デバイスが感染しておりサイバー攻撃。 サイバー攻撃とは? 攻撃の種類や被害事例・最新の対策方法について|セキュリティコラム|株式会社網屋

サイバーセキュリティ対談 こんな企業が狙われる。 テレワークの土台となるセキュリティを固める

デバイスが感染しておりサイバー攻撃

サイバー攻撃とは? サーバやパソコンなどのシステムに対し、さまざまな手段を用い、データを抜き取る、改ざんする、システムを破壊する等の攻撃の総称を指します。 無差別攻撃から、特定の企業をターゲットにイメージ毀損など明確な目的を持つものまで、多岐にわたります。 サイバー攻撃は、インターネット黎明期である1988年に登場した「モリスワーム」が最初のウィルスと言われています。 そこから、パソコンは一般家庭に浸透し、それとともにサイバー攻撃の種類・巧妙さも複雑化していきます。 近年は、スマートフォン、タブレット、スマートスピーカー、IoT製品など、デバイスが増えており、被害も増加の一途をたどっています。 特に、日本においては2020年に東京オリンピックが行われることもあり、治安、感染症、災害とともに課題の一つになっています。 以前は、ウィルス対策ソフトがサイバー攻撃を防ぐ最大の手段でしたが、現在は平行して他の対策も行っていく必要があります。 技術的な防御に加え、ログ管理をして、未然防止対策や万が一の際の早期復旧対策の強化が必要になっています。 サイバー攻撃の頻度や件数 サイバー攻撃の頻度や件数の推移について、国立研究開発法人情報通信研究機構が運営するNICTERによれば、ダークネット観測統計は、過去10年間で約4倍の80万件にまで増加しています。 参考: また、警察庁が発表した資料によれば、サイバー犯罪の検挙数は年々増加しており、30年の検挙件数は9,040件と過去最多という結果が出ています。 参考: サイバー攻撃の動向 情報処理推進機構がまとめた資料によれば、下記のような結果となっています。 個人TOP3• クレジットカード情報の不正利用• フィッシングによる個人情報等の詐取• スマートフォン不正アプリによる被害 法人TOP3• 標的型攻撃• 詐欺ビジネスメール• ランサムウェア また、4位にランクインした「メール等を使った脅迫・詐欺の手口による金銭要求(個人)」、「サプライチェーンの弱点を悪用した攻撃の高まり(法人)」は、2019年になって新しく出た脅威で、今後の対策が急がれます。 また、その他にスマートスピーカーからのサイバー攻撃、ランサムウェアが下火になり、フォームジャッキング(ECサイト・購入サイトに設置されたフォームを狙う攻撃)が主流になっていることを警告しています。 参考: 参考: サイバー攻撃による被害事例 サイバー攻撃は決して他人事ではなく、明日は我が身です。 ここで紹介する過去の被害事例をチェックし、対策に備えましょう。 大手コンビニチェーン(セブンペイ)(2019年) アプリ決済をリリース直後に、不正ログインの被害が相次ぎ、およそ3240万円の被害が出ました。 結果的に、会員の新規受付を停止、9月30日にはサービスが廃止されました。 数端末からのログインが可能、2段階認証の対策がされていないなどの原因から、ハッキングを受けたのではといわれています。 キャッシュレスサービスが乱立していく中で、セキュリティの重要性を考えさせられる事件です。 大手耐熱ガラスメーカー(HARIO)(2019年) 2019年8月20日に、公式ネットショップが不正アクセスを受け、顧客クレジットカード情報2,577件、パスワード2,325件が外部に流出した可能性があると発表しました。 この事件における原因は明らかにされていませんが、結果を深刻に受け止め、被害を受けたショッピングサイトは閉鎖、会員情報も移管せず、ショッピングサイトを新規開設することとなりました。 サイバー攻撃の目的 サイバー攻撃は、明確な目的をもったもの、ただ目立ちたいという欲求を満たすものなど、動機は様々です。 サイバー攻撃を行う目的として多く存在するのが、下記の5つの項目です。 テロ活動や政治的利用と聞くと、民間企業には直接関係がないと考えがちですが、そうではありません。 民間企業は営利目的で経済活動を行っているため、第三者にとって有益だと思われる情報を内部に保持していることがあります。 そのため、経済的な利益を目的としたサイバー攻撃の被害に遭う可能性は十分にあると考えられます。 愉快犯 インターネット黎明期の1990年代後半~2000年代初頭くらいまでは、サイバー攻撃の主体はハッキングに自信のある個人であり、自分の腕を試すため、ウィルスを仕込み、不特定多数のWebページを改ざんしたり、ブラウザを乗っ取ったりなど、能力を誇示する目的で行われていました。 このように、いたずら目的で第三者に被害を与えるクラッカーを「スクリプトキディ」と呼びます。 しかし、近年はこうした動機によるサイバー攻撃は数が減り、プロ集団による巧妙かつ複雑なサイバー攻撃が増えています。 