サイバーリスクに関する トレンド予測 - fujitsu...4 第1 章 2019...
TRANSCRIPT
1
サイバーリスクに関する
トレンド予測
June 2019
1
はじめに
国内でも「金銭目的のプロの攻撃者」だけではなく、「国家主導型攻撃者(軍や国家公務員等)や国の支援を受け
た攻撃者」による地政学的な背景やモチベーションを持つサイバー攻撃が以前から大きな脅威となっています。また、インパ
クトは下がってきているものの、「ハクティビスト」(政治的/社会的な主張を目的としてハッキングを手段として行う活動家)
の存在も引き続き脅威であることに変わりありません。
本レポートでは、北米や欧州、アジアを中心としたグローバルの Web サイトやプレスリリース等の公開情報をベースに
OSINT(オープン・ソース・インテリジェンス)分析を行っています。このような分析を通じて、サイバーセキュリティのインシデン
トに対して、今後は「予防的(proactive)に対応する」活動に加えて、これから何が起こり得るのか、どのような攻撃が発
生しうるのかなどの予兆を把握しながら「予測的(predictive)に備える」活動、いわゆる“先読み行動力”がより一層求め
られます。
本レポートは、特に国内経営者の方々がサイバーリスクを重要アジェンダとして捉えていただき、先読み行動に繋げていた
だくことを目的に、日本において経営アジェンダとしてとらえるべきサイバーリスクのトレンドを予測して公開するものです。
今回の「サイバーリスクのトレンド予測(2019 年 6 月版)」は、2018 年度下期における北米や欧州、アジア、日本の
サイバー脅威の動向を調査や分析の対象とし、日本における 2019 年度上期の経営アジェンダとしてのサイバーリスクのトレ
ンドを予測しています。
また、本レポートの読者は、企業や各種組織のネットワーク管理/運用者や、経営リスクの管理者を想定しています。
その為、個人を対象とした大手宅配便等の偽装 SMS や「セクストーション」スパムなどのサイバー脅威は対象外としていま
す。
2
…………………………………… 3
……… 3
…………………………………… 3
………………………… 3
…………………………………… 4
……… 8
………………………………… 11
……………………… 13
サイバーリスクに関するトレンド予測
2019 年 6 月版
CONTENTS
第 1 章 2019 年上期のサイバーリスクトレンド予測概観
金銭被害
情報漏洩や IP(知的財産)の流出
業務妨害
注視すべき社会情勢
第 2 章 サイバーリスクの個別概況
金銭被害
情報漏洩や IP(知的財産)の流出
業務妨害
注視すべき社会情勢
4
第 1 章
2019 年度上期のサイバーリスクトレンド予測概観
2019 年度上期における、経営アジェンダとしてとらえるべきサイ
バーリスクのトレンド予測に関する概観は、以下の通りです。
サイバーリスク①:金銭被害
国内でも「金銭目的のプロの攻撃者」による巧妙化した法人
向け「準標的型ランサムウェア攻撃」へと姿を変えて、ランサムウェ
アの被害が再び表面化、問題化してくると考えられます(一部ベ
ンダーでは「Big Game Hunting」(大物狩り)と呼びます)。「準
標的型ランサムウェア攻撃」の詳細は、第2章で後述します。
攻撃を許す端緒は、不用意に、もしくは意図せずにリモートメン
テナンス用のポートを開くことです。意図せずポートを開く原因とし
ては、運用開始時はインターネット側を閉じてあったにも関わらず、
運用開始後の人為的なミスなどによるものが多く、現時点でインタ
ーネットにポートを開いていなかったとしても今後脅威に転ずるリス
クとして認識する必要があります。組織のネットワーク管理者や IT
リスクの責任者は、セキュリティ脆弱性診断ツールや IDS 等による
「客観的」かつ「継続的」なセキュリティ・スキャン(診断)や監視
をすることが重要です。さらに、本来のランサムウェア対策としての
「オフラインのバックアップ装置でも継続的にバックアップを実施する」
なども有効です。
また、BEC(ビジネスメール詐欺)の攻撃は今後継続的に急
増していくと考えられます。「何らかの方法でやりとりを盗聴していた
と見られる攻撃者が、割り込むかたちでなりすましによる詐欺メー
ルを送信してきた」というような新しく登場している巧妙な BEC の手
法が、日本語で行われると考えられます。金銭に関する急なメー
ルによる依頼が来た場合は、電話などのメール以外の手段により、
再確認することが重要でしょう。
サイバーリスク②:情報漏洩や IP(知的財産)
流出
サプライチェーンリスクは国内でも急速に顕在化しています。しか
し、これまでの「関連企業や取引先を適切に管理しないと危険」と
いうような漫然としたリスク認識ではなく、マネージド IT サービスプロ
バイダーや MSP(Managed Service Provider)のサービスを利用
に際しては、サイバーリスクが伴うことを明確に認識するべきです。
具体的には、管理レベルの高くないマネージド IT サービスプロバイ
ダーや MSP を踏み台とした「国家主導型攻撃者(軍や国家公
務員等)や国の支援を受けた攻撃者」から組織ネットワークに不
正侵入されるセキュリティインシデントが表面化・問題化すると見て
います。組織のネットワーク管理者や IT リスクの責任者は、そうした
サービスを委託しているベンダーがサプライチェーン攻撃(特に、
APT10 等の脅威)を理解し、自社と監視対象顧客へのネットワ
ーク侵入を防御する手立てを講じているかを具体的にチェックする
ことが今後は必要となってくるでしょう。チェック項目については、第
2章で後述します。
サイバーリスク③:業務妨害
DDoS 攻撃の脅威自体は国内でも減少傾向が続くと考えられ
ます。一方で、安価で強力な DDoS 攻撃基盤の貸出しサービスも
新たに出現し続けており、1 件当たりの攻撃の規模も大きくなって
いる事から、引き続き重要リスクとして注視する必要があります。た
だ、装置として導入可能な DDoS 対策では現在発生しうる数百
Gbps の大規模 DDoS 攻撃に対応するのは困難な為、「本格的
な CDN(コンテンツ・デリバリー・ネットワーク)ソリューションを採
用」、もしくはセキュリティの脆弱性を漏れなく塞いだ上で「コストの
掛かる DDoS 攻撃にはノーガード戦法をあえて採用」など、DDoS
攻撃の脅威の変化を捉えた上でのリスク戦略の選択も必要となっ
てきます。
サイバーリスク④:注視すべき社会情勢
日本政府は、アジア・太平洋地域における中国の軍事力や情
報収集強化を受けて、米国や英国など英語圏5ヶ国の情報機
