 |
|
「第255回例会」報告 PMAJ例会部会 原 宣男 : 6月号
【はじめに】 今やインターネットは欠かせない存在。どの企業も多かれ少なかれインターネットを利用して商売をしています。昨今このインターネットを利用して国や企業に様々な攻撃をしかけ、妨害や金銭の要求を行う輩が増えています。本講演は、実際に企業の第一線でサイバーセキュリティ対策を行っている講師から、サイバー攻撃の概要とそれに対する手段を解説頂きました。 尚、本講演は、PMAJとしての講演延期適用開始直前に、コロナウイルスの感染を防ぐ対策が取られた中で、意識の高い十数人に対して行われました。 【講演概要】 1. サイバー攻撃の最新動向 1.1 サイバー攻撃の潮流 NECは1990年にインターネットに接続した。そのころのサイバー攻撃は、アマチュア個人による攻撃でスクリプトキディと呼ばれたが、最近はプロの集団による攻撃に変わった。彼らは政府に雇われている為、資金が潤沢にあり、規模の大きな攻撃を仕掛けてくる。特に大きなイベントに対して攻撃し実施を妨害しようとする。2019年のラグビーワールドカップでも攻撃があった。2020年のオリンピックにも仕掛けてくると思う。 最近10年間のセキュリティ対策は、攻撃手段の変化に伴って変わってきた。 DDoS攻撃は現在15分から1時間に1回くらいあるが、NECが初めて攻撃を受けた時には600本のコネクションがすべて接続されて使えなくなった。昔は発信元がわかる攻撃だったので調べてみたら中国だった。最近ではカメラなどのIoT機器を踏み台にして攻撃を仕掛けてくる。金融犯罪にパスワードリスト攻撃が一時期はやったが、最近ではBECやコインマイナーという手法が使われている。標的型攻撃メールは、初期のころ日本語がおかしく中国語が残されていたりしてすぐ見破れたが、最近はファイルレスなので識別が難しい。 これらの攻撃への対策は、ウイルス対策ソフトが有効であるが、NECではかなり早い段階からサイバー攻撃の主対策からは外している。理由はワクチンが攻撃に間に合わないからである。ただ端末一台一台に入れて監視でき、一か所でも攻撃を受けるとその情報を他に展開できるという点で欠かせないツールである。またサンドボックスが有効な対策として使われているが、最近ではEDR、CASBというクラウド環境に対応した対策がとられている。 北朝鮮が関係したとされるサイバー攻撃は、当初の目的は妨害破壊であったが、その後情報搾取になり、最近ではミサイルを買う為か仮想通貨を狙った金融犯罪となっている。 政府のセキュリティ対策は、重要インフラの保護、経営層の意識改革、人材と産業の育成で、会社の経営者はセキュリティ意識が薄いとのことで、ガイドラインを示している。 世界では、米国と中国が主導権争いをしていて、ファーウェイの高い技術力が米国産業の脅威となっていた為、米国は同社製品の使用を中止し、中国政府のハッカーを提訴、指名手配した。最近活発なAPT攻撃を仕掛けている組織の半分以上は中国が関係している。 1.2 サイバー攻撃と城の防御 サイバー攻撃と城攻めは似たところがある。松前城は傑作と言われたお城である。城壁のほとんどが鈍角で、城が左右非対称構造で迷路となっている為、容易には攻め落とせないと言われていた。しかし、あっさり攻め落とされてしまった。攻めたのは土方歳三。この城は海からの攻撃に備えていたが、陸からの攻撃には弱いところがあった。そこを攻めた。実は予算が足りず陸からの攻撃に対する構えを充分に作れなかった。大阪城は難攻不落と言われていたが、肝心の堀が埋められ、城は落ちた。五稜郭も西洋の城を参考に作られたが、このころになると大砲の性能が上がっていて、船から砲撃され落ちてしまった。弱いところを攻められたら対抗のしようがない。セキュリティ対策も弱いところがあるとそこを攻められてしまうので、多方面にしっかり防御するが必要である。 1.3 DDoS攻撃 DDoS攻撃を行うには多数の攻撃元の機器が必要であるが、最近は巷に氾濫するIoT機器を乗っ取り、テルネット23番ポートを利用して攻撃を仕掛けてくる。2019年4月に急に攻撃数が増加したが、これはTokyo2020の予行演習ではないかと言われている。 1.4 ランサムウェア攻撃 世界発のランサムウェアはAIDSとよばれるもので、身代金も安かった。最近では皆、身代金を払わなくなったのだが、金融関係や医療関係、特に命に係わる場合は、払わざるを得ない状況である。支払った額は発表されないが商売として成り立っており、年間数百万ドルと言われている。スイスのチョコレート会社は支払いを拒否し、110億円の被害が出た。 ではどんな対策がよいかということであるが、バックアップが確実である。復旧までの時間はかかるが被害は小さい。万が一感染してしまった場合、ネットワークは遮断するが、PCの電源は落とさず、休止モードにするのが良い。電源を落としてしまうと、メモリ上に残っている証拠が消えてしまい、復旧が出来なくなってしまう。 1.5 フィッシング フィッシング詐欺は毎年増えている。最近Amazonを語っているものが多いが、簡単には識別できない。金融系を語るものが多い。ここ10年間、ターゲットとなる目先が変わってきており、最初はISPだった。 対策としては、日常からのマルウェア対策で、詐称された場合に備えることである。