私怨による報復 特定の企業や個人に対し、逆恨み、個人的な怨恨、嫉妬などを持った結果、悪質なサイバー攻撃による嫌がらせをするケースも。 例えば、情報を抜き取って公開したり、Webサイトを乗っ取って虚偽の情報を書き込んだりなど、企業の信頼を失墜させるための攻撃が主です。 政治的利用 サイバー攻撃を通して、政治的、社会的思想を世の中に発信するグループや人のことを「ハクティビズム」と呼びます。 ハクティビズムは、アクティビズムとハッカーをかけ合わせた造語で「アノニマス」「ウィキリークス」といった集団が有名です。 ときに、ハクティビズムが起こすサイバー攻撃は、世論も動かす巨大な波となり、例えば2010年~2011年にかけて起こった通称「アラブの春」には、アノニマスが関わっていたとされています。 しかし、近年はアノニマスの分裂に伴う活動の縮小、サイバー取り締まりの強化により、ハクティビズムの活動は年々減少しています。 IBM X FORCEによれば、ハクティビズムによるインシデントは2015年の35件から減少し、2018年にはわずか2件にまで下がっています。 競合のスパイ活動 国家主導、または企業がハッカーなどに依頼し、競合の機密情報を抜き出す目的で行われることもあります。 2019年6月に三菱電機が受けたサイバー攻撃には、中国のハッカー集団「Tick」が関与したとされています。 今回のサイバー攻撃では、インフラに関する機密情報の漏洩はないとされていますが、従業員(退職者を含む)6,100人分の個人情報、採用応募者約2,000人の情報が外部に漏洩しました。 目的 アクション 愉快犯 秘匿情報のスキミング 金銭の奪取 経済的損失/ブランドイメージの毀損 クラッキング 私怨による報復 秘匿情報のスキミング 経済的損失/ブランドイメージの毀損 クラッキング テロ活動(軍事利用) 金銭の奪取 政治的利用 秘匿情報のスキミング 金銭の奪取 経済的損失/ブランドイメージの毀損 クラッキング 競合のスパイ活動 秘匿情報のスキミング サイバー攻撃の方法とは?主な種類を紹介 サイバー攻撃は、技術の発達により、非常にさまざまな種類が存在します。 ここでは、9個に分けて、それぞれどのような性質をもったサイバー攻撃なのか、詳しく解説します。 マルウェア マルウェアとは、「malicious software 悪意のあるソフトウェア 」の略で、不正で有害な挙動を引き起こす意図で作成されたソフトやコードの総称を指します。 主にマルウェアには以下のような種類があります。 マルウェア• ワーム• バックドア• トロイの木馬• ランサムウェア ワーム 2000~2004年頃に広く感染が確認され話題となりました。 ワームは、自己複製機能を持っており、次々と他のデバイスに感染します。 また、他のプログラムへの寄生が不要で、単独で存在でき、感染速度が早いのが特徴です。 ユーザーがなんらかの原因で不正アクセスされ、その際にバックドアを設置されるケースが多いです。 代表的なものが「トロイの木馬」です。 バックドアを設置されると、ハッカーによる遠隔操作が可能となり、知らぬ間に不正行為の踏み台にされる恐れがあります。 ランサムウェア 身代金を表す「ランサム(ransom)」と、ソフトウェアの「ware」をかけ合わせた造語で、身代金を要求するソフトウェアのことを指します。 ランサムウェアの大きな特徴は、パソコンを操作不能にしたり、データを暗号化し、修復を条件に身代金を要求するところです。 世界規模で大きな被害を出したのが「WannaCry」です。 アメリカ・ホワイトハウスの発表によれば、被害国は150カ国以上、30万件以上の被害に及びました。 ワーム型のランサムウェアだったことが、感染が拡大した原因といわれています。 また、マルウェアで有名なものとしては「トロイの木馬」があります。 トロイの木馬は、有益なプログラムまたはソフトであるように見せかけて、ユーザーのPCやスマートフォン内に侵入するウィルスです。 トロイの木馬には、バックドア型やスパイウェア型など、さまざまな亜種・類型が存在します。 標的型攻撃• フィッシングメール• 怪しい添付メールは開封しない、怪しいリンク先をクリックしてしまった場合はただちに報告するなど、従業員のセキュリティ意識を日頃から高めることが大切です。 DoS攻撃/DDoS攻撃 1台のコンピューターから特定のサーバーにアクセスを集中させ、サーバダウンさせて不正アクセスする攻撃をDoS攻撃と呼びます。 近年は、特定のIPアドレスからのアクセス拒否設定が容易に行えるようになったことから、不特定多数のパソコンからアタックする「DDoS攻撃」が主流となりました。 Dos攻撃は「Denial of Service attack」で、DDos攻撃は「Distributed Denial of Service attack」の略で、Distributedは分散型という意味を持ちます。 