コンピュータウイルス・不正アクセスの届出事例[2023 年上半期(1 月~6 月)]

  • 利用している VPN装置に存在した脆弱性を悪用され、外部からの侵入を許してしまったことが原因で発生ている不正アクセス
    • 脆弱性や設定不備を悪用される
    • ID とパスワードによる認証を突破される
    • 身代金を要求するサイバー攻撃を受ける
  • CMS(Contents Management System)の脆弱性を悪用された事例が最も多かった
  • ウイルス
    • Emotet
      • メールアカウントやメールデータ等の情報窃取に加え、他のウイルスへの二次感染のために悪用されるウイルス
      • 不正なメール(攻撃メール)に添付される不正なファイル等から感染拡大する
      • 対策
        • 「添付ファイルを開かない」
        • 「URL リンクにアクセスしない」
        • 「マクロを有効にしない」
  • 身代金を要求するサイバー攻撃
    • 次に示す組織内ネットワークの侵入対策が漏れなく実施できているか、点検することを勧める。
      • 攻撃対象領域(Attack Surface)の最小化
      • アクセス制御と認証の強化
      • 脆弱性対策
      • 拠点間ネットワークの強化
      • 攻撃メール対策
      • 内部対策(ログ管理やネットワーク監視 等)
  • 脆弱性や設定不備を悪用された不正アクセス
    • VPN 装置のように、組織において重要度の高い機器の脆弱性対応は、業務影響の検証等で負荷が大きく、容易に修正プログラムの適用を行うことは難しい
      • 機器の脆弱性の管理が確実に実施できるように管理体制について見直しを実施していただきたい
        • あらかじめ修正プログラムを適用するための計画の策定やリソースを確保する
        • ベンダからの脆弱性情報が漏れなく収集
        • 脆弱性を確認した際に影響の調査と対策の実施が速やかにできる運用
  • ID とパスワードによる認証を突破された不正アクセス
    • 総当たり攻撃(ブルートフォース攻撃)により、認証を突破されたことが原因と推定している事例が多数
    • 総当たり攻撃(ブルートフォース攻撃)におけるシステム的な対応
      • アクセス元の制限やログイン試行回数の制限
        • ログインは特定の国や端末からのアクセスのみに制限
        • ログイン試行を繰り返し行えないようロックアウト機能を設定
      • ワンタイムパスワード等の多要素認証、CAPTCHA を活用することも検討
  • クレジットマスター攻撃
    • クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す不正な行為を指す言葉
      • クレジットカード番号は、クレジットカード会社を識別するための番号と個人用の番号といった、ある程度固定化された文字列で構成されており、有効期限やセキュリティコードについても、パターンが限られている
    • EC サイトがクレジットマスター攻撃の被害
      • サーバが高負荷の状態にされたため、EC サイトの運営に支障が生じた
      • カードが利用可能か確認する際に発生する費用が増大したことで、金銭的な被害も発生
    • 事例の対策としては、ECサイトにおけるアクセス制御や試行回数の制限に加え、3Dセキュア等の本人認証機能の導入
    1. 事例:サプライチェーン攻撃で発生した複数企業での個人情報漏えいの被害
      • 発見経緯
        • サーバ内の正規ファイルに不正なコードが書き込まれていること、また、不正なファイルが設置されていることが判明
      • 被害原因
        • 内部管理用プログラムファイルの公開設定の不備
        • コマンドインジェクションの脆弱性の内在
      • サービス提供者が独自に開発したものにコマンドインジェクションの脆弱性が存在 * 被害対応 - 技術的対応
      • 侵害を受けたサーバの停止
      • 改ざんされたファイルの不正コード及び設置された不正ファイル、バックドアの削除
        • [疑問]不正ファイル、バックドアはどのように発見できるのか不明
      • 侵入経路の閉鎖
        • (AWSだったら)VPC、セキュリティグループの設定
      • セキュリティソフトによるスキャン
        • [疑問]どのように行うべきか不明
