関連するソリューション
システム開発
マネージドサービス(運用・保守)
サイバーセキュリティ
ID-Cross/クラウドサービス
業務改革
ID-Ashura/セキュリティサービス
IDアメリカ
ハムザ・アフメッド
今回は、去る6月6日~9日にサンフランシスコで開催された世界最大のサイバーセキュリティイベントに参加した様子を紹介したいと思います。
RSAについて
今年のRSAカンファレンスは2年ぶりの開催で、2020年の参加者32,000人に対し、2022年は26,000人の参加者と減少していました。少なくなった理由は、おそらくコロナにおける懸念であると推測します。エキスポでは400社以上が参加し、今年最大のスポンサー企業としてはCiscoやMicrosoftの名前がみられました。
このイベントには、世界中からセキュリティのプロフェッショナルやCISO(Chief Information Security Officer)が集まり、セッションの多くは最新のセキュリティに対する攻撃と対策について話し合う場となっていました。
RSA 2022のテーマ:Transform!
※ 出典:RSA Conference
トランスフォーメーション(変革)は破壊からもたらされます。パンデミックは、デジタルの変化を大きく加速させるきっかけとなり、Colonial Piplineのランサムウェア攻撃から発生したガス不足に見られるように、デジタル世界の混乱は物理的な世界にも波及しています。ウクライナとロシアの紛争では、サイバーが大きな要素となっており、ウクライナのボランティアハッカー軍は物理的な軍隊の3倍の規模に達しています。我々の世界は物理とデジタルが一体化した世界になりつつあり、デジタルで発生したことは物理に影響し、物理世界で起きたことがバーチャル世界に影響を与えます。そして、このデジタルと物理世界の融合はこれからも加速していくと予測され、それらの変化に対するサイバーセキュリティの認識が必要不可欠となります。
暴かれる脅威:ハッカー集団「Conti」情報漏洩
ランサムウェア業界は急激に成長しています。2018年の時点ではランサムウェアビジネスは年間10億ドルでしたが、2020年では年間110億ドルを超えており、2021年ではその2倍になりました。ここまで成長している業界は少なく、今ではランサムウェア攻撃は、個人ではなく組織化され企業にもなっています。有名なランサムウェア犯罪組織Revilでは候補者と面接を実施し、身元調査などを行うだけでなく、内定が決まった社員には医療保険や有給休暇などを提供し、会社として機能しています。
ランサムウェアグループのContiは、設立からまだ2年しか経っていませんが、その短期間でもオンライン恐喝グループの中で最も成功したグループの1つといえるでしょう。仮想通貨追跡企業Chainalysisが発表した最新のCrypto Crime Reportによると、昨年だけで1億8000万ドルという驚くべき収益を上げています。
このまま攻撃が続くように見えましたが、ロシアのウクライナ侵攻を公に支持するという致命的なミスを犯してしまったのです。実はContiを使っているアフィリエイトの中にはウクライナの組織もあり、この発表に反応してContiの内部情報を流出したのです。
Contiの情報漏えいは、ランサムウェアと同様に、Contiがどのように組織されているかという情報だけでなく、グループがロシア政府とつながっている可能性など、新しい逸話のチャットログまで明らかになりました。
このグループには、サラリーマンも含む65人~100人以上がいて、その規模は大きく変動しています。彼らは毎月数千ドルを費やし、自分たちのマルウェアが検出されるかどうかを確認するため、セキュリティツールやアンチウイルスツールを購入し、保護するため自分たちのシステムに導入していました。
最大の脅威:ランサムウェアと新たな多面的恐喝手法
Chainalysis社の調査によると、2021年にサイバー脅威に関った人々に支払われた金額は約6億200万ドルでした。FBIはランサムウェア関連の被害が前年比で69%増加したと報告しています。2021年のColonial Pipelineの攻撃では、FBIは身代金支払いの40%を回収することに成功しましたが、身代金を支払った顧客の98%が資金回収を試みていないことも示されました。※ただし、これはランサムウェア攻撃の報告が少ないことや、サイバーインシデントの報告が任意となっているためです。今後CISAは報告を義務化する予定だそうです。
