情報漏えい対策WAF

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 

by ブログ


ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。

 

ECサイトが受ける不正アクセス攻撃とリスク

ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。

  • 現金化しやすい「ポイントチャージ」商品を大量に購入する。
  • 登録しているクレジットカード情報を盗み出し、別サイトで決済する。
  • 住所を変更し、現金化しやすい商品を大量に購入、発送する。

不正アクセス攻撃によってサイト運営者がうけるリスク

ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。

  • 購入者をはじめ、社会からの信頼を失墜。
  • 事実告知やお詫び等の費用・労力。
  • 当該サイトを一時閉鎖することによる、売上減少。
  • 漏洩原因の調査、システムの改修等の費用。
  • 購入者様のカード差替費用。
  • 行政当局、マスコミへの対応。
  • 個人情報流出への損害賠償の支払い。

こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。

 

パスワードリスト攻撃の手法

パスワードリスト攻撃

「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。

ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。

パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。

その他の攻撃

ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。

 

パスワードリスト攻撃による実際の攻撃事例

ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742

こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。

パスワードリスト攻撃への対策にも有効なWAF

「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。

  • 多要素認証(二段階認証)が導入されている。
  • リスクベース認証が導入されている。
  • これまでログインされたことがないIPアドレス (接続元) からアクセスがあった場合のみ、追加の認証を要求する。
  • 住所変更、クレジットカード変更など、重要な情報を変更するときには、ID・パスワード以外の情報を追加で要求する。
  • ログインすると、自動のメールなどで「現在ログインされました」という通知が送られる。(万が一不正アクセスが発生しても、早期に気付ける仕組み)

こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

Main

WAFを選ぶ際、チェックすべき4つのポイントとは

by ブログ

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発し、その有用なセキュリティ対策としてWAF(ワフ)を導入する企業が増えています。現在色々な製品が市場にでていますが、どういった基準で選定すべきなのか、今回はWAFを選ぶ際に見るべき4つのポイントを中心にお届けします。

 

ウェブ脅威を可視化し遮断するWAF(ワフ)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査してWebサイトを保護し、不正ログインを防ぐ役割で用いられます。Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。オンラインショッピング、ネットバンキングを始め、ゲーム、SNSなどエンターテインメントでの利用、企業間での受発注などビジネスでの活用等、Webサイトの活用はどんどん広がっています。そうした社会インフラとしての拡大に伴い、Webサイトはサイバー攻撃の格好のターゲットにもなっています。

引用:JPCERT/CC

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)による最新のインシデント報告対応レポート(2020年4月1日~2020年6月30日)によると、フィッシングサイトに分類されるインシデントが73.9%、スキャンに分類されるシステムの弱点を探索するインシデントが13.8%、Webサイトの改ざんによるインシデントが4.1%を占めています。ここで脅威の1位に位置するフィッシングサイトのインシデントは、この期間で3,839件発生しています。クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃やSQLインジェクション等を用いて信頼できるWebサイトに悪意のあるスクリプトを埋め込んだ後、フィッシングサイトへ訪問者を誘導し、マルウェアに感染させたり秘密情報・個人情報の漏えいを起こしたりします。また、対象のウェブサイトを改ざんすることも可能です。企業がもしこうした攻撃を受けた場合の被害はかなり深刻なものとなりますが、WAFを用いる事でこうした高度なサイバー攻撃を防御することも可能になります。

 

WAFを選ぶ際に見るべき4つのポイント

1. 初期費用・運用コスト

まずは、初期費用と運用コストを合わせた総合的なコストを考慮する必要があります。導入にかかる費用に関しては、導入時の初期費用だけに目を奪われないよう注意する必要があります。自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースも想定されます。そのため、コストは導入と運用のトータルでのコストを比較するようにします。オンプレミス型や複雑な製品等、自社での運用が前提のものは、自社内で人員リソースを確保する費用も発生します。クラウド型のWAFなら専用ハードウェアを必要としないため、導入が簡単で運用の手間も少ないと言われています。従業員の運用スキルの有無も考慮してタイプも選定しましょう。

2. セキュリティのクオリティ

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。セキュリティレベルが低いと、導入しても意味がありませんし、高度過ぎると場合によっては正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があります。またセキュリティ強度が高くなるほど、誤検知率も高くなる可能性があります。検知率、誤検知率、性能面において総合的に優れた製品を選ぶようにしましょう。

