『「2021年セキュリティ脅威予測」を読んで①』及び『「2021年セキュリティ脅威予測」を読んで②』では、トレンドマイクロ社が公開している「2021年セキュリティ脅威予測」から今年予測される脅威と、その対策例について紹介しました。

今回も引き続き、セキュリティ脅威を紹介します。

５．公開される脆弱性の迅速な悪用で困難化する修正パッチの適用

予測される脅威

こちらは題名のとおり、一般公開された脆弱性を悪用してサイバー攻撃が発生する可能性があるという脅威です。

コロナウイルスによるパンデミック以前であれば、オフィスで利用しているネットワーク機器やルータ等の脆弱性は情報システム部門によって管理されていることも多かったと思います。しかし、近年では在宅勤務が普及し、個人で契約したプロバイダーのネットワークを利用したり、個人で購入したルータを利用したりして業務を行うことが増えました。その中で、アプリケーションやネットワーク機器の脆弱性を特別意識している人はとても少ないのではないでしょうか。

実際に報告された脆弱性情報やその対策情報はIPAなどの組織によって一般公開されています。もしユーザが該当する製品を利用していた場合、対策情報を見ることで脆弱性に対応することは可能です。しかし、脆弱性情報をあまり意識していないと、脆弱性がある事自体に気づけず、第三者による脆弱性を利用した攻撃の対象になるかもしれません。

情報が公開されたばかりでベンダーなどが提供しているパッチがまだ未適用の可能性がある脆弱性攻撃のことをNデイ攻撃といいますが、まだ発見されていないような脆弱性を悪用した攻撃のゼロデイ攻撃に比べて、攻撃者にとっては手間がかからず悪用しやすい傾向にあります。

つまり、公開されているため、簡単に知ることができる脆弱性を悪用して、まだ対応できていないようなターゲットに対する攻撃が今後の脅威となりえます。

対策

こちらの脅威の対策としては、IPAが公開している「脆弱性対策情報データベース」が役立ちます。そこでは、Microsoft製品やAdobe製品など、様々な脆弱性対策情報を調べることができるので、自身が利用しているアプリケーションやネットワーク機器に重大な脆弱性が存在しないかを確認することが大切です。また、公開された修正パッチなどはすぐに適用させることを心がけましょう。

組織的な対策として、情報システム部などが、自社で利用している製品の脆弱性情報を常にキャッチアップして、修正パッチが公開された際に、緊急のアップデートを社員に通達するなどが有効的です。

基本的にはソフトウェアのアップデートによって脆弱性対策ができるので、最新バージョンにアップデートされていることの確認、自動アップデートの設定等もしておきましょう。

６．外部からのアクセス可能なAPIが企業の情報漏洩の攻撃経路に

予測される脅威

企業はAPI(Application Programming Interface)によって複数のサービスを連携させることで様々な業務をDX化しています。例えば、あるSaaSから内部システムへのアクセスを提供したり、CRMなどのアプリケーション上で顧客と対話・通話したりするためにAPIが利用されています。

今やなくてはならないAPIですが、そのセキュリティ対策は十分とは言えない状態であり、上記のように、サービス間をつなぐ場所は、攻撃者にとって企業や組織のネットワークに侵入するための格好の標的となります。

実際に、システムの設定ミスによって、APIを介したユーザの個人情報への不正アクセス、ソースコードの漏洩等のインシデントも多く報告されています。今後、更に攻撃者が注目するであろう脅威の1つです。

対策

APIのセキュリティ対策は、サービスを利用する際のシステム設定を適切に行うことが重要です。最近報告が上がっている不正アクセスによるインシデントの多くは、システム載設定ミスによって発生しています。外部に公開されない設定になっているか、認証方法はセキュリティ的に十分なのか等を定期的に確認することが望まれます。

技術的な対策としては、IPSやIDSの導入によって、内部と外部の不審なアクセスを監視することが推奨されます。不正アクセスに対する防止策にもなり、ログを取得することで証拠の保全にも繋がります。

また、APIを設計、実装するような開発者、管理者の方は、通信データの暗号化(SSL/TLS通信)による対策や、強固なAPIキーによる利用者認証の実装など、最低限満たすべき要件を理解した上で開発及び管理することが大切です。

７．パンデミックで進む個人情報の収集と共有に注目するサイバー犯罪者

予測される脅威

コロナウイルスによるパンデミックの影響で、結果として、社会全体として企業のICT化が促進されました。あらゆるサービスで、個人情報をはじめとする多くの情報を収集してデータ化し、データベースに保存しています。そのおかげで利便性の高いサービスを活用して仕事をすることができますが、同時に、第三者に悪用されるリスクに晒されています。

攻撃者はサービスを利用する上で、収集される個人情報に注目しています。個人情報の提供先であるサービス元が適切な管理体制を整えていない場合、簡単にデータベースに不正アクセスされ、大量の個人情報が漏洩してしまうかもしれません。

今後、不正取得した個人情報をアンダーグラウンド市場(地下経済)で販売する等、様々な方法で悪用されることが予想されます。

対策

個人情報を取得するようなサービスを利用する場合、そのサービスが適切な管理体制を整えていることの確認が重要です。確認する観点としては、通信が暗号化されているかどうか、ユーザログイン時の認証方法は堅牢か、個人情報の利用目的は適切か、などが挙げられます。

特に、ログイン時の認証方法は、昨年に発生した銀行サービスの不正出金をもたらした要因のひとつでもあります。複数回ログインに失敗するとロックがかかるような仕組みや、二段階認証または生体認証が設定可能なサービスを選定することが望ましいです。

まとめ

「2021年セキュリティ脅威予測」から3つの脅威とその対策例を紹介しました。

技術的なセキュリティホールを利用した攻撃に対して組織が取るべき対策は、必ずしも高度な技術が必要であるとは限りません。組織や個人がセキュリティ脅威を少しでも意識することで、攻撃を未然に防ぐことも可能です。そのためには、情報漏洩が発生しないための対策、もし漏洩してしまった際にすぐに気づくことができる対策、被害拡大を防止するための対策、それぞれ準備しておくことが大切です。

参考