DoS攻撃と比較すると、なんらかの方法によって乗っ取られたコンピューターが次々に攻撃をしていき、攻撃範囲がねずみ算的に広がっていく特徴があります。 このことから、攻撃元の特定が難しいとされています。 また、DoS/DDoS攻撃は、細かく分けると、攻撃手法が4つあります。 DoS攻撃/DDoS攻撃• SYNフラッド攻撃/FINフラッド攻撃• UDPフラッド攻撃• DNS Flood attacks(DNSフラッド攻撃) SYNフラッド攻撃/FINフラッド攻撃 接続元と偽り、TCP接続のSYN(接続要求)を大量に送るのがSYNフラッド攻撃、FIN(切断要求)を大量に送るのがFINフラッド攻撃です。 NIDS、ネットワーク上の不正侵入の検知や監視を行うサービスの利用、サーバの処理能力を高くする、回線の容量を増やすなどの対策が考えられます。 UDPフラッド攻撃(ランダム・ポート・フラッド攻撃 UDPフラッド攻撃には、「ランダム・ポート・フラッド攻撃」と「フラグメント攻撃」の2種類があります。 ランダム・ポート・フラッド攻撃は、不特定多数のポートに対し、処理要求を大量に送ることで、サーバを停止させます。 フラグメント攻撃は、大きい容量のUDPパケットを送信する攻撃で、ファイアーウォール等のネットワークデバイスに負荷をかけることができます。 DNS Flood attacks(DNSフラッド攻撃) DNSフラッド攻撃は、DNSサーバーをターゲットに、大量の名前解決のリクエストを送り、コンテンツサーバのダウンを狙います。 初期設定でオープンリゾルバがONになっている場合があります。 オープンリゾルバが不要なサーバやネットワークを機器を減らすことで、被害を未然に防げます。 水飲み場型攻撃 水飲み場攻撃とは、サイバー攻撃の対象となる組織の人間が頻繁にアクセスするサイトに不正なプログラムを仕掛け、マルウェアに感染させる攻撃法です。 攻撃対象者以外のユーザーには気付かれないことが多く、発覚しづらいという特徴があります。 不審なサイトにアクセスしない、セキュリティ対策ソフトを導入する、などの対策をすることで被害を未然に防ぐことができます。 ゼロデイ攻撃 脆弱性が発見され、修正アップデートをされる予定の日より前に脆弱性を攻略し、 サイバー攻撃を行うことを指します。 2015年には、Adobe Flash Playerの脆弱性を突いたゼロデイ攻撃が行われました。 未公表の脆弱性を突くため、防御策がたてられず、非常に厄介なサイバー攻撃の一つです。 SQLインジェクション SQLとは、不正なSQLを対象のサイトに投入することでデータベースを改ざんしたり、情報を抜き取ったりするサイバー攻撃のこと。 主に脆弱性を突かれることが原因になるため、サーバでエスケープ処理の実装、普段使用しているソフトウェアやアプリケーションの脆弱性のアップデートを定期的に確認するなどの対策が有効です。 APT攻撃 APTは「Advanced Persistent Threat」の略で、高度的かつ持続的な脅威と訳されます。 サイバー攻撃の特定の方法を指す言葉ではなく、さまざまな手段を組み合わせ、事業活動への阻害行為、諜報活動を長期的に行う対応が難解な攻撃の総称を指しています。 金銭詐取や報復という目的のもと、企業単体を狙ったサイバー攻撃というよりは、国家が後ろ盾にある大規模なサイバー攻撃という意味合いが強いです。 「APT対策入門: 新型サイバー攻撃の検知と対応」によれば、2010年11月にはイランの各施設において、ウラン濃縮の遠心分離機の論理制御装置がハッキングされ、遠心分離機が意図的に故障される事件が、2011年2月には中国のハッカー集団「ナイトドラゴン」により、世界の精油・ガス関連企業5社の、エネルギー生産システムや入札関連情報が詐取された事件が発生したと伝えています。 参考: パスワードリスト攻撃/アカウントリスト攻撃 不正に入手したIDとパスワードを使い、正当な方法によりログインを試みるサイバー攻撃。 IDとパスワードを使い回す人の習性を利用した方法で、ブルートフォース攻撃と比べると、非常に成功率の高い攻撃手法です。 ひとたび突破されると、あらゆるサービスでハッキングが行われるため、対象ユーザーは甚大な被害を受けます。 この時点で、ユーザーはすでに情報をハッカーにより抜き取られているため、早急に二段階認証やパスワード変更が必要です。 セッションハイジャック セッションIDやCookieなどの個人情報を不正に詐取し、なりすまして通信を行うサイバー攻撃です。 方法は全部で2種類存在します。 セッションハイジャック• クロスサイトスクリプティング• セッションフィクセーション クロスサイトスクリプティング ユーザーのCookieがハッカーのサイトに送信される不正なスクリプトを埋め込むことで、Cookieを詐取する方法。 これにより、ハッカーは簡単になりすましてショッピングサイトなどで決済が行うことができます。 