば検出が可能です。実際、この機能によって反射型XSSが見つかった事例もあります。



また、簡易的とはいえ、脆弱性診断では攻撃的な通信を行うため、アラートが上がる可能性があります。そういったお客さまに対しては、「簡易診断」と呼ばれる、ユーザーが通常アクセスする範囲でしか発生しない通信の範囲で診断を行うことができます。

SQLインジェクションやXSSなどの脆弱性の検査を行うものは「詳細診断」として用意しており、いずれかの診断モードを選んでいただくことが可能です。診断範囲は、Webアプリケーション、ネットワーク診断をサポートしています。



「ネットde診断 ASM」は、開発から運用までGMOイエラエで行っておりますので、突発的な需要に対しても、柔軟に対応できる体制を整えています。

先日話題になった、OpenSSHの「regreSSHion」という脆弱性については、影響の範囲が広く、社会的にも注目されていました。このような緊急度の高い脆弱性については臨時でアップデートを行い、「regreSSHion」については約3日ほどで対応した実績があります。

低価格でトータルサポートを実現する、純国産ツール

また、あるソフトウェアのバージョン情報から既知脆弱性が存在するかどうかを判断する際、「CVE」と呼ばれる脆弱性の識別番号を用います。CVEのデータベースは毎月自動で更新され、日々増えていく新しい脆弱性も検知することができます。



GMOイエラエには、セキュリティのエキスパートが在籍しておりますので、脆弱性の内容、トリアージ、対策に関する質問はもちろん、セキュリティマネジメントに強い組織作りにおける悩みなどにもお答えします。



「ネットde診断 ASM」は純国産ですので、海外製の不自然な翻訳に悩まされることもありません。また、長年培ってきた脆弱性診断の実績がありますので、セキュリティに関することであれば何でもお聞きください。トータルサポート力についても非常に優れております。



加えて、GMOイエラエはあらゆるサービスにおいて、最高品質のものを最低価格で提供することにこだわっております。GMOグループ会社の基盤を活用したコスト削減により、低価格でご提供します。

最後に、実際のお客さまのご利用事例を1件紹介します。製造業で1,000名以上の規模を持つお客さまです。社内の情シス部門主導で、全システムのリスク管理を実施したいという背景からご利用いただきました。



約700ものシステムに対して自動で定期診断を実施し、優先度の高いものから年間20件程度の改修作業を実施されています。表面的なものについては、自動でスキャンをかけた後、手動診断でより詳細なチェックをすることにより、診断コストの大幅な削減をされています。

ご清聴ありがとうございました。