      • サーバの再構築
      • 外部業者によるフォレンジック調査
      • [TODO]読む - CSPM(Cloud Security Posture Management)|セキュリティ用語解説|NRIセキュア
      • クラウドインフラストラクチャのセキュリティリスク低減を目的(ソリューション)とするもので、主な機能としてクラウドサービスの設定を継続的に評価する
      • AWSでは AWS Security Hub が該当 - 安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
      • [TODO]読む - 攻撃を早期に発見するために
      • WAF、IPS(Intrusion Prevention System)、XDR(Extended Detection and Response)の導入
        • [IPS(不正侵入防止システム) サイバーセキュリティ情報局](https://eset-info.canon-its.jp/malware_info/term/detail/00124.html)
          • ネットワークやサーバーを監視し、不正なアクセスを検知して管理者に通知する役割、検知した通信を遮断する役割を担う(IDSの上位版)
      • 改ざん検知システム/サービスを活用
        • [疑問]何を利用すれば良いか不明
      • ログやネットワークを日常的に監視する体制を構築するなどといった組織的な対策
    1. 事例:ソフトウェア配布サイトから取得したツールのプロキシ機能に起因する不正アクセス被害
      • 発見経緯
        • 企業のグローバル IP アドレスが、外部のインターネットバンキングにおいて発生した不正アクセス事案のアクセス元になっていた。
        • 第三者の通信を中継する機能を持ったツールがインストールされており、攻撃者がその機能を利用していたい。
      • 攻撃の流れ
        • ソフトウェア配布サイトからダウンロードしたソフトウェアに不正ツールがバンドルされていた
      • 被害原因
      • PUPとは、セキュリティベンダーのMcAfeeが用いている、悪意のある有害な可能性のあるプログラムを総称した呼び名である。 - Residential Proxy(レジデンシャルプロキシ)とは?【解説】 | PROXY NAVI
      • Residential Proxy(レジデンシャルプロキシ)とは、住宅用IPとよばれることもあり、商用目的でインターネットサービスプロバイダ(ISP)から提供されるIPアドレスのことです。 - 被害対応 - 届出者の被害パソコンが、外部で発生した不正アクセス事案の踏み台として悪用される被害に遭った。 - 技術的対応 - 発見した当該ツールを削除 - 同様の事象が発生している機器の有無を調査 - 当該ツールによるレジデンシャルプロキシに関する通信を遮断 - 当該ツールをバンドルして配布していた可能性があるウェブサイトへのアクセスを遮断 - 外部業者によるフォレンジック調査 - 再発防止策 - TLS(SSL)インスペクションの適用による通信の可視化
      • [疑問]どのような対応か確認する - 着目点 - 組織内のパソコンやサーバ等にセキュリティソフトや EDR 等を導入しておき、不審な挙動や通信が発生した際にいち早く検知・対処ができるようにしておくことも重要
      • [EDRとは?意味・定義 ITトレンド用語 ドコモビジネス NTTコミュニケーションズ](https://www.ntt.com/bizon/glossary/e-e/edr.html)
        • パソコンやサーバーの状況および通信内容などを監視し、異常、あるいは不審な挙動があれば管理者に通知します。管理者は通知を受けた後、EDRで取得されたパソコンや通信の状況を示したログを分析して対策を講じます。
        • 既存のセキュリティソリューションではサイバー攻撃を完全に防ぎきることが難しいという状況があり、サイバー攻撃を阻止するだけでなく、内部に侵入された場合を想定し、迅速な対応によって被害の拡大を防ぐことを目的としたEDRが広まりつつある - IoC(Indicator of Compromise) | サイバーセキュリティ情報局
      • 侵害指標や痕跡情報となる(「セキュリティ侵害インジケーター」と呼ばれる
      • IoCで掲載される情報の例
      • [TODO]読む