本記事ではサイバー攻撃から組織を守りたいと考えている企業のセキュリティ・システムご担当者様や経営者様に向けて、ホワイトハッカーの役割とサイバー攻撃の種類、その攻撃から守るゼロトラストセキュリティについてご紹介します。保有している情報を守るために、どの企業もセキュリティ対策を行っていると思いますが、近年のサイバー犯罪は多様化・高度化が進み、企業のシステムやサーバー、個々のPCなどの端末は常に脅威にさらされている状況です。記事を読んで、ぜひ自社のセキュリティ対策を見直してみてください。
ホワイトハッカーとは、コンピューターやネットワークに関する高度な知識と技術を持ち、そのスキルを善良な目的に活用し、サイバー犯罪に対抗するスペシャリストのことを指します。
「ハッカー」という言葉を聞くと、他社のコンピューターに不正に侵入し、システムを破壊したり情報を盗んだりする不正行為者とイメージする方もいるかもしれません。しかし、ハッカーは本来、「コンピューターやネットに関して卓越した知識と技術を持つ人」のことを指します。つまり、ハッカー=不正行為者というわけではないのです。
このようにハッカーにはもともと善悪の意味合いがないため、コンピューターに関する高度な知識やスキルを善良な目的に利用する人を「ホワイトハッカー」と呼び、不正行為に利用する者を「ブラックハッカー」と呼び分けています。ちなみに、ブラックハッカーは別名「クラッカー」ともいいます。
ホワイトハッカーが行う仕事は次の通りです。
〇システムの診断
〇システムの構築・設計・実装
〇脆弱性テスト
〇運用・保守
〇サイバー攻撃を受けたときの対応
ホワイトハッカーの仕事は、まずシステムの診断から行います。システムにサイバー攻撃を受けそうな脆弱性や、欠陥がないか、セキュリティ強度を診断し、また不正プログラムなどがすでに埋め込まれていないか、ウイルスに感染していないか確認します。不正な通信が検出されたりサイバー攻撃を受けた形跡がある場合は、速やかに調査・分析を行います。そして、その調査をもとに健全な状態に導けるようセキュリティシステムの構築・設計をし、実装していきます。
実装したら、プログラムの動作確認をし、システムに弱いところや穴がないか、脆弱性テストを重ねて精度を高めながら運用していきます。
運用しながら、継続的に保守するのも仕事の一つです。次々と手口が変わるサイバー攻撃に対抗するために、日常的にオープンな情報源からアクセス可能なデータを解析したり、最新のサイバー攻撃事例を検証するなど、知識や情報のアップデートは欠かせません。また、利用者が問題を抱えていたり、ウイルスへの感染リスクが潜んでないかヒヤリングするなど、ホワイトハッカーには高度な知識と分析力、処理能力だけでなくコミュニケーション能力も求められます。
ホワイトハッカーは、ネットワークやシステムへのあらゆる脅威から守ることが主な役割になります。攻撃を受けて対処することもありますが、重きをおくのは「トラブルを未然に防ぐこと」です。
現在、多くの企業がクラウドやインターネットを利用したシステムで顧客情報や経営資産などの重要なデータを管理しています。これらのデータを守るため、ホワイトハッカーはサイバー攻撃から守る防衛策を練ってシステムを強固なものにしていきます。
このような役割を担うホワイトハッカーの勤め先はIT関連企業に限らず、サイバー攻撃や情報セキュリティに対する関心の高まりを背景に、民間企業でも採用が進んでいます。なかには警察のサイバー捜査員として働いたり、政府機関でセキュリティエンジニアとして活躍する方もいて企業も公的機関もホワイトハッカーの人材を積極的に確保する動きが広がっています。
サイバー攻撃は細かく分類すると30種類以上あり、手口や技術も多様化しています。いくつか例をあげてみましょう。
〇不正アクセス
〇フィッシングメール
〇サービス妨害(DoS)
〇ランサムウェア
〇水飲み場型攻撃
〇パスワードリスト攻撃
〇セッションハイジャック
〇クロスサイトスクリプティング(XSS)
〇SQLインジェクション
など
サイバー攻撃はセキュリティの弱いところや、わずかな穴を狙うように多様化・高度化しています。セキュリティソフトやホワイトハッカーなどによって対策や対処が行われていますが、攻撃側と防御側の技術のイタチごっことなり対応が後追いになってしまうことも少なくありません。
多様化・高度化するサイバー攻撃ですが、技術の変遷にともなって攻撃にもトレンドがあります。ここでは、サイバー攻撃の最近のトレンドを3つご紹介しましょう。