入力値の制限、スクリプトの無力化といった対策で防げます。 セッションフィクセーション セッションIDに対する攻撃の一種で、ハッカーが保有しているセッションIDを強制的にユーザーに使わせ、そのユーザーのアクセスを乗っ取るサイバー攻撃。 有用に見せかけたWebサイトに誘導したのち、保有したセッションIDをユーザに強制的に割り当てることで、乗っ取ることができます。 要因としては、サイトのXSSやHTTPヘッダインジェクションの脆弱性、IEのCookie Monster Bugなどが挙げられます。 バッファーオーバーフロー攻撃 バッファとは、IT用語で「プログラムが持つ記憶領域」のことを指します。 コンピューターの各装置には処理能力差があり、これらを緩和するため、バッファが存在しています。 バッファオーバーフローとは、システムやソフトウェアに大量のデータや不正なコードを送り、誤作動を起こさせるサイバー攻撃のこと。 バッファーオーバーフロー攻撃には次の種類があります。 バッファーオーバーフロー攻撃• スタック領域型• ヒープ領域型 スタック領域型 スタック領域は、OSやアプリケーションのプログラムがデータを格納するために使用されています。 ローカル変数やメソッドなどを格納する場所で、そこにはリターンアドレスも含まれます。 スタック領域に攻撃が及ぶ場合、リターンアドレスを書き換え、悪意があるコードをセットし、次のサイバー攻撃の踏み台にされます。 ヒープ領域型 ヒープ領域は、OSやアプリケーションのプログラムがデータを格納するために、動的に確保可能なメモリ領域のことです。 ヒープに対して攻撃される場合は、未使用ブロックの管理における「双方向リスト」というデータ構造を悪用するケースが一般的です。 サイバー攻撃から身を守る対策 最後に、悪質なサイバー対策から身を守るにはどうすれば良いでしょうか?一般的にサイバー攻撃に有効とされる方法は、以下の6つになります。 ログ監視の強化 ソフトウェアやアプリケーションの動作履歴や稼働状況の記録のことで、「ログイン履歴」「アクセス履歴」「ファイルの更新履歴」も、ログに含まれます。 ログを解析することで、悪質なデータの侵入、不正ユーザーの動きを可視化できます。 記録されています。 しかし、ログは一般的に、数字の羅列であり、専門知識がなければ読めません。 ログ監視ツールなどの専用ソフトウェアを使うことで、専門知識がない人でも分かりやすくログを監視できます。 OSのアップデート/各ソフトウェアのアップデート OSは、脆弱性対策のために、定期的にセキュリティホールを塞ぐパッチプログラムの提供や最新版へのアップデートを推奨しています。 面倒に思わず、アップデートは定期的に実行しましょう。 また、サポートが終了しているWindowsXPなどのOSを使い続ける場合は、こういった脆弱性のリスクが非常に高いことを認識しておきましょう。 また、OS以外にも、パソコンのWebアプリケーション、ブラウザ、WordPressのシステムなど、アップデートするものは多岐にわたります。 社用でスマホを使用する場合も、パソコンと同様に、アプリ、ブラウザ、OSでそれぞれアップデートが必要です。 ウィルス対策ソフトの導入 ウィルス対策ソフトを導入することで、ウィルスやマルウェアの侵入を未然に防ぐことができます。 ウィルス対策ソフトは、一般的に、不正アクセスを行うハッカーの検知・防御、感染されたファイルの隔離、不正アクセスの履歴記録などの機能を備えています。 ただし、全てのサイバー攻撃を防御できるわけではないので、他の対策と合わせて活用しましょう。 ウィルス対策ソフトの代表的なツール一覧• ESETインターネットセキュリテイ• ノートン360スタンダード• ウィルスバスター• マカフィー リブセーフ 特定のページをフィルタリングする クラウドサービスやSNS、メールアカウントへのアクセスを制限することで、機密情報が流出するリスク最小限にとどめることができます。 このように特定のサイトを閲覧不可にする方法を「ブラックリスト方式」、反対に、閲覧可能なサイトだけ指定し、残り全てにアクセス制限をかけることを「ホワイトリスト方式」と呼びます。 ただし、フィルタリングをかけすぎると、業務効率が下がる恐れがあるので、通常はカテゴリごとでアクセス制限を行う「カテゴリフィルタリング方式」が採用されます。 まとめ サイバー攻撃は、日々IT技術とともに進化しています。 最新のサイバー攻撃の動向を常にチェックし、対策を行うことが重要です。 サイバー攻撃は大手企業だけが狙われるものではなく、中小企業や個人に対しても知らぬ間に行われています。 「明日は我が身」の心構えで、日々セキュリティ対策できていますか?当記事を参考に、今一度、サイバー攻撃の対策を見直してみてください。

次の

マルウェアに感染! ……そのときデバイスは? [マカフィーセキュリティニュース]

デバイスが感染しておりサイバー攻撃

