「守るべきIT資産」が、企業の壁の外に分散

佐久間貴氏:みなさん、こんにちは。株式会社網屋 データセキュリティ事業部の佐久間です。本日は「ログで視覚化するセキュリティの死角」というテーマで、監視対象が拡大して増えていく中で、セキュリティの死角をどう最小化するかについてお話ししたいと思います。

まずは分散化するIT資産について。今まで守るべき資産は、企業ネットワークの中にありました。左側の絵のように城壁を作って、企業内のネットワークの中に資産を置いて守る。「境界防御」と言われるかたちでデータを守っていくことが一般的でした。

しかし今、新型コロナウイルス感染症対策でテレワークやクラウドシフトが進み、守るべき資産があちこちに分散されている状態です。例えば「Box」や「Salesforce」、「MS(Microsoft)365」、「AWS(Amazon Web Services)」といったクラウドサービスはどこの企業も使用されていると思うんですが、そちらにデータを保管されていたり。

テレワークが進む中で、働く場所も社内だけじゃなくて、自宅や外出先になると。そういった物理的な場所の隔離によって、データが分散しています。

あとはコロナの影響もありますが、今まで現地に行っていたものが行けなくなり、ネットワークを接続して事業を回していくということで、海外子会社との接続も急速に増えています。

それぞれ企業の壁の外にデータが保管されるということで、守るべきIT資産があちこちに分散してしまっているのが現状です。

ランサムウェアの感染経路の7割は「リモート機器」

そういった資産の分散を狙って、サイバー攻撃も非常に増えています。こちらにニュースを掲載させていただいてるんですけれども、要はテレワークが進んだことによって、どこの企業もVPN(仮想プライベートネットワーク)装置が増えました。

コロナ禍が始まって、急いでテレワーク環境を構築したい。そういった中で、突貫でVPNの装置や環境を作って、みなさんのテレワークを推進したと。ただ、突貫工事で作ったせいもあって、VPNの設定が初期のままだったり、脆弱性と言われる欠陥があるということですね。

機器の欠陥は定期的にパッチを当てて埋めていくんですが、そういった保守ができないまま、脆弱性のある機器を使っているところを狙った攻撃が増えています。

右側の図を見ていただくとわかるんですけども、実際ランサムウェアの感染経路は、VPN機器からの侵入が54パーセントを占めています。それに付随して、リモートデスクトップからの侵入と合わせると、70パーセント近くがリモート機器からの接続によって攻撃されていると。

クラウドサービスを狙うサイバー攻撃ももう1点出ていたと思います。みなさんがテレワークをする中で、クラウドサービスを活用されていると思うんですけども、そちらのデータへのアクセス・攻撃も増えています。

こちらは意外とシンプルで、みなさんのパスワードとIDは、ダークウェブで販売されていることがあります。みなさんはご存じかもしれないですけども、いろいろなところから窃取したパスワードとIDをリスト化して販売しているサイトです。

もちろん違法なんですが、攻撃者はそういったところでパスワードとIDを買ってきて、クラウドサービスに接続してデータを抜いてきてしまいます。データを盗まれただけでは済まなくて、ランサムウェアを置いて、時間が経ったら起動させて攻撃をすると。

その時には、盗んだデータを脅迫に使って「盗んだこのデータを公開するから、今すぐ身代金を払ってくれ」といったかたちの攻撃に使われる。なので、クラウドサービスを狙ったサイバー攻撃も、今非常に増えている状況です。

狙われやすい「野良アカウント」

3つ目が、海外子会社を狙うサイバー攻撃です。世の中では、いろいろな企業が海外展開していると思うんですが、実際に世の中のランサムウェアの被害は、この右側の円グラフで見ると、意外にも大企業が34パーセントで、中小企業が54パーセントと非常に多いです。

海外進出している企業は、大企業だけじゃなくて中小企業も非常に多くあります。大企業に関しては、意外と日本で一括してID管理やセキュリティ管理をされているんですけども。中小企業は進出を優先して、セキュリティ対策がされていないことがよくあります。

私どもは海外でもビジネスをしているんですが、日本から海外に赴任した方は、意外と権限を持っていますという話をよく聞きます。もちろん、ビジネス上の権限も持っているんですが、システムアカウントの権限も強いものをもらっていることが多いですと。

そうした方が3年ぐらいして日本に帰任する時に、アカウントをきちんと削除しないで、そのまま残されていて。新しい方が就任したら、また新しいアカウントを作って、過去のアカウントはそのまま残っているというのがけっこうあるようですね。