サービス妨害はコンピューターに多くの通信を送り込み、サーバーをダウンさせることを目的とした攻撃です。この攻撃でダメージを負ってしまうと、Webサービスにアクセスできなくなります。
サービス妨害は、ひとつのIPアドレスからならIPを指定してアクセス制限をすることで攻撃を防ぐことができます。しかし、複数のIPアドレスを利用されると、アクセス制限では太刀打ちできず攻撃を防ぐことができません。
このように複数のIPアドレスから攻撃をすることを「DDoS攻撃」と呼びます。
ランサムウェアはPCやサーバー内のファイルやデータを暗号化し読みとれなくしたり、操作できない状態にしたうえで、正常な状態に戻すことと引き換えに身代金(ransom)を要求する攻撃です。
なかにはデータを窃取して、身代金を払わなければ情報を拡散すると脅す「二重恐喝型(ダブルエクストーション)」攻撃を行うケースもあります。
ちなみに、ランサムウェアの被害は2022年上半期だけでも114件あり、二重恐喝型も53件の報告がありました。ランサムウェアの被害を受けたのは大企業が32%、中小企業が52%、団体等が17%となっており、大手企業よりもともすればセキュリティ対策が脆弱な中小企業での被害が多く出ている実態があります。
参考:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について
ランサムウェアや不正アクセスの企業への被害に関してはこちら の記事で詳しく紹介しています。
特定の組織、または個人に行うサイバー攻撃を「標的型攻撃」と呼び、近年はメールを使っての攻撃がトレンドになっています。この攻撃を受けるとID・パスワードといった認証情報を取られたり、ウイルス感染によって機密情報を窃取され続けたりする被害が出ます。
この標的型メール攻撃では関連企業を装ってメールが届き、添付されているファイルを実行、もしくは誘導に沿ってアカウントのパスワードを入力することで被害を受けます。
標的型メール攻撃は、本物のメールと見分けがつきにくく、迷惑メールのフィルタやウイルス対策ソフトでも検知されないことがあります。また受信者本人も攻撃メールと気づかず添付ファイルを開封したり、本文に記載されたリンクへアクセスしてしまい、結果ウイルス感染、情報漏洩といった被害に遭うケースも少なくありません。
セキュリティ対策では、「境界防御型」のものを導入している企業が多いです。しかし、サイバー攻撃は進化し続け、複雑化しているため境界防御型での対策が難しくなっていることも事実です。
そこで検討していただきたいのが、「ゼロトラスト」の考えに基づいた新たなセキュリティシステムです。
セキュリティ対策の従来の考え方として、「社内のネットワークは安全で、脅威はすべて外部から侵入してくる」と捉えられていました。そのため、社内か社外かという部分に境界線を張り、社内の端末やシステム、それを使っているユーザーはすべて信用する、ということを前提としていました。
この境界防御型のセキュリティでは、社外からの脅威を入口で検証し、境界内の侵入を防ぐという対策が行われていたのです。
近年は、テレワークやクラウドサービスが普及したことによって、システムや端末が境界の外にも広がっている状況です。そのため、以前は境界内部にある社内のシステムと端末だけを守ればサイバー攻撃からも守ることができました。しかし現在は境界が曖昧になってしまい、境界線での防御では不十分になってきています。一度外部からのアクセスが許可され、境界内にウイルスが侵入してしまうと、社内のネットワークで感染が広がったり、社外から自由に操作できたりする恐れがあるのです。
ゼロトラストは、「外部であっても内部であっても、全てのトラフィックを信用しない」という考え方です。
この理念のもと設計されたのが「ゼロトラストセキュリティ」です。
このセキュリティでは、社内外問わずあらゆる通信経路にセキュリティをかけてログを取得し、分析・検証を行います。
前述したように、境界防御型では一度アクセスが許可されてしまうとシステムを守ることが難しくなりますが、ゼロトラストのセキュリティ対策では、すべての検証が行われるため、情報資産をより強固に守ることができます。
ゼロトラストセキュリティを企業で導入した場合、次のようなメリットがあります。
〇データ流出リスクの軽減
〇「テレワーク」をはじめとする「多様な環境からのアクセスが可能に」
〇システムの複雑さの軽減
