NRIセキュアテクノロジーズ サイバーセキュリティサービス開発部 セキュリティコンサルタント 原田諭氏

NRIセキュアテクノロジーズは8月21日、2017年4月1日から2018年3月31日にかけて、同社が顧客向けに提供する情報セキュリティ対策サービスを通じて蓄積したデータをもとに、サイバー攻撃などに関する最新の動向分析と推奨する対策をまとめた「サイバーセキュリティ傾向分析レポート2018」を公開した。

サイバーセキュリティサービス開発部 セキュリティコンサルタント 原田諭氏は、同レポートにおいて注目すべき点として、「意図せず外部開放されたネットワークポートやネットワーク経路」「シャドーIT」「クリプトジャッキングの増加」を挙げた。

意図せず外部開放されたポートや経路が攻撃者の標的に

同社が提供するマネージドセキュリティサービスにおいて、ファイアウォールでブロックした通信のうち、38%はIoT機器を狙ったもので、そのうち、telnetを狙った通信は29.2%だったという。

2017年度は昨年度の48.1%に比べると減少したが、その背景には、IoT機器への探索行為が減少したのではなく、探索行為の対象のポートが分散したことがある。

  • ファイアウォールでブロックした通信のうち、IoT機器を狙った通信が38.0%で、そのうち29.2%がtelnetへの通信だった

原田氏はIoT機器が狙われる要因として、すぐにインターネットに接続して利用できるよう、初期設定されている場合が多く、そのまま利用していると、攻撃されやすい状態であることを挙げた。

例えば、管理画面のログインIDとパスワードが初期設定のままだと、攻撃者がログインされやすい状態と言える。また、OSやファームウェアの自動更新がなっていないと、脆弱性が放置される可能性が高くなる。

加えて原田氏は同社の「プラットフォーム診断エクスプレスサービス」の診断結果によると、24.9%のサーバやネットワーク機器において、インターネットに公開する必要のないポートが外部に開放されていたことを紹介し、その問題性を指摘した。

また、「Webサイト群探索棚卸しサービス」の診断結果では、同様に、12.2%のWebサイトがインターネットに公開する必要のないメンテナンス用の経路が外部に開放していたことがわかっている。

こうしたポートを放置しておくと、外部から攻撃されてシステムそのものを乗っ取られてしまう危険性がある。

原田氏は、不要なポートが外部に開放されることを防ぐために、導入時と運用時に分けて対策を行うとよいとアドバイスした。導入時においては、外部からのアクセスを許可する対象を特定し、機器の初期設定を変更する。運用においては、機器の脆弱性情報を把握し、更新状況に応じてバージョンアップなどを行うほか、Webサイトや機器の構築・運用に関するルールを定める。

さらに原田氏は「不要なポートが外部に開放されていないかをポートスキャンで調べるなど、現状の把握から始めてみるのもよいのでは」と語った。

クラウドサービスの安全な利用を脅かす「シャドーIT」

シャドーITとは、管理部門による許可・承認なしに、事業部門や従業員がIT機器やサービスを利用することをいう。利用ポリシーやセキュリティ対策が適用されていない状態でのITの利用は、情報漏洩やマルウェア感染などの発生リスクを高める。

原田氏は、シャドーITが抱える課題として「実態の把握が困難な点」「運用面と技術面でクラウドサービスの制御が困難な点」「暗号化通信によりクラウドサービスの利用実態の把握と制御ができない点」を挙げた。

クラウドサービスの利用を認めるかどうかを判断する際は、ログに加えて、クラウドサービスに関する情報(特性やリスク)が必要だという。

運用面では、想定通りに利用されていることを定常的にモニタリングする仕組みを整備することが難しい。また技術面では、制御の内容によっては既存のゲートウェイ機器で対応できないことがある。

最近は、セキュリティの向上を目的に、HTTPSによって暗号化された通信が増えているが、暗号化された通信は経路上で内容を把握することができない。

原田氏は、こうしたシャドーITが抱える課題の解決策として、クラウドサービスの利用を可視化・成業するためのツール「CASB(Cloud Access Security Broker)」を紹介した。CASBはクラウドサービスの「可視化」「データセキュリティ」「脅威からの防御」「コンプライアンス」といった機能を提供するが、これらをすべて企業が自前で用意するのは難しい。

  • CASBの概要

CASBは「API型」「プロキシ型」「ログ分析型」と導入形態が複数あり、それぞれ提供可能な機能が異なるため、原田氏は「自社で制御したい内容に応じて、製品を選定することが必要」と話した。

  • CASBの導入形態とその特徴

クリプトジャッキングの増加

クリプトジャッキングとは、仮想通貨のマイニング(採掘)ツールをWebサイトに設置し、サイト閲覧者の同意を得ずに、その閲覧者の端末リソースを利用してマイニングを実行させることで、ツールの設置者が報酬を得ることをいう。

同社の次世代ファイアウォールを利用している企業について、クリプトジャッキングの可能性があるWebサイトへの月間アクセス件数を調査したところ、2017年8月は約1万件だったが、10月には約7万件に急増したという。

原田氏は、脆弱性を悪用して他者のWebサイトにマイニングツールを設置する場合、Webサイトの改竄を行っていることになるため、問題のある行為になると指摘した。

また、自身のWebサイトにマイニングツールを設置する場合については、警察庁が犯罪になる可能性を指摘していることが紹介された。

原田氏は「現在のところ、クリプトジャッキングに対し、対策と法整備が追い付いていない。今後、法整備が進む可能性が考えられるが、攻撃者にとってより魅力的なマネタイズの手法が登場すれば、クリプトジャッキング自体が廃れていくことも考えられる」と話した。