忠鉢氏:サイバー攻撃はばら撒き型と標的型に二分されますが、ばら撒き型についてはメールを入口とした攻撃が増えています。 添付ファイルを開くとマルウエアに感染してしまうというものです。 最近はこの添付ファイルの多くが Word ファイルや Excel ファイルといった Office ドキュメントになっています。 exeファイルを対象とする従来のアンチウイルスソフトだけでは対処が難しくなっているのが現状ですね。 標的型攻撃についても同様で、Office ドキュメントが入口になっています。 攻撃者がここを攻撃すると強い意志を持って仕掛けてくるケースでは、さらにアンチウイルスに検知されないようにウイルスを作り込んできますから、攻撃を受けた時点ではなかなか気づくことはできません。 九嶋氏:つまりばら撒き型にせよ、標的型にせよ、アンチウイルスソフトでは対策できないということですね。 それは私たちの認識とまったく同じです。 現代のサイバー攻撃はテクニカルに防ぐことはできませんし、添付ファイルをうっかり開いてしまうという人の心の隙、いわば人間の脆弱性にも起因しています。 完全な対策は困難ということですね。 忠鉢氏:そういっていいと思います。 九嶋氏:それに加えてHPが注目しているのは、低レイヤーに入ってこようとする攻撃です。 アプリケーションやOSの防御は最近ではかなり強固になっていますが、対策があまりされておらず、かつ一度入り込まれると見つけにくく、マルウエアにとって居心地がいいのがBIOSやファームウエアといった低レイヤー領域なのです。 忠鉢氏:BIOSやファームウエアを狙った攻撃というのは、観測事例としてはそれほど多いわけではありません。 ですが、今はまだ多くないというだけで、今後増える可能性があるし、過去に観測されていないということは、今のアンチウイルスでは見つけられない可能性が高いという見方もできます。 過去にばらまかれていたものなら参照すべきデータがたくさんあるので、それらをベースにルールを作ったり学習したりできますが、それがないのですから。 九嶋氏:HPではこの問題に対して、自己回復型BIOS「HP Sure Start」という機能を用意しています。 もうひとつ、検知されないように作り込まれた攻撃、つまりゼロデイ攻撃も重要です。 1日に35万種もの新しいマルウエアが登場しているといわれる今、何を考えなければならないのか。 オペレーションを止めないという観点での施策が必要になっていると私たちは考えています。 忠鉢氏:インシデント対応の現場でも、お客様にもっとも要求されるのはシステムを早く再稼働させたいということです。 ところが、まずどこまで感染しているのかを調べなければ対処できません。 その間、ビジネスが止まってしまうのですから、中小企業にとっては大きなダメージになります。 九嶋氏:最近はオペレーション停止のためにシステムの破壊そのものを目的とした攻撃も増えてきています。 焦点になるのは攻撃を受けてウイルスやマルウエアに入ってこられた後にどうするのか、ということになるでしょう。 狙われてしまう中小企業とは 九嶋氏:HPでは2016年頃からデバイスのセキュリティが大事だというメッセージを出し続けており、重要インフラを担う大手企業のお客様にはそれが浸透し始めているという感触があります。 その一方で、中小企業のお客様には今ひとつ伝わっていないようにも思います。 忠鉢さんがコンサルティングをされている中で、中小企業のお客様のセキュリティに対する意識はどのように変化していると感じられていますか。 忠鉢氏:これは両極端ですね。 攻撃されて被害を受けた経験のある企業の中には、大手企業も顔負けのセキュリティ対策をとっているところもあります。 そうかと思えば、やられてしまってもPCやシステムを初期化すればいいじゃないかという企業もあります。 そういう考え方はなくはないでしょう。 でも、それで大丈夫だと思っているのは自分たちだけで、周囲の要求というものが認識できていないともいえます。 九嶋氏:そうですね。 NIST SP800シリーズのような国際的セキュリティのガイドラインの必要性が認知され、たとえば防衛関係の企業であれば、一定水準のセキュリティ要件を満たさない企業はサプライチェーンから閉め出されてビジネスができなくなるということも現実になりつつあります。 周囲の要求は今後高まる一方だと思います。 これはビジネス環境の構造を考えれば当然の話で、どんな企業も仕入先や納品先などとつながってビジネスを成立させています。 攻撃者は重要な情報を持つ大手企業を最終的なターゲットに、そこを攻撃する踏み台として中小企業を狙っています。 忠鉢氏:強固なセキュリティ対策を施した大手企業を直接狙うよりも、対策の甘い中小企業、サプライチェーンの弱い部分を狙うほうが費用対効果は高いですからね。 もし攻撃を受けて情報流出という事態になり、それがマスコミに取り上げられたりすれば、やられてしまうところなんかに仕事を出せるわけがないと思われて、次の仕事はなくなってしまうでしょう。 