中国ハッカー集団によるサイバー攻撃

中国のハッカー集団「暁騎営」による韓国の公共機関へのサイバー攻撃と、韓国インターネット振興院(KISA)の対策とは?

by ブログ

中国ハッカー集団によるサイバー攻撃

2023年1月末、韓国では旧正月の時期に緊急事態が発生しました。中国のハッカー集団「暁騎営が、韓国の公共機関に対する大規模なサイバー攻撃を行いました。暁騎営は、12 の学術機関のWebサイトをハッキングし、オープンソースコミュニティのGithubで個人情報を流出させました。

個人情報には、政府機関や公共機関はもちろん、POSCO、LG電子、サムスン電子、現代製鉄、クムホタイヤといった韓国大手企業の電子メールアドレスも含まれており、 氏名、所属、IDとパスワード、携帯電話番号、勤務先電話番号、勤務先、自宅住所など、計161名の個人情報が流出したことが明らかになりました。

韓国インターネット振興院 (KISA) は、民間の被害者157 名の個人情報を保有する組織や企業に対して、流出実態の確認と追加のセキュリティ対策を実施するよう促しました。一方、ハッカーの標的となった 12 の学術機関のWebサイトはまだ完全に回復していないため、被害は依然として進行中です。

このようなサイバー攻撃に対しては、Webサイトのセキュリティソリューション、定期的なセキュリティチェック、脆弱性の継続的なモニタリングなど、セキュリティシステムを通じて積極的に対応することが重要です。

 

 

韓国インターネット振興院(KISA)による民間企業へのセキュリティガイド

中国のハッカー集団による大規模なサイバー攻撃を受けて、韓国インターネット振興院(KISA) は、民間企業のWebサイトのセキュリティを強化するよう、ガイドラインを発表しました。内容は以下の通りです。

  1. ログイン機能のあるサイトの場合、定期的に不正アクセス履歴の確認や異常IPのブロックを行い、関係機関と共有する
  2. IP ごとのログイン回数にしきい値を設定し、CAPTCHA などの認証方式を使用して不正ログイン防止を強化する
  3. パスワードの変更と 2 要素認証により、ユーザーアカウントのセキュリティを強化する
    ・登録ユーザーのアカウントセキュリティ管理を強化する
    ・複数のサイトでアカウント情報が重複しないようにする
    ・複雑なパスワードを設定し、3 カ月ごとに定期的に変更する
    ・IDとパスワードに加え、OTPやSMSなどによる2段階認証を有効にする
    ・アカウント情報が漏洩した場合は、同じ情報を使用しているすべてのサイトのパスワードを変更する
  4. 重要なユーザー情報 (通信料金など) が変更された場合、 SMS通知などのアラート機能を強化する
  5. 関連サービスの保守や業務委託先のセキュリティ強化を依頼する

 韓国インターネット振興院 (KISA) のセキュリティガイドラインに沿って、サイバー攻撃やハッキングなどの脅威に対応し、Webサイトのセキュリティを強化する方法を具体的に見てみましょう。

 

 

異常なIPと不正ログインのブロック

インターネットに接続されたWebサイトは、その規模に関係なく、いつでもサイバー攻撃の標的になる可能性があります。無差別なサイバー攻撃に対抗するためのセキュリティ サービスの実装が必要です。

Webサイトセキュリティの最も基本的なセキュリティ対策は、「WAF (Web Application Firewall)」の実装です。

Cloudbric WAF構成図

Cloudbric WAF+ は、インストールなしで迅速かつ簡単に実装できるクラウドベースのWebセキュリティサービスです。WAF(Web Application Firewall)機能に加えて、無料のSSL/TLS、DDoS保護、ボット制御、悪意のあるIPのブロックなど、企業がWebセキュリティを構築するために不可欠な 5 つのサービスを提供します。

Cloudbric WAF+ は、95 カ国の 700,000 以上の Webサイトから収集された脅威インテリジェンスに基づいて、悪意のあるIPをブロックし、発生する可能性のあるサイバー脅威を未然に防ぐことができます。

Cloudbric WAF+ は、ロジックベースの検知エンジンと独自のAIエンジンを備えており、堅牢なセキュリティを実現します。米国、欧州、韓国、日本、中国の 5 カ国で特許を取得したロジックベースの検知エンジンは、新しい攻撃が発生すると、自動的に検出および分析します。Cloudbric WAF+ は、データの意味と構造を理解することで、隠れた、または改ざんされた新しいWeb攻撃パターンを正確に検出するため、誤検知率が低くなるのです。

Cloudbric WAF+についてはこちら

 

 

DDoS攻撃

セキュリティの脅威は常に私たちの周りにあり、ハッキングに加えてDDoS攻撃(分散型サービス妨害攻撃)も国内外で継続的に発生しています。

DDoS攻撃は、複数のシステムから大量のリクエストを送信して、Webサーバーに過剰な負荷をかけるものです。DDoS攻撃により、Webサーバー上のすべてのデータが削除されたり、情報が漏洩したりする可能性があるため、予防策を講じることが非常に重要です。DDoS攻撃は年々巧妙化・複雑化していますが、既存のセキュリティ対策ではすべてのDDoS攻撃を防ぐことはできず、新たな脅威に備える必要があります。

Cloudbric ADDoS は、エッジコンピューティングテクノロジーに基づいてDDoS攻撃インテリジェンスを収集、分析、配布する高度なDDoS防御サービスであり、世界中のどこからでも攻撃を迅速にブロックできます。 

このサービスは、頻繁に発生する従来の攻撃、マルチベクトル攻撃、アプリケーションレベルの攻撃など、あらゆる形式のDDoS攻撃に対応できます。 

大規模DDoS攻撃を防御できる「Cloudbric ADDoS」についてはこちら

 

 

まとめ

サイバー攻撃は年々進化を続けています。ますます高度化するセキュリティの脅威に対応するには、Cloudbric のクラウドベースのセキュリティソリューションを活用して、個人情報・機密情報などの重要なデータを保護することをおすすめします。

 

