「ありがちなセキュリティ設定ミス」トップ10、米国の安全保障機関が発表 あなたの組織は大丈夫?:この頃、セキュリティ界隈で
米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。
米国家安全保障局(NSA)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。政府機関や民間企業を対象とするセキュリティ診断や、実際のサイバー攻撃に使われた手口に基づきまとめたもので、それぞれについて具体的な対策も紹介している。
政府機関や自治体、企業に対する侵入テストを通じて組織のセキュリティ診断を行っているCISAの「レッドチーム」と、戦略的脆弱性評価を手掛ける「ブルーチーム」の活動、さらにはインシデント対応の実績を通じ、多くの組織に共通する体系的弱点を洗い出している。
サイバー攻撃に利用されやすいセキュリティ設定のトップ10として挙がった不備は以下の通り。
- ソフトウェアやアプリケーションがデフォルト設定のままにである
- ユーザーと管理者権限の不適切な分離
- 内部ネットワークの監視不足
- ネットワークセグメンテーションの欠如
- パッチ管理の不備
- システムのアクセス制御をかわされる問題
- 多要素認証(MFA)の甘さや設定ミス
- ネットワーク共有やサービスにおけるアクセス制御リスト(ACL)の不適切な設定
- 破られやすいパスワードの使用や平文によるパスワードの保管など、不適切な認証情報の管理
- 実効可能ファイルやHTMLアプリケーション、マクロといったコード実行の無制限状態
デフォルト設定によるリスクは?
リストの筆頭に挙げられたデフォルト設定は、多くのソフトウェアやネットワーク機器などに存在する。管理者アカウントにアクセスできるデフォルトの認証情報は、簡単なネット検索で発見できてしまう。
デフォルトのVPN認証情報を利用して内部ネットワークに不正アクセスしたり、公開されているセットアップ情報を使って管理者用の認証情報を特定し、アプリケーションやデータベースに不正アクセスしたりする手口は、実際の攻撃や侵入テストに使われているという。
ネットワーク機器だけでなく、プリンタやスキャナー、防犯カメラ、会議室のオーディオビジュアル機器、VoIP電話、IoTデバイスにもデフォルトの認証情報が使われていることもあるので注意が必要だ。そうした機器が不正アクセスの糸口として利用される恐れもある。
それを阻止するためには、サービスやソフトウェア、機器などを本番環境に導入する前に、ベンダーが設定したデフォルトのユーザー名とパスワードを変更するか、デフォルトの設定を無効にする必要がある。
こうした弱点を突かれて侵入を許した場合、ユーザーと管理者権限が適切に分離されていなければ、攻撃者がネットワーク内部を移動して幅広いデバイスやサービスにアクセス可能になる。特定のアカウントに過剰な特権が与えられていたり、必要がないのに特権アカウントが使用されていたりするケースがそれに当たる。アプリケーションからリソースへのアクセスに使われるサービスアカウントの特権が悪用されることもある。
また、ネットワークトラフィックやエンド端末のログ記録に対する監視が不十分だったり、ユーザーとプロダクション環境と重要システムを隔てるセグメンテーションが欠如していたり、パッチ管理が行き届かずに脆弱性が放置されたりしていた場合、被害はさらに拡大しかねない。
「そうしたセキュリティ設定の不備は、サイバー態勢が整った組織にも体系的な弱点があることになる」とCISAなどは指摘する。対策として「デフォルトの認証情報の排除と設定の強化」「使用していないサービスの無効化とアクセス制御の実装」「定期的なアップデートとパッチ適用の自動化、悪用が確認されている既知の脆弱性パッチの優先適用」「管理用アカウントと特権の削減、制限、監査、監視」などを挙げた。
詳細については、それぞれの弱点ごとに具体的な内容やネットワーク診断の課程で見つかった問題を解説し、対策をまとめている。また、ソフトウェアメーカーに対しては「ネットワーク防御の負担を軽減するため、設計段階からセキュリティを念頭に置く『セキュア・バイ・デザイン』を取り入れることが重要だ」と提言した。
関連記事
- 権限管理をミスると本当にまずいぞ! マイクラで学ぶ「権限昇格の脆弱性」と「認可」
ネットを見ているとたまに「子供がMinecraftで友達とマルチプレイしたいというから、サーバ管理を学ばせてみた」というエンジニアの子育てエピソードを見かける。本連載では実際にMinecraftサーバを建てながら、サーバ管理の仕事とコツについて学ぶ。 - サーバダウンはなぜ起きる? AWSやMicrosoftでも発生、原因と対策は
クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。 - 全銀ネットでシステム不具合 三菱UFJやりそななど、11の銀行で振込できず 原因、復旧時期不明
全国銀行資金決済ネットワーク(全銀ネット)は10月10日、全国銀行データ通信システムで不具合が発生していると発表した。 - 警視庁、サイバー攻撃集団「BlackTech」に注意喚起 日本のIT企業など標的、海外子会社のルータから侵入も
警察庁などは、日本のIT企業などをターゲットに攻撃を繰り返している、中国を背景にしたサイバー攻撃グループ「BlackTech」の手口と対策について、米連邦捜査局(FBI)などと共同で注意喚起した。 - 米国政府から突然メールがきた? 有名ドメインでなりすましメールを送る攻撃 米研究者が発表
カリフォルニア大学サンディエゴ校などに所属する研究者らは、政府や主要な金融機関、報道機関など有名なドメインになりすまして電子メールを送る攻撃を提案した研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.