これらの被害にあった企業はどのようなセキュリティ対策を講じていたのでしょうか。多くの企業が、クレデンシャル・ハーベスティング(盗まれたユーザー名やパスワードなど)を特定し、アラートを送信するエンドポイントツールを主に使用していました。しかし、セキュリティの担当がアラートの内容やエンドポイントで起きていることを理解することができなかったようです。サイバー防御力を向上させるには、企業はツールセットの周辺、すなわち従業員と分析能力向上に投資する必要があるとMandiant社(※外部サイト)は結論付けていました。
昨年の攻撃では、多面的な恐喝の攻撃方法が使われ始めています。身代金を支払うよう被害者に圧力をかけるために、下記の例のような脅迫的な嫌がらせのような多面的な恐喝を行います:
- 少しずつデータを売る:企業から盗んだデータを一気に売るのではなく、身代金を支払うまで少しずつ売り飛ばす
- 盗んだデータを公表する:上記の手口と同様に、身代金を支払うまで少しずつデータを公開する
- 関係者に嫌がらせ:企業幹部や規制当局報道機関に働きかけるなど、被害者に精神的圧力をかけ身代金を支払わせようとする
- データ破壊:企業の内部データを少しずつ削除し、プレッシャーを与える
- 幹部脅迫:企業のCEOなどに直接連絡し、入手した情報を使って脅迫する
これらは身代金を払わせるための企業へのプレッシャーです。
Mandiant社が勧める企業のセキュリティ対策は以下の通りです:
- 堅牢なセキュリティ・プログラムを構築し、攻撃が成功した場合に備えて、前もって準備をしておく。言い換えれば、失敗することを想定し、対応策を用意しておくということ。
- 効果的なサイバー防御とは、最新のツールであるというだけではなく、ツールに付随するインテリジェンス、専門知識、実行力のこと。
- セキュリティ・アーキテクチャは強固なサイバーディフェンスを生む。
守るべきもの:サプライチェーン
昨年の間にソフトウェア・サプライ・チェーン関連の侵害が急増しました。SolarWinds、Kaseyaの攻撃、Colonial Pipelineなどの事件が多発し、今までとは違い、大規模な影響を与えています。
Colonial Pipeline
Colonial Pipelineは、米国最大の石油精製品のパイプラインシステムです。主に西海岸でガスを提供している企業で、2021年にランサムウェア攻撃を受けてシステムがダウンしたため、石油の値段が上がり、車のガソリンスタンドにガソリンがない事態になっていました。ランサムウェアで全て停止している間はガソリンスタンド前には長蛇の列ができていました。身代金価格は440万ドルで、当時の過去最大のランサムウェアの額でした。Colonial Pipelineは日々1億ドル程の儲けになっていたため、440万ドルの損害よりガソリンが提供できないことの方が危険であったことから身代金を支払ったようです。
Kaseya
Kaseya社はネットワークとエンドポイントを扱うための統合リモートモニタリングおよびマネジメントツールであるVSAを含むITソリューションを提供しています。それが2021年の7月にランサムウェア攻撃を受け、Kaseyaのソフトウェアを使う1000社以上が影響を受けました。攻撃者は、KaseyaのVSAソフトウェアの脆弱性を利用して、複数のMSP に対し、サプライチェーンのランサムウェア攻撃を実施しました。Kaseyaはその後アップデートで脆弱性を防ぎランサムを支払わなかったため、他の企業に影響を与えたものの、大きな被害にはなりませんでした。
Solarwinds
2020年に発覚したSolarwinds攻撃は、おそらくここ2年の攻撃で最も大きい影響がありました。このサイバー攻撃とデータ流出は、標的の機密性と知名度、ハッカーがアクセスできた期間が8カ月ほどと長かったことから、米国がこれまでに被ったサイバー攻撃の中で最悪の事件となったと言われています。この攻撃で200社以上が影響を受け、その中にはMicrosoftのような大企業や政府機関も含まれていました。
ソフトウェア サプライチェーンへの攻撃が危険なのは、自社で気づかないところや、コントロールできない部分に攻撃を受け、それが自社のセキュリティに影響を及ぼす可能性があるということです。サードパーティ ツールの使用は一般化されており、攻撃のソースを予測することが非常に難しくなっています。企業はSBOMの導入やその他のコンプライアンスによってこれを改善しようとしていますが、組織内で使用されるツールやソフトウェアの数が多くなると、組織全体のセキュリティを確保することは非常に難しくなります。これは今後セキュリティの課題になることでしょう。