【参照サイト】

韓国インターネット振興院(KISA)
https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=4&categoryCode=&nttId=67129

聯合ニュース
https://www.yna.co.kr/view/AKR20230125076600017

Boan News
https://www.boannews.com/media/view.asp?idx=113708

韓国経済新聞
https://www.hankyung.com/international/article/2022110588357

 

 

OSコマンドインジェクション

OSコマンドインジェクションとは?仕組みや実例・対策を解説

by ブログ

OSコマンドインジェクション

外部からWebサイトやシステムに不正に侵入するサイバー攻撃のひとつに、OSコマンドインジェクションがあります。企業は、重要なデータの漏えいやさまざまな脅威を引き起こす攻撃などに対して、どう対策するのかを考えることが重要です。
この記事では、OSコマンドインジェクションの概要・仕組みから、被害の実例、対策方法まで解説します。

 

OSコマンドインジェクションとは

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って行われるサイバー攻撃の一種です。攻撃者はWebサイトにサーバーOSへの命令文(コマンド)を含めた不正な文字列を入力し、プログラムを実行させて情報漏えいや情報改ざんなどの攻撃を行います。
具体的には、Webアプリケーション内のメールアドレス入力欄へ、メールアドレスと一緒に命令文に変換される恐れがある不正な文字列を入力します。入力されたデータに含まれる不正な文字列が実行されると、サーバー上のプログラムが操作されるという攻撃方法です。
攻撃の被害に遭うと、入力データから行われると想定されていないコマンドが強制的に実行されるトラブルが生じます。

 

 

OSコマンドインジェクションの仕組み

OSコマンドインジェクションは、ユーザーが情報を入力するフォームがあるWebサイト上で行われる攻撃です。仕組みの詳細は以下です。

  1. サイトのフォームやWebサイトを通じて、攻撃パターンを記載した入力データをWebサーバー上にある”Webアプリケーション”に送信
  2.  入力文字列の組み立ての際に不正なOSコマンドが含まれた文字列を生成
  3.  不正な命令コマンドがシェルに受け渡され、実際にOSコマンドが実行される

OSコマンドインジェクションは、一定の文字列を入力した場合に、複数のプログラムを起動・実行できるソフトウェア「シェル」を使って行われます。不正な命令コマンドは、シェルを呼び出して攻撃者が意図した通りにプログラムを実行し、データ漏えいなどの攻撃を行います。

 

 

OSコマンドインジェクションで発生しうる脅威

攻撃者がWebアプリケーションを通じてOSを動かすコマンドを送る際、さまざまな操作を行うため、攻撃内容は多様です。システムを操作されて甚大な被害につながるケースもあります。
攻撃により発生しうる脅威には、サーバー内にあるファイルへのアクセス、改ざん、削除などがあります。さらに機密情報の漏えいや、ウイルスやワームといった不正なプログラムをダウンロード・実行されるなど、マルウェアへの感染にも注意が必要です。
気づかないうちに侵入されてサーバー自体を乗っ取られるケースや、迷惑メールの送信・システムを攻略するための調査など、他のシステムに対する攻撃の踏み台に使われるケースもあり、大きな問題が生じる恐れがあります。

 

 

OSコマンドインジェクションの事例

実際に、多くの企業がOSコマンドインジェクションの被害に遭っています。企業Webサイトへの不正アクセスや個人情報流出など、さまざまな被害事例を紹介します。

 

・企業Webサイトへの不正アクセスと改ざん

企業WebサイトにOSコマンドインジェクションによる攻撃が行われた事例では、Webサイトへの不正アクセス、改ざんによる被害が発生しました。サイトを運営しているベンダーが異常に気づき、不正が発見された事例です。
海外からMovableTypeの脆弱性を利用して行われた攻撃により、Webサイトのインデックスファイルと、作成・表示するCMS(Content Management System)であるWordPressファイルの一部が改ざんされました。個人情報などのファイルはWebサーバー上には保存されていなかったため、情報の漏えいや改ざん被害には遭っていません。
この事例では、攻撃者がWebサイトに不正にアクセス・改ざんした後、さらにWebサイト上のファイルに変更や不正ファイルを挿入しようとした際にWordPressが不安定になったため、攻撃者からのアクセスができなくなりました。

 

・テレビ局における個人情報流出

テレビ局がOSコマンドインジェクションの被害に遭った事例もあります。急激にサーバーの負荷が上昇したことから調査を行った結果、不正アクセスが行われた事実を確認、さらにデータベース内の非公開情報もコピーされていました。コピーされた情報は番組への応募フォームに投稿した約43万件の個人情報で、データから氏名・住所・電話番号などが分かってしまいます。
ログ解析の結果からOSコマンドインジェクションによる攻撃と判明したため、被害が発見されたソフトウェアを削除、データを安全な場所に移動する対策でそれ以降の被害を防止しています。テレビ局側は、より高度なセキュリティ対策の採用も検討しているとの発表もしています。

 

 

OSコマンドインジェクションの対策

OSコマンドインジェクション被害に遭わないためには、対策を立てなければなりません。Webサイトのシステム側に不正な文字列を実行しないように設定するさまざまな対策方法で、被害を防ぐことが可能です。

 

・シェルを利用する関数が使用できないようにする

入力フォームに書き込んだ内容からシェルが使用されると、不正な操作が実行されるため、攻撃を受けることになります。被害を防ぐための対策には、シェルを利用する関数が入力できないルールを設ける方法が有効です。
ユーザーがデータを入力した後に受付メールを送信する処理がある場合、データの入力・送信に伴い、別のプログラムも実行しなければなりません。そこでの対策として、シェル本来の働きを妨げずに不正なコマンドを防ぐ必要があります。入力フォームにコマンドを設定する文字列の入力を禁止することで、不正な操作は行えなくなります。
PHPの場合はexec()、passthru()、Perlの場合はopen()、system()など、コマンドの入力を防ぐ設定を設ける対策が可能です。

 

