検索
連載

なぜ多機能な製品は、セキュリティ的に“ダメ”なのか半径300メートルのIT

昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。

Share
Tweet
LINE
Hatena

 GMOサイバーセキュリティ byイエラエの阿部慎司氏が、同社の「YouTube」チャンネルでランサムウェアの実情を語る動画を公開しました。昨今の事情を含めて解説する内容に、うなずきながら拝見しました。

 特に警察庁による「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の統計で出てきているように、もはやランサムウェアは中小企業の被害が多いこと、そして侵入経路はかつての電子メールやWeb経由ではなく、VPN機器やリモートデスクトップツールの脆弱(ぜいじゃく)性を悪用した侵入であることはしっかりと把握しておくべきだと思います。ぜひチェックしてみてください。

専門家が解説!ランサムウェアの実情とそれに負けない4つの対策ポイント、身代金支払いについて(出典:GMOサイバーセキュリティ byイエラエのYouTubeチャンネル)

いつまでたってもなくならないVPN機器の脆弱性 その背景にあるもの

 ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。

 かつてネットワークベンダーの間では「UTM」(Unified Threat Management:統合脅威管理)製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場では、パフォーマンスの問題からセキュリティに関連する機能をオフにし、高級なルーターとして使われたことが多かったとも聞いています。確かにブームの頃は、特に中小企業であればUTMを入れることで防御ができるとアピールするベンダーも多くいました。さて、今ではどうでしょうか。

 大きな問題は、これらのネットワーク機器に関するアップデートが進んでいなかったことにあると思っています。恐らく、ネットワーク機器は一度動き始めれば、手を加えたくないということも大きな理由のはずです。高機能なUTMであれば、それなりにアップデートが定期的に実行されていたはずですが、それが正しく適用されていないことが、現状のランサムウェア事案の根幹にあるのかもしれません。

 この他、UTM導入後、セキュリティ関連機能をオフにして使っていたにもかかわらず、コロナ禍などで仕方がないとはいえ急にリモートアクセスが必要となり、ポリシーを考えずにVPN機能をオンにしてしまったケースもランサムウェアの被害を拡大させた要因と言えるでしょう。

“多機能であること”がセキュリティではマイナスに働いている

 この他、サイバー攻撃被害が拡大する要因として製品の多機能化も挙げられるでしょう。多機能であることはコードが多いということであり、つまり脆弱性が含まれる可能性も高まるということです。Twitterの元CISOであるピーター・ザトコ氏がWithSecure主催のイベント「SPHERE 23」に登壇した際、セキュリティソリューションのコードの増大こそが攻撃の温床になっているという話をしていました。


ザトコ氏は講演で、セキュリティソフトのコードベース(上図の青線)は1000万行を超えるレベルに複雑化しているのに対し、攻撃者が作り出しているマルウェアのコード(上図の赤線)は12万5000行程度と比較的少ない、シンプルな構成になっていると述べた(出典:WithSecure主催のイベント「SPHERE 23」でのザトコ氏の講演「Myths of Cyber Security」より)

 個人的にも、特に家庭用ルーターはもっとシンプルに、セキュアになってくれないかと期待しています。しかし、そういったものがもし出てきたとしても、プロモーション的に売れるようなものになるとも思えません。企業向けの製品であればほんの少しだけ期待が持てるかもしれませんが、果たして私たちは「他の製品よりも機能が少なく、マルバツ表で劣勢に見える製品」を選択できるのでしょうか。これは、なかなか難しいでしょう。

 UTMがウケたのは、まさに多機能であったことが理由でしょう。しかし、もはやセキュリティの観点では、多機能であればそれだけ、アップデートや脆弱性管理の運用保守に手間がかかると考える必要があります。私たちはそのコストをあまり考えていなかったのかもしれません。今後登場するであろう製品の機能が減ることはないと思うので、結局、正しく運用管理をするしかありません。

 今できることは、冒頭の動画でも述べられている、基本ともいうべきポイントを押さえることにあります。サイバー空間の治安はこれまでにないレベルでひどい状況ですが、これが好転するとも思えません。まずは、自社が用意しているVPNに脆弱性が残っていないかを確認するとともに、侵入されている前提でいかに気付けるかを考える必要があるでしょう。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る