ホーム > PC-Webzineアーカイブ > コロナ禍で急増したセキュリティインシデントをベンダー3社が語る

コロナ禍で急増したセキュリティインシデントをベンダー3社が語る

コロナ禍で急増したセキュリティインシデントをベンダー3社が語る

2020年12月10日更新

Special Feature 2
サイバー空間のウイルス感染予防

新型コロナウイルスの感染拡大により、手洗い、うがい、3密を避けるといった感染予防を講じた生活が当たり前になった。しかし、感染予防対策が必要なのは人間ばかりではなく、企業内のエンドポイント端末やデータが格納されたクラウドも同様だ。今回は、サイバー空間における感染予防を実現するためのセキュリティ製品を見ていこう。

コロナ禍に生じたセキュリティインシデント

新型コロナウイルスの感染拡大を防ぐため、多くの企業で実施されたテレワーク。これによりデジタルトランスフォーメーション(DX)が大きく進んだ側面もあるが、それによって生じたセキュリティリスクも存在する。セキュリティベンダー3社が、コロナ禍で起こったインシデントを指摘した。

クラウドへの脅威が増加

マカフィー
櫻井秀光 氏

 コロナ禍でオフィスから自宅へ、勤務場所が変わったビジネスパーソンは少なくない。当初は感染拡大の抑止が目的だった在宅勤務は、長ずるにつれて働き方の一つへと変化しつつある。しかし、ただオフィスから自宅へと働く環境を移しただけでは、大きなセキュリティリスクが生じてしまうのもまた事実だ。オフィスではインターネットからの脅威をファイアウォールやWebフィルタリング、IDS/IPSなどによってオフィス内の端末を保護していたが、在宅勤務環境でそのセキュリティ対策を実現することは困難だ。実際、緊急事態宣言後のセキュリティインシデントは「増加している」とセキュリティベンダー3社は口をそろえる。

 マカフィー セールスエンジニアリング本部 本部長 櫻井秀光氏は「2020年1月から3月末のグローバルの脅威動向を見てみると、クラウドサービスに向けた脅威が大幅に増加しています。この期間はロックダウンや緊急事態宣言の影響で、最も在宅勤務が進んだ時期です。それにより、自宅からのMicrosoft 365やSalesforceなどSaaSへのアクセス量が大幅に増加しました。特にグローバルでは企業が管理していないBYODデバイスからの通信が100%増加しています」と指摘する。在宅勤務が進んだことでオンプレミスの業務を急きょクラウドサービスに移行した事例も散見された。マカフィーの調査ではクラウドサービスの利用量が、従来と比較して50%増加したという。こうした動向は、これまでオフィスに閉じていた重要なデータがクラウド上でも利用されるようになったことを示しており、攻撃者はそれを狙ってサイバー攻撃を仕掛けている。実際、SaaS、PaaS、IaaSへの脅威を合わせると従来と比較して630%も増加していると櫻井氏は指摘する。

630%も増加
従来日本のIPアドレスからしかアクセスがなかったクラウドサービスに、全く異なるIPアドレスからアクセスされるケースが大きく増えたという。テレワーク環境でVPNを経由したことによる誤検知の可能性もあるが、海外などからの不正アクセスの可能性も捨てきれない。実際、異なる場所から異常な頻度でのログイン試行も増加していたという。

急造のテレワーク環境が穴に

トレンドマイクロ
釜池聡太 氏

 クラウドサービスへの脅威を指摘するのは、トレンドマイクロ ビジネスマーケティング本部 エンタープライズソリューション部 シニアマネージャー 釜池聡太氏も同様だ。「テレワークの急増により、Web版のOutlookや、Web会議ツールであるZoomなどのクラウドサービスのログインページを偽造したフィッシングサイトを観測しています。こうした認証情報を狙うフィッシング詐欺は、今年に入ってから過去最大の数を記録しており、テレワークの増加に伴うクラウドサービス利用のリスクを突いた攻撃と言えるでしょう」と指摘する。特に在宅勤務環境は、オフィスであれば同僚に相談できる不審なメール、Webサイトも1人で確認する必要があり、その隙を突いて侵入を試みるサイバー攻撃者が増えているのだ。

