セキュリティキーワードの再確認 2018 後期編

clm20181225

セキュリティキーワードの再確認 2018 後期編

~脅威のトレンドを察知しリスクを軽減しよう~

普段から耳にしていても、理解があいまいになりがちな言葉を、「セキュリティキーワードの再確認 前期編」として、2018年の春にまとめました。今回はその後期編。「マルウェア」や「ランサムウェア」「脆弱性」など、基本的な内容は前期で採り上げましたので、後期編では最近接する機会が増えてきたキーワードと、前回漏れていた重要な項目を中心に見ていきましょう。

■ファイルレス・マルウェア

ファイルレス・マルウェアは、マルウェアの実行ファイルをPCのハードディスクに保存せずにメモリ上で実行します。攻撃自体は以前から確認されていましたが、被害は減らず2018年の下期にも、企業のPCが操作され、顧客データの流出やサーバの運用停止に結びついた事件が報告されていました。

ファイルレス・マルウェアは、Windows OSに備わる「PowerShell」などのツールを操作して攻撃を仕掛けます。ファイルの形で痕跡を残さないため、既存のアンチウイルスソフトに備わる「シグネチャ方式」などの手法では検知できません。

有効な防止策は、ファイルレス・マルウェアも発端はメールの添付ファイルや不正サイトの閲覧から感染するケースが多いため、不審なメールやフィッシング(別項)に注意することです。また最近のセキュリティ対策ソフトは、ファイルのパターンだけでなく、プログラムやツールの挙動も見張る機能が充実してきましたので、最新の対策ソフトの稼働が有効です。

■アドウェア

アドウェアは、一般的には広告(advertisement)を表示する機能を備えたソフトウェアと定義されています。例えば、あるソフトを使用していると、強制的に広告が表示されたり、ブラウザにツールバーがインストールされるといった動作をします。ランサムウェアのような深刻な被害は与えないのですが、煩わしい広告表示やユーザーの意思を伴わないソフトの設定変更などは、好ましいものとは言えません。

最近、アドウェアが問題視されたのは、個人情報保護の観点からです。例えば、ブラウザにインストールしたツールバーを介し、Webサイトの閲覧履歴を入手するなどの方法で、ユーザーの趣味趣向につながる情報まで取得するソフトも存在します。

ユーザーの許諾を得ていれば問題はないのですが、この種のソフトは長文の利用規約に目を通さないと、そうした機能があることに気づかず、説明内容も分かりにくいケースが多いため、インストールの判断をする時点で、機能と目的が明確に分かるようにするべきでしょう。

■ボットネット

ボットネットとは、不正に利用する目的のためにマルウェア(ボット)に感染させられたコンピュータによるネットワークです。感染したコンピュータは、自由に操られるロボットのような状態で、攻撃者の命令に従って外部のサーバに一斉にデータを送りつけて停止させたり、大量のスパムメールをばらまいたりします。

スマートフォンやIoTが一般化してきた近年、ボットネットの影響は深刻さを増しています。スマートフォンはPCに比べ、簡単な操作でアプリをダウンロードでき、セキュリティソフトの搭載率も低いため、不正アプリを介したボットネット化のリスクは高まります。家電や制御機器などが主な対象のIoTは、デバイスのリソースに制限もあり、セキュリティソフトの搭載が難しい機器も多く存在します。

防止策は、一般的なマルウェア対策の基本と変わりませんが、不審なソフトはダウンロードしないこと、OSとセキュリティソフトなどは、常に最新の状態を保つことです。

■フィッシング

メールなどで偽のWebサイト(フィッシングサイト)に誘い、ID、パスワードなどのログイン情報や、クレジットカード情報などを盗む手口です。釣り(fishing)と洗練(sophisticated)から来た造語とされており、綴りはphishing。サイバー犯罪としては古典的とも言える攻撃手法ですが、年々巧妙化し鎮静化する兆しはありません。

2018年の春以降に限っても、大手ショッピングサイトや宅配事業者を偽装した詐欺が大きな被害を出しました。後者の事件は、リンク先へのアクセスや添付ファイルの開封からマルウェアに感染するもので、スマートフォンにインストールされたアプリから、プリペイドカードの不正購入やスパムメールの送信が発生するといった被害が報告されています。

フィッシングサイトは巧妙に作られているため、見破ることは困難です。特にスマートフォンは、PCに比べセキュリティソフトの搭載率は低く、狭い画面の中でリンク先のURLなど詳細情報を確認することが難しいため、十分に注意しなければなりません。

