脆弱性を狙った攻撃から自社システムを守るには?
実際の攻撃事例や効果的な対策を解説
現代のビジネス環境において、情報セキュリティ対策は企業が生き残るための重要な事項です。しかし、脆弱性を狙った攻撃は増加し続けており、多くの企業がその被害を受けています。本記事では、実際に起きた攻撃例を交えながら、自社システムを守るための効果的な対策について解説します。
脆弱性とは
脆弱性とは、コンピューターのOSやソフトウェア、ハードウェアにおいて、主にプログラムの不具合や設計上のミスが原因となって生じた情報セキュリティ上の欠陥・弱点を指します。代表的な脆弱性としては以下が挙げられ、IPA(独立行政法人情報処理推進機構)の調査によると2007年の調査開始以降、脆弱性情報の登録件数は、2022年4月時点で141,482件になりました。
- バッファオーバーフロー
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
- CSRF(クロスサイト・リクエスト・フォージェリ)など
脆弱性はセキュリティホールとも呼ばれます。脆弱性が残された状態でシステムを利用することで、不正アクセスやウイルス感染につながる可能性があるため、適切な脆弱性管理・対策が不可欠です。
脆弱性を狙った攻撃
IT資産の脆弱性を突いた攻撃の基本的な流れや種類、実際の攻撃例を解説します。
脆弱性攻撃の基本的な流れ
脆弱性が発見された場合、開発元メーカーが更新プログラムを作成し、各利用者に配布します。その後、脆弱性の対象OSやソフトウェア、ハードウェアの利用者が対象製品のアップデートを実施し、更新プログラムを適用するといった対応が脆弱性対応の基本です。
ただ、脆弱性が発見されてから更新プログラムが開発されるまでの期間、更新プログラム更新後から自社システムのアップデートが完了するまでの期間は脆弱性が残存することになります。悪意のある攻撃者は不正アクセスやマルウェア感染などを目的に、こうした脆弱性を攻撃対象として狙うのです。
また、一度脆弱性の対策をしたとしても新たな脆弱性は日々発生するものであり、常に脆弱性に関する最新情報の収集と、新しい脆弱性への迅速な対応が不可欠と言えるでしょう。
脆弱性攻撃の種類と特徴
脆弱性とひと口に言っても種類や特徴はさまざまです。ここでは代表的な脆弱性攻撃を紹介します。
- クロスサイトスクリプティング(XSS)
検索キーワードの表示画面や個人情報登録時の確認画面、掲示板などに攻撃者があらかじめ悪意のあるスクリプト(命令文)を埋め込むことで、ユーザーがページを閲覧した際に不正なスクリプトが実行されてしまう攻撃。偽ページの表示やブラウザが保存しているCookieの流出、任意のCookieをブラウザに保存させられるなどの被害につながる。クロスサイトスクリプティング(XSS)は、ほかの脆弱性と比較して被害件数が多い。 - SQLインジェクション
Webアプリケーションの脆弱性を意図的に利用し、想定されない断片的なSQL文をアプリケーションに注入(インジェクション)・実行させる攻撃。ECサイトや会員制Webサイトで、IDやパスワードを入力するログインフォームにこの脆弱性が存在する場合、攻撃者によりログインフォームに不正なSQLを入力され、ほかの会員情報を窃取されたり、削除されたりといった被害につながる。 - ゼロデイ攻撃
脆弱性が発見されてから対策が取られるまでの間に標的とされる攻撃。情報公開や更新が公開された当日に発生する傾向が高いので、ゼロデイ攻撃と呼ばれる。
認可・権限・アクセス制御不備
IDとパスワードによる「ユーザー認証」と、そのユーザーに対して権限を制御する「アクセス認可」のいずれかに脆弱性があることで、攻撃者による不正アクセスや情報窃取・情報削除などの被害につながる。
実際の攻撃事例や被害
脆弱性を狙った実際の攻撃例を2つ紹介します。
ひとつは、VPN機能の脆弱性を突かれ、不正な情報漏えいにつながったケースです。近年、働き方改革や感染症対策でテレワークが急速に普及したことにより、社外からのリモートアクセスツールとしてVPNを利用する企業が増加しています。一方で、VPN機器・機能における脆弱性が放置されたまま利用されていることも多く、結果として情報流出やマルウェア感染につながってしまいました。
警察庁が公表した資料では2022年の1月から6月の半年間で、感染経路が判明しているランサムウェア(身代金要求型ウイルス)被害のうち約7割がVPN機能からの侵入とされており、多くの企業がこの脆弱性に関する被害を受けていることが分かります。
