インターネットでセキュリティに関するニュースを追いかけていると、毎日のように攻撃事例が報告されています。
オンライン・オフラインを問わず身の回りに数多くの情報機器が存在する現代において、私たちがサイバー攻撃から無縁だと思える根拠はどこにもありません。
すべてのハードウェア、ソフトウェアには脆弱性が潜んでいる可能性があると考え、常に万全の状態でいることが重要なのです。
では、万全の状態でいるとはどういう事でしょうか。
一言で言うならそれは、
「常に自発的にアンテナを張り、そこで得られた情報をもとにセキュリティ環境を改善していく」
ということです。
実際に脆弱性を利用したサーバー攻撃の事例を見てみると、その攻撃が最初に確認された日付は、その脆弱性への修正パッチが発表された日付より後であることがほとんどです。
つまり、順番としては修正パッチ⇒攻撃となっているのです。
にもかかわらず、なぜこんなことが起こるのでしょうか。
それは単純に、アップデート修正パッチをあてたり、ソフトウェアのアップデートを行ったりしていない企業が多いからだといえます。
逆に言えば、常に最新の情報を仕入れ、きちんとそれに伴ったアクションをとっていれば、大半の攻撃から身を守れるということでもあります。
本記事では、執筆時点での情報セキュリティの具体的な最新情報を紹介していきますので、ご自身のアンテナが正しく機能しているかをチェックしてみてください。
目次
1.終わりの見えないイタチごっこ
2.WannaCRYに学ぶ「1年前の脆弱性でも放置されている現状」
3.複合型ゼロデイ攻撃のきざし
4.ハードウェア脆弱性が孕む危険性 spectre、meltdownに続く第三の情報
5.結局は人に原因あり。仮想通貨流出の狂騒。
6.いよいよ始まるEU 一般データ保護規則
7.セキュリティにかける予算の変化と実情
8.無知が生む被害。セキュリティ被害だけにとどまらない損失
終わりの見えないイタチごっこ
私たちが特に考えるべき脆弱性というのは、製品の開発、販売、提供が済んだ後に見つかるものです。
メーカーが苦心に苦心を重ねて世に送り出した製品であっても、どこかに脆弱性が見つかってしまうものです。
その現状を考えれば、100%安全という事はあり得ません。
また、こうしたメーカー側が公開する脆弱性だけではなく、攻撃者が独自に見つけ出した脆弱性が攻撃に使われることもあります。
メーカーが公表した脆弱性に対して行われる攻撃も、悪意のあるユーザによって発見された脆弱性に対して行われる攻撃も絶えることはなく、サイバー攻撃から身を守るためのアップデートの旅というのは、途中で情報機器を全放棄でもしない限り永久につきまとってくる、イタチごっこのようなものなのです。
そんなイタチごっこの中で企業の情報資産を守るという役目を持つセキュリティ担当がやるべきことと言えば、繰り返しになりますが、常に最新の情報に触れ続けることで、情報資産を守るセキュリティ環境を担保していくことです。
WannaCRYに学ぶ「1年前の脆弱性でも放置されている現状」
2017年に世界中で大きな被害を巻き起こしたランサムウェアが、「WannaCRY」です。
大企業から小規模な事業所まで、数多くの、そしてさまざまなコンピュータが被害に遭い、甚大な損失が発生しました。
ただ、ここまで大きな問題となっているのは、WannaCRYに用いられている攻撃ツール「EternalBlue」に対する修正パッチをきちんと適用しない人が多かったことです。
もちろん大手企業や病院などが被害に遭ったという報道でWannaCRYを知り、慌てて対策パッチを入れた、と言う人もたくさんいましたが、ここで少しデータを見てみましょう。
フリーの個人向けセキュリティソフトも展開しているAvast Softwareによると、過去1年間の間に起こったWannaCRYによる攻撃は、1億7600万回(日本国内だけでも16万回近く)にも及ぶそうです。
またセキュリティソフトメーカー・ESET Smart Securityの発表では、先ほどのEternalBlueを利用した攻撃は2018年4月に最多を記録したそうです。
WannaCRYが盛んに報道されたのは、2017年の春先です。すでに修正パッチも公開されている現状で、なぜ攻撃回数が増え続けているのでしょうか。
言うまでもないことですが、この数字は私たちに、どれだけ多くの人がアップデートをし、修正パッチをあてていないかを示唆しています。
事実、前述のAvast Softwareの調査では、2018年5月時点で全世界のWindowsパソコンのうち29%(日本では11%)に、EternalBlueに対する脆弱性が残っているとされています。
修正パッチの公開から1年を経たにもかかわらず、これほどまで多くのコンピュータが未修正のままあるという事は、攻撃者にとっては非常に都合の良い状況と言えます。
