おはようございます。こんにちは。こんばんは。
ミッド(@mid_v_lab)です
IPAから2021年上半期(1月~6