3. サポート体制

緊急時のサポート体制が整った企業の製品であることは言うまでもありません。WAFを適切に運用するためには高度な知識が必要です。また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。何かあった時、しっかりしたサポートが受けられるのかどうかは事前にしっかり確認しておく必要があります。

4. 導入実績

導入実績が豊富な製品は最新のセキュリティに対応するノウハウ・経験が蓄積されています。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えられます。多くの顧客に選ばれているということは、多種多様な業種のセキュリティニーズに応え、質の高い製品とサービスを提供できているという証でもあります。実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

 

さいごに

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、対策は十分と言えません。FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有の脆弱性を狙ったもの等、高度化した攻撃を防ぎきれないケースがあります。WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。WAFを選ぶ際は、ここであげたポイントを基に、コスト、セキュリティ、サポート、導入実績で優れた製品を選ぶようにしましょう。

 

導入実績1万件を超えるクラウドブリック(Cloudbric)

クラウドブリック(Cloudbric)はクラウド型WAFサービスで、アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応可能です。独自のロジックベース検知エンジンを使用し検知率、誤検知率、性能面にて優位性を確保しています。その技術力は世界の専門家にも認められ、全世界13,500以上、国内5,500以上のユーザに支持されています。
従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応し、不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートなしに脅威を防止することができます。高セキュリティながらリーズナブルな価格で導入可能であり、追加料金不要でWAF・DDoS対策・無償SSL証明書が利用できます。24時間365日安心の監視体制と専門家による手厚いサポートも受けられます。既に導入実績も1万件を超え、高品質な独自セキュリティ、コスト、サポート体制と全てのポイントにおいて高い評価を得ています。

VPN Thumbnail

VPNの脆弱性は、さらなる被害を呼び起こす可能性を持つ

by ブログ

出張の最中、目まぐるしく忙しい中で会社のサーバに保管された文書を急に確認しなければならない時、あなたならどうしますか。普通、企業ネットワークは専用サーバまたは閉域網で構築されており外部からの接近を防いでいますが、VPNを利用すると会社のネットワークに接続できるようになります。一般的にVPNは安全で簡単だと思われがちですが、本当にそうなのでしょうか。今回はVPNの使用例と、その脆弱性についてお届けします。

 

なぜ多くの人がVPNを使っているのか

VPNとは Virtual Private Network の略字であり、暗号化やプロトコールなどを通じネットワーク上に仮想の通路を設け機密を守る技術です。通信過程でセキュリティを維持する必要があるときによく使われています。また、「働き方改革」の一環でテレワークが幅広く進められるにつれ、さらに注目されてもいます。それでは、VPNがどの様な状況で使われているのかを見ていきましょう。

海外出張しているとき

海外出張の際には、業務のため使わざるを得ないサイトに接続できない状況が頻繁に起こります。例えば中国ではグーグルに接続できませんが、これは国家別に接続が許可されていないサイトが存在するからです。業務を行うにおいて大きな障害となりますが、VPNを使うことによって遮断されたサイトに接続することができます。

無料Wi-fiを利用しているとき

公衆無線LANなど、無料Wi-fiの場合、暗号化などのセキュリティ対策が施されていない場合が頻繁に見かけられます。これは、利用者の情報が無防備に露出されることが多い、と同じ意味です。実際、無料Wi-fiの利用者を狙ったサイバー攻撃も数多く報告されています。VPNを利用すると通信経路全体を暗号化でき、情報の露出を防ぐことができます。

外部から社内ネットワークに接続するとき

数々の企業が社員の社内ネットワーク接続のため、ビジネス用VPNを使用しています。社内ネットワークをインターネットで構築しながらも、指定されたVPNを利用する者のみが接続できるようにする形です。専用回線でネットワークを構築する方式に比べコストを抑えながらも、一定レベルのセキュリティを維持する事が可能になります。
しかし、よく考えてみたら、このような事例は全て「VPNを利用すれば安全が保障される」という前提で行われています。VPNは果たして本当に安全だと言えるのでしょうか。

 

