【レポート】気づいたら攻撃されていた…」を防ぐには? クラウド/テレワーク導入が生んだ新たなサイバー攻撃リスクと対策 # Security Days Spring 2023

2023.03.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「気づいたら攻撃されていた…」を防ぐには? クラウド/テレワーク導入が生んだ新たなサイバー攻撃リスクと対策」というセッションのレポートブログになります。

セッション概要

クラウドサービスの活用などにより、これまで企業ネットワークの中に存在していたIT資産はあちこちに分散されるようになりました。またこれに加えて、これらへのアクセス環境もガラリと変化。テレワークの導入により社内だけでなく様々な環境から仕事をするようになったり、これまで現場に直接出向いて行っていた作業を遠隔から行うようになったためです。そんな大きな環境の変化に伴い生じたセキュリティの死角こそが、昨今のサイバー攻撃犯罪増加の大きな要因となっています。 そこで、本講演では昨今のこの劇的な環境変化によって生じた新たなサイバー攻撃リスクについて解説すると共に、これらへの対応策についても詳しくご紹介いたします

スピーカー

(株)網屋

マーケティング部 部長 兼 データセキュリティ事業部 セキュリティサービス部 部長

別府 征英

レポート

増加するサイバー攻撃

  • 警察庁の資料によるとランサムウェア被害は増大している
  • 大企業だけでなく中小企業も狙われている
  • サイバー攻撃による損害
    • 調査・対応費用(原因・影響範囲調査、復旧再発防止)
    • 賠償金発生(被害者がいる場合)
    • 利益損失
    • 金銭被害(身代金要求)
    • 法的対応(罰金や課徴金がかかる場合も)
    • 風評被害
  • 8億円の被害があった企業も
  • サイバー攻撃手法の変化
    • ターゲットを絞っていたため昔は大企業が被害に会うことが多かった
    • 脆弱性のある組織を自動的な探索
    • 組織の規模は関係ないため中小企業も被害に

テレワークを狙うサイバー攻撃

  • 急にテレワークが始まったためセキュリティが不十分
  • VPN機器の脆弱性
  • IDとパスワードを盗み組織のネットワークに侵入
  • パッチ宛をした後にID/パスワードを変更していなかった
  • 認証情報がすでに盗まれており被害にあっていた
  • 感染経路
    • VPN機器からの侵入54%
    • リモートデスクトップからの侵入20%
    • 不審メールや添付ファイル7%

クラウドサービスを狙うサイバー攻撃

  • 初期アクセスブローカー
    • 脆弱性を悪用した攻撃
    • フィッシング攻撃
    • 内部犯行
    • 認証情報を盗み、販売
  • 初期アクセスブローカが不正に入手した承認情報を不正ユーザーが購入
  • ID/パスワードの流出しても多要素認証でブロックしよう

サプライチェーン・海外子会社を狙うサイバー攻撃

  • 大企業はセキュリティがしっかりしているので攻撃者も狙いにくい
  • 子会社等のセキュリティの弱点をついてサプライチェーン攻撃
  • これまでのサイバーセキュリティ対策→境界型防御
  • 現在は守るべき資産があちらこちらに
  • 境界型防御では守れない
  • 攻撃者が境界の中に入ってくることを想定
  • 入ってこられた後に検知ができるようにする
  • 解決策の一つすべてのログを集約し、異常に気づこう

ログの集約

  • 攻撃者の不正侵入
  • 社内ネットワークに侵入後管理者権限を取る
  • 不正アクセス範囲を広げる
  • ログがあると、侵入された後に被害を最小限に抑えることが出来る
  • ログからわかること
    • 認証情報
    • ユーザー名ホスト名
    • リモートIP(国を確認)
    • いつも日本からしかログインしていないのに海外から・・怪しい
    • 深夜のログイン
    • 存在しないPCからのアクセスがないかチェック
    • サプライチェーン海外子会社に関してはネットワーク的につながっているポイントをしっかりチェック
    • 通信量の確認(トラフィック量の変化)
  • 各種ガイドラインでもログ管理の重要性について記載がある
  • ログ管理の2つのフェーズ
    • ログを貯める
    • ログをチェック監視し、サイバー攻撃や内部不正にそなえる
  • ログ管理の課題
    • どのログを取るの?
    • ログの分析方法が分からない
    • ツールを運用するリソースが足りない
    • ログ管理ツールのコストが高い

ALogについて

  • 先日からクラウドサービス用もリリース
  • 特徴
    • WindowsのログならALog
    • Windowsのイベントログを分かりやすく変換
    • ログを翻訳変換することで量を減らしてコスト削減
    • テンプレートの用意
    • 見るべきログのレポートとアラートのテンプレート用意
    • MDRサービス
    • 内部不正の検知も可能
    • システム監査等にも対応
    • 一度入れたログを再変換し検索や分析をより詳しく行うことが出来る
    • AIリスコアリング(通信量の変化に不審なものはないか)
    • 検索スピードアップ(並列処理)
    • IPアドレス制御や二要素認証、暗号化などでログをしっかり守る

最後に

ログは貯めているだけでは仕方ないのでしっかり調査分析をして侵入者にいち早く気が付くことが大切ですね。攻撃者から企業の資産を守りましょう。