関が機密情報を共有する枠組み「ファイブアイズ(Five Eyes)」と
の連携を進めています。従来の「ファイブアイズ」(米国、英国、カ
ナダ、オーストラリア、ニュージーランドが参加)に、日本とドイツ、フ
ランスが加わる「ファイブアイズ+3」という枠組みでスタートしていま
す。
日本が政府調達から中国企業の通信機器を事実上締め出
す方針もこの動きを受けたもので、今後は各省庁に導入するクラ
ウドサービスについても、米政府基準をベースにした厳しい安全基
準を作る見込みです。関連する企業は、この情勢を見定めながら
米国が主導する各種サイバーセキュリティ基準(「NIST SP800-
171」や「NIST SP800-53」、「FedRAMP」等)の継続的なウォッチ
と理解促進が必要となってきます。2020 年にはクラウドサービスの
安全性については政府の統一基準が出される見込みであり、一
般企業もクラウドベンダーの採用にはセキュアなサービスを選択す
る必要性が高まると考えられます。
4
第 2 章
サイバーリスク別の個別概況
サイバーリスク①:金銭被害
トレンドキーワード:巧妙化した法人向け「準標的型ランサムウ
ェア攻撃」へと姿を変えて再び盛り上がるランサムウェア。BEC(ビ
ジネスメール詐欺)の攻撃は現在も急増。
攻撃者のクラスター:「金銭目的のプロの攻撃者」という切り口が、
現状は多い
巧妙化した法人向け「準標的型ランサムウェア攻
撃」へと姿を変えて再び盛り上がるランサムウェア
2018 年度上期には、仮想通貨のマイニング(発掘)を被害
者のマシンパワーを勝手に使用して行わせるマイニングマルウェアが、
引き続き猛威を振るっていました。しかし、仮想通貨の価値が急
落したことを受け、暫く鳴りを潜めていたランサムウェアが 2018 年
度下期には再び台頭してきました。従来のランサムウェア攻撃は、
個人・法人を問わず、電子メールやワームを介した「ばらまき型攻
撃」でした。しかし、2018 年度下期には、法人を対象とし、
Windows のリモートデスクトッププロトコル(RDP)経由でネット
ワークに侵入し、ネットワークに存在するサーバに対し時間を掛け
て対象をピックアップした上で、DB やバックアップが存在する重要
なサーバから順に漏れなく暗号化するような『準標的型ランサムウ
ェア攻撃』と呼べる攻撃が急増しています。ここで言う「準標的型
ランサムウェア攻撃」とは、当方の造語です(「Big Game
Hunting」(大物狩り)と呼ぶベンダーも存在します)。攻撃先
を決める際に特定の法人に狙いを定めて攻撃を仕掛けるのでは
無く、攻撃者は以下のような手順を踏みます。
まず、インターネット上でリモートデスクトップのポートをオープンに
しているサーバを広くスキャンし、脆弱なパスワードに起因してある
程度容易に不正にログオン可能なサーバを探します。その不正に
ログオン可能な複数のサーバの中から、そのサーバを踏み台にして
組織のネットワーク(非武装セグメントやイントラネット)に侵入
可能で、かつ身代金が高く取れそうな組織に対象に絞り込みます。
身代金が高く取れそうな組織とは、例えば DB が存在し、バックア
ップサーバによりきちんとバックアップを実施しているかで判断するよ
うです。AD(Active Directory)が稼働していれば、直ぐに特
権アカウントを奪取します。その対象と決めたネットワーク上の複数
のサーバへ、一斉に漏れなくランサムウェア攻撃を実行します。攻
撃の際には、バックアップサーバや DB サーバを真っ先に狙うという
プロらしい用意周到さがあります。
これらは法人を対象とし、攻撃件数が少ない代わりに、身代金
の回収率を上げ、1 件当たりの身代金を高くする(単価を上げる)
という巧妙なアプローチでもあります。その為、従来のランサムウェア
攻撃よりも法人にとっての経営リスクのインパクトが大きくなっている
為、本格的なランサムウェア対策(オフラインのバックアップ装置で
も、継続的にバックアップを実施する等)が急務です。
尚、攻撃を許す端緒は、不用意に、もしくは意図せずにリモート
メンテナンス用のポートを開くことです。現状、意図せずポートを開
く原因としては、当初はきちんとインターネット側を閉じてあったにも
関わらず、「システム変更時の設定ミスによる開放」「トラブル対応
時の一時的な開放の戻し忘れ」「接続元制限が作業時のミスに
より無効化」等の人為的なミスが多いと認識しています。セキュリテ
ィ脆弱性診断ツールや IDS 等による「客観的」で「継続的」なセ
キュリティ・スキャン(診断)や監視をすることが重要です。
リージョン別 2018 年度下期の脅威の動向:北
米、欧州
標的型メール攻撃対策ベンダーである Proofpoint Threat
Insight チームは、2019 年 2 月 7 日に 2018 年 4Q の脅威
レポートを Web サイトにて公開しました。
●Proofpoint releases Q4 2018 Threat Report and
Year in Review(Proofpoint が第 4 四半期 2018 年脅威
報告と一年の振り返りを発表)
https://www.proofpoint.com/us/threat-insight/post/proofpoint-
releases-q4-2018-threat-report-and-year-review
レポートによれば、『電子メール経由でのランサムウェア感染は、
2018 年 4Q には無くなってしまった』とのことです。
5
図 1:Proofpoint の公開レポート中の「2018 年の四半期ごとの悪意のあるメッセ
ージの相対ボリューム」
また、米国のナショナル CERT である US-CERT は 2018 年
12 月 3 日にランサムウェアの注意喚起レポートを Web サイトにて
公開しました。
● Alert (AA18-337A) SamSam Ransomware
(SamSam ランサムウェア)
https://www.us-cert.gov/ncas/alerts/AA18-337A
レポートによれば、『組織に対するネットワーク全体の感染は、
個々のシステムの感染よりもはるかに多くの身代金を支払う可能
性がある。サイバー攻撃者は Windows サーバのリモートデスクト
ッププロトコル(RDP)を利用して被害者のネットワークへアクセス
し、到達可能なすべてのホストを感染させる。』とのことです。
さらに、『被害者のネットワーク上で発見されたツールの分析によ
り、成功したサイバー攻撃者がいくつかの奪取された RDP アカウン
トを認証情報のダークネット市場から購入したことが判明している。