もしセキュリティ担当者であるにも関わらず、この攻撃者にとって都合のいい環境づくりに加担しているのなら、すぐにでも更新をかけて、教訓として胸に刻んでおきましょう。
複合型ゼロデイ攻撃のきざし
複数の脆弱性を組み合わせて行われるのがこの「複合型ゼロデイ攻撃」です。
具体的な事例としては、Adobe Acrobat/Readerの脆弱性と、Windowsの脆弱性を組み合わせることで非常に高い攻撃力を持った攻撃手法が挙げられます。
これら2つの脆弱性に対しては、
Adobe Acrobat/Readerでは2018年5月の修正、
Windowsでは同年5月の月例パッチ、
それぞれのタイミングで対策が図られているのですが、しかしこの攻撃手法、実は2018年3月にはすでに確認されていたのです。
つまり、これは脆弱性が公開される前に発生したゼロデイ攻撃(正確にはゼロというよりマイナスなのですが、ここでは便宜上ゼロデイと呼びます)になります。
脆弱性を利用した攻撃の大半は脆弱性公開後に発生しますが、中にはこのように悪意のある攻撃者自身が脆弱性を見つけ、攻撃を仕掛けるものもあります。
また、先ほどのAdobe Acrobat/ReaderとWindowsのように複数の脆弱性を組み合わせたものも増えてきています。
これを防ぐためには、社内では今どんなソフトウェアがインストールされているのかをきちんと管理、把握し、逐一アップデートをかけていくことが重要です。
ハードウェア脆弱性が孕む危険性 spectre、meltdownに続く第三の情報
ソフトウェアのように修正パッチを当てたりアップデートをかけたりできない、特殊な脆弱性があります。
それは上書き機能のないハードウェアの脆弱性です。
上書きできないという事は修正ができないという事であり、この脆弱性への対策としてはOSレベルでの機能の修正を行うという方法がとられます。
そんな厄介なハードウェアの脆弱性ですが、各社が発売しているCPUに脆弱性が発見されたというニュースが話題となったのは、2018年の初頭でした。
インテル製CPUに見つかった「meltdown」と、多くのメーカーが対象となる「spectre」です。
それぞれすでにOS開発メーカーと連携して修正が完了しています。
この時は修正されることによって処理速度が落ちてしまう心配があることが盛んに報道されましたが、私たちセキュリティに従事する者にとっては、
「ハードウェアのひとつの脆弱性が、ユーザの手元にあるモバイルデバイスからデータセンターまで広範囲に被害を及ぼす」
ということを実感した一件と言えるでしょう。
さてそんな状況で2018年5月、新たなCPUにおける脆弱性が発見されました。
これもspectre同様、各メーカーで作られているCPUに共通して見つかった脆弱性です。
現状これを利用した攻撃は確認されてはいませんが、常にアンテナを張り情報収集に努めることで素早い対応を心掛けることが大切です。
ちなみにインテルは、5月中には第1弾パッチを、8月には第2弾パッチのリリース予定を発表しています。
結局は人に原因あり。仮想通貨流出の狂騒。
2018年1月に、大手仮想通貨取引所コインチェックがNEMという仮想通貨を580億円分流出させてしまったことを明らかにしました。
この件には、その被害総額や世間が仮想通貨に興味を寄せていたことから注目が集まり、また識者からは管理体制の未熟さや取引所のシステムに対する不満など、批判も集まりました。
その原因について報道各社によれば、実はきっかけは標的型メールだったことが分かりました。
犯人は約半年間をかけて複数の社員とSNSなどで交流、信頼を得たうえで不正プログラムを忍ばせたメールをそれらの社員に送ったのです。
このメールを開いてしまった社員が感染源となり、結果的に巨額の資金流出を引き起こしてしまいました。
ただ、次世代の金融技術を代表するブロックチェーンと絡めて語られることの多い仮想通貨ですが、その流出方法がいまやありふれたと言っても過言ではない標的型メールとは、正直拍子抜けの感もあります。
しかし逆に言えば、どんなに最先端の技術であっても結局はそれを使う側の人間のリテラシーが低ければ意味がないという事でもあります。
コインチェックはこうした教育とセキュリティ検知をもっとしっかりやっておけばこれほどの事件を起こさずに済んだと筆者は考えます。
この一件からセキュリティ担当者が学ぶべきなのは、セキュリティ環境を改善する際には情報機器にだけ意識を向けるのでなく、人の意識改善も必要である、ということです。
いよいよ始まるEU 一般データ保護規則
2018年5月25日に施行されるEU一般データ保護規則(General Data Protection Regulation、以下GDPR)のことをきちんと理解しているセキュリティ担当者、あるいはEC事業者というのはどれくらいいるでしょうか。
EUなんて言われても関係ないと思われる方も多いのではないでしょうか。