九嶋氏:中小企業の場合なら、いきなり資金繰りが困難になってしまうなど、会社の存続に関わりかねません。 ましてや、ずっと気づかずにいたら、自分たちが加害者として被害を拡大させてしまうケースも有り得ます。 忠鉢氏:そうですね。 セキュリティに対する意識が低く、周囲の要求が変わりつつあるという状況の変化にも気づいていない、そういった企業は絶好のターゲットになってしまうと思います。 九嶋氏:ところで、大手企業顔負けのセキュリティ対策をとっている中小企業は増えているのですか。 忠鉢氏:少しずつ増えてはいるのでしょうけれども、新しい会社がどんどんできているので、割合でいえばそう大きくは変わらないのではないでしょうか。 入口の防御を固める意義 九嶋氏:最後に、忠鉢さんの立場から、デバイスセキュリティの重要性をどう捉えているのか、お聞かせください。 忠鉢氏:やはりシステムの入口となるのはデバイスですから、そこで異変を検知できるように備えておくことは重要です。 端的にいえば新しいものを使うことでしょう。 当社の観測範囲内でも、Windows 7 には通用する攻撃が Windows 10 には通用しないというケースは非常に多く見受けられます。 Windows 7 は終売となり、サポートも終了していますが、残念ながら未だに Windows 7 を使っている企業は少なくありません。 新しいものであればあるほど、攻撃が失敗に終わるということはいえると思います。 九嶋氏:そのご指摘は非常に重要なことを示していると思います。 Windows 10 は標準機能でハードディスクドライブ暗号化、生体認証、ファイアウォール、さらにディフェンダーというアンチウイルス機能も搭載し、防御は強固になっています。 さらに、それだけではフォローしきれない部分や新しい脅威についても、HPビジネスPCが備えるセキュリティ機能でカバーできます。 たとえば「HP Sure Run」では、OSのセキュリティ機能がオフにされても、自動でそれを検知して再起動します。 箱から出した時点で安全なPCということで、コストと手間を掛けずにセキュリティのベースラインを上げることができます。 忠鉢氏:確かに「HP Sure Run」は有効な機能と思います。 それから冒頭でお話した悪意のあるメールの添付ファイルを、仮想ブラウザに封じ込めることができる「HP Sure Click」もデバイスを守るという意味ではおもしろい機能だと思います。 九嶋氏:米国国防総省では従来の境界防御ベースのものでは守ることのできない攻撃に備えて、新しい技術的な枠組みのひとつとして封じ込め技術を重視しています。 「HP Sure Click」はこの最先端の技術を中小企業向けにアレンジし、どなたにでも使える機能としてビジネスPCに組み込んだものです。 忠鉢氏:もはやアンチウイルスだけでは守りきれない、プラスアルファが必要ということははっきりしています。 その点、PCを入れ替える初期導入コストだけでそのプラスアルファが手に入るのはとても魅力があります。 それらの機能の運用コストはどうなっているのですか。 九嶋氏:Sureシリーズと呼んでいる一連のセキュリティ機能はビジネスPCに標準搭載しているので、追加投資はゼロです。 運用負荷も「HP Sure Click」はユーザーによる簡単な設定が必要ですが、「HP Sure Start」や「HP Sure Run」は機能を有効にするだけで、後は管理の手間もかかりません。 九嶋氏:何も対策せずにいるよりも、対策したほうがやられてしまうリスクは圧倒的に下がるのですから、会社を守る、ビジネスを守るという観点からも、取り組んでいただければなと考えています。 忠鉢 洋輔 氏 プロフィール 国立鶴岡工業高等専門学校から筑波大学に編入、仮想マシンモニタとそれを用いたマルウエア対策に関する研究を博士後期課程まで続ける。 2014年に同課程を退学、標的型攻撃対策製品を手がける研究開発ベンチャーに入社しその後、株式会社アクティブディフェンス研究所として起業し今に至る。 世界的に著名なハッカーカンファレンスであるBlack Hatなどで多数の講演を行う。 経済産業省が次世代を担う高度IT人材育成に向けた取り組みとして2004年に立ち上げたセキュリティ人材育成プログラム「セキュリティ・キャンプ」の2005年卒業生。 その後チューター、講師としても「セキュリティ・キャンプ」に関与し続けている。 33歳。 株式会社アクティブディフェンス研究所 サイバーセキュリティに関する攻撃・防御技術の研究と自社サービス開発をコア事業とするベンチャー企業。 最新のマルウエア対策研究、マルウエア自動解析、マルウエアによるサイバー攻撃の脅威情報収集、IoTセキュリティ診断をはじめ、サイバーセキュリティ領域において幅広い事業を展開中。

次の

iPhoneの「デバイスが感染しておりサイバー攻撃」の解決方法!