被害者のアクセスログを FBI で分析したところ、SamSam のアク
ターが認証情報を購入して数時間以内にネットワークを感染させ
る可能性がある。』とのことです。最近は、ダークウェブ・インテリジェ
ンスサービスが多数登場していますが、それらが有効なことを示す
事例の一つです。
そして、クラウド型の次世代エンドポイント・プロテクションベンダー
である CrowdStrike は、2019 年 2 月 12 日に年次脅威レポ
ートを Web サイトにて公開しています。
● 2019 CrowdStrike Global Threat Report:
Adversary Tradecraft and The Importance of Speed
(2019 年の CrowdStrike グローバル脅威レポート:敵対的
スパイ活動に必要なノウハウとスピードの重要性)
https://www.crowdstrike.com/resources/reports/2019-
crowdstrike-global-threat-report/
レポートによれば、『2018 年のサイバー犯罪における最も顕著
なトレンドのひとつとして、大規模組織にランサムウェアを展開し、
大規模な金銭的利益を達成するため、標的型であり、侵入を試
みる手法を組み合わせた「Big Game Hunting」の増加が挙げ
られる』とのことです。
さらに同レポートには、興味を惹く以下のような記載もあります。
『CrowdStrike が 2018 年に阻止した 30,000 件の潜在的な
サイバー侵害に基づく平均のブレイクアウトタイムのランキングは以
下の通りです。
◆ロシアの国家主導攻撃者「Bears」:18 分 49 秒
◆北朝鮮の国家主導攻撃者「Chollimas」:2 時間 20
分 14 秒
◆ 中国の国家主導攻撃者「Pandas」:4 時間 26 秒
◆イランの国家主導攻撃者「Kittens」:5 時間 9 分 4 秒
◆サイバー犯罪者「Spiders」:9 時間 42 分 23 秒
(ただし、サイバー犯罪者の中には、ランキング上位の国家
主導攻撃者に匹敵するブレイクアウトタイムで水平移動を
行う者も存在します)』
非常にユニークな内容です。尚、「ブレイクアウトタイム」とは、攻
撃者が初めに侵害したマシンからネットワーク内の他のシステムに
水平移動するまでの時間を示すとのことです。
図 2:CrowdStrike の公開レポート中の「2018 年版敵対者によるブレイクアウト
時間」
6
リージョン別 2018 年度下期の脅威の動向:ア
ジア
中国のアンチウイルスソフトベンダーである奇虎 360(チーフー
サンロクマル)は、2019 年 1 月 30 日に年次のランサムウェアの
レポートを Web サイトにて公開しました。
●360 安全卫士发布-2018 勒索病毒年度报告(ランサムウ
ェアの 2018 年年次報告を発表)
http://www.360.cn/n/10567.html
レポートによれば、『今年は、リモートデスクトップの脆弱なパスワ
ードを対象とした攻撃がランサムウェアを拡散させる主な方法(最
も高い割合である 63%)になっている。 リモートデスクトップの脆
弱なパスワード攻撃に関する監視では、1 日に 600 万回以上検
知した。侵入先のマシンにログインしている疑わしい IP アドレスの
統計分析によれば、米国からの IP アドレスが最も高い割合の
25%に達し、ロシアからが 23%、ドイツからが 8%である。ランサ
ムウェアによって攻撃された上位 10 の業界は、教育、ケータリング
&小売、製造、インターネット、サービス、金融&経済、政府、メ
ディア、医療、デザインであった。』とのことです。
図 3:奇虎 360 の公開レポート中の「侵入先のマシンにログインしている疑わしい IP
アドレスの攻撃元分布」
やはり、中国でもリモートデスクトッププロトコル(RDP)の脆弱
なパスワードを突破した後に、侵入したシステムをランサムウェア感
染させることが攻撃の主な手法になっています。また、中国におけ
るシステム侵入を伴うランサムウェアの攻撃元の IP アドレスが、米
国、ロシア、ドイツの順に多いとは、興味深い報告です。
同じく奇虎 360 は、2019 年 2 月 1 日に月次のランサムウェ
アのレポートを Web サイトにて公開しました。
●2019 年 1 月勒索病毒疫情分析(2019 年 1 月のウイルス
の強要の分析)
https://www.360.cn/n/10572.html
レポートによれば、『今月のデータから、ランサムウェア対策サービ
スのフィードバック量は大幅に減少している。 主な理由は、
GandCrab の 3 つのランサムウェアファミリーが昨年末に発生し、
この発生が今年の初めに止まったことである。2018 年 12 月と
2019 年 1 月の感染したシステムの分析は、2019 年に PC の
割合が減少し、サーバの割合が増加したことを示している。ランサ
ムウェアの脅威に対処するために、特に弱いパスワード、脆弱性、
ファイル共有、およびリモートデスクトップ管理を強化する必要があ
る。』とのことです。中国でも、ランサムウェアの感染数は減少してお
り、PC よりもサーバの方が増加していることが分かります。
中国のアンチウイルスソフトベンダーである瑞星(Rising
Technology)は、2019 年 1 月 18 日に年次のサイバーセキ
ュリティレポートを Web サイトにて公開しました。
●2018 年中国网络安全报告(2018 年中国サイバーセキュリ
ティレポート)
http://it.rising.com.cn/dongtai/19507.html
レポートによれば、『マルウェアの新たな傾向として、脅迫、マイニ
ング、およびワームの組み合わせであり、複数の脆弱性と弱いパス
ワードで拡散し、Linux と Windows に感染する可能性がある。
マイニングウイルスを埋め込み、データベースに脅迫情報を残して
データベースを削除し、身代金を支払うためにデータを回復する必
要があると警告する。 弱いパスワードは、ftp、mysql、telnet、
postgresql、mongodb、redis、memcached など対象とし、
脆弱性は activeMQ、hadoop、Redis やその他のデータベース
ソフトウェアの脆弱性を使用する。』とのことです。ランサムウェアとマ
イニングマルウェアは統合され、ワームの機能も持ちつつ、Linux と
Windows の両方のプラットフォームを対象にしてくるというユニーク
な分析がされています。