従来の境界防御型セキュリティは過去の情報をもとに対策を行い、侵入しようとしている悪質な通信を検知するようになっていますが、この方法だと未知の攻撃は防げません。
ゼロトラストセキュリティなら、「すべてを拒否して例外で許可する」という強固な守りができるため、未知の攻撃にも対応が可能になります。
また、ゼロトラストセキュリティはすべての通信を監視しているため、疑われるアクションがあれば社内外関係なくその動きを検知します。万が一侵入されても、マルウェアが悪さをする前に、起動しないよう無効化します。これによってホワイトハッカーの負担は軽減できますし、セキュリティ対策が難しかったクラウドサービスも安心して利用できるようになります。
このゼロトラストの考えに基づいたセキュリティシステムで注目されているのが「AppGuard」です。
AppGuardとは、ネットワークにつながったPCやタブレットなどの端末(エンドポイント)自体やその端末内にある情報を守る「エンドポイントセキュリティシステム」です。AppGuardは、米国政府機関でも利用されています。
AppGuardでは、検証をクリアしたものだけが起動を許され、起動できたとしてもシステムに悪影響を及ぼしそうな場合は起動を止めて実行させません。AppGuardは既存のセキュリティソリューションとの併用ができるので、現在使っているセキュリティ対策と一緒にご活用ください。
弊社の取り扱い製品である「ZeroTrustスターターパック」はPC上の様々なログを収集。脅威分析システムにかけホワイトハッカーにて分析・解析出来るシステムです。
AppGuardで守りを固め、米国EC-Council認定 Certified Ethical Hacker 資格保持者のホワイトハッカーを筆頭にログを分析・解析。
セキュリティ人材不足を補います。侵入を許さない他、セキュリティレポートを提出することで脅威を「可視化」し総保有コストを減らします。
金額面のコストだけではなく、セキュリティ担当者の総保有コスト(TCO)まで削減。
また、セキュリティの効果はセキュリティ専門担当にしかわからない…をレポートが出ることで専門家以外の、例えば経営層にもわかりやすく説明が可能になります。
導入検討にあたり、弊社では、1か月無料診断をおすすめしています。
本記事は、自社のセキュリティシステムに不安を感じている。また、巧妙化するサイバー攻撃に備え、より強固なセキュリティサービスの導入を検討している企業のシステムご担当者様、経営者の皆様に向けて、EDRというセキュリティシステムとは何か解説する記事です。不正アクセスの最近のトレンドや被害の実態、また、おすすめのセキュリティサービスについてもご紹介しています。
\サイバー攻撃、実際受けた画面を動画で/
不正アクセスとは、本来アクセス権限を持たない第三者がサーバーやシステムに不正に侵入する行為のことです。
自社のサービスや、データベースに不正に侵入された場合、サービスの停止やシステムの改ざん、顧客情報などの流出リスクの高いデータを含む情報漏洩などの被害をもたらします。2021年法人での個人情報流出事件の発生件数は、上場企業とその子会社だけでも過去最多の137件に登ったとされています。東京商工の調べによると、137件のうち「ウイルス感染・不正アクセス」によって流出した事件が68件となり、約半数を占める割合となりました。また手口についても、その技術は高度化し、従来のセキュリティシステムでは防御できないような新しい手口も次々と出てきています。
イラスト付きでEDR他製品の違いがわかりやすい資料はこちら
2021年に警視庁に報告された不正アクセスの認知件数は1,516件で、その9割が一般企業の被害です。その中でも最近ニュースでよく耳にするのが企業の個人情報流出です。2021年、上場企業とその子会社だけでも過去最多の137件もの事件が発生しています。複数のサーバーが外部からの不正アクセスを受けた日本の大手製菓メーカーは、2022年3月、約164万人もの顧客データが流出したと発表しました。
不正アクセス後に行われる行為としては、インターネットバンキングでの不正送金や、メールの盗み見等の情報の不正入手、インターネットショッピングでの不正購入、オンラインゲーム・コミュニティサイトの不正操作、知人に成りすまして情報発信など、さまざまです。
出典:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
企業を悩ませる不正アクセスですが、最近の傾向にはどんな特徴があるのでしょうか?
