ホーム > PC-Webzineアーカイブ > IPAが語る東京五輪を契機としたセキュリティ対策の見直し

IPAが語る東京五輪を契機としたセキュリティ対策の見直し

IPAが語る東京五輪を契機としたセキュリティ対策の見直し

2019年10月10日更新

Special Feature 2
招かれざる来訪者(攻撃者)に備える東京五輪のセキュリティ対策

東京2020オリンピック・パラリンピック競技大会(以下、東京五輪)の開催が近づいている。東京五輪開催に伴い、観戦のため訪日外国人観光客の増加が見込まれている。しかし、招かれざる来訪者の増加も予想されている。それがサイバー攻撃者だ。今回は東京五輪に伴い、増加するセキュリティリスクと、その対策について解説する。

東京五輪を契機にセキュリティ対策の見直しを

東京五輪まで1年を切った。大会組織委員会による準備が着々と進む中、開催に伴うリスクも懸念されている。それがサイバー攻撃者の増加だ。「情報セキュリティ10大脅威」を毎年発表している情報処理推進機構に、東京五輪開催に伴うセキュリティリスクと、その対策について聞いた。

リスクを可視化せよ

 IT人材の育成や、情報セキュリティ対策の実現を事業領域としている情報処理推進機構(以下、IPA)では、前年に発生したセキュリティ事故や攻撃の状況などから脅威を選出し、投票により順位付けした「情報セキュリティ10大脅威」を毎年発表している。2019年4月に発表された「情報セキュリティ10大脅威 2019」では、10大脅威に加えて、注目すべき脅威や懸念として、「東京五輪に向けたサイバー攻撃の備え」が挙げられている。

 IPAセキュリティセンターの土屋 正氏は「過去を振り返っても、世界的に注目されるオリンピックというイベントに向けて脅威は増加します。しかし、これまで存在しなかった未知の脅威が増加するのではなく、情報セキュリティ10大脅威で紹介したような既知のサイバー攻撃が中心になります」と語る。

 例えば平昌冬季五輪で発生した、メディアプレスセンター等への破壊攻撃。これは開会式当日にメディアプレスセンターのIPTVシステムや、組織委員会内部のインターネットやWi-Fiなどが使用不能になった事例だ。情報窃取に加えて、システム破壊機能を持ったマルウェアが用いられたと報告されており、東京五輪においても“破壊を目的としたマルウェア感染”を想定脅威の一つとして考える必要がある。東京五輪の大会組織委員会はもちろんのこと、協賛企業も攻撃のターゲットとなり得る。

 ここで脅威となるのが、標的型攻撃による被害だ。2019年版の10大脅威では1位にランクインしている。攻撃者はメールの添付ファイルや悪意のあるWebサイトを利用して、組織のPCをマルウェアに感染させた後、組織内部に侵入する。標的組織の関連組織が攻撃の踏み台にされるケースもあり、業種や組織の規模に関係なく狙われる可能性がある脅威だ。セキュリティ担当者はサイバー攻撃に関する継続的な情報収集と情報共有を行うと同時に、統合運用管理ツールなどを活用して、従業員が利用するPCのソフトウェア更新状況を管理して、リスクの可視化を行うことが重要だ。

「当たり前のことではありますが、OSの定例パッチをしっかりと適用させたり、セキュリティソフトの定義ファイルを毎日更新したりといった対策が、既知の脅威には有効です。また日々サイバー攻撃に関する情報収集を継続的に行い、共有しておくことで、標的型攻撃のメールパターンを見抜ける視点も養われます」と土屋氏。

人手不足が対策不足の原因に

 関連組織への攻撃増加に伴い、2019年版の10大脅威4位にランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」の脅威にも注目が集まっている。リオ五輪では、公式および多くの関連Webサイトに対する多くのDDoS攻撃やWebアプリケーションへの攻撃試行が発生していた。また一部のWebサイトからは情報窃取なども発生していたという。

 このWebサイトに対する攻撃先は、大会開会直後から開催中にかけて変移が見られたという。具体的には、開会当初は大会関連Webサイトを標的とした攻撃が多く確認されたが、徐々に攻撃の対象が周囲のWebサイトへ移行したのだ。大会準備に携わった事業者関連のWebサイトなども攻撃の対象になったのだという。

 IPAセキュリティセンターの辻 宏郷氏は「東京五輪では、まずセキュリティ対策が不十分な周辺の関係者を攻撃して侵入し、そこから最終的な攻撃対象へと迫っていく攻撃が試みられる可能性があります。いわゆるサプライチェーンを含めた対策強化が必要です」と指摘する。

 原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流や、この商流に関わる複数の組織群をサプライチェーンと呼ぶ。組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。辻氏は「委託先の中小企業は人材や資金の不足により、セキュリティ対策が十分でないケースが多く、そこから被害が発生・拡大する可能性があります」と語る。自社のセキュリティを見直した際に、セキュリティ対策を講じる人材が不足している場合は、外部の専門機関の力を借りるのも手だ。

(左)情報処理推進機構 辻 宏郷 氏
(右)情報処理推進機構 土屋 正 氏

「セキュリティ対策が不十分な周辺の関係者を攻撃して侵入します」―辻氏
「OSの定例パッチ適用などの当たり前の対策が、既知の脅威には有効です」―土屋氏

踏み台となる委託先やIoT機器

 公式や関連WebサイトへのDDoS攻撃の踏み台になるのは、委託先の企業ばかりではない。設定不備や脆弱性を放置したIoT機器が乗っ取られ、攻撃の踏み台に悪用されるケースもある。2019年版の10大脅威8位にもランクインしており、サービスやネットワーク、サーバーに悪影響を与える被害が確認されている。

 土屋氏は「特に多いのが、初期パスワードのままIoT機器を使っているケースです。初期パスワードは取扱説明書に記載されているため、ユーザー側は使うときにきちんと変更しなくてはいけません。開発者側も初期パスワード変更の強制化を行うなど、攻撃者が侵入しにくい仕組みを作る必要があります」と語る。

 マルウェアに感染したIoT機器は、同じ脆弱性をもつIoT機器がインターネット上にないか探索して次々に感染範囲を広げる。自社で運用しているIoT機器のセキュリティ設定を今一度見直したい。

「東京五輪開催に向けて、企業側が既存の脆弱性や脅威に対してしっかりと対策を講じれば、新しいセキュリティ製品を導入する必要性は感じていません。しかし2020年1月にWindows 7のサポートが終了しますので、そのリプレースは必要になるでしょう。既存のソフトウェアやシステムとの互換検証、追加のシステム開発なども必要になりますので、十分に期間を見積もってリプレースを進めてほしいですね」と土屋氏。

 辻氏は「サイバー攻撃者は、脆弱性のある場所を狙ってきます。攻撃によって利益を獲得するためです。東京五輪を機会に、組織も個人も、自らのサイバーセキュリティ対策を見直す契機としたいですね」と語った。

 既存のセキュリティ対策の再確認を進めていく中で、さらにワンランク上のセキュリティ対策を講じる必要が出てくるケースもあるだろう。それらの製品については、次ページ以降で解説していく。

キーワードから記事を探す