中国のナショナル CERT である CN-CERT は、2018 年 12
月 5 日に警告レポートを Web サイトにて公開しました。
●关于一种新型勒索病毒有关情况的通报(新しいタイプの
身代金ウイルスの現状に関する速報)
http://www.cert.org.cn/publish/main/9/2018/201812051049277
07408834/20181205104927707408834_.html
レポートによれば、『12 月 1 日頃、新しいタイプのランサムウェア
が国内で広まり始めた。ランサムウェアは身代金を支払うために
7
「WeChatPay(微信支付)」を使うことを感染被害者に要求する。
ランサムウェア作成者は、被害者のファイルを暗号化して身代金を
強要し、Alipay などのパスワードを盗むために、C&C サーバとして
github、CSDN、Douban、Jane、QQ スペースなどの Web サ
イトを使用する。 ランサムウェアは、被害者の機器に感染した後
にビットコインを要求するのではなく、「WeChatPay」QR コードを
ポップアップし、復号化キー取得用の 110 元を支払うために
WeChat を使用するよう感染被害者に強要する。』とのことです。
中国では、まだ個人向けのランサムウェアも脅威であり、さらにラン
サムウェアの攻撃者が、モバイル決済サービスを利用するといった
身代金の支払いのハードルを下げる新たな工夫をしてきていること
が分かります。
韓国のアンチウイルスソフトベンダーである Ahnlab(アンラボ)
は、2019 年 2 月 25 日に Web サイトにて警告レポートを公開
しています。
●局地戦の様相に突入したランサムウェア Top 10
https://jp.ahnlab.com/site/securitycenter/securitycenterboard/sec
urityInsightList.do#
アンラボコリアより発表された内容を翻訳したレポートによれば、
『2018 年には、マイニングマルウェアの爆発的な増加によりランサ
ムウェアが後退したように見えたが、ランサムウェアの脅威が消えた
わけではない。むしろ、初期には不特定多数に向けて無作為に配
布する方式であったのが、現在は、特定の国や企業などに狙いを
定め、緻密に計画されたランサムウェア攻撃が行われている。また、
Windows 中心だった攻撃範囲も Linux サーバへと拡大を見
せている。そのため、2019 年においても依然として、セキュリティに
対する破壊力の大きい脅威であるという点を理解し、ランサムウェ
アに対する警戒を緩めてはならない。』とのことです。2018年全体
を通したレポートとなっている為、マイニングマルウェアが中心の記
述になっています。また、リモートデスクトッププロトコル(RDP)の
脆弱なパスワードに起因し不正ログオンを契機としたランサムウェア
攻撃が存在するものの、韓国では米国や中国ほど脅威となってい
ないことが窺われます。
リージョン別 2018 年度下期の脅威の動向:日
本
警察庁は、2019 年 2 月 1 日に注意喚起レポートを Web サ
イトにて公開しました。
●32764/TCP 及び 37215/TCP に対する Mirai ボットの特
徴を有するアクセスの増加等について
https://www.npa.go.jp/cyberpolice/important/2019/201902011.h
tml
レポートによれば、『警察庁のインターネット定点観測において、
平成 30 年 11 月下旬頃からリモートデスクトップサービスを標
的とした宛先ポート 3389/TCP に対するアクセスの増加を観測し
ました。なお、今回のアクセスとの直接の関係は不明ですが、平成
30 年 12 月 3 日に US-CERT からランサムウェア「SamSam」
について注意喚起がされています。(中略)また、リモートデスク
トップサービスへのブルートフォース攻撃を実施する機能を有してい
ることから、これにより宛先ポート3389/TCP 宛のアクセスが増加
した可能性が考えられます。』とのことです。
日本では、リモートデスクトッププロトコル(RDP)の脆弱なパ
スワードに起因し不正ログオンを契機としたランサムウェア攻撃に関
して、韓国以上に具体的で明示的な脅威となっていないことが窺
われます。しかし、日本でも警告レポートやマスコミの報道は少な
いものの、実際の被害は発生しており、着実に「準標的型ランサ
ムウェア攻撃」のリスクは増加しています。
図 4:警察庁の公開レポート中の「リモートデスクトップサービスを標的とした宛先ポ
ート 3389/TCP に対するアクセス件数 の発信元国・地域別推移(H30.11.1~
12.31)」
BEC(ビジネスメール詐欺)の攻撃は現在も急
増
BEC(ビジネスメール詐欺)の攻撃は、現在も引き続き急増
しています。日本でも「何らかの方法でやりとりを盗聴していたと見
られる攻撃者が、割り込むかたちでなりすましによる詐欺メールを
送信してきた」という新しく巧妙な BEC の手法が報告されていま
す。今回は、英文メールでしたが日本語メールでも出現する可能
性があり、手法も進化していくので、最新事例をウォッチしつつ引き
続き注意が必要です。
8
リージョン別 2018 年度下期の脅威の動向:北
米、欧州
標的型メール攻撃対策ベンダーである Proofpoint Threat
Insight チームは、2019 年 2 月 7 日に 2018 年 4Q の脅威
レポートを Web サイトにて公開しました。
●Proofpoint releases Q4 2018 Threat Report and
Year in Review(Proofpoint が第 4 四半期 2018 年脅威
レポートと一年の振り返りを発表)
https://www.proofpoint.com/us/threat-insight/post/proofpoint-
releases-q4-2018-threat-report-and-year-review
レポートによれば、『BECとも呼ばれる電子メール詐欺は急増を
続け、標的となる組織あたりの攻撃数は、2018 年第 3 四半期
比で 226%、前年同期比で 476%増加した。 業界別では、電
気通信、教育、および交通機関が、電子メール詐欺攻撃の平均
を上回った。』とのことです。
リージョン別 2018 年度下期の脅威の動向:日
本
サイバー情報共有イニシアティブ(J-CSIP)は、2019 年 1
月 31 日に活動報告レポートを Web サイトにて公開しました。
●サイバー情報共有イニシアティブ(J-CSIP) 運用状況