①サイバー攻撃の中でもっとも件数が多い「ランサムウェア感染」
一つは企業を標的とした「ランサムウェア感染」です。ランサムウェアとは、Ransome(ランサム)=身代金と、Software(ウェア)をつなげた造語で、データや情報と引き換えに身代金を要求してくるプログラムに感染させる手法です。近年増加傾向にあり、独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2022」(※)において、組織を狙ったサイバー攻撃の中でランサムウェアによる被害が最も多いと報告されています。テレワークや在宅のリモートワークを狙った手口が多いようです。
②なりすましメールを含む「マルウェア感染」
そのほかなりすましメールを送ってマルウェアと呼ばれる、ユーザーのデバイスに不利益をもたらすプログラムやソフトに感染させ、メールアドレスなどの情報を盗むといった手口もあります。
また、セキュリティの弱い中小企業を踏み台にサプライチェーンで繋がった大企業への不正アクセスを試みるようなケースも増加しています。この攻撃を受けると、調達・製造・販売・消費というサプライチェーン全体に被害が及んでしまいます。狙われやすい大手企業だけでなく、大手企業とつながる中小企業も早急なセキュリティ対策が必須の時代と言えるでしょう。
(※)出典:IPAホームページより
これまでどんな被害が出ているのか企業の事例を紹介します。
事例1. 大手家具小売企業が公式アプリへの不正アクセスで個人情報流出
家具・日用品販売の大手企業は、2022年9月、公式アプリの会員認証プログラムに不正アクセスがあり、顧客の氏名や住所、クレジットカード番号の一部など約13万件以上の個人情報が閲覧された可能性があると発表しました。
事例2.世界的なホテルチェーンでレジ決済時にクレジットカードの情報を抜き取られる
世界的な高級ホテルチェーンで、2016年1月、レジ決済時にクレジットカード情報を抜き取るマルウェア(コンピュータウイルス)が発見されました。クレジットカード番号・セキュリティコードなどが盗み取られた可能性が高いとされています。
事例3.日本酒メーカーサーバーに不正アクセスを
ある日本酒メーカーは、2022年9月、管理運用するサーバーが不正アクセスを受け、社内システムで障害が発生し、オンラインショップを一時閉鎖したと発表しました。個人情報も流出した可能性があります。
このように、会社の規模や業種に関わらず、企業のこのような被害事例は後を絶たない状況です。
日本企業のランサムウェアの被害額は平均で1億1400万円、トータルすると日本は世界第2の被害国です。2019 年にランサムウェアの 被害を受けた日本企業のうちデータが暗号化される前に被害発生を阻止した割合はたったの5%と、世界平均の24%と比べても、日本企業のセキュリティ対策への遅れは明らかと言えます。
※参考:最近のサイバー攻撃の状況を踏まえた経営者への注意喚起
会社規模を問わず企業に対する不正アクセスやサイバー攻撃の被害は増加しており、早急なセキュリティ対策が求められています。そこで今注目されているのが、EDR(Endpoint Detection and Response)です。EDRとは、組織内のネットワークに接続されているエンドポイント=端末(サーバーやPC、スマホ、プリンタなど)からデータを収集し不審な動きがないか、サイバー攻撃を受けていないか調べ、検知するセキュリティシステムです。何か検知すると管理者へ通知し、通知を受けた管理者は、遠隔でサイバー攻撃を確認・対処することができます。
従来の、すでに認知されているウイルスの侵入を防ぐようなアンチウイルス型のセキュリティでは、次々と新しいウイルスや手口を使って責めてくるサイバー攻撃を防ぐことができなくなっているため、EDRが開発されました。入口で侵入を防ぐのではなく、組織、ネットワーク内に侵入された場合を想定し対処することを目的としたセキュリティシステムなのです。
EDRは、監視対象の端末(エンドポイント)に専用のソフトウェアを導入し常時ログを取得、このログデータをまとめて分析します。ログデータから各端末上でランサムウェア(データや情報と引き換えに身代金を要求してくるプログラム)やマルウェア(悪意のあるソフトウェア)による不審な動きがないか調べます。疑わしい動きや痕跡を検知した場合は管理者に通知がいきます。管理者はEDRの管理画面でログの内容を調べ、問題の原因や影響範囲を調べて対処します。
警察組織の「鑑識」のように、侵害された痕跡から攻撃を可視化するような仕組みです。
次々と新しいウイルスやマルウェアが作り出され、その手口は、高度化、巧妙化する近年のサイバー攻撃は、入口でマルウェアの侵入や感染を100%防御することが難しくなっています。そのため、侵入を防ぐ対策だけでなく、もし侵入された場合には、即座に侵入したマルウェアを検知し対処する必要があります。EDRを導入することで、端末から侵入したマルウェアやランサムウェアが活動をはじめる前に検知し、感染の原因や影響範囲を確認し、迅速に対処することができるのです。