・エスケープ処理、サニタイジングを行う

エスケープ処理とは、特別な意味を持つ記号を、意味のない別の記号に変換して出力する処理です。また、サニタイジングは「無害化」を意味する言葉。特別な意味を持つ記号を削除したり変換したりして無害化することを意味し、エスケープ処理よりも幅広いケースで使われます。
エスケープ処理では、入力フォームに書き込まれたデータの中から「;」「|」「&」「<」などの危険な文字を見つけほかの無害な文字に置き換えて、コマンドが生成されない対策を取ります。PHPにはhtmlentities()、Perlはquotemeta()関数、Pythonはbleachといったライブラリが用意されているため、ライブラリを使用して置き換えの設定が可能です。

 

・WAFの導入による対策

Webアプリケーションの脆弱性に対する攻撃を防止するためには、脆弱性への対策が必要です。使用しているWebアプリケーションに脆弱性が見つかった場合は、すぐにプログラムの修正をしなければなりません。サイバー攻撃に備えるにはWebアプリケーションの修正を何度も行わなければならず、管理にコストや手間がかかります。
Webアプリケーションへの攻撃に対策する際には、WAF(Web Application Firewall)の導入が効果的です。WAFは、Webアプリケーションの脆弱性に対するOSコマンドインジェクションなどの攻撃を検知し、防御するサービスです。
ファイアウォールややIDS/IPSなど、従来のネットワーク・セキュリティ製品では対応しきれない危険なサイバー攻撃を検知して、WebサイトやWebサーバーなどの安全を守ります。

【関連記事】Cloudbric(クラウドブリック) Webセキュリティ

Webセキュリティについてさらに詳しく知りたい方はこちら

 

まとめ

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って仕掛けられるサイバー攻撃です。ユーザーが情報を書き込む入力フォームを使用して攻撃者が不正な文字を入力・送信すると、意図しないコマンドが強制的に実行され、攻撃の被害に遭います。
OSコマンドインジェクションでは、サーバー内のファイルへのアクセス・改ざん、マルウェア感染、システムの乗っ取りなど、さまざまなトラブルが発生します。Webアプリケーションが攻撃されないためには、シェルを利用されない工夫や、サニタイジング、WAFの導入などの対策をして攻撃に備え、重大なリスクを避けなければなりません。

 

オンプレミスとクラウド

オンプレミスとクラウドの違いを解説 特徴や項目を比較

by ブログ

オンプレミスとクラウド

 

「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。

 

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。

 

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。

社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。

 

・クラウド

クラウド(クラウドコンピューティング)とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。

そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。

現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。

関連記事:セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

関連記事:クラウドサービスの日本での利用実態と必要性

 

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。

セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。

 

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。

クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。

 

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。

クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。

 

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。

対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。

 

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。

クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。

 

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。

対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。

 

 

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。

対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。

 

 

脆弱性診断とは

脆弱性診断とは?診断の必要性や種類を解説

by ブログ

脆弱性診断とは

社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。
この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。

 

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。

 

・脆弱性とは

「脆弱性(ぜいじゃくせい)」について、総務省では以下のように定義付けています。

「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」

引用元:総務省「国民のための情報セキュリティサイト」

セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。

 

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。

悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。

 

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。

脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。

 

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。
自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。

 

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース(公開)前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。

また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。

 

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。

手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。

関連記事:Cloudbric 脆弱性診断

 

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。

近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。

 

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。

Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。

 

 

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。

 

サイバー攻撃

サイバー攻撃の有効な対策とは? 主な種類や事例も併せて解説

by ブログ

サイバー攻撃

膨大なデータを扱う必要がある昨今、企業の事業活動はネットワークなくして行えません。一方で、社内の機密情報を狙ったサイバー攻撃は年々増加傾向にあり、被害を受ければ経営にも多大な影響があります。この記事では、サイバー攻撃の種類や手口、重要な対策方法について解説するとともに、2022年に起きたサイバー攻撃の事例もご紹介します。対策を検討する際は、ぜひ参考にしてみてください。

 

サイバー攻撃と想定されるリスク

サイバー攻撃とは、悪意を持った第三者がインターネットを通じてPCやサーバーなどの情報機器へ侵入し、情報の窃取や改ざん、システムへの破壊工作などさまざまな攻撃を行うことです。

攻撃の目的はさまざまで、身代金を要求されることもあれば、愉快犯的な犯行の場合もあります。個人・企業を問わず標的となりえますが、企業が狙われた場合は特に甚大な影響が生じかねません。サイバー攻撃により想定される企業のリスクとしては、たとえば次のようなものが挙げられます。

  • 社会的な信頼の失墜
  • 企業イメージ低下による顧客離れ
  • 情報漏えいによる損害賠償などの金銭的な喪失
  • システムダウンなどによる事業継続の阻害

インターネットの利用が不可欠なものとなっている昨今、企業はサイバー攻撃のリスクをしっかりと理解し、適切に対策しなければなりません。

 

主要なサイバー攻撃の種類

一口にサイバー攻撃といっても、いくつかの種類があります。サイバー攻撃への適切な対策を講じるためには、どのような手口があるのかを押さえておくことが大切です。ここでは、サイバー攻撃の主な種類について解説します。

 

標的型攻撃

標的型攻撃とは、機密情報を盗もうとして特定の個人や組織を狙う攻撃で、「ランサムウェア」「サプライチェーン攻撃」「水飲み場攻撃」といった種類があります。

ランサムウェアとは、ユーザーのデータを暗号化し、データ回復のために高額な身代金を要求するソフトウェアのことです。一方、サプライチェーン攻撃は、セキュリティ対策が甘い関連企業などを足がかりに、本来標的としている大企業のネットワークに不正侵入することを指します。そして水飲み場攻撃は、標的としている企業や個人がよくアクセスしているWebサイトなどを改ざんするなどし、閲覧時にウイルス感染させる攻撃のことです。

このように標的型攻撃は、無差別というよりもある特定の企業や個人を標的として行われます。

【関連記事】盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

 

不特定多数のターゲットを狙った攻撃

標的を設けず、不特定多数へ向けたサイバー攻撃も存在します。たとえば「フィッシング詐欺」は、送信者を偽ってメールを送り、メールに記載されたURLから偽のWebサイトへアクセスさせることで、クレジットカード番号などを盗み取ることです。