[2018 年 10 月~12 月]
https://www.ipa.go.jp/files/000071273.pdf
レポートによれば、『本事例では、A 社(国内企業)と B 社
(海外取引先)の間でビジネスメールをやりとりしていた中に、詐
称用ドメインを使って B 社の担当者になりすました攻撃者が割り
込み、詐欺を試みてきた。攻撃者は、何らかの方法でメールを盗
聴していたものと考えられる。(中略)なお、今回の事例でやりと
りされたメールはすべて英文である。』とのことです。
図 5:J-CSIP の公開レポート中の「攻撃者とのやりとり」
サイバーリスク②:情報漏洩や IP(知的財産)
流出
トレンドキーワード:急速に着目されるサプライチェーンリスク
攻撃者のクラスター:「国家主導型攻撃者(軍や国家公務員
等)や、国の支援を受けた攻撃者」という切り口が、現状は多い
急速に着目されるサプライチェーンリスク
IPA の「情報セキュリティ 10 大脅威 2019」の「簡易説明資
料(組織編)」では、サプライチェーンのリスクに関して「概要」「要
因」「2018 年の事例/傾向」「対策」とバランス良く記載されてい
ます。その内、注目すべき「課題」では、委託元組織の被害の予
防策として、「業務委託や情報管理における規則の徹底」「信頼
できる委託先組織の選定」「委託先からの納品物の検証」「契約
内容の確認」「委託先組織の管理」の 5 つが記載されています。
その中で、組織のネットワーク管理/運用者や経営リスクの管理
者が実現すべきなのは、やはり「信頼できる委託先組織の選定」
です。
それでは、信頼できる委託先組織の選定のためには、何を行え
ば良いのでしょうか。特に、北米や欧州では、管理の甘いマネージ
ド IT サービスプロバイダーや MSP(Managed Service
Provider)を踏み台として組織のネットワークに不正侵入される
というセキュリティインシデント急増しています。まさしく「今そこにある
危機」の状態となっているマネージド IT サービスプロバイダーや
MSP のサービスを利用する組織のネットワーク管理/運用者や
経営リスクの管理者には、待ったなしの状況です。
リージョン別 2018 年度下期の脅威の動向:北
米、欧州
Palo Alto Networks の脅威インテリジェンスチームである
Unit 42 は、2019 年 2 月 4 日に脅威レポートを Web サイト
にて公開しました。
●menuPass Playbook and IOCs(menuPass プレイブッ
クと IOC)
https://unit42.paloaltonetworks.com/menupass-playbook-and-
iocs/
レポートによれば、『2018 年 12 月 20 日、米国司法省は、2
人の中国人をコンピュータハッキング、電信詐欺の謀略、および個
人情報の盗難の罪で起訴した。 この 2 人は、menuPass(別
名 APT10 / Stone Panda / Red Apollo / CVNX /カリウ
ム)として知られているハッキンググループのメンバであるとされてお
り、起訴状によれば、中国国家安全省の要請で違法行為を行っ
9
た とさ れ て いる 。 起 訴 状 の 告 発 は 2014 年 に 始 ま った
Operation Cloud Hopper と呼ばれる長い攻撃キャンペーンが
原因で、主に MSP(Managed Service Provider)を標的
にして MSP とクライアントの知的財産を盗むだけでなく、さらなる攻
撃にネットワークを利用している。』とのことです。さらに、『同グルー
プは 2006 年頃から活動しており、世界中のヘルスケア、防衛、
航空宇宙、政府機関をターゲットにしている。また少なくとも 2014
年以降は、日本人を被害のターゲットにしている。2016 年、
2017 年に同グループはマネージドITサービスプロバイダーやMSP、
製造、仮想通貨マイニング関連企業、大学をターゲットにしてい
る。』という記述もあります。
サイバーインテリジェンスサービスプロバイダーである Recorded
Future は、2019 年 2 月 6 日に脅威レポートを Web サイトに
て公開しました。
● APT10 Targeted Norwegian MSP and US
Companies in Sustained Campaign(APT10、持続的キ
ャンペーンでノルウェーの MSP と米国企業をターゲットに)
https://www.recordedfuture.com/apt10-cyberespionage-
campaign/
レポートには、以下のように記載されています。『2017年11月
から 2018 年 9 月までの間に、米国および欧州の少なくとも 3 社
を対象とした持続的なサイバースパイキャンペーンが、Recorded
Future および Rapid 7 によって明らかにされた。中国政府が後
援する攻撃者の継続的な活動により、ネットワークへのアクセスを
獲得し、貴重な知的財産を盗む、または商業的優位性を獲得
す る た め に 、 こ れ ら の 事 件 が APT10 ( Stone Panda 、
menuPass、CVNX としても知られる)によって行われたと判断
している。 対象企業は次の通りである。
◆ IT およびビジネスクラウドサービスのマネージドサービスプ
ロバイダー(MSP)と、世界で少なくとも85万の顧客
を抱える 10 億ドル規模のノルウェー企業である
Visma(ビスマ)
◆ 国際的なアパレル会社
◆ とりわけ製薬、技術、エレクトロニクス、生物医学、およ
び自動車の各分野のクライアントと知的財産法の豊
富な経験を持つ米国の法律事務所
3 つのインシデントすべてにおいて、攻撃者は盗まれた有効なユ
ーザー認証情報を使用して Citrix および LogMeIn リモートアク
セスソフトウェアを展開することによってネットワークにアクセスした。
(中略)APT10 は、少なくとも 2009 年から活動を続けて、医
療、防衛、航空宇宙、政府、重工業および鉱業、グローバルマネ
ージド IT サービスプロバイダー (MSP)および IT サービスが中
心であり、2017 年初頭に、MSP に対して、これまでにない MSP
とその顧客のネットワークへのアクセスする攻撃を仕掛け始めた。』
とのことです。
写真 1:Recorded Future の公開レポート中の「APT10 の本拠地が疑われる天
津国家保安局(出典: IntrusionTruth )」