そうして残ったアカウントは「野良アカウント」と言われるんですけども、権限が強いアカウントは、非常によく狙われます。海外子会社を狙うサイバー攻撃では、こちらの右側(円グラフ)にあるように、中小企業の被害が多いというところを足し合わせると、やはり海外子会社を狙う踏み台にされる攻撃には、注意が必要だということになります。

不特定多数の組織を、自動的に無差別攻撃

次に、「サイバー攻撃の変化と不変的な対策」とあります。今までは特定の組織を標的として、計画的に行われる攻撃が多かったんです。これは今でもまだまだ残っているんですけども、今一番多いのは、脆弱性を抱えた不特定多数の組織へ無差別に攻撃を行うというものです。しかも、自動的に攻撃するというものが流行っています。

世の中には、お金を払って企業のドメインを入れると、その企業の脆弱性が出るというサービスがあってですね。攻撃者はドメインを一覧のリストで入れ込んで、そこから返ってきた脆弱性に適した攻撃用ツールを使って、自動で攻撃します。

つまり、「自分たちは狙われるような企業ではないんだ」と思っていたところも、これからは脆弱性があるかないかだけで攻撃されるという傾向があります。

これらの対策は意外とシンプルです。脆弱性を突かれるので、サイバー攻撃の対象となるシステムをリスト化して脆弱性対策を実施すれば、それはそれで解決するんだというのが、まず基本的な対策になります。

ただ、ITシステムはどこの企業でも非常に増えている状況です。それに伴って、死角が増えていっています。

例えば右側の例のように、脆弱性対策については、メーカーが「これが脆弱性ですよ」と出してきたものに対して当てているのが実情です。

ですので、未知の脆弱性に対しては、脆弱性パッチを当てられないですとか。あとは先ほど海外の話もしましたが、不適切なID管理。知らないアカウントがあったとわかればいいんですけど、きちんとID管理されていなくて、そもそも知らないアカウントが作られていることにも気づかない。もう使わないアカウントが残されたままになっているといった、“ID管理の穴”も問題になっています。

システムが増えるほど、「セキュリティの死角」が生まれる

他には、ダークウェブで販売されて漏えいしたID・パスワード。ダークウェブを常に監視するのも難しいですし、数も多いので、いつも自社のIDやパスワードが漏えいして販売されていないかどうかをチェックするのもなかなかしんどいです。

もう1つは、海外子会社やサプライチェーンの統制の難しさも問題になっています。ちょっと前に自動車会社のサプライチェーンが攻撃されてニュースになりました。海外子会社は自社のグループ内なので、まだ統制が利きやすいんですが、サプライチェーンの資本が入っていない違う会社に対して、どうやって規制・統制をかけていくのか。そういった難しさも内在しています。

最後にテレワーク環境、ネットワークということで、そもそもテレワークの社員の家のネットワークは大丈夫なのか。サイバー攻撃以外に内部不正というのも最近またニュースで出てきていますが、そういったところに対する対策。

今6つ挙げさせていただきましたが、これ以外にもまだまだたくさんあると思います。こういったシステムが増えると、それに付随して見なきゃいけないことが増えていく。そうすると必然的に死角ができてしまいます。

サイバー攻撃を防ぐ解決策は「ログ管理」

では、このセキュリティの死角を狙った攻撃にはどんなものがあるのか。先ほど挙げた3つを1つずつ説明しますが、まずはVPNを狙ったサイバー攻撃というものがあります。

こちらは脆弱性はなくても、ログインできるところまで総当たり攻撃するということで、リモートアクセスのゲートウェイに脆弱性があったら、そこを突いて不正ユーザーがアタックして実際に侵入してしまいます。

クラウドサービスを狙ったサイバー攻撃で言うと、ダークウェブなどで販売されている、流出したパスワードを使って、不正ユーザーがなりすましてあっさり侵入してしまうとか。ダークウェブ以外でも公開されていることはあるんですけども。

最後に、海外子会社を狙ったサイバー攻撃ということで、これも脆弱性を狙うものが多いです。海外子会社を踏み台に本社を攻撃したり、海外子会社にランサムウェアを置いて、本社のネットワーク内にも影響を及ぼすといった攻撃が多くなっています。

「これらの解決策は何か?」と言いますと、すべてのログを集約・分析して異常に気づくこと。「ログ管理」と言っているんですけども、これが一番重要です。

「ログを集めたら何がわかるのか」と言うと、例えばテレワークの話で言いますと、VPNの認証ログ。VPNを使うにあたって、ID・パスワードで「この人は正しい人ですよ」というのを見ると思うんですが、認証やログインをすると、認証ログと言われるログが出るんですね。