今後もフィッシングは増えることが予想され、身に覚えのない内容の通知は無視する、安易なアプリのダウンロードはしないなどの対策の徹底が必要です。

■サプライチェーン攻撃

サプライチェーン攻撃は、設計から製造、輸送、販売、保守などの業務における企業間のつながり、“サプライチェーン(供給連鎖)”を狙うサイバー攻撃です。

一般的なサプライチェーンは、大企業であるメーカーを中心に、多くの中小規模の事業者で構成されています。攻撃者は、ぼう大な顧客情報や技術情報を持つ大企業は最初から狙わず、情報の一部を共有しているサプライチェーンの構成企業、ガードがよりあまい中小企業に標的を定めてきます。中小企業からチェーンで共有している情報を搾取、あるいは大企業のシステムにログインするための情報を入手し、“本丸”である大企業に入り込むという手口です。

サプライチェーンに対する攻撃は、この1~2年、調査機関やセキュリティ企業がサイバー攻撃の傾向を予測するレポートでも増加が指摘されており、2019年も警戒すべき攻撃の一つであることは確かです。

■中間者攻撃

悪意ある第三者が通信経路の送信側と受信側の間に入り、通信内容の傍受や改ざんを行う行為を中間者攻撃といいます。インターネットや企業情報システムの中間地点に位置するサーバやルータ、無線LANなどのネットワーク機器に十分なセキュリティ対策が施されていないと、この攻撃の被害を受けやすくなります。

通信文が平文なら簡単に盗聴されてしまい、暗号化してあっても暗号方式の強度が足りない場合は安心できません。暗号を解読されても、攻撃者は暗号化された状態で戻すため、盗聴に気づきにくく、この攻撃の被害を大きくしています。対策としては、強度が高い暗号方式の導入、電子証明書による本人認証の強化などが挙げられます。

■コインマイナー

仮想通貨の運用に必要なマイニング(発掘)と呼ぶ処理を、他者のコンピュータのリソースを使って不正に行わせるためのマルウェアをコインマイナーと呼びます。マイニングは高性能のマシンを持つ方が有利で、成果に応じた対価が得られるため、他のコンピュータを操作して処理を行わせます。

2018年は仮想通貨の流出事件もあって、投資対象としての仮想通貨の価値は低下しましたが、ビットコインやイーサリアムなど、主要な仮想通貨は定着しており、仮想通貨の基盤技術であるブロックチェーンは応用分野の拡がりが期待されるため、コインマイナーの発見も増える傾向にあります。

■常時SSL/TLS

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、ユーザーがブラウザでサーバにアクセスするとき、データを暗号化して安全性を高める技術です。SSLは2014年に重大な脆弱性が発見されたため、現在は使われていません。言葉として「SSL対応」や「常時SSL」も残っていますが、「TLS」に統一していくべきでしょう。

これまでSSLやTLSは、電子商取引など機密性が高い情報を扱うWebページに適用されてきましたが、現在は誰でも閲覧できるオープンなサイトも、TLS対応が進みつつあります。これが「常時TLS」です。情報の内容に関わらず、通信システム全体の安全性をより高めるための施策で、対応サイトはURLが「http:」ではなく「https:」と表記されることで識別できます。

2018年夏以降、Googleが提供するブラウザ「Chrome」では、未対応サイトはURLの前に「保護されていない通信」と表示されるようになりました。官公庁や著名企業でも、未対応サイトはまだ多く残っていますが、今後は対応が加速するはずです。

■2要素認証(多要素認証)

システムへのログインや施設への入室時などの認証の際に、2種類の認証技術を使う方式を2要素認証と言います。最近は、(2種類を含め)複数の方式を使う多要素認証という言葉も浸透してきました。

代表的な認証方式として、ID、パスワードに代表される「記憶認証」、ICカードなどを使う「物理認証」、指紋や静脈で本人を識別する「生体認証」の3種類があります。多要素認証はこのうち複数の方式を使うもので、通常は記憶認証と物理認証など、異なる技術の手法を併用します。

例えば、企業情報システムでモバイル端末を外部で使う際、IDとパスワードを入力(記憶認証)した後、ワンタイムパスワード(別項)を生成するデバイス(物理認証)を使って認証強度を上げる方法があります。ここ1~2年、働き方改革に伴うテレワーク環境の拡がりと共に、多要素認証で安全性を向上するニーズが増えてきました。

■生体認証

システムへのログインや施設への入室などの認証時に、人間の生体の一部を利用する技術が生体認証です。生体情報として、指紋、静脈、音声、顔、瞳の虹彩などがあります。文字列を使うパスワードのように、忘れてしまう懸念はなく、ICカードのように紛失することもないため、適用の拡がりが期待される認証技術の一つです。

現在の課題として、それぞれの方式によって差異はありますが、生体情報の登録操作が煩雑な点、認証の精度が安定しない場合があること、また特に日本人は指紋から犯罪捜査を連想し、生体情報の登録を敬遠する人も多いなどの点が挙げられます。

ここ数年で、スマートフォンの主要機種に指紋認証や虹彩認証の機能が搭載され、生体認証も一般化してきました。国際的にもパスワードの代替、補完技術として利用が進みつつあります。スマートフォンやPCのセンサーを活用したオンライン認証技術「FIDO(Fast Online Identify)」という国際標準仕様も制定され、NTTドコモや富士通などの大手企業も力を入れており、国内での進展が期待されます。