しかしながら、未知の脅威への対応が検知出来るかは対応する者のスキルに影響されることなどHunting/Responseに大きく依存されます。
EDRと似た名称のセキュリティ用語にEPP(Endpoint Protection Platform=エンドポイント保護プラットフォーム)があります。ここではその違いを確認しておきましょう。
EPPとは、マルウェア(悪意のあるソフトウェア)感染を防止するセキュリティシステムです。組織内、ネットワーク内に侵入しようとするマルウェアを検知し、自動的に駆除したり、マルウェアが実行されないようにします。以前からある、既知のマルウェアの侵入を入口で防ぐアンチウイルス製品はEPPのひとつです。常に新たなマルウェア情報を更新しますが、現時点で登録されていない攻撃パターン(未知の脅威)への対処はできません。
マルウェアの侵入を入口で完全に防ぐことが難しい昨今のセキュリティシステムでは、万が一侵入されても発症する前に検知、対策できるような仕組みが必要です。
システムの最適化を提案するエキスパート企業としてPCIソリューションズが推奨するエンドポイントセキュリティシステム、AppGuardはアメリカの政府機関からの要請で生まれ、米国政府機関でも利用されているAppGuardは、商品化して以来破られていません(※)です。
日本での販売開始から5年ですでに業種、企業規模を問わず12,000以上の企業、団体に導入された実績があります。(2022年3月実績)
従来のセキュリティ対策製品とは異なり、侵入されてもサイバー攻撃を成立させず、無効化することで脅威の発生を防ぎ、侵入された端末を使うユーザーの業務の継続が可能です。
システムを侵害する行為を成立させないために「ボディガードやSP」 の様に実行主体を問わず、害を成すプロセスを制御して無効化する事前対策ツールとして機能します。
これからのセキュリティ対策としては、EDRで防御・検知をし、未知の脅威への対策としてAppGuardを導入することで、防止の役割を追加し、セキュリティ対策を強化していくことが求められます。
(※)過去3年連続で GSN(Government Security News) Homeland Security Awardを受賞してお り、米国国防総省並びに陸軍の高水準なセキュリ ティ・スタンダードを満たしたことを示すCoN認証も取得済み。
従来の製品は、アンチウイルスと呼ばれ、既知の脅威やマルウェア情報を定期的に更新してブラックリストを作り、アクセスの中からブラックリストに該当した場合は「拒否」するという守り方でした。しかしこれでは、全く新しいマルウェアの侵入を防ぐことはできません。AppGuardは、基本すべてを信用しない、「ゼロトラスト」の考え方をベースにすべてを拒否し、例外として信頼されたものだけの起動を「許可」する守り方です。
またPC端末のユーザースペースなど、すでに許可された場所においても、もし悪さをしそうな動きがあれば、起動自体ができないよう無効化します。例えば、なりすましメールに添付されたマルウェアファイルをうっかり開いてしまったとしても、そのアプリケーションを無効化し発症しないようにすることができます。
AppGuardはすでに認識されているマルウェアかどうかなど、過去の脅威情報の有無にかかわらず、システムに対して害を与える不正な行為や不審な動きを検知・制御して実行させないようにします。そのためこれまで事例のない未知の脅威に対し、「発症」も「改ざん」も防止し、自社のシステムや情報を守ることができるのです。
検知できるかどうかが対応する者のスキルに依存されることなく、ご利用頂けます。
受け入れる対象を列挙したリストを作り、そこに載っていないものは拒絶するホワイトリスト形式ではないので、定義ファイルを随時ダウンロードするといった手間がかかりません。
定義ファイルの更新やディスクスキャンが不要のため、システム負荷を軽減でき、端末への負担はほとんどかかりません。
ホームページから資料請求が可能です。また多種多様なセキュリティ対策製品、サービスがある中で自社にとって何が最適なのか、詳しく相談したい場合や、具体的な導入までの流れを知りたい場合など、直接お問合せも可能です。現在のセキュリティシステムに不安がある、時代に合わせて見直したい、といった場合など、ぜひご相談ください。
日々高度化、巧妙化するサイバー攻撃は、攻撃側と守る側の技術のイタチごっこです。攻撃者優位の状況では、すべての侵入を「防御」することは困難です。、このような状況下では、すでに侵入されていると仮定し、基本的にはすべて「信頼しない」ゼロトラストの考え方の元、不審な動きをするものは実行される前にその実行を「防止」するというセキュリティ方法がこれからのセキュリティの常識となるでしょう。また一度攻撃されれば、情報漏洩やシステムのエラー、業務の停止、ランサム(身代金)の支払いなど、その被害は甚大であり、社会的な信用を失うことにもなりかねません。これからの時代、業種も会社規模も関係なく強固で時代に合ったセキュリティシステムを取り入れていくことが企業の社会的責任といえます。
イラスト付きでEDR他製品の違いがわかりやすい資料はこちら