VPNの場合、ログではリモートIPの国名も一応出るんですが、「どこのIPがどこの国から接続していますよ」ということがわかるようになっています。

例えば「Sakuma」とあって、私がユーザーになっていますけども、私は日本で仕事をしているので、中国からログオンすることは出張しない限りはないんです。でも、これが普通に夜中とかに(中国から)ログオンしていたら「おかしいね」となるんですね。

こういったテレワークやVPNを狙ったサイバー攻撃については、国やIPを見ると「ふだんは日本以外からログオンしないのに」ということで、怪しいアクセスがわかったりします。

クラウドの認証ログからも怪しい認証をチェックできます。例えばこのログですと、時刻が夜中の2時になっています。これは私ががんばって夜中に仕事をしているかもしれないですけど、普通に見たらこの深夜時間のログオン成功はおかしいよねと、ピックアップすることも可能です。

内部不正も、ログ管理で検知が可能

海外子会社も、ネットワーク機器のログから、本社向けのトラフィックの変化をチェックすることも可能です。

日々、海外子会社と本社とのファイルのやりとりやネットワークの通信は、普通にあって然るべきなんですけども、この図のように海外子会社から本社に通信量が急に増えていましたと。

普通にファイルコピーをしても(通信量が)増えることはあるんですが、それは「ファイルコピーかもしれないから見なくていい」という話ではなくて、ふだんやらないことが出ている場合にチェックすることが非常に重要です。

例えば「脆弱性スキャン」と言って、実際に脆弱性があるかないかをスキャンするようなコマンドがあります。これで脆弱性を突破されなくても、スキャンしたということでログが大量に出ます。

こういった通信、ポートスキャンと言われるところですね。脆弱性スキャンを実施することで、急激に増えている通信量などを検知するのもセキュリティ予防に非常に重要です。

今までサイバー攻撃の話もしてきましたけども、ログを見てわかることのもう1つとして、内部不正があります。先ほども死角の中でお話ししましたけども、内部不正についてもしっかりログでわかります。

例えばこれは4つありますが、SharePointから顧客情報ファイルをダウンロードするということも、一般の仕事でやることがあると思います。SharePointはMicrosoft 365の(ファイルやドキュメントを管理するための)サービスになりますが、顧客情報なり何なりファイルをダウンロードすると、ちゃんとログが出るんですね。

要は、SharePointから顧客情報Excelをダウンロードしたということが、きちんとログからわかります。

はたまた重要フォルダへのアクセス状況ですね。クラウドサービスや一般のファイルサーバだけでなく、ファイルや重要フォルダへのアクセスも監視する必要があります。

例えば、新製品情報や会社の重要情報へのフォルダアクセスは、ちゃんと制限をかけていてもいいんですけども、それでも抜いてくる人がいます。そういった重要データにアクセスされてないかを監視するということですね。

このログも、ユーザーが給与台帳にアクセスしています。「READ」しているんですね。これを削除すると「DELETE」、書き込むと「WRITE」と出るんですけど、誰がこのファイルに何をしたのかもわかります。

「気づいたら攻撃されていました」を未然に防ぐには

もう一つが最近のクラウドサービスでよくある、Exchangeで「顧客情報ファイルをメールで送りましたよ」というもの。今だと(Microsoft)365のメールの送受信ログなどから、何を送ったかがわかるようになっています。「こちらのメールアドレスに顧客情報ファイルを送りましたよ」とかですね。

最後に、特権管理者のデータベース操作履歴です。ドメインコントローラやファイルサーバの管理者操作もわかります。

今までの3つは、比較的一般ユーザーが行う操作を把握するものなんですが、じゃあ一般ユーザー以外は大丈夫なのかと。管理者は本当に何も悪いことをしていないのか。やっていないことを証明するというのもありますし、何をしているかを把握するのも非常に大事だということですね。

こういった特権管理者、要はスーパーユーザーの操作履歴がこうしたログでわかります。これだと、システム管理者が管理権限を付与したことがきちんとわかります。

内部不正に限らずサイバー攻撃でも、新たに侵入してきた攻撃者がデータベースにユーザーを作って権限を付与したとわかるんですけども。こういった内部不正のサイバー攻撃も、特権管理の操作は適切なのかをきちんと把握する必要があります。そういったことも、ログを取っているとすべてわかります。

なので、ログをしっかり収集することで、セキュリティの死角を最小化できます。つまり、ログがないと何をされたかもわからないので、「気づいたら攻撃されていました」となるんですけども。しっかりとログを取って管理して分析していれば、サイバー攻撃や内部不正にも気づくことができます。