実はそんなことはありません。2018年現在、EUに居住している人にサービスを提供しているのなら、本拠地がどこにあるかに関わらず適用されるからです。そして気を付けなければいけないのは、対象は企業だけではないということ。
EU圏内にサービスを展開しているのなら、個人であってもこの規則に従わなければならないのです。
日本ではデータ保護に関する法律はまだまだ不十分ですが、この現状に甘えていてはいけません。なぜなら将来的にこのGDPRがグローバルスタンダードになる可能性が十分にあるからです。
GDPRについてここで詳細に解説をすることはしませんが、最先端のセキュリティ観念を学ぶという意味で、セキュリティ担当者だけでなく事業に関わる全ての人に学んでおいてほしいことです。
セキュリティにかける予算の変化と実情
昨今、ますますセキュリティの重要性が高まってきていますが、その実情はどうなっているのでしょうか。
IDC Japanの調査によると、多くの企業はセキュリティのための予算は確保されておらず、必要な時に適宜考える、という形をとっているようです。
これでは年間を通して常にセキュリティを確保し続けることはできませんし、また人材も確保できません。
そんな状況に置かれている日本企業のセキュリティ環境ですが、その調査によると過去1年間でランサムウェアの被害に遭った企業の割合は、全体の14.2%にも及ぶそうです。
さらにショッキングな数字として、この14.2%の企業のうち、65%近くが復旧や賠償金のために500万円以上の費用を要したことも判明しました。
中には億単位のお金がかかったケースというのも存在します。
このサイトを通じて何度も申し上げていますが、「中小企業だから」というのはセキュリティ施策を行わない理由にはなりません。
むしろ中小企業の方が、セキュリティに対する意識が甘いと考えられているため、狙われやすいという側面さえあるのです。
意識してほしいのは、情報機器を利用している以上、常にサイバー攻撃のリスクはつきまとうということです。
この現実と、先ほど述べた復旧までに500万円以上を要するという調査結果を鑑みると、きちんとセキュリティ担当者を雇い、セキュリティソフトを導入していった方がコストパフォーマンス的に優れていると言えるかもしれません。
当然ながら、被害に遭ってから後悔するのでは遅すぎます。
サイバー攻撃を未然に防ぐためにも、また万が一そうした被害に遭った場合、そこからの復旧をスムーズに展開するためにも、セキュリティ担当者を雇い、しっかりと自社のセキュリティを担保していくことが重要でしょう。
無知が生む被害。セキュリティ被害だけにとどまらない損失
ここまで、セキュリティ担当者が常にアンテナを張っておかなければならない理由を述べてきました。
最後に見落としがちな、セキュリティの不備による具体的な損失の例を紹介したいと思います。
それは、制裁金です。
6章で紹介したGDPRでは、軽度な違反は1000万ユーロか前年売上高の2%のうち、どちらか高い方、という制裁金が科せられています。
ユーロで言われるとあまりピンと来ないかもしれませんが、1000万ユーロというのは日本円に換算するとなんと13億円!(1ユーロ130円で計算)
そしてここからが大事なポイントなのですが、この制裁金は事業規模によって減額されたりはしません。
世界的な大企業はもちろん、13億円もの制裁金が中小企業や個人にも降りかかる可能性があるのです。
ちなみにこの不備によって具体的な被害がでるなど重大な違反に関しては、軽度違反の倍、2000万ユーロか前年売上高の4%のうち高い方が制裁金となります。
26億円もの金額を納めなければならないなんて、正直想像もできない方が大半なのではないでしょうか。
しかしこれはあくまでもGDPRに関しての話です。
そして安心してください。きちんと情報収集さえ怠っていなければ、GDPRの定める規則に準じることは可能です。
もしこの記事を読んで初めて知った、という方がいたら、今すぐにでも対策に取り掛かってください。
また、アンテナを張って情報収集だけをしていても、それを現場に還元しなければ意味がありません。
そのために必要なのは、予算です。
こうなると社内政治的な側面も強くなるので、セキュリティ担当者というのは非常に大変な仕事となりますが、
「常にアンテナを張って情報収集に励む」
「その情報をもとにセキュリティ環境をきちんと整備する」
という事が、現代のセキュリティ担当者に求められていることなのです。
現代ではネットワーク上に様々な脅威が存在しており、脆弱性にだけ気を付けていれば良い、という時代は終わりました。
確かにセキュリティ担当者のやるべきことは多岐に亘っていますが、逆に言えばこれらはセキュリティ担当者にしかできない仕事なのです。
自分の所属している企業を守るためにも、自分がセキュリティ担当者として何を求められているのかを常に意識するようにしましょう。