ほかにも「ゼロクリック詐欺」の被害に遭うと、スマートフォンなどでWebサイトを見ているとき、何も操作していないにもかかわらず、突然金銭の振込を求めるポップアップ画面が表示されます。

 

負荷をかける攻撃

相手のサーバーやWebサイトに対し、過剰な情報を送りつけて負荷をかけ、機能停止に追い込む「DoS攻撃」「DDoS攻撃」と呼ばれるものもあります。DoS攻撃は1対1で行われますが、DDoS攻撃は他人の複数台にわたるコンピュータを乗っ取り、標的となっているサーバーに攻撃するよう命令して実行させるため、より悪質です。不正アクセスによりWebサイトやサーバーがパンクすると、多大な損失となってしまいます。

【関連記事】DDoS攻撃の種類と企業がとるべき有効な対策とは?

 

サーバーやWebサイトの脆弱性に対する攻撃

ソフトウェアのバグなど脆弱性を狙ったサイバー攻撃も存在します。たとえば「ゼロデイ攻撃」は、情報セキュリティ上の脆弱性を発見してから、パッチの適用などの対策を打つまでの、わずかな期間を狙った攻撃です。

また「SQLインジェクション」も、脆弱性につけ込んだ攻撃の一種です。不当なSQL文を実行させることで、データベースのシステムを不正に操作します。

どのようなソフトウェアでもバグを防ぎきることは難しいため、脆弱性に対する意識を常に持っておく必要があります。

【関連記事】SQL Injectionとは?脆弱性に対する3つの対策について解説!

 

パスワードを狙った攻撃

ユーザーのパスワードを不正に取得する目的で行われる、「総当たり攻撃」というものもあります。やり方は至ってシンプルで、考えられるパスワードをすべて試していく方法や、パスワードに使われやすい言葉を組み合わせていく方法などがあります。パスワードを盗まれると甚大な被害につながるため、十分な対策が必要です。

 

 

サイバー攻撃の対策

では、企業がサイバー攻撃を防ぐには、どのような対策をすればよいのでしょうか。企業・従業員それぞれの観点から解説します。

 

企業として行う対策

企業が行える対策としては、次のようなものが挙げられます。

  • 社内で利用中のOSやソフトウェアを常に最新化する
  • OSシステムファイルやアプリケーション構成ファイルに変更がないか監視する
  • Webサーバーに対して不正な通信がないか検知を強化し、もしあれば遮断する
  • セキュリティポリシーを定め、ログ監視なども含めて社内の情報やアカウント管理を徹底する

ただ、手動や目視では実践するのが難しいため、多くの企業ではセキュリティソフトなどを導入し、対策を強化しています。

また、企業でサイバー攻撃への対策としてWAFの導入も効果的です。Cloudbric WAF+(クラウドブリック・ワフプラス)では、企業のWebセキュリティに必要な5つのサービスを総合的に活用できます。さらにセキュリティ専門家がいなくても手軽に運用・導入が可能です。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

従業員個人で行う対策

企業だけでなく、従業員自身による対策も重要です。たとえば、以下のようなものが代表的です。

  • サイバー攻撃の種類や対策方法、クラウドやネットワークの共有範囲を正しく理解する
  • パソコンやカメラなど、個人の機器のOSをアップデートし、常に最新化する
  • 身に覚えのないメールについては、リンクをたどる前に相手へ電話などで確認する
  • パスワードを設定する際は、英字(大文字・小文字)、数字、記号を組み合わせ、桁数を増やす

 

 

日本でのサイバー攻撃の事例

国立研究開発法人「NICT(情報通信研究機構)」が2022年2月に公開した「NICTER観測レポート2021」によると、2021年のサイバー攻撃を受けた関連通信数は2018年の約2.4倍、2016年との比較では約3.6倍に上っています。通信内容の内訳で最も多かったのが、IoT機器を狙った通信で、特に「その他のポート」への通信が増加傾向にあるとのことです。

最後に、2022年に企業が被害を受けたサイバー攻撃の事例について、2つご紹介します。

【参考記事】NICTER観測レポート2021

 

自動車メーカーへのサイバー攻撃

自動車メーカーのサイバー攻撃被害を見てみると、さまざまな企業が関連して、被害が連鎖する傾向にあります。たとえば、自動車製造にかかわる部品メーカーのネットワークがランサムウェアに感染したことから、サプライチェーンのリスクと鑑み、一斉に操業停止に追い込まれる事態がありました。これは、部品メーカーの子会社が利用していたリモート接続機器に不正侵入されたことが原因と考えられています。

自動車メーカーそのものが被害を受けたわけではありませんが、この件で約13,000台の生産に影響が出たと報告されており、サプライチェーンや子会社も含めたセキュリティの強化が求められます。

 

医療機関へのサイバー攻撃

2022年は、医療機関へのサイバー攻撃により診察受付ができなくなったことも、ニュースで話題になりました。ネットワークがランサムウェアに感染し、電子カルテを含む基幹システムに障害が起きた事例です。

これは、給食委託事業者のデータセンターにあったリモート接続機器からウイルスが侵入したことが原因と考えられ、システムの脆弱性が指摘されています。脆弱性診断やシステムのアップデートを行い、強固なセキュリティ体制の維持に努める必要があります。

こうしたサイバー攻撃を予防するためには、セキュリティ対策について経営層が積極的に関与することや、従業員全員がセキュリティに対する知識や意識を高めることが大切です。

 

 

まとめ

企業は多くの重要なデータを保持しており、それらを守るためにはサイバー攻撃への対策が不可欠です。自社に合ったセキュリティソフトを導入するほか、経営層を巻き込んで全社一丸となり、セキュリティへの意識を高めていくようにしましょう。

 