Trend Micro は 、 TrendLabs Security Intelligence
Blog において 2019 年 2 月 12 日に警告レポートを Blog にて
公開しました。
● Trickbot Adds Remote Application Credential-
Grabbing Capabilities to Its Repertoire(Trickbot がレ
パートリーにリモートアプリケーションの資格取得機能を追加)
https://blog.trendmicro.com/trendlabs-security-
intelligence/trickbot-adds-remote-application-credential-grabbing-
capabilities-to-its-repertoire/
Blog によれば、『2018 年 11 月、多数のアプリケーションから
資格情報、パスワードを取得する機能が追加された Trickbot の
亜種が発見された。2019 年 1 月に、リモートアプリケーションであ
る Virtual Network Computing(VNC)、PuTTY、および
Remote Desktop Protocol(RDP)の資格情報取得機能
が追加されている。』とされています。やはり、リモートメンテナンスを
行う業務用 PC は、メールを読んだり Web を閲覧したりする OA
用の PC とは、分離しなければならないと考えます。
リージョン別 2018 年度下期の脅威の動向:日
本
IPA は、2019 年 1 月 30 日に年次の情報セキュリティ 10 大
脅威レポートを Web サイトにて公開しました。3 月 20 日には「簡
易説明資料(組織編)」も、追加で公開しました。
●情報セキュリティ 10 大脅威 2019
https://www.ipa.go.jp/security/vuln/10threats2019.html
10
レポートによれば、『原材料や部品の調達、製造、在庫管理、
物流、販売までの一連の商流、およびこの商流に関わる複数の
組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部
組織に委託している場合、この外部組織もサプライチェーンの一
環となる。業務委託先組織がセキュリティ対策を適切に実施して
いないと、業務委託元組織への攻撃の足がかりとして狙われる。
昨今、業務委託先組織が攻撃され、預けていた個人情報が漏
えいする等の被害が発生している。』とのことです。
表紙 1:IPA「情報セキュリティ 10 大脅威 2019」の表紙
尚、IT サービスプロバイダーや MSP(Managed Service
Provider)に関するサプライチェーンリスクの具体的な対策やチェ
ックポイントは、以下の 5 つのレポートに記載されています。
NCCIC ( National Cybersecurity and
Communications Integration Center)は、警告レポート
を米国のナショナルCERTであるUS-CERTのWebサイトにて公開
しています。
●APTs Targeting IT Service Provider Customers(IT
サービスプロバイダーの顧客をターゲットにした APT)
https://www.us-cert.gov/APTs-Targeting-IT-Service-Provider-
Customers
NCCIC は、2017 年 4 月 27 日に警告レポートを US-CERT
の Web サイトにて公開しています。
● Alert (TA17-117A)Intrusions Affecting Multiple
Victims Across Multiple Sectors (複数のセクターにわた
る複数の犠牲者に影響を与える侵入)
https://www.us-cert.gov/ncas/alerts/TA17-117A
NCCIC は、2018 年 10 月 3 日に警告レポートを US-CERT
の Web サイトにて公開しています。
● Alert (TA18-276A) Using Rigorous Credential
Control to Mitigate Trusted Network Exploitation
(信頼できるネットワークの悪用を軽減するための厳密な資格情
報管理の使用)
https://www.us-cert.gov/ncas/alerts/TA18-276A
NCCIC は、2018 年 10 月 3 日に警告レポートを US-CERT
の Web サイトにて公開しています。
● Alert (TA18-276B)Advanced Persistent Threat
Activity Exploiting Managed Service Providers (管
理されたサービスプロバイダーを利用する高度な持続的脅威活動)
https://www.us-cert.gov/ncas/alerts/TA18-276B
サイバーセキュリティの脅威を回避する支援を行うイギリス政府
の組織である NCSC(National Cyber Security Centre)
は、2018 年 12 月 20 日に脅威レポートを Web サイトにて公
開しています。
● APT10 continuing to target UK organisations
(APT10 は英国の組織をターゲットにし続けている)
https://www.ncsc.gov.uk/news/apt10-continuing-target-uk-
organisations
これらの公開レポートの中でも、特にマネージド IT サービスプロ
バイダーや MSP(Managed Service Provider)のサービスを
利用する組織のネットワーク管理/運用者や経営リスクの管理
者 が 把 握 し な く て は な ら な い の が 、 「 Alert (TA18-
276B)Advanced Persistent Threat Activity Exploiting
Managed Service Providers」です。ここでは、サプライチェーン
リスクの管理の一環として、マネージド IT サービスプロバイダーや
MSP をチェックすべき汎用的な項目がピックアップされています。具
体的には、以下の 35 項目が記載されています。(各項目の詳
細は、TA18-276B のレポートをご覧下さい。)あくまで推奨事
項という位置付けであり、全てを実現することは困難かもしれませ
