攻撃者が利用する不正侵入の常とう手段とは 最大の弱点は「人」、米Verizonが指摘:この頃、セキュリティ界隈で
セキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。
取引先や関連会社との関係を悪用されて不正アクセスの被害に遭ったり、ランサムウェアに感染して身代金を脅し取られたりする企業が後を絶たない。そうした攻撃を招いたセキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。
標的は「サプライチェーン」
調査対象としているのは、世界で報告されたセキュリティインシデント2万3896件。うち5212件で侵害が確認され、中でもランサムウェアが関係する事案は前年に比べ13%増えて過去5年の合計を上回った。
侵害の手口をみると、信頼関係や取引関係を悪用するサプライチェーン攻撃が目立っている。特にシステム侵入事案は62%が取引先などのパートナー経由で発生していた。これは2020年に発覚したSolarWinds経由のサプライチェーン攻撃の影響が大きいという。この攻撃では管理ソフトの正規の更新版にマルウェアが仕込まれてていたために発見が遅れ、大手企業や政府機関にも被害が広がった。
「サイバー犯罪集団にとっては、適切なパートナーを侵害すれば威力が何倍にも増える。これはサプライチェーンのセキュリティ対策に関して多くの組織が直面している困難を物語る」(Verizon)
サプライチェーン攻撃と並んでランサムウェアの被害も深刻だ。だが脅迫の手口が巧妙化する一方で、狙った組織にランサムウェアを仕込む手段にはそれほど多様性はないとVerizonは言う。今回の調査では、ランサムウェア事案の40%にデスクトップ共有ソフトウェアが利用され、35%は電子メールが利用されていたことが判明。
「攻撃者は相手のネットワークにいったん侵入するとさまざまなツールを利用するが、外部と接触するインフラ、特にRDPと電子メールを厳重に守れば、ランサムウェアから組織を守るうえで大いに役に立つ」(Verizon)
サイバーセキュリティ最大の弱点は「人」
こうした不正侵入を許す原因としてVerizonは、組織のサイバーセキュリティ対策における最大の弱点として、「人」を挙げている。
今回の調査対象とした侵害事案のうち25%は、狙った相手をだますソーシャルエンジニアリング攻撃が始まりだったという。これには不正なリンクをクリックさせてパスワードなどを入力させようとするフィッシング詐欺や、取引先や経営者になりすまして相手を操るビジネスメール詐欺が含まれる。
そうした攻撃に加えて、クラウドストレージの設定ミスといった人為ミスや、特権の誤用を合わせると、侵害事案の82%に人的要素が絡んでいることが分かった。「資産管理や脆弱性スキャナーだけではこの問題は解決できない。それよりも、人の行動を変える必要がある」とVerizonは強調する。
設定ミスやアクセス管理の甘さといったセキュリティ対策の不備が不正侵入を招いている実態は、米国や欧州などのサイバーセキュリティ機関が5月に発表したアドバイザリーでも指摘していた。
サイバー攻撃によく利用される5つの手段
同アドバイザリーでは、攻撃者が標的に対して最初のアクセスを確立する目的でよく利用する手口として以下の5項目を挙げ、それぞれについて具体例や対策を紹介している。
- インターネットに接続されたコンピュータやプログラムの脆弱性悪用
- VPNやRDPなど、外部から社内ネットワークへの接続を目的としたリモートサービスの悪用
- メールやSNSを使って相手をだますフィッシング
- システム管理やクラウド環境管理を担うITサービス業者との契約関係など、信頼関係の悪用
- 正規の認証情報を使ったアカウントの侵害
関連記事
- ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭
ランサムウェアによる被害は以前から継続してあるが、その攻撃手法は大きく変わってきた。近年問題になっているのは、人間がシステム内部に侵入して作業する「システム侵入型ランサム攻撃」が増えており、対策のためにも知識のアップデートが必要だ。 - リモートデスクトップ経由で侵入か 人事システムにランサムウェア攻撃 社員の給与情報など暗号化
DM発送事業などを手掛けるヴィアックスの勤怠・人事給与管理システムにランサムウェア攻撃。従業員1871人分、退職者2167人分などの情報が暗号化されたと発表した。攻撃者に身代金を要求されたという。 - 富士通の“政府認定クラウド”への不正アクセス、ユーザーのメール本文なども盗まれた可能性 復号されたパケットがロードバランサーを通過
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、新たにユーザーのメールアドレスやメール本文なども窃取された恐れがあることが分かった。 - “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。 - 画像生成AIが独自の“AI語”を生み出した? 「DALL-E 2」を巡って、米テキサス大学が論文発表
AIが人間の言葉ではない独自の言語を生成した──米テキサス大学の研究チームはそのような研究結果を示す論文を発表した。画像生成AIが生み出す文字列は意味不明なものであると思われていたが、それらの言葉は鳥や野菜などの意味を持つ“AI語”であったという。
Copyright © ITmedia, Inc. All Rights Reserved.