デバイスが感染しておりサイバー攻撃

「Mirai(ミライ)」とは何か? 2016年9月、著名なセキュリティ情報ブログ「Krebs on Security」が、大量のパケットを送り込むことでサービスをダウンさせる、いわゆる「 DDoS攻撃(Distributed Denial of Service attack)」の被害に遭い、サーバがダウンしました。 問題はその攻撃の規模で、同サイトに向けて665Gbpsもの帯域がDDoS攻撃に使われたとみられており、これは当時史上最大規模のものでした。 この665Gbpsものトラフィックをどのように作ったのでしょうか。 実はその攻撃は、ルーターやWebカメラなどのネットワーク接続機能を備えた機器(ここでは、これらを含めた機器を「IoTデバイス」と定義します)をターゲットにしたマルウェア「 Mirai(ミライ)」によるものだと考えられています。 この攻撃とほぼ同時期に、フランスのホスティングサービス「OVH」に対しても、ピーク時に1Tbpsを超えるDDoS攻撃が観測されており、大規模攻撃を可能とする「 ボットネット」の登場が注目されました。 そして、2016年10月にMiraiのソースコードがインターネット上の掲示板サイトに公開されたことで、その手口が明らかとなりました。 今回はこのマルウェア、Miraiが引き起こしたインシデント内容とそのソースコードから、IoTデバイスの開発などに携わるエンジニアやベンダーが考えるべきポイントを探ります。 ボットネットとは? Miraiを紹介する前に、まずはボットネットとは何かを学びましょう。 ボットネットは、多数の攻撃可能な機器が、攻撃対象のサーバへ一斉に通信を行い、サーバ負荷をかけるという攻撃アプローチをとります。 Webブラウザの「F5アタック」のようなイメージですね。 これを利用することで、ある攻撃対象サーバに特定のパケットを大量に送り付け、攻撃対象サーバの負荷を増大させてリソースを枯渇させることで、サービスを正常に提供できない状態に陥れます。 なぜこのような仕組みを作るのでしょうか。 実は、このボットネットはブラックマーケット(闇市場)で売れるのです。 サイバー犯罪者はマルウェアを多数の機器に感染させて、それらをボット化して、ボットの集合体であるボットネットのコントロール権を利用者に対して時間貸しで販売するのです。 これにより、サイバー犯罪者は金銭を得ることができ、利用者は自分たちに技術力がなくてもあるターゲットに対してサイバー攻撃を仕掛けることができるのです。 ボットネットはブラックマーケットで販売されるだけでなく、「負荷テストツール」という表現で堂々と提供されている場合もあります。 このように、犯罪者が金銭目的でボットを作成し、それを簡単に利用できることでエコシステムが出来上がっているのです。 Miraiはそのボットネットを構成するマルウェアで、C&Cサーバ機能、クライアント機能が備わっていました。 そして、ボット化の対象がLinuxで動作するIoTデバイスであったことが大きな特徴で、それが今回のような大規模なボットネットを構成し、史上まれに見る規模の攻撃が成立しました。 参考リンク: ソースコードから見える「Mirai」の姿 2016年10月、Miraiの作者とみられるAnna-senpai(ハンドルネーム)が突如として、そのソースコードを公開しました。 そのソースコードから、Miraiの感染手法などが明らかになりました。 まず、MiraiはランダムなIPアドレスに対して感染先を探します。 感染できるデバイスを見つけ出し、感染可能な端末にログインして、ボットをダウンロードさせます。 Miraiに感染した端末は、その周囲に感染できるデバイスがあったとき、telnetで接続し、例えば「admin/admin」「root/123456」「guest/guest」といった、多くの機器がデフォルトで設定していそうなID/パスワードでログインを試みます( 辞書攻撃)。 万が一ログインされてしまった場合は、その端末自身もMiraiに感染して、さらなる感染可能な端末を探すようになります。 そして、Miraiに感染してしまった端末は、C&Cサーバからの指示を待ちます。 攻撃はUDP(User Datagram Protocol)パケットを送り付ける「 UDPフラッド」、HTTPリクエストを大量に送り付ける「 HTTPフラッド」、DNSの名前解決の仕組みを利用して負荷をかける「 DNSリゾルバフラッド」など多数あり、その中には特定のゲームエンジンに対する攻撃も含まれていました。 