もうひとつの事例は、多くの被害を出したApache Log4jの脆弱性を突いた攻撃です。この脆弱性は、Javaベースのオープンソースログ出力ライブラリApache Log4jのもので、2021年12月に公表されました。この脆弱性を悪用することで、Log4jが動作するアプリケーションに対して外部からの任意コード実行が可能となることから、情報漏えいやマルウェア感染などの被害が危険視されています。
世界中で広く利用されているOSSであることから、ランサムウェアの感染経路として利用されるケースも多く、システム内データの盗難・暗号化、脅迫といった被害は、日本国内をはじめ世界各国で報告されています。
脆弱性攻撃への有効な対策方法とは
脆弱性を狙った攻撃の攻撃手法や事例を踏まえて、効果的な対策ポイントを紹介します。
基本的なセキュリティ対策は万全に
脆弱性への対応は「情報収集」「ハードウェア・ソフトウェアの適切な管理」「定期的な脆弱性診断(セキュリティ診断)」が基本的な対策となります。最新のセキュリティ対策を維持し、平時からサイバー攻撃に備えておくことが重要です。
セキュリティに関する最新情報は日々アップデートされています。情報セキュリティ担当はこまめに情報収集を行い、「新たなサイバー攻撃手法」「利用中のIT資産に関する脆弱性」などの公開情報があった場合は早期に対応できるようにしておきましょう。
また、企業が管理するハードウェア、ソフトウェアなどは常に適切に管理されている必要があります。セキュリティソフトやOSのアップデートを都度実施してセキュリティ性能を高めておくのはもちろん、社員のITリテラシーを底上げする研修・教育を実施し、ヒューマンエラーや内部不正など社員の行動による脆弱性を防ぐ対策も重要です。
さらに、利用中のネットワークやソフトウェアに脆弱性が存在していないかを診断する脆弱性診断を定期的に実施するのも効果的な方法です。脆弱性診断を実施することで、潜在化している脆弱性の早期発見につながり、早期に脆弱性対策につなげることができます。
脆弱性の管理については「脆弱性管理の現状と課題―企業が取るべき脆弱性管理のポイントを解説」で詳しく解説しています。
また、社内のIT資産を適切に管理し、常に最新の状態に保つサイバー衛生管理(サイバーハイジーン)については、「今の時代こそ求められる サイバーハイジーンの必要性を徹底解説!」で詳しく解説しています。
攻撃される前提で対策を講じる
新たな脆弱性が次々と公開され、サイバー攻撃も日々巧妙化・高度化する現代社会において、すべての脆弱性を把握しつつ、攻撃を100%防ぐことは現実的ではありません。そこで、近年普及しているのは「もし攻撃されても被害を最小限にする」として、攻撃される前提であらかじめ対策を講じておく「ゼロトラスト」に代表される考え方です。
ゼロトラストについては「ゼロトラストとは?今注目を集める理由と仕組みを解説」で解説しています。ぜひあわせてご覧ください。
ほかにも攻撃を前提としたセキュリティの考え方として、EDR(Endpoint Detection and Response)が挙げられます。サーバーやPC、スマホやタブレットなど、ネットワークに接続されたエンドポイント端末を常時監視し、攻撃を受けたとしても被害を最小限に食い止めるセキュリティ対策です。
サイバー攻撃を予測することやその発生確率をゼロにすることはできないので、重大なセキュリティインシデントを防ぎつつ、インシデント発生を前提として早期に復旧させることを目的としたセキュリティモデルの重要度が増しています。
まとめ:多層的なセキュリティ対策で万全の備えを
クラウドサービスの利用やテレワークが広く普及し、サイバー攻撃の高度化・多様化も急速に進むなかで、従来のセキュリティ対策だけでは脆弱性を狙った攻撃を完全に防ぎ切るのは難しくなっています。そこで、近年のセキュリティ対策として普及しているのは、最新のセキュリティ性能を維持する平時の対策と、攻撃に遭った際も迅速に復旧できる対策をセットで考える対策方法です。
さまざまなセキュリティ対策を組み合わせて、総合的なセキュリティ性能を高めていくことが重要です。タニウムでは、未然対策としてのCDM(継続的診断および対策)と、事後対策としてのEDRを統一されたプラットフォームで提供しています。