■ワンタイムパスワード

ワンタイムパスワード(OTP)は、1回だけ有効なパスワードです。企業情報システムやWebサービスなどにログインする際、IDとパスワードを入力した後、サーバから通知された数字などのOTPを併用することで安全性が向上します。OTPの有効時間は一般的に数十秒程度のため、第三者に盗み見されたとしても、不正を働く時間はほとんどありません。

OTPの配信と表示には、従来から「トークン(通行券などの意味)」と呼ぶ専用のハードウェアデバイスを使うケースが一般的でしたが、最近はスマートフォンアプリを使って画面に表示する方法も見受けられます。

代表的な適用分野は、最高レベルの安全性が要求される銀行のオンラインバンキングサービスです。ここ1~2年は、働き方改革に伴うテレワーク環境の拡がりと共に、一般企業の情報システムでも導入例が増えてきました。

■CSIRT(Computer Security Incident Response Team)

CSIRT(シーサート)は、コンピュータセキュリティインシデントに関する報告を受け、調査や対応を行う組織の略称です。組織の形態として、企業などの組織内部で発生したインシデントに対処する組織内CSIRT、地域における連携を目的とするナショナルCSIRT、自社製品の脆弱性に対応するベンダーチームなどがあります。

組織内CSIRTの場合、情報システム部門だけでなく、経営層、機密情報を扱う顧客管理や技術開発などの部署、総務などの管理部門など、組織全体からスタッフを集めてチームを構成します。

なお、“チーム”は、必ずしも定常的に活動する部署である必要はなく、対処できる人員と機能が確保できることを前提に、セキュリティインシデントが発生した際に、特別編成の組織で対応に当たるケースもあります。国内では「日本シーサート協議会」が、CSIRTの構成や運営方法に関する情報提供を行っています。

■サイバーレジリエンス

サイバーレジリエンスとは、セキュリティインシデントが発生した際の「resilience(回復力)」のことを示します。現時点ではそれほど浸透している概念ではありませんが、ここ1~2年、調査機関やセキュリティ企業が発表するセキュリティに関する動向調査では、キーワードの一つとして挙げられるケースが増えてきました。

その背景として、サイバー攻撃の多様化と巧妙化があります。ファイアウォールやアンチウイルスなど既存のセキュリティ対策だけでは、全てのリスクを排除することは難しくなってきているため、マルウェアの混入やシステムへの侵入が発生した状況を想定し、いち早く検知、対応して、企業活動への影響を最小限にくい止めるという考え方です。

具体的な対策の一例として、PCやデータベースなど社内システムの状況を常に監視し、仮に不審な動きをするソフトウェアが入り込んだとしても、最速で検知するソリューションなどがあります。最近のサイバー攻撃の先鋭化から、100%のリスク回避は困難という意識が広まっており、セキュリティレジリエンスを前提としたソリューションのニーズは高まってきています。

■2018年後期 ITの動向とセキュリティ対策

最後に、2018年後期にクローズアップされたITの動向と、セキュリティ対策について簡単に触れておきます。

◇「デジタルシフト」と「クラウドシフト」が加速

clm201812252

まずITのトレンドとして、「デジタルシフト」と「クラウドシフト」の二つが挙げられます。もちろん、双方とも急に起こった波ではないのですが、2018年あたりから、加速してきたことは確かでしょう。

デジタルシフトは、簡単に言えば、設計・製造・販売、マーケティングなどの企業活動を、できるだけ情報システムとインターネットに乗せていくことです。背景として、2000年代に比べると、スマートフォンなどのモバイルデバイス、SNS、AI(人工知能)、クラウド、IoTなどの進展で、企業活動の場とビジネスに活用するツールが拡大した点があります。

クラウドシフトは、企業情報システムをクラウドに移行していく流れです。2018年後半には象徴的な動きがあり、複数の金融機関がオンプレミス(自社構築)の象徴だった「勘定系システム」を、パブリッククラウドへ移行する計画を公表しました。一般企業においても、働き方改革の推進に伴うテレワークの実践など、ワーキングスペースの柔軟性を確保する手段として、クラウドシフトの動きは加速しています。

◇ セキュリティを“攻め”の要素に

clm201812253

デジタル化とクラウドの進展で、企業が扱う情報の量は増え、その重要性は増し、データの流通も活発化しています。ここで重要な要素がセキュリティです。デジタルシフトとクラウドシフトが進展する環境で、セキュリティの不安が企業活動の足かせになることがないように、さまざまなツールや手法を駆使し、攻めの経営を続ける必要があります。

今回の「セキュリティキーワードの再確認 2018 後期編」では、そのためのキーワードをいくつか挙げてみました。基礎的な用語を採り上げた「前期編」と併せて、折に触れて参照していただけると幸いです。