Miraiのソースコードからは、かなり高機能なボットネットを構築できることが読み取れます。 性能面ではPCに劣りますが、インターネットに接続されたIoTデバイスの数は世の中に大量にあります。 そのため、ランダムなIPアドレスに対する攻撃であっても多くの機器が感染してしまう可能性が高く、実際に今回のような巨大なボットネットが形成されてしまったのです。 図1 Mirai Botnetのシステム構成(出典:Internet Infrastructure Review[IIR]Vol. という記載があります。 また、Miraiの通信は平文で行われているため、IDS/IPS(侵入検知・防御システム)での監視も可能です。 まずは自社のネットワークが「ボットネットの攻撃に加担していないか」を確認してみてください。 図2 Mirai Botnetの検知と対策(出典:Internet Infrastructure Review[IIR]Vol. これはもはや「 バックドア」であり、メーカー/ベンダーの問題としてクローズアップされるべきものです。 特に、パスワードに関する取り扱いには注意すべきで、文字数/文字種の制限なく利用者が自由に変更可能であることや、デフォルトパスワードのまま運用しないよう、製品出荷時から個体ごとにパスワードを変える、もしくは初回ログイン時に必ずパスワードを変更させるなどの仕組みを取り入れるべきでしょう。 例えば、パスワードが8文字までで設定されていたり、英文字だけだったり、デフォルト固定のままだったりすると、今回のようなボットネットに組み込まれるリスクがあります。 また、通信が平文で行われているという点にも着目すべきでしょう。 telnetやHTTPは平文での通信ですので、SSHなどで通信を暗号化するように製品を設計すべきです。 そして、バックドアと捉えられかねない、マニュアルに記載のないtelnetポートが存在することのないようにしましょう。 Miraiはソースコードが公開されたことで、その挙動や対策が明らかになりました。 しかし、それは攻撃者にとっても大きなヒントとなり、Miraiを改造したものと思われる新たなマルウェア(亜種)が登場する可能性も大いにあります。 新たな攻撃を止めるには、対症療法ではなく「 IoTデバイスの設計段階で、セキュリティをデザインすること」が重要です。 現在では、IoTデバイス開発のガイドラインも多数登場しています。 これらを参考にして、便利で安全なIoTデバイスを世に送り出してください。 関連記事• 「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策。 しかし、堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学をお届けします。 今回は、エンジニアであれば知っておきたいIoT機器のセキュリティ対策の考え方やアプローチについて取り上げます。 製造業に革新をもたらすといわれる「IoT(Internet of Things)」。 スマート化された工場の明るい未来だけがフォーカスされがちだが、ネットワークにつながることでもたらされるのは恩恵ばかりではない。 本インタビュー企画では、製造業IoTを実現する上で重要となる「セキュリティ」にフォーカスし、製造業IoTで起こり得るセキュリティインシデントとその対策について紹介する。 今回は、既設/新設工場向けに、現場ニーズに適した各種セキュリティソリューションを提供するトレンドマイクロに話を聞いた。 製造業に革新をもたらすといわれる「IoT(Internet of Things)」。 スマート化された工場の明るい未来だけがフォーカスされがちだが、ネットワークにつながることでもたらされるのは恩恵ばかりではない。 本インタビュー企画では、製造業IoTを実現する上で重要となる「セキュリティ」にフォーカスし、製造業IoTで起こり得るセキュリティインシデントとその対策について紹介する。 第1回は、製造業向けにも多くのソリューションを提供しているカスペルスキーに話を聞いた。 もはや製造業にとっても人ごとではないサイバー攻撃による脅威。 現在、国内企業において注意すべき脅威は何か? 2016年11月までの最新の調査データを基に、トレンドマイクロが2016年の国内サイバー犯罪の動向と、今後注意すべき動きについて解説した。 関連リンク•

次の