企業が行うべきセキュリティ対策

企業が行うべき情報セキュリティ対策とは?具体的な例とポイントを解説

by ブログ

企業が行うべきセキュリティ対策

企業が持続的に発展していくためには、損失につながる危険要因を適切に管理する、リスクマネジメントへの取り組みが欠かせません。そこで重要な役割を担うのが、事業活動を通じて収集された情報資産をさまざまな脅威から保護する「情報セキュリティ対策」です。本記事では、企業が実施すべき情報セキュリティ対策の具体例や押さえるべきポイントについて解説します。

 

情報セキュリティとは

情報セキュリティとは、事業活動において発生し得るセキュリティインシデントを多角的に評価・分析し、リスクの回避と損失の最小化を目指す施策の総称です。具体的には、「機密性」「完全性」「可用性」の3要素を対策基準の大枠として設定し、それぞれの観点から情報資産の安全性を強化します。そして、組織が保有する情報資産をマルウェアや不正侵入などの脅威から保護するとともに、ITシステムの恒常的な稼働を担保することが、情報セキュリティ対策の目的です。

  • 機密性
    情報セキュリティにおいて機密性とは、データベースに蓄積された情報資産が外部に流出しない状態を意味します。情報の機密性が低い状態では、外部からの不正侵入や、内部の人間による意図的な情報流出といったセキュリティリスクが懸念されます。
  • 完全性
    情報セキュリティの完全性とは、収集・蓄積された情報が正確かつ最新に保たれている状態を意味します。情報の完全性が保たれていない場合、データの改ざんや重複、ファイルの破損などを招く要因となり、データの正確性や信頼性を担保できません。
  • 可用性
    情報セキュリティにおける可用性とは、ITシステムの安定稼働を確保し、データを常時使用できる状態に保つことを意味します。ITシステムの可用性が確保されていない場合、ネットワーク障害やサーバーダウンなどによって、事業活動に多大な支障が生じる可能性があります。

【参考記事】情報セキュリティって何?|国民のための情報セキュリティサイト

 

 

情報セキュリティに対する脅威と対策

ここでは、事業領域において想定されるセキュリティインシデントと、主な対策について解説します。

 

ウイルス感染への対策

コンピュータウイルスとは、コンピュータのファイルに寄生して増殖する不正プログラムです。「トロイの木馬」や「ワーム」などと同じくマルウェアの一種であり、ウイルスに感染するとファイルのプログラムを書き換えられたり、情報を窃取される被害が想定されます。

代表的な対策として挙げられるのが、ウイルス対策ソフトウェアの導入です。ウイルス対策ソフトウェアは、既知のマルウェアに類似するプログラムを自動的に検出して無力化します。そのほかにも、アプリケーションを最新のバージョンに保つ、スパムメールの添付ファイルを開封しない、安全性が低いWebサイトをフィルタリングする、といった対策も有効です。

 

不正侵入への対策

不正侵入とは、不正な手段を用いてコンピュータやファイルにログインする行為を指します。不正侵入は、顧客情報の窃取や個人情報の流出といった被害につながることはもちろん、ほかのシステムを攻撃する踏み台として利用される事例も少なくありません。

不正侵入を防止するためには、ID/パスワード管理の徹底や、職務分掌規定に基づくアクセス権限設定などの対策が必要です。また、LANとインターネットの間でネットワーク層を保護するファイアウォールの設置や、アプリケーション層の脆弱性を狙う脅威から情報資産を保護するWAF(Web Application Firewall)の導入、といった対策も求められます。

代表的な対策一覧は以下のようなものです。

  • ID・パスワード管理の仕組み化
  • アクセス権限の設定
  • ファイアウォールの設置
  • WAFの導入
  • アクセスログの取得と監視

また、不正侵入への対策としてWAFの導入も効果的です。WAFはWeb Application Firewallの略称でWebアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。Cloudbric WAF+(クラウドブリック・ワフプラス)では、WAFサービスや脅威IP遮断サービスなどWebセキュリティに必要な5つのサービスを統合的に提供します。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

情報漏えいへの対策

情報漏えいとは、組織のデータベースに蓄積された情報資産が外部に流出することです。ウイルスや不正侵入による機密情報の漏えいや、内部の人間による意図的なデータの流出といった被害が想定されます。

情報漏えいを防ぐためには、情報管理における仕組みを整備し、そのルールを遵守する経営体制を構築しなくてはなりません。そのためには、ウイルス対策ソフトやファイアウォールなどを導入するだけでなく、顧客情報や製品開発情報といった機密情報の取り扱いに関するルールの策定が求められます。また、廃棄した物品から情報漏えいにつながるケースもあるため、PCやHDD、資料などの廃棄ルールを整備する必要があります。またWAFも情報漏えいの対策として効果的です。WAFでは個人情報の漏えいに繋がるOSコマンドインジェクションの脆弱性を悪用した攻撃に対して防ぐことができます。

代表的な対策一覧は以下のようなものです。

  • ウイルス対策ソフトやファイアウォールの導入
  • ID/パスワード管理やアクセス権限設定の最適化
  • データガバナンスの整備
  • 情報セキュリティに関する社員教育
  • 機器や資料などの廃棄ルールを徹底する

 

災害などによる機器障害への対策

地震大国と呼ばれる日本では、いかにしてITインフラの可用性を確保するかが重要課題です。たとえば、地震や火災などによってサーバーがダウンした場合、業務に支障をきたすのみならず、情報漏えいによる信用の失墜や損害賠償請求、売上機会の損失、株価の下落、ブランドイメージの低迷といった損害を招きかねません。

こうした事態を回避するためには、サーバーの冗長化やバックアップ環境の整備、ファイルサーバーのクラウド移行、予備電源の確保、データセンターの安全管理といった対策が求められます。また、災害発生時における復旧マニュアルを策定し、有事の際に柔軟かつ迅速に対応できる体制を整えることも大切です。

代表的な対策一覧は以下のようなものです。

  • サーバーの冗長化
  • バックアップ環境の構築
  • ファイルサーバーのクラウド移行
  • 予備電源の確保
  • データセンターの安全管理

 

 

情報セキュリティ対策のポイント

事業領域における情報セキュリティ対策を整備する際は、いくつか押さえるべきポイントが存在します。なかでも重要なポイントとして挙げられるのが、以下の3点です。

 