んが、実施していない項目があれば、何故実施していないかのコメ
ントを求めても良いと考えます。
11
アーキテクチャ
仮想プライベートネットワーク接続の推奨事項
◆MSP 接続には専用のバーチャルプライベートネットワーク
(VPN)を使用する。
◆非武装地帯(DMZ)内で VPN を終了する。
◆MSP との間の VPN トラフィックを制限する。
◆VPN 認証証明書を毎年更新する。
◆VPN 接続を記録し、集中管理し、そして見直しする。
ネットワークアーキテクチャの推奨事項
◆インターネットに直接接続されているネットワークが別々の
物理システムに存在するようにする。
◆機能、場所、およびリスクプロファイルによって内部ネットワ
ークを分離する。
◆ファイアウォールを使用してサーバと指定された危険度の高
いネットワークを保護する。
◆プライベート仮想ローカルエリアネットワーク(VLAN)を構
成して有効にする。
◆ホストファイアウォールを実装する。
ネットワークサービス制限の推奨事項
◆内部ネットワークから送信される許可されたネットワークサ
ービスのみを許可する。
◆内部および外部のドメインネームシステム(DNS)クエリ
が専用サーバによって実行されるようにする。
◆許可されていない公開ファイル共有へのアクセスを制限す
る。
◆ネットワーク境界で不要なネットワークサービスをすべて無
効にするかブロックする。
認証、承認、およびアカウンティング
アカウント構成の推奨事項
◆MSP アカウントが管理者グループに割り当てられていない
ことを確認する。
◆MSP アカウントを管理するシステムだけに制限する。
◆MSP アカウントのパスワードが組織の方針に準拠している
ことを確認する。
◆MSP エージェントとサービスにサービスアカウントを使用す
る。
◆MSP アカウントを時間や日付で制限する。
◆アカウント階層化を含むネットワークアーキテクチャを使用
する。
ロギング設定の推奨事項
◆すべてのネットワークシステムとデバイスのログ記録を有効に
し、ログを集中管理する。
◆集中ログサーバーを他のサーバやワークステーションとは別
のエンクレーブに配置する。
◆ローカルログを 7 日以上のログデータを保存するように設定
する。
◆1 年以上のログデータを保存するように集約ログを設定す
る。
◆セキュリティ情報およびイベント管理(SIEM)アプライア
ンスをインストールして正しく構成する。
◆PowerShell のログ記録を有効にする。
◆ログレビュープロセスを確立して実施する。
運用管理
運用管理に関する推奨事項
◆システムとネットワークの動作に関するベースラインを作成
する。
◆半年ごとにネットワークデバイスの設定を確認する。
◆6 ヶ月ごとにネットワーク環境のグループポリシーオブジェクト
(GPO)を確認する。
◆SIEM アプライアンスのアラートを継続的に監視および調
査する。
◆SIEM アラートしきい値を定期的に確認する。
◆特権アカウントグループを毎週確認する。
◆無効なアカウントを無効にするか削除する。
◆ソフトウェアとオペレーティングシステムを定期的に更新す
る。
サイバーリスク③:業務妨害
トレンドキーワード:DDOS攻撃の脅威自体は減少傾向。しかし
1 件当たりの攻撃の規模は増大
攻撃者のクラスター:混沌としており、アクターは不明確
DDoS 攻撃の脅威自体は減少傾向。しかし 1
件当たりの攻撃の規模は増大
DDoS 攻撃の脅威自体は減少傾向です。しかし、安価で強
力な攻撃基盤の貸出しサービスも新たに出現し続けており、1 件
当たりの攻撃の規模も大きくなっている為、リスクとして軽視は出
来ないという状況です。
2018 年度下期の脅威の動向
Kaspersky Lab は、2019 年 2 月 7 日に脅威レポートをサイ
トにて公開しました。
12
●DDoS Attacks in Q4 2018 (2018 年第 4 四半期の
DDoS 攻撃)
https://securelist.com/ddos-attacks-in-q4-
2018/89565/
レポートによれば、『2018 年に、私たちは前年より 13%少な
い DDoS 活動を記録した。最大の減少は第 4 四半期に見られ、
攻撃の数は 2017 年の数字の 70%にすぎなかった。攻撃元では
中国は依然として DDoS 攻撃の数でリードしており、そのシェアは
77.67%から 50.43%へとかなり大幅に低下した。 米国は 2 位
(24.90%)を維持し、オーストラリアは 3 位(4.5%)を獲得
し た 。 攻 撃 先 の リ ー ダ ー は 中 国 ( 43.26 % ) 、 米 国
(29.14%)、そしてオーストラリア(5.91%)のままである。
2018 年末には 0x-booter と呼ばれる新しい DDoS 起動プラッ
トフォームが登場した 。 2018 年 10 月 17 日に初めて発見さ
れたこのサービスは、Mirai の修正版である Bushido IoT マルウ
ェアに感染した 16,000 以上のボットに基づいて、最大 420
Gbps の攻撃をサポートできる。 このプラットフォームは単純さ、低
コスト、そしてそれが持つ相対的な威力のために危険である。20
ドルから 50 ドルで、誰でも簡単なインターフェースを使ってターゲッ
トに対する攻撃を行うことができる。 研究者によると、10 月の後
半だけでサービスが 300 以上の DDoS 攻撃で利用された。その
ようなリソースを利用して、強力な DDoS キャンペーンが日本のス
クウェア・エニックスに対して 10 月を通して行われた。』とのことです。
図 6:Kaspersky Lab の公開レポート中の「国別 DDoS 攻撃元の分布」
図 7:Kaspersky Lab の公開レポート中の「国別 DDoS 攻撃先の分布」
Akamai は、2019 年 1 月に分析レポートを Web サイトにて公
開しました。
●「インターネットの現状/セキュリティ:DDoS 攻撃およびアプリ
ケーション攻撃」レポート(第 5 巻、第 1 号)
https://www.akamai.com/jp/ja/multimedia/documents/state-of-
the-internet/state-of-the-internet-security-ddos-and-application-
attacks-2019.pdf
レポートによれば、『ネットワークやアプリケーションに対する最も
一般的な脅威の 1 つとして、ボットが挙げられます。(中略)オン
ライン・ビジネス・プレゼンスへの大半のトラフィックがボットになると、
深刻な影響が生じます。この影響は、パフォーマンス問題(例:
Web サイトの速度が低下し、顧客の不満が高まる)などのボット
トラフィックに関わるさまざまなリスクへと広がり、ITコストの増加につ
ながります。また、Web サイトから棚卸資産、価格情報、コンテン
ツなどをスクレイプするボットなど、ブランドに関わるリスクも生じます。
それらへの対処で不十分な場合は、DDoS 攻撃、広告詐欺、
SEO スパム、Credential Stuffing などを引き起こすボットへの
対処も必要です。』 とのことです。
13
図 8:Akamai の公開レポート中の「Akamai ネットワークにおける、一般に知られ
ている良性ボットと悪性ボットの両方を含むボットトラフィックの業界別内訳(リクエス
トの割合順)」
さらに、レポートでは『ボットが完全になくなることはありません。
簡単に自動化することができるため、ボットは大きなビジネスチャン
スになりますが、リスクの増大も引き起こします。実際にこのような
二面性があるため、ボットは無視したり完全にブロックしたりするの
ではなく、管理しなければなりません。』との教訓も記載されていま
す。
図 9:Akamai の公開レポート中の「悪性ボットの難易度を基準とした、一般的な
回避戦術と論理防御メカニズムの対照図」
サイバーリスク④:注視すべき社会情勢
オリンピックを控え、社会混乱を防ぎ、安全保障
を維持するために「ファイブアイズ+3」が開始。政
府は「クラウド」の安全性を認証する制度も準備
中
2015 年 9 月に、当時の米国のオバマ大統領と中国の習近
平国家主席がサイバー攻撃による産業スパイ行為を容認しないと
合意して以降、中国から米国へのサイバー攻撃は減少傾向にあ
りました。しかし、トランプ大統領が中国に対する追加関税を
2018 年から発動し中国との貿易摩擦を激化(米中貿易戦争
の勃発)させため、中国から政府機関や企業へのサイバー攻撃
が再び増加していると言われています。
また、中国などのサイバー攻撃に関する情報共有の新たな枠
組みである「ファイブアイズ+3」が従来のファイブアイズである米国、
英国、カナダ、オーストラリア、ニュージーランドに、今回「日本」「ド
イツ」「フランス」も含めて組織されました。中国などからのサイバー
攻撃に関する情報共有の新しい枠組みであり、日本が政府調達
から中国の通信機器大手 2 社を事実上排除する方針もこの枠
組みへの参加を受けたものです。こうした流れから、政府は、各省
庁に導入するクラウドサービスについても、国際基準よりも厳しい
米政府基準をベースした新たな安全基準として、2020 年には政
府の統一基準が策定される見込みです。尚、サイバー攻撃に悪
用される恐れのある IoT 機器の調査と、当該機器の利用者への
注意喚起を行う取組みとして 2 月 20 日から開始されている
「NOTICE」も、こうした流れの一環です。
リージョン別 2018 年度下期の脅威の動向:北
米、欧州
CNN は、2019 年 2 月 21 日にニュース記事を Web サイトに
て公開しました。
●中国ハッカーの米企業攻撃が昨年激増、標的は通信など
https://www.cnn.co.jp/tech/35133109.html
日経新聞 は、2019 年 2 月 19 日にニュース記事を Web サ
イトにて公開しました。
●米へのサイバー攻撃活発化 中国とイラン、関係悪化で
https://www.nikkei.com/article/DGXMZO41457740Z10C19A2000
000/
リージョン別 2018 年度下期の脅威の動向:ア
ジア
The New York Times は、2019 年 3 月 3 日にニュース記
事を Web サイトにて公開しました。
●As Trump and Kim Met, North Korean Hackers Hit
Over 100 Targets in U.S. and Ally Nations(トランプとキ
ムの会談中、北朝鮮のハッカーはアメリカとその同盟国を対象に
100 以上のターゲットを攻撃)
https://www.nytimes.com/2019/03/03/technology/north-korea-
hackers-trump.html
14
リージョン別 2018 年度下期の脅威の動向:日
本
毎日新聞は、2019 年 2 月 4 日にニュース記事を Web サイト
にて公開しました。
●米英など 5 カ国「ファイブアイズ」、日独仏と連携 サイバー攻撃、
中国の機密情報共有
http://fp.mainichi.jp/news.html?c=mai&id=20190203k0000m010
166000c&t=full
cnn は、2019 年 3 月 12 日にニュース記事を Web サイトにて
公開しました。
●「ファーウェイ使用なら情報共有制限」、米がドイツに通告
https://www.cnn.co.jp/tech/35134039.html
総務省及び国立研究開発法人情報通信研究機構(NICT)
は、2019 年 2 月 1 日にプレスリリースを Web サイトにて公開し
ました。
●IoT 機器調査及び利用者への注意喚起の取組「NOTICE」
の実施
http://www.soumu.go.jp/menu_news/s-
news/01cyber01_02000001_00011.html
プレスリリースによれば、『インターネットプロバイダと連携し、サイ
バー攻撃に悪用されるおそれのある IoT 機器の調査及び当該機
器の利用者への注意喚起を行う取組「NOTICE(National
Operation Towards IoT Clean Environment)」を平成
31 年 2 月 20 日(水)から実施します。インターネット上の IoT
機器に、容易に推測されるパスワードを入力することなどにより、サ
イバー攻撃に悪用されるおそれのある機器を調査し、当該機器の
情報をインターネットプロバイダへ通知します。インターネットプロバ
イダは、当該機器の利用者を特定し、注意喚起を実施します。』
とのことです。
図 10:NOTICE の公開 Web サイト中の「NOTICE の取り組み
本レポートには、ゲッティイメージズ等の画像を使用しています。 株式会社富士通総研 コンサルティング本部 ビジネスレジリエンスグループ 〒105-0022 東京都港区海岸 1 丁目 16 番 1 号 ニューピア竹芝サウスタワー Tel: 03-5401-8391, Fax: 03-5401-8395 https://www.fujitsu.com/jp/group/fri/
©Fujitsu Research Institute