VPNとて必ず安全なわけじゃない

残念ながら、VPNを利用するとしても必ず安全が保障されるわけではありません。VPNにも脆弱性が存在するのです。例えば、2020年に発生した「三菱電機に対するサイバー攻撃」事件では、VPN装置がハッキングされたことが事件の始まりでした。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

実際、VPNを狙った攻撃が近年さらに増加しています。この事件の場合、セキュリティ対策をしっかりと行っていると思われた大手企業を狙ったものなので、さらに大きな衝撃を与えました。特にビジネス用VPNは企業ネットワークに接続する用途で使用されるため、攻撃により発生する被害は想像を超すと思われます。攻撃者が企業ネットワークに侵入でき、内部情報を思うままに奪取できるという事を意味するからなのです。

攻撃者が目標にしていると思われる、主なVPNの脆弱性には次のようなものがあります。

低レベルのプロトコル及び暗号化

VPNは暗号化及びプロトコルなどを利用し安全性を確保しています。しかし、そのレベルには製品によって雲泥の差があります。廉価または無料で提供されているVPNの場合、低レベルのプロトコル及び暗号化を利用しており、容易にハッキングされる可能性があります。よって、十分に検証されたものなのかを確認する必要があるでしょう。ハッキングによって情報が露出されれば、もはやVPNを使う理由はありません。

VPNサーバに対する攻撃

VPNはその利用者を特定のサーバを通じネットワークに接続させる形でセキュリティを維持しています。しかしサーバ自体がハッキングされたら、セキュリティはどうなるのでしょうか。実際、VPNサービス企業のサーバがハッキングされた事例(引用: Techcrunch)が存在するように、サーバに対する脅威はVPNの脆弱性になりえます。もしもサーバに利用者の情報が残っている場合、通信がいくら安全に行われるとしてもその結果が露出されかねないという事になります。結果的に、VPNを使った理由を探せない状況が作り出されるのです。

 

VPNを選択する際の注意事項

VPNに脆弱性が存在するとしても、必ずVPNを利用しなければいけない状況に置かれる可能性も十分あり得ます。例えば、海外で遮断されたサイトに接続する必要がある場合などには、VPNを利用しなければいけません。その際には、次のような点に注意する必要があります。

  • 信頼できる個人情報保護ポリシー及びデータ保存ポリシーが存在するのかを確認する
  • 広範囲もしくは適切なサーバ適用範囲を提供しており、多様な選択肢が存在するのかを確認する
  • 強力なプロトコル及び暗号化措置が存在するのかを確認する
  • 適切な価格と、それに見合う機能を提供するのかを確認する

 

最後に

テレワークはコロナ禍以後にも引き続き拡大される見通しであり、企業により強固なセキュリティ対策が求められている状況です。先ほど紹介したVPNの脆弱性を周知し、VPNを補完できるセキュリティ対策を取る必要があります。このような状況を鑑み、クラウドブリック(Cloudbric)は追加設置などが不要で、簡単に暗号化、認証、ハッキング防止及びモニタリング等の機能をご利用できる「Remote Access Solution」をリリースしました。10月7日まで無料でお試しいただけるので、是非お試しください。
Cloudbric Remote Access Solutionの詳細はこちら

engineer

テレワーク導入時、IT担当者が検討すべきセキュリティ対策

by ブログ

新型コロナウイルス感染症に対する緊急事態宣言が5月25日をもって解除されましたが、それでも東京都では7月2日にも100人以上の感染者が確認されるなど、コロナの勢いが収まる気はありません。こういう状況下で、すぐに終わるだろうと思われたテレワークを続けている方も、また多数おられると思います。

このような状況を鑑み、多数の政府機関がテレワークにおけるセキュリティ対策を紹介しています。その中でも今日は、苦労されているIT担当者の方々に、少しでも手掛かりになるようなテレワーク対策をお伝えします。

 

セキュリティポリシーを策定し、ルールとして守る

テレワーク環境を安全にするにあたりもっとも重要なことは、「脅威が存在する」状況であると認めることです。現状に対する認識なしでは、セキュリティ対策にしっかり取り組むことなどできません。実際、警察庁などもセキュリティ対応を呼びかけてるのが現状です。