最善の防止策:MFA(多要素認証)
ランサムウェアが侵入するいちばんの手口はアカウントの乗っ取りからです。攻撃者がパスワードを得る手段は数多くあり、漏洩されたアカウント情報、フィッシングによるパスワード入手、ブルートフォースなど、パスワードのみの防御が足りないと言われています。MFAを導入することで攻撃者が潜入に必要な作業が大幅に増えるのです。MFAは個人を守るためには必要不可欠で、1986年から商用化されていますが、企業でも50%以下がMFAを導入しています。
スタートアップの観点から話すCISAのBob Thompsonの話によれば、セキュリティは現在比較的高めで、リソースが少ないスタートアップにとってはコスト削減対象になってしまうことが多いようです。MFAの導入費用がユーザー1人につき5ドルとすると、そのユーザーが100人や1000人になれば価格は安く抑えられません。これらのセキュリティ対策は資金の豊富な企業に限定されてしまいます。「基本的なセキュリティは、大企業にしかできない贅沢であってはならない」とThompson氏は語り、また、セキュリティは必要であるべきで、政府がその導入をサポートするプログラムや対策を練るべきだと述べていました。
しかし、MFA導入が100%採用されるとして危険がなくなるわけではありません。ロシアのハッカーは、企業のActive Directoryで無効化されていない未使用のアカウントのパスワードを正しく推測し、MFAを回避するため、Active Directoryを通じてアカウントを再有効化し、新しいデバイスを登録することで会社のMFAサービスを回避しました。よってMFAを導入しても未使用アカウントやActive Directoryの防止も怠らないことが重要です。
セキュリティリスク:ローコード・ノーコード
2024年までにアプリケーション開発の65%がローコード/ノーコードで行われると予想されています。アプリケーション開発のハードルが下がるのはビジネスにとって利点は多いものの、簡単に素早く展開できてしまうのは会社のセキュリティ部門にとっては悪夢のようなものです。ほとんどの場合、これらローコードの使用はセキュリティチームに報告されることなく、勝手にチーム内で使われています。
ローコードの危険性は最近始まったことではありません。ExcelのMacro機能は企業にとって非常に便利なツールですが、Macroを使うことで作業の効率が簡単になり、人はMacroを考えずに起動してしまうことになってしまいました。その結果複数の脆弱性を引き起こし、ハッキングされるケースは多く、最近再びローコードセキュリティが話題になっているのは、クラウドを使ってのローコード・ノーコードが増えてきているからです。
クラウドでのローコードの危険性はローコードで活用したデータがどのように使われているのかが明白でない点で、Microsoftが展開しているPower Appでは全く開発の知識を持っていない人が紙に書いたアプリの絵の写真をとるだけでアプリが作ることができます。このアプリに会社クラウドから情報を繋げてしまい、外部に公開してしまうおそれがあります。実際これらのユーザーがデータを繋げるために各自のユーザークレデンシャルを活用するため、社内クラウドでは正常な動きに見えてしまいます。
ローコードのもう1つの問題はローコードではログを取得することは難しく、多くの場合そのような設定が存在しません。そのため、どの情報が流出しているのかがわからないのです。
今後ローコードを使う際にはセキュリティのチームと連携し、安全であることを確認してから、使用することをおすすめします。
最後に
サイバーセキュリティは常に変化しています。ですが、その変化というのは、攻撃への対応による変化ではなく、活用している技術の進化に追いつくための変化です。クラウドへの移行、IoTの活用、そしてリモートなどがセキュリティに変革をもたらすため、新しい脆弱性やリスクに対応する必要があります。サイバーセキュリティの専門家がハッカーからの新種の攻撃を主体的に対応することはできても、変化し続ける技術世界に対して主体的にセキュリティの基準を設定することは非常に困難です。しかし一般の人々にとっても、今までにないサイバーセキュリティへの懸念も増えてきており、セキュリティを前提とした技術の向上を求め始めています。セキュリティの専門家ができるセキュリティ最大の防止策は、まず人々がセキュリティ意識を持つよう、取り組んでいくことだと思います。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
