データを保護あるいは事業を継続するため、サイバーセキュリティの重要性が官公庁だけでなく、民間企業にも高まっている。その対策は多方面かつ重層的に講じることが必要なのだが、多くの企業、特に中小企業においては、セキュリティに充てるべき人的・金銭的リソースに限りがあり、全てのリスクをカバーできないのが現実だ。
効果的かつ現実的なセキュリティ対策を検討しなければならないものの、多くの企業担当者がサイバーセキュリティの危機に直面したことがないため、いかなる対策が適切であるか見いだせずにいる。実際に、企業のサイバーセキュリティ体制構築支援を専門とする筆者の実務経験上、「サイバー攻撃の傾向を踏まえた重点的対策」というアプローチはそれほど取られていない印象である。
サイバー攻撃の傾向を踏まえた対策とは何か。昨今の被害動向から検討してみたい。
全ての事業者が念頭に置くべき攻撃の種類
筆者は、サイバー攻撃には攻撃者の目的に応じて2種類に分けることができると考えている。特定のデータの窃取や特定の施設・サービスの破壊を狙うことを目的としたいわゆる標的型攻撃と経済的利益の獲得を目的とした攻撃である。
攻撃対象の観点から整理すると、前者は目的を達成するために攻撃対象を限定するのに対して、後者はそこから得た情報の売買や身代金といった経済的利益を獲得できれば攻撃対象にこだわりはない。攻撃の仕方の特徴に関していえば、前者はある程度のコスト負担は覚悟しているので攻撃が高度化する傾向にあるのに対して、後者は攻撃手法が使い回される傾向にある。
政府組織、重要インフラを担う企業は前者の攻撃対象となることが多い。一方で、後者の攻撃対象は民間企業を広く対象とする傾向にある。多くの企業のセキュリティ担当者は後者の攻撃への対策を講じる必要があると言える。
では、後者の攻撃はどのようなものがあるのか。代表的なのが身代金要求型ウイルス「ランサムウェア」による攻撃だ。ランサムウェアは企業などのシステムに侵入してデータを暗号化し、復元することを条件に金銭や暗号資産を要求するもので、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威」組織編で3年連続1位となるほどの発生件数がある。
ランサムウェア攻撃は、経済的利益を得るために、産業や企業の規模を問わずサイバー攻撃が仕掛けられている。この攻撃手法は使い回されている。換言すれば、攻撃手法に明確な傾向があるということである。
では、その傾向は何か。2023年3月16日付警察庁公表資料によると、「VPN機器からの侵入」が62%を占めていることが分かる。VPNとは、Virtual Private Networkの頭文字をとった略語で、仮想プライベートネットワークとも訳される。一般のインターネット回線で通信する際に暗号などを用いて第三者の閲覧や侵入を防ぎ、専用回線と同じような機能を持たせる技術だ。
VPNは機器には脆弱性が見つかることがある。攻撃者はその脆弱性を突いて認証情報を窃取し、ネットワークへの不正アクセスに利用する。
本来セキュリティを高める目的で導入されるVPNが、企業のセキュリティ上の弱点として利用されているともいえる。
代表的なサイバー被害の多くがVPN経由
実際の事例をみても、「VPN機器からの侵入」事例がいかに多いかが分かる。記憶に新しいのが7月に名古屋港のコンテナ管理システムが全面停止した事件だ。23年7月26日付「NUTSシステム障害の経緯報告」 において「リモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられます」とされている。この「リモート接続機器」はVPN機器を指しているものと推測される。
このほか、21年7月にランサムウェア攻撃を受けたニップン(東京都千代田区)の事例では、内部統制報告書において「SSL-VPNの脆弱性を悪用し不正侵入」と記載されている 。21年10月にランサムウェア攻撃を受けた徳島県つるぎ町の町立半田病院の事例では、「VPNの装置の脆弱性を悪用した侵入が考えられ」ると調査報告している 。22年10月にランサムウェア攻撃を受けた大阪急性期・総合医療センター(大阪市)の事例でも、「ファイアウォールZ(SSL-VPN)」から侵入されたとされる 。
いずれの事例も、VPNが起点となってランサムウェア攻撃を受けた点で攻撃手法が共通する。こうした情報を踏まえると、近時のランサムウェア攻撃にはVPN経由という明確な攻撃傾向がある。
実は追加コストをかけずにできる対策
その重点的対策は、実施が比較的容易であり、かつ費用負担が少ない。主なものは、VPNの脆弱性管理の徹底および多要素認証の導入が考えられる。
脆弱性管理の徹底は、自社で使用しているVPN機器のバージョンを把握し、脆弱性が公表されているか、脆弱性が公表されている場合はアップデート等の対応をしているかを確認し、速やかに対応することが有効だ。多要素認証の導入は、ID・パスワードの認証に加えてスマートフォンに届く数字等もう一つの認証を加える方法である。多くのVPN機器には多要素認証の機能が最初から実装されており、それを「ON」に設定することで有効化できる。
前者はVPN機器から認証情報を窃取されないための対策、後者は仮に認証情報が窃取されたとしても不正アクセスをされないための対策と整理できる。
これらの対策は、新たなセキュリティ製品の導入を伴うものではないため、基本的に追加コストは掛からず、すぐにでも導入や実施ができる。上記の警察庁公表資料のデータを踏まえると、これらの対策を実施することでランサムウェア攻撃のサイバーリスクを62%減らせるといっても過言ではないであろう。
これが冒頭に記載した「サイバー攻撃の傾向を踏まえた重点的対策」というアプローチである。
もちろん、サイバーリスクはランサムウェア攻撃だけに限られないし、ランサムウェア攻撃の残る38%はVPN以外からの攻撃である。しかも、攻撃傾向は今後変化することは十分に想定される。そのため、VPN対策をすればサイバーセキュリティとして十分であると言うつもりはない。
ここで申し上げたいのは、サイバー攻撃には明確な攻撃傾向があるということと、攻撃傾向がわかっているのに同様の被害が後を絶たないという現状に対する現実的な解決策の提案だ。発生頻度が高いサイバー攻撃の傾向を踏まえたアプローチは初めて対策を実施する企業のスモールスタートにもなり得るし、効果的な結果を生み出すことにもなる。セキュリティ対策の一つの視点としてもっと検討されるべきではないだろうか。