 また、IDとパスワードの漏えいはクラウドサービスにとどまらない。シスコシステムズのセキュリティ事業 SEマネージャーの西 豪宏氏は「従来から存在していた脆弱性ですが、急遽テレワークが必要になったことで、VPN装置の脆弱性を突いて攻撃され、従業員のIDとパスワードが漏えいした事件に注目が集まりました」と指摘する。一例を挙げると、急増した在宅勤務の負荷に対応するため、現行で使用しているVPN装置に加えて、古いVPN装置を急きょ稼働させた企業が脆弱性を突かれ、従業員のVPN装置管理用のIDおよびパスワードが抜き取られたという事例がある。当該事例では社内で登録された端末以外からのアクセスが拒否される設定になっていたため、大きな被害は出なかったが、そのほか複数の企業も、同様のサイバー攻撃を受けたという。急造のテレワーク環境を構築した企業は、今一度パッチ適用などの基本を確認する必要がありそうだ。

フィッシング詐欺
新型コロナウイルス関連のフィッシング詐欺も増加した。マスクを購入できることを示す広告や、給付金関連の広告など、インターネット利用者の興味関心を引く事項を表示し誘い込み、マルウェアに感染させる。

VPN装置の脆弱性
国内企業の38社が不正アクセスによって、VPNのIDやパスワードがダークウェブ上に流出したという。グローバルではハッキングフォーラム上で900以上の企業のVPNのパスワードが公開されていた情報もあり、今一度テレワーク環境の見直しが必要だ。

脅威を増すマルウェア「Emotet」

シスコシステムズ
西 豪宏 氏
シスコシステムズ
福留康修 氏

 マルウェア「Emotet」の被害も増加している。Emotetは、知り合いになりすまして送られたメールに添付されたファイルから感染する自己増殖型のマルウェアだ。実在する人物からの返信メールであるかのように装って送られて来るため、受信者は疑うことなく添付ファイルを開いてしまう。シスコシステムズのセキュリティ事業 サイバーセキュリティ 製品担当営業の福留康修氏は「Emotetによる攻撃の手口は年々巧妙化しており、いくつかの企業は実際に感染したというリリースを出しています」と語る。新型コロナウイルスに関する情報を装う攻撃メールなども登場しており、一見して不審なメールと判断することが難しい。「メールからエンドポイントを感染させるという手法は変わっていませんが、手口が非常に巧妙化しています」と福留氏は指摘する。また、新型コロナウイルスに便乗したフィッシングサイトも登場しており、感染症の不安につけ込んだサイバー攻撃が増加傾向にあるようだ。

 こうしたサイバー攻撃から自社を守るためには、既存のシステム環境の見直し(パッチ適用など)を行うことに加え、エンドポイントセキュリティを見直すことが必要だ。エンドポイントセキュリティには大きく分けて事前検知のEPP(Endpoint Protection Platform)と、事後対処のEDR(Endpoint Detection and Response)がある。マルウェアの脅威をパターンマッチングや機械学習などで防ぐEPPは、ゼロデイ攻撃などには不向きであり、侵入されてからの被害を押さえ込むEDRが重要とされてきた。それも決して間違いではないが、セキュリティベンダー3社に話を聞く中で、今後のセキュリティ対策に求められる新しいEPPとEDRの組み合わせが見えてきた。

Emotet
新型コロナウイルスに便乗したEmotetの攻撃メールも見られた(IPA発表)。保健所の担当者を名乗る人物からのメールで感染予防対策について、添付ファイルを確認するよう書かれており、添付の悪意あるマクロが仕込まれたWord文書ファイルを開くとEmotetに感染する仕組みだ。

キーワードから記事を探す