クレジット会社の情報を搾取された場合、すぐにカードを止め先手を打つことである。普段からカードを停止する手続きは抑えておいたほうが良い。 1.6 標的型攻撃 標的型攻撃の対象になるのは防衛関係が多い。傾向としては減ってきている。中国からの攻撃がばればれなので、中国政府からやめろという指示が下りたものと思われる。 攻撃者は攻撃が通じなくなると、攻撃手法を頻繁に変更して仕掛けてくる。最近「三四郎」の脆弱性にゼロデイ攻撃を仕掛けてきたが、すでにほとんど使われていないソフトだったので、ソフトを入手して検証するのが大変だった。攻撃者は日本の実態を全くつかんでいないと思われる。攻撃者は、未知のマルウェアを使って攻撃し、防御側でそれに対抗する手段が出来ると、今度は通信を隠蔽する攻撃をかけ、それが通用しなくなるとファイルレスで攻撃してくるという巧みな方法で次々と手段を変えてきている。 1.7 BEC BEC(Eメール詐欺)の会社幹部を標的にしたもので、JALや日経が被害にあっている。被害額が大きい為、攻撃者は一生に一回のBEC攻撃で十分もとが取れる。 1.8 仮想通貨取引所への攻撃 仮想通貨取引所への攻撃で結構な数の被害に遭っている。被害額が大きく、日本や韓国が狙われている。標的型と同様、緻密な計画で高度な攻撃が行われる。まずドメインを登録しターゲットに確認メールを出し、複数回のやりとりを行って信用させた後、攻撃メールを仕掛けて不正サイトに誘導させるという方法である。金額が大きい為、一回成功すれば二度目を行う必要が無いようである。 1.9 情報流出 クラウドから個人情報流出が起きている。流出件数は億の単位。パスワードが並んだファイルが流出している。これだけ件数があると同じパスワードを使っている人が何人もいて、パスワードそのものは暗号化されていても、その中にパスワードを忘れた際に使うヒントにパスワードそのものを登録している人がいて、その人と同じハッシュ(暗号化されたパスワード)をキーに、他の人のパスワードもわかってしまう訳である。対策は2要素認証の実施である。 1.10 サプライチェーン攻撃 サプライチェーン攻撃とは、偽りのハードウェア、偽りのドライバー、改変したソフトウェアを使って、サプライチェーンの中で攻撃してくるものである。CCleanerが改ざんされマルウェアを埋め込まれた話はニュースになった。 1.11 Emotet Emotetは最近流行しているPCマルウェアである。休憩期間があり、長い休憩期間はサーバ構築期間かもしれない。このマルウェアは、もともとダークWebでマルウェアを販売していた組織が作っている。 2. CSIRT(Computer Security Incident Response Team) CSIRTは6種類に分類されるが、組織内CSIRTが組織内で発生したインシデントに対応する。企業内に必ず無いとダメということではないが、比較的大きな企業であれば、インシデントに備え設置したほうがよい。 NECは2002年にNEC-CSIRTを作った。また2016年にCISOを設置し、サイバー攻撃への対応を強化した。現在NEC-CSIRTは、いろいろな組織と連携して動いている。 インシデントへの対応についてはフローを作り対応を決めている。 標的型攻撃(高度な攻撃)への対応については、ルールで守ろうとしたら負けで、臨機応変に対応することが必要である。 3.人材の育成 3.1 NECのセキュリティ対策要員の育成 セキュリティ対策要員として、一人で何でもできる人材に育てることが必要である。 NECでは全社員に対してセキュリティスキルチャレンジに参加する権利を与えていて、NECグループ約15万人のうち1000人くらいが挑戦している。これは2週間で100問の難問を解くもので、参加者個人が自身のサイバーセキュリティに関する実力を競い合う。ここでの上位に上がった者は表舞台に引き出される。毎年スターが生まれ、社内のセキュリティ部門で活躍している。 3.2 サイバー総合演習 NECでは幹部をターゲットにしたサイバーセキュリティ研修を行っている。これは事故が起きた時に、記者会見等で対応を説明する際、冷静に行動・判断できるようにする為である。この演習は徹底的に実際に近い形で行われる。そのポイントは以下の通り。
NECではnoranecoというチームを結成し、CTF(Capture the Flag)世界戦というセキュリティ技術者のコンテストに毎年参加している。 4. まとめ どの企業がサイバー攻撃の被害にあっても不思議ではない状況である。正しい情報や知識を集め、多層の防御を行い、組織力を高めておくことが重要である。 【所感】 私が情報セキュリティを担当していたころは、ウイルスに感染したPCから毎日のように色々な情報がインターネットに流れていましたが、実際の情報流出による大きな被害は、企業側では、金銭でなく信用を失うことであったと記憶しています。しかし今は企業を攻撃することを商売にしている輩がいるので、その金銭的な被害額は桁違いです。そんな被害を防ぐために私たちが出来ることは、怪しいメールを削除し、不要な情報は持ち出さない等、決められたことをきちんと行うことが重要ですね。 最近のサイバー攻撃等の状況とその対策についてわかりやすく解説頂きました講師に感謝いたします。(文責:原 宣男) |
||||||||||||||||
 |