テレワーク標的か 国内でサイバー攻撃6500件超
2020年4月26日

新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。… 「前例のない危険な状況」。警視庁サイバーセキュリティ対策本部の幹部はテレワークの急増に危機感をあらわにする。十分な準備なしに急遽導入に踏み切る事例が多いためで、3月31日にはテレワークの防犯対策をホームページに掲載し、警戒を呼び掛けた。警察庁が検知した昨年のサイバー攻撃関連の疑いがある不審アクセスは1日平均で4192件。前年比約1・5倍と急増しており、テレワークが標的にされる例が目立っているという。

引用: 産経新聞

このように、テレワークを実施している企業の情報を狙っている攻撃はすでに多発しており、またその数を増やすであろうと予想できます。これに対応するには、まずルール、つまり「セキュリティポリシー」を策定することが対策の第一歩となるでしょう。仕事を始める前に計画を練るのと同様に、セキュリティ対策もまた同じ過程を要します。また、統一されたルールを持つことによって、従業員が悩みなしにルールを従い安全に仕事をできる、というメリットももたらせるでしょう。

 

暗号化されたネットワーク手段を使う

多くの企業で社外と社内の間の通信を暗号化するためにVPN等を導入していると思います。警視庁は、テレワーカーの通信経路に対し、次のような勧告を出しています。

使用するパソコンから勤務先等の接続先までの通信経路が、VPNで暗号化されているか否かを勤務先のネットワーク担当者に確認してから業務を行う

通信経路が暗号化されていないと情報を盗み見されるおそれがあります。
VPNサービスを利用するときは、運営者が明確であり、かつ情報が健全に取り扱われるものを利用する
VPNサービスの中には、通信の盗み見や改ざん、マルウェア(ウイルス)の組み込みがされている場合があるので信頼のあるものを利用しましょう。

引用: 警視庁

総務省もまた、重要情報の盗聴に対する対策として機密性が求められる電子データを送受信する際には必ず暗号化をすることを要求しています。暗号化をすることによって、盗聴を許したとしても、その情報の悪用を防ぐという事です。暗号化をせず通信を行った場合、通信に利用している機器を強固に防衛しているとしても、その対策が破られた瞬間に全ての情報が奪取されます。

しかし、暗号化を施すことによって、例え機器に対する防衛手段が破られたとしても、攻撃者が容易に情報を悪用するのを防げるのです。警視庁はその手段としてVPNを勧めておりますが、実はVPNもまた完全なセキュリティ対策だとは言えません。VPNと他のセキュリティ対策を併用したり、リモート・アクセス・ソリューションを導入したりするなどセキュリティ面を最優先し、自社にあった対策を取ることが重要です。

 

容易に突破されない認証方法を従業員に提供する

警視庁は、テレワーカのパスワードに関しても、次のような勧告を出しています。

パスワードは他人に推測されにくい複雑なものにする
簡単なものは、他人に不正アクセスされるリスクが高くなります。
パスワードを他のサービスと使い分け、テレワーク専用にする
他のサービスと同じパスワードを使用していると、そのサービスがサイバー犯罪の被害によって情報が流出した場合、テレワークのシステムに不正アクセスされるおそれがあります。
引用: 警視庁

パスワードに対する対策は、テレワークに限らず全ての情報セキュリティ対策としてよく知られています。しかし、実際にこれを守るのはそう簡単ではありません。パスワードを複雑にしたり、用途別に違うパスワードを設定するなどの対策はユーザの業務における効率を阻む可能性があります。多彩なパスワードを設定したのち記憶に残らず、パスワードを再設定するのにかなりの時間を費やしてしまった、などの例を挙げることができるでしょう。なので、二要素認証(2FA)などの機能を通じ、パスワード単体ではなく他の認証手段を同時に利用するなどの対策を取ることをお勧めします。

 

不正なパケットを自動的に発見・遮断するシステムを導入する

テレワークでは、社内ネットワークに接続する際、必然的に外部のネットワークを利用することになります。社内で勤務する場合は、オフィスに設置されたネットワークの安全を確保するだけで一定のセキュリティを得られました。しかし、テレワークの場合はそうはいかない、という事です。そこで、総務省は次のような勧告を出しています。

外部のネットワークを利用する場合は、テレワーク実施者が定められたVPN回線に接続してアクセスするルールやシステムを導入する、あるいは不正な通過パケットを自動的に発見、もしくは遮断する措置のできるシステムが求められます。
引用: 総務省

つまり、テレワーカー以外が社内ネットワークに接続するかを常に監視し、摘発するシステムが必要だという事です。社内ネットワークがいくら安全だといっても、それは社内にいる認証された人々だけが利用する場合のことであり、誰もが潜みこめるとなると、もはや安全とは言えません。よって、社外から社内に接続する場合は、怪しい接近を最初から遮断するソリューションを予め導入しておく必要があります。

 

コストをできるだけ削減する

情報セキュリティ対策へのコストを支払うにはに制約があるという理由での反対がある、という方も多いでしょう。しかし、無論自社に対する攻撃だけではなく、他人に対する攻撃への足掛かりにもなりかねない状況で、最低限のセキュリティ対策は必須です。総務省もまた、次のような見解を示しています。

対策の程度は企業により異なりますが、電子メールやWeb等のインターネットに繋がったサービスを使う以上は、他人に迷惑を与えないという意味で、最低限の対策は必要であると考えられます。
引用: 総務省

セキュリティ対策をとるにあたっては、「脅威が存在する」状況であると認めることが重要だとお伝えしました。しかし、そのような状況認識下でも、費用の問題で戸惑う企業もまた、多くいらっしゃると思います。しかし、会社の扉を閉めなければ泥棒が入るから防犯会社と契約するのと同じく、対処をしなければ、もっと大きな被害がいずれは訪れるでしょう。被害が出た後ではなく、被害が出る前に備えるのが重要です。そして、そのための手段を選ぶときには、最も状況にあった、優秀なコストパフォーマンスの製品を選択すべきでしょう。

 

最後に

いかがだったでしょうか。前述したとおり、テレワークは確かに人の「健康」を守るため有効な手段です。しかし、それによって企業情報の「健康」が損なわれることは、最大限防がなければなりません。クラウドブリックもまた、暗号化・二要素認証・モニタリング及び遮断といった機能を持つ Remote Access Solutionを通じ、企業情報の健康を守ろうとしております。そして、その二つの「健康」を守るため尽力しておられるIT担当者の方々に、Cloudbric Remote Access Solution が役に立てれば、と思う一方であります。

Cloudbric Remote Access Solution の詳しい情報は、こちらをご覧ください。

home-office-569153_1920

「一般的なテレワーク環境」に付きまとう、セキュリティリスク

by ブログ

新型コロナウイルスの影響で、緊急事態宣言が出されるにつれ多数の企業がテレワークを導入しました。そして、緊急事態宣言が解除された以降も、かなりの割合でテレワークが続けられています。一番楽な場所で業務に当たれるという事を好意的に受け取る方も、多数存在するのではないのでしょうか。実際、出勤する手間が省けるというだけでも、日常はかなり楽になるものです。しかし、テレワークがいかに従業員の仕事と生活の調和を助け、生産性を向上させたとしても、デメリットの存在を否定することはできません。テレワークは常にサイバー脅威と隣り合わせしており、いつ企業のデータがリスクに陥るのかわからない状態なのです。そこで、今日は一般的に運用されるテレワーク環境と、それに潜むリスク、そしてその対策についてお伝えします。

 

一般的なテレワーク環境に至るまでの道のり

コロナの影響で急遽テレワークを始めた企業の多数が、「サイバーセキュリティに気を遣う余裕などない」という状況だったはずです。よって、ほとんどの方はもともと家庭に設置されたネットワークを利用してたに違いありません。しかし、テレワークの試行期間が長引き、「Zoom」などのセキュリティ問題が現れるにつれ、セキュリティ対策をせざるを得ない状況になりました。そこで数々の企業が導入したのが、「VPN」です。

VPN(Virtual Private Network)とは、ネットワーク上にプライベートな仮想通路を設置するアプリケーションです。強固なトンネルの様なものと想像していただければいいでしょう。そして、そのトンネルを通じ情報を送受信することによって、指定したサーバ、例えば社内ネットワークなどにより安全に接続できるようになる、というものです。

つまり、「家庭内に構築された既存のネットワークシステム」にVPNが足された形、が一般的なテレワーク環境になったのです。しかし、必ずしもすべての従業員がVPNを誠実に使っている、とは限りません。さらに、VPNを使ったとしても防げない脅威も存在します。

 

VPNを使わないテレワーク環境に潜むセキュリティリスク

テレワーク中の従業員は、想像以上にかなりの頻度で、VPNを使わず家庭用Wi-Fiもしくは公共Wi-Fiを通じ社内ネットワークへ接続します。しかしこれは、攻撃者にとって、重要な情報を奪取するチャンスです。例えば、データが暗号化されず単なるテキストで伝送された場合、攻撃者は容易にこれを奪取することができます。

よって、テレワーカーは安全が保障されていないWi-Fiネットワークを使い、社内ネットワークに接続することを避ける必要があります。もしも、必ずセキュリティ面での不安が残るネットワークを利用しなければいけない場合、VPNを使う必要があります。オープンされた荒野に、トンネルを一つ作りそこを行き来するのです。

 

VPNを使っているテレワーク環境にも潜むセキュリティリスク

VPNは、テレワーカーを抱える企業にとってもはや命綱になりました。しかし、不運にも損傷されたハードウェアやマルウェアに感染されたホームネットワークは、企業のネットワーク全部を危険に追いやります。VPNは安全な「通路」に過ぎないので、それを通じ企業のネットワークにも脅威が迫るのです。

 

個人用デバイスの業務上利用

多数のテレワーカーが業務用デバイスと個人用デバイス間でファイルを送受信しています。しかし、個人用デバイスは決して安全ではないゆえに、情報が漏えいする可能性も高まります。つまり、個人用デバイスを業務に使うことを許可するという事は、脅威にさらされるリスクを受け入れるという事になるのです。

例えばテレワーカーが重要な情報を個人用デバイスに保存したまま退職した場合、その情報はテレワーカー自身のみが削除できます。また、全ての従業員が常にソフトウェアを最新バージョンに保っているという保証もありません。これは、テレワーカーの個人用デバイスに接近するハッカーが、さらに容易に企業の情報に接近できるという事です。

結果的に、ITチームがいくら業務用デバイスのセキュリティに気を使ったとしても、テレワーカーの個人用デバイスからいくらでも情報が流出しかねない、という状況が生み出されます。なので、個人用デバイスの使用を禁止し、業務用デバイスのみで業務を行わせる必要があります。

シャドーIT問題

テレワーカーの個人用デバイスに対する欲求は、シャドーIT問題も引き起こします。個人用デバイスを使用する場合、必然的に企業のITチームから許可されていないソフトウェアやシステムを使うことになります。実際、テレワーカーは自分が容易に使えるアプリケーション、システム、プログラムに手を伸ばしがちです。

しかし、これはハッカーが脆弱性に突き入る隙を与えます。よって、テレワーカーは少し不便になるのを承知のうえ、ITチームから認められたものだけを使うべきでしょう。

巧妙化されるハッキング手段と、保護されないテレワーカー

近年、サイバー犯罪は人間の弱点を利用する形に進化しています。例えば、最近ハッカー集団はWHO(世界保健機関)のサイトでコロナに関する状況を把握しようとする人々を狙った悪性アプリケーションを制作しました。アプリケーションがインストールされた場合、「トロイの木馬」と呼ばれるマルウェアにより、デバイスに保存された重要なデータが奪取されるのです。このように誤って悪性アプリケーションをインストールすることによって、情報を奪取されかねません。

こうした手口で手抜かれた情報は、武器となり、情報の主を攻撃します。特にテレワーカーは、出勤して勤務する従業員より、このような攻撃に屈する可能性が高いのです。出勤して勤務する場合には、アプリケーションなどをダウンロードする際、ITチームからの許可を得る必要があります。しかし、テレワーカーはそのような許可を得る必要がないので、自らハッカーの攻撃に露出される可能性が高まるのです。

よって、強力なVPNを使うだけではなく、強力な認証手段を利用するとともに、エンドポイントのセキュリティ状況を確認できる、VPNより高度なセキュリティ対策も考慮する必要があります。

 

テレワーク環境のセキュリティ対策

デジタル環境が拡大される中、そしてコロナの影響が続く間には、必然的に社内で勤務するのではなく、テレワークなどの形を取る従業員が増えるでしょう。テレワーカーに脅威が付きまとうとはいえ、その脅威を排除する方法もまた、存在するのです。前述したように、テレワークのセキュリティを保存する手段としてはVPNがあり、幅広く利用されています。しかし、VPNがいくら安全だといえ、VPNはただの通路にすぎず、それを通る危険なトラフィックを制御することはありません。

まず、データを保護するための対策をとる前に、テレワークとネットワークに関するポリシーを見直しましょう。

ポリシーが確定すれば、セキュリティに対する脅威にどう立ち向かうかも、自然に明白になるはずです。下の項目は、そのポリシーに従い取りえる対策です:

  • 強靭なパスワードを設定する
  • ファイアーウォールを設置する
  • 2FA(2要素)認証を利用する
  • 自宅のルーターにセキュリティ対策を施す
  • 公共Wi-Fiを利用する際には、必ずVPNを使う
  • フィッシングメールやサイトに注意を払う
  • データを暗号化する

テレワークはもはやビジネス界で最も重要なテーマになりつつあります。しかし、テレワークにあたる従業員をコントロールできぬまま、データが危険にさらされるのをただ見ているわけにはいきません。

 

最後に

このような対策を全てとるのは現実的に難しい、というお客様も多数おられると思います。そういう方には、「Cloudbric Remote Access Solution」をお勧めします。2FA認証を通じ、全トラフィックを監視・暗号化するソリューションを手軽に利用できます。従業員にテレワークを指示しながらも、ネットワークとデータ両方を守る事ができる「Remote Access Solution 」を、無料お試し提供中の今、是非お試しください。

Cloudbric RAS

cyber-security-1784985_1280

DDoS攻撃が迫りくる

by ブログ

DDoS攻撃

人気アイドルグループBTSが新曲をリリースすると同時に、YouTubeのサーバがダウンしました。原因は、BTSの新曲のPVをいち早く見たいファン達が一斉に殺到し、サーバに負荷がかかりすぎてしまった事でした。Youtubeだけではなく、韓国の音楽配信サイトが次々とアクセス不能になったそうです。

 

[DDoS攻撃とは?]

このように、特定Webサイトに同時にアクセスが集中して、サーバやネットワークが処理できない程多いトラフィックを瞬間的に起こすと、サーバがダウンしてしまいます。正常なトラフィックによるサービス中止の場合は、単なるハプニングになり、サービスまたはコンテンツの人気が証明される事になります。

しかし、ハッカーが数百万台のPCを操って特定Webサイトに同時アクセスさせ、短時間内に過負荷をかけるサイバー攻撃もあります。
このような攻撃を「DDoS(Distributed Denial of Service)攻撃」といいます。

 

[DDoS攻撃による被害は?]

攻撃者は、処理しきれない程大量のトラフィックを瞬時に送りつけてサーバをダウンさせますが、これによって一般ユーザは意図とは裏返してWebサイトへのアクセスが遮断されます。DDoS攻撃の主な目的はサーバをダウンさせてサイト運営に支障が出るようにする事で、資料を流出したり削除する攻撃とは少し異なるサイバー攻撃でした。

しかし、最近はDDoS攻撃によってダウンしたサーバを攻撃して個人情報などを流出する事件も多くなっています。DDoS攻撃自体は、単純にサーバをダウンさせる攻撃ですので、他のサイバー攻撃に比べて被害が少ないと考えがちですが、持続的なサービス運営が重要なECサイトや 官公庁のWebサイトはサーバが数時間ダウンするだけで致命的な被害があるかもしれません。

まず、ECサイトの場合、顧客が商品を多く購入する曜日・時間帯にWebサイトがアクセスできなくなったら、他の競合他社に顧客を取られてしまって営業損失が発生します。

また、官公庁の場合、重要なお知らせを発表出来なくて困ることになる可能性があります。特に、天気予報や災害に関する案内をする官公庁のWebサイトのサービスが中止してしまったら、大きい混乱を招いてしまい、市民の利便性、更には命に危険を与えます。

 

[DDoS攻撃被害事例]

2017年6月17日、SQUARE ENIX社のオンラインゲーム「Final Fantasy XIV」のオンラインサーバが、外部によるDDoS攻撃を受けてネットワーク障害が生じました。これによって、ネットワーク機器及び回線に高い負荷が発生し、ユーザの意図とは裏返してサーバから遮断されたりログインが出来なくなる状態になりました。当然ユーザがゲームを楽しめない状態になり、この状態は21日まで続きました。21日18時半過ぎになってサーバは復旧され、22日から正常な運営が出来るようになりました。この事例の場合、幸いユーザの個人情報流出はありませんでした。

 

[DDoS攻撃からWebサイトを守る為には?]

最近はアプリケーションの脆弱性を狙ってWebサーバを直接攻撃する場合が増加しています。これはWebサーバの全ての情報が消えたり流出するという致命的な結果をもたらす事ができます。

クラウドブリックのWAFは、アプリケーションの脆弱性を狙う全てのWeb攻撃を迅速で正確に検知・遮断します。DDoS攻撃を遮断してWebサーバに発生する被害を予防し、ネットワークの拡張を行いネットワークがダウンしないようにします。

また、最も一般的な攻撃から最新トレンドのマルチバクタ攻撃・アプリケーション攻撃(Slowloris, RUDYなど)まで全範囲のDDoS攻撃からWebサイトを保護します。

blog_example

様々な課題を解き明かす解決者、クラウドブリック

by ブログ

Title

サイバー攻撃(業種別事例)

会員の個人情報・クレジットカード情報のデータベースをハッキングして情報を盗み取っていた以前とは異なって、昨今のサイバー攻撃は多様な形でWebサイトに被害を及ぼしています。

普通のホームページからフィッシングサイトに誘導して個人情報や決済情報を入力させたり、決済段階でフィッシングサイトに誘導して2回決済させるなど、単純に情報データベースを盗み取るだけではなく、ユーザが直接個人情報を入力するように誘導する巧妙な手法を使い始めました。

このようなサイバー攻撃は、個人に被害を与えるだけではなく、該当サイトの信頼度を低下させてハッキング被害に遭った企業が顧客に補償をしなければいけないなど、企業に甚大な損害を与えています。
クラウドブリックのWAFは業界最強の防御力を誇っていて、お客様の様々な課題を解決しております。

1.オンラインショップ

オンラインショップは個人情報及び決済情報を多数収集している為、攻撃対象になりやすいです。

実際、サイバー攻撃を受けたサイトの大半はオンラインショップであり、よくニュースで被害事例を見かけます。オンラインショップは情報を入力する部分の暗号化が特に重要であり、規模が大きくない企業が運営する場合が多いのでセキュリティに投資出来る費用が少ないという課題を持っている場合が多いです。

クラウドブリックは全てのページを暗号化する常時SSLを無料提供していて、適用・更新も無料代行しています。また、事前に決められた金額で月額決済が出来るので少額の初期費用・運用費用で高性能WAFを適用出来ます。

2.メディアサイト

個人情報及び決済情報が比較的に少ないメディアサイトの場合、該当Webサイトが持っている情報自体を狙った攻撃が多い傾向があります。

リサーチ資料・競合企業の技術関連情報などを窃取したり、悪意を持って削除したりする攻撃がよくあります。また、多数のゾンビサーバを用いてWebサイトに負荷を与えるDDoS攻撃が発生する事もあります。その為、メディアサイトは情報暗号化と共にDDoS対策が必要になります。

クラウドブリックはSSLのみならずDDoS攻撃対策も無料オプションとして提供しています。

急上昇したトラフィックが攻撃なのか実ユーザのアクセスなのかを把握して適切な対応をする事で、ユーザのWebサイト利用満足度を高めています。

3.非営利機関

信頼性の高い非営利機関のホームページの場合、DDoS攻撃の土台として利用されたり改ざんされたりする事例が増えています。

Webサーバに不正アクセスして他サイトを攻撃するよう操ってサイバー攻撃の加害者にさせたり、全く違うページが出力されるように改ざんしてサイト運営を妨害したり、様々な被害事例が発生しました。このような攻撃を防ぐ為には不正アクセスを防止する事が大事です。

クラウドブリックはロジックベース検知エンジンを搭載している為、今までなかった新しい攻撃も的確に検知し、Webサイトを不正アクセスからより安全に保護しています。

貴社の課題は何ですか?

クラウドブリックのWAFはWebサイトの規模・業種に関係なく全ての課題を解決させて頂きます。

今すぐご相談ください。1か月間無料トライアルも可能です!