システムを最新の状態にする

現代はデジタル技術や情報通信技術の進歩・発展に伴い、マルウェアや不正侵入といったサイバー攻撃の手口も年々巧妙化かつ多角化していく傾向にあります。このような脅威から組織の情報資産を保護するためには、最新かつ最適なシステムを導入することが重要です。自社で導入しているシステムが適切か見直しを行い、それらが最新かどうかを確認しましょう。さらに導入したOSやソフトウェア、アプリケーションなどを常に最新バージョンに保つことが大切です。

 

テレワークへの対応をする

近年では、働き方改革の推進や新型コロナウイルスなどの影響により、テレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では、オフィス外から社内ネットワークにアクセスする必要があり、リモート型の遠隔勤務に対応したセキュリティ体制を確立しなくてはなりません。安全かつ高速なファイル共有基盤を構築する必要があるため、ファイルサーバーのクラウド移行や仮想デスクトップ基盤の導入を検討するとともに、データガバナンスの整備やセキュリティガイドラインの策定といった施策が求められます。

 

従業員へ教育と管理を行う

情報セキュリティを強化するためには、マルウェアのような外部環境への対策だけでなく、人材のITリテラシー向上やデータガバナンスの策定といった内部環境の整備が欠かせません。そのためには、情報セキュリティに関する研修や教育制度を確立し、従業員一人ひとりが情報漏えいの事例やサイバー攻撃の手口などを学ぶ必要があります。そして、意図的な情報の持ち出しを防止する仕組みを整備し、そのルールを遵守する企業文化を醸成することで、組織全体における情報セキュリティの強化に寄与します。

 

まとめ

情報セキュリティとは、「機密性」「完全性」「可用性」の3要素に基づいてセキュリティリスクを分析し、組織の情報資産を保護するとともに、ITシステムの継続的な稼働を担保する一連の施策です。

事業活動ではIT化の進展に伴って、「ウイルス感染」「不正侵入」「情報漏えい」「機器障害」などのセキュリティリスクが想定されます。したがって、ウイルス対策ソフトやWAFの導入、アクセス権限設定の最適化、OSやソフトウェアのアップデート、サーバーの冗長化といった対策が必要です。

そして同時に、従業員への教育制度やデータガバナンスを整備することで、組織全体における情報セキュリティの強化につながります。

 

DDoS攻撃

DDoS攻撃はその場しのぎで対応?DDoS攻撃の実態と、企業で必要な対策をご紹介

by ブログ

DDoS攻撃

代表的なサイバー攻撃の1つとして「DDoS攻撃(分散型サービス拒否攻撃)」があります。昨今、日本国内ではランサムウェアによるサイバー攻撃が頻発していますが、DDoS攻撃も決して見逃すことのできない油断禁物なサイバー攻撃のひとつです。DDoS攻撃は巧妙なため対策が難しいとも言われていますが、今回は日本国内におけるDDoS攻撃の実情と対策方法について解説します。

 

DDoS攻撃とは

DDoS攻撃とはサーバなどのシステムに大量のデータを送り付けることで、システムをダウンさせたり、アクセスしにくくさせるサイバー攻撃です。システムのダウンはサイトダウンにつながるため企業の営業活動等に大きな被害を与えかねません。
DDoS攻撃を仕掛ける目的としては、嫌がらせや脅迫などとありますが、最近では金銭を要求するランサム型DDoS攻撃も頻発しています。そのためDDoS攻撃の目的はさまざまと言えるでしょう。

 

時代と共に進化しているDDoS攻撃

DDoS攻撃は攻撃手法が比較的シンプルなため、サイバー攻撃の中ではよく目にする定番のサイバー攻撃と言えるでしょう。以前はDoS攻撃が主流でしたが、現在はDDoS攻撃をよく見かけると思います。DoS攻撃とDDoS攻撃はどのような違いがあるのでしょうか。

DoS攻撃:一台の機器(PC)から大量のデータを送り付ける
DDoS攻撃:複数の機器(PC)から大量のデータを送り付ける

最近ではDoS攻撃はほぼ見かけなくなり、DDoS攻撃が主流となっています。従来のDoS攻撃の場合、一台の機器(PC)から攻撃を仕掛けるということは、IPアドレスも1つのためそのIPアドレスを遮断すれば棒業できました。ただし昨今、主流となっているDDoS攻撃の場合、複数機械(PC)=IPアドレスも複数となるため攻撃を仕掛けてくるIPアドレスを全てブロックするというのは非常に難しいです。

 

DDoS攻撃の実例

対策が取りにくいDDoS攻撃ですが、実際に攻撃を受けるとどのような被害があるのか例を見ていきたいと思います。

 

東京メトロ・大阪メトロ

9月に東京メトロと大阪メトロが親ロシア派ハッカー集団「キルネット」によりDDoS攻撃を受けました。またSNSには犯行声明として「東京の地下鉄を止める」などといった声明が出されています。これにより東京メトロや大阪メトロのホームページにアクセスしにくくなるなどの被害が報告されました。

 

政府サイト

こちらも9月に政府が運営するサイトでアクセス障害が発生しました。デジタル庁が所管する行政情報のポータルサイト、「eーGov」など一部でアクセス障害が発生し、こちらも「キルネット」によるDDoS攻撃と見られ、また当ハッカー集団がSNS上にてサイバー攻撃を行った旨の投稿をしました。

 

自治体サイト

2月に広島県や県内自治体が運営するWebサイトが閲覧しにくい状態が発生しました。広島県が使用しているセキュリティクラウドに対し、30分から1時間ごとにDDoS攻撃が行わました。広島県はDDoS攻撃の影響を受けていないメールやLINEなどを活用し、対応を追われました。

 

DDoS攻撃は一時的な攻撃という認識から対策を後回しにしがちですが、DDoS攻撃を一度受けた企業は再度DDoS攻撃を受ける傾向があったりや、またDDoS攻撃を本格的なサイバー攻撃を仕掛ける前段階の攻撃として様子見として仕掛けてくる場合もあります。またサイトに接続しずらくなるため、ユーザの離脱や企業に対する信頼度の低下などにもつながる恐れがあるため、被害を最小限に食い止めるためにもしっかりと対策を講ずることがポイントとなります。

 

DDoS攻撃にもさまざまなタイプがある

増幅型(Volumetric)攻撃

増幅型攻撃は、攻撃のターゲットとなるサーバで処理できるネットワーク・トラフィックの限界を超過するトラフィックを伝送し、すべての可用帯域幅を枯渇させる攻撃手法です。非常に単純な攻撃方式ですが、ボットネットの規模によっては非常に致命的な攻撃方式であるため、現在でも多く利用されています。 特にDRDoS(Distributed Reflection Denial of Service)反射型 DDoS 攻撃は、攻撃者の存在を隠蔽して、より深刻な攻撃を誘導することができるため、注意が必要です。

リソース消耗型攻撃

リソース消耗型攻撃は、ネットワーク帯域幅やシステムの CPU、セッションなどのリソースを消耗させ、通常のユーザのアクセスを妨害させる攻撃形態です。存在していないクライアントがサーバに接続しているように偽り、接続可能なリソースを消耗させ、通常のユーザではサービスを利用できなくなります。

アプリケーション層攻撃

〇HTTP Flooding
HTTP Flooding は、アプリケーション攻撃の代表的な手法であり、大量の HTTP リクエストを発生させ、 攻撃対象サーバのリソースを枯渇させる攻撃です。正常なリクエストと類似のリクエストを利用して攻撃を発生させるため、事前に備えることが難しく、小規模のボットネット(botnet)でもターゲットとなるサーバの運用を妨害することもできます。

〇RUDY Attack
RUDY(R-U-Dead-Yet)Attack は、POST メソッドを利用した代表的な Slow 攻撃です。POST メソッドのリクエストで送信するデータのサイズ(Content-Length)を非常に大きく設定し転送します。サーバは、当該リクエストを受信し Content-Length 分の転送が完了するまで待機しますが、一定時間の間隔で 1 文字ずつ送信し、長時間接続を維持させます。結果的に通常のユーザからのリクエストは拒否され、ターゲットとなるサーバの運用を妨害します。

まとめ

一言にDDoS攻撃対策といってもDDoS攻撃の構造は非常に巧妙であり、CDNでの対策にも限界があり対策がなかなか難しいのが現状です。そこでお勧めなのが「Cloudbric ADDoS」です。Cloudbric ADDoSは全世界に設置されたエッジ・ロケーションにて大規模トラフィック(最大65Tbpsまで対応)を分散処理し、WebサイトをDDoS攻撃から安全に保護します。またDNSの変更だけでお手軽に導入ができ、また導入から導入後の運用までセキュリティ・エキスパートが担当しますので、専門知識は不要です。ぜひDDoS攻撃にはCloudbric ADDoSの導入をご検討ください。

ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

by ブログ

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

by ブログ

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。

個人向けVPNはCloudbric VPN

個人向けVPNは必要?メリットからおすすめの使い方まで徹底解説

by ブログ

個人向けVPNはCloudbric VPN

近年「VPN」というネットワーク技術の利用が注目されています。安全な接続を確立するため、主に企業で利用されているVPNですが、個人での利用を勧める声もあります。しかし、そもそも個人でのVPNの利用は必要なのでしょうか?ここでは、個人向けVPNの概要と必要性、おすすめの使い方について解説します。

 

個人向けVPNとは

そもそも、個人向けVPNとはどのようなものなのでしょうか。ここでは、VPNの概要に加え、一般に企業で使われるVPNと個人向けVPNの違いについて解説します。

 

そもそもVPNとは

VPNとは「Virtual Private Network」の略称で、特定の人だけが利用できる専用のネットワークを指します。インターネット回線上に仮想的なトンネルを構築し、そのトンネル内を特定の人だけが利用できるように設定することで、通信を保護する技術です。VPNは、通信の暗号化やアクセス制御など、情報の窃取を防ぐ機能が備わっているため、セキュリティ上の理由で主に利用されます。フリーWi-Fiのように、多くの人が利用するインターネット回線を通じて機密情報にアクセスする際に重宝するため、リモートワークが普及する近年、様々な場面で利用されている技術です。

 

個人向けVPNと企業向けVPNの違い

VPNは個人でも構築できるものの、近年では簡単かつ安全に通信を利用できるVPNサービスが多数提供されています。以前は主に企業で利用されていたVPNサービスですが、個人が利用することを想定したVPNサービスもあります。企業向けのVPNと個人向けのVPNには、利用されている技術に関する大きな差はありません。企業でVPNを利用する場合、セキュリティ対策がより強固で細かい設定ができるVPNサービスを選ぶと良いでしょう。個人の場合は、セキュリティ対策以外に接続の手軽さやコストもポイントになります。

 

個人向けVPNは必要?

VPNは仮想的な専用回線を構築し、通信を保護できる技術ですが、「個人でインターネットを使うのにわざわざ必要?」と思う方も多いでしょう。実際、日常的に自宅のWi-Fiやキャリアの回線を利用している場合は、必ずしもVPNが必要ない場合もあります。しかし、個人でVPNが必要になる例や、VPNを使うことによるメリットも多数あります。ここでは、個人向けVPNの必要性と、VPNの利用が向いている方の特徴について解説します。

 

個人向けVPNが必要な理由とメリット

個人向けVPNが必要な最大の理由は、「セキュリティ対策が強化できるから」です。近年、サイバー攻撃や情報漏えいなどに関するニュースが多数報道されています。以前は大企業が被害に遭うことが主でしたが、最近では中小企業や個人がターゲットになる場合も増え、大きな被害に遭うこともあります。そのため、個人でもセキュリティ対策を強化できれば、それに越したことはないのです。もちろん、プロバイダーが提供しているセキュリティ対策だけで十分に対応できる場合もあります。しかし、個人向けVPNを利用することで、状況に応じたより適切なセキュリティ対策を施すことができるようになります。VPNを新たに導入する際のコストや設定の難しさが気にかかる方もいるかもしれませんが、近年では無料のVPNサービスや、操作が簡単なVPNサービスも提供されています。また、詳しくは後ほどご紹介しますが、VPNを利用することで特定のサービスを安く利用できる場合もあります。個人向けVPNには多くのメリットがあるため、一度ご利用を検討してみることをおすすめします。

 

個人向けVPNの利用がおすすめの人とは

それでは、どのような方が個人向けVPNの利用を検討すると良いのでしょうか。日常的にインターネットを利用している方であれば、どなたでも利用を検討してみることをおすすめしますが、特におすすめなのは「フリーWi-Fiを利用する方」「海外のコンテンツにアクセスする方」です。いずれも、セキュリティ対策がきちんとしていなければリスクの高い通信です。これらの通信を頻繁に利用する方は、特にVPNの利用が必要と言えるでしょう。

 

個人向けVPNの使い方例

ここでは、個人向けVPNの使い方例について解説します。安全に利用できるだけでなく、お得にサービスを利用できたり、国によって限定されたコンテンツにアクセスできたり、といった利点もあります。

 

海外のコンテンツへのアクセス

日本から海外のコンテンツを閲覧したくても、制限がかかってアクセスできない場合があります。居住地によってアクセスに制限を施す仕組みを「ジオブロック」と呼びますが、VPNを使うことでこのジオブロックを回避できる場合があります。海外のVPNサーバーを経由することで、その国特有のコンテンツにアクセスすることができます。

 

海外から日本へのアクセス

海外から日本にアクセスする際にも、VPNは役立ちます。先ほどと同じく、ジオブロックを回避して日本のコンテンツにアクセスする、という使い方だけでなく、セキュリティ対策としても有効です。海外のホテルや施設のWi-Fiを利用する際にも、日本の場合と同じくセキュリティ対策に気を配る必要があります。特に観光地などの場合、ホテルや施設が提供している正規のWi-Fiと並べて、紛らわしい名称のWi-Fiスポットを設置し、通信内容を窃取する、といった手口もあります。より安全性を高めるためにも、海外から日本のコンテンツにアクセスする際にもVPNを利用すると良いでしょう。

 

フリーWi-Fiの安全な利用

街中で手軽に利用できるフリーWi-Fiですが、基本的には重要情報の送受信に利用すべきではありません。通信が暗号化されておらず、傍受できる可能性があるため、個人情報等が窃取される恐れがあります。近年ではテレワークやフリーランスなど、働き方の多様化が進み、カフェなどでフリーWi-Fiを利用してインターネットにアクセスする方も多いでしょう。VPNを使うことで通信の匿名性を確保できるため、フリーWi-Fiを利用する際は必ずVPNを使うことをお勧めします。

 

Cloudbric VPN」を利用して韓国コンテンツへアクセス

弊社が提供している個人向け無料VPNサービス「Cloudbric VPN」の場合、アメリカ(アトランタ、フレモント)、ドイツ(フランクフルト)、インド(ムンバイ)、韓国(ソウル)、シンガポール、日本(東京)と国・地域を指定して利用ができます。例えば最近、日本でも大人気の韓国ドラマやK-popを視聴・閲覧したい時、日本からのアクセスには制限がかかっていることが多くあります。そういう時にCloudbric VPNを利用し、サーバーを韓国(ソウル)に設定することで、韓国国内でアクセスするのと同様の環境が構築され、日本にいながら韓国のコンテンツの視聴・閲覧が可能となり、韓国ドラマやK-popなどのコンテンツを楽しむことができます。

 

無料のVPNサービスと有料VPNサービス

個人で利用できるVPNサービスの中には、有料のものも無料のものもあります。ここでは両者の違いと、無料のVPNサービスを使う際のポイントについて解説します。

 

無料と有料どちらがおすすめ?

一般に、有料のVPNサービスの方が、通信速度や通信容量、セキュリティの面で優れている場合が多く、より安全かつ快適に通信を利用したい場合は有料のサービスを選ぶことをおすすめします。しかし多くの有料VPNサービスは月数百円程度のコストがかかるため、長期間利用する場合は大きな出費になるかもしれません。無料のVPNサービスの場合、コストがかからないという魅力はありますが、信頼できないベンダーが提供しているサービスは、通信速度やセキュリティの観点からおすすめできません。しかし、無料のVPNサービスの中にも、優れたセキュリティや通信速度を確保しているものがあります。無料だからこそ気軽に利用できる、という面もあるため、信頼できるベンダーのものであれば利用してみることをおすすめします。

 

無料のVPNサービスを選ぶ際のポイント

無料のVPNサービスを選ぶ際は、「セキュリティの強固さ」、「操作の簡単さ」といった機能面のポイントに加え、「ベンダーの信頼性」もポイントになります。いくら無料でも、信頼できるベンダーのサービスでなければ、逆に個人情報をはじめとする通信内容を窃取されてしまったり、サイバー攻撃に利用されてしまったり、といったリスクもあります。口コミ等を確認して、信頼できるベンダーかどうか、検討しておくことをおすすめします。

 

まとめ

個人向けVPNサービスは、企業向けのものと同じく、安全な接続の確立に役立ちます。特に海外のコンテンツにアクセスしたり、フリーWi-Fiを利用したりと、接続の匿名性や安全性に不安がある場合には利用を検討することをおすすめします。もちろん、家のWi-Fiから国内のコンテンツにアクセスするだけ、という場合には必ずしも必要ないかもしれません。有料のサービスでコストがかかるのも気になる、という方も多いでしょう。しかし、近年では無料のVPNサービスでも良質なものが提供されており、その中でも「Cloudbric VPN」がおすすめです。無料のサービスながら、高度な暗号化とゼロログで安全な接続を確立しつつ、VPN全般の課題でもある速い通信速度も確保しています。会員登録なしでも利用でき、操作が分かりやすいのも「Cloudbric VPN」の魅力です。ぜひご利用を検討してみてください。

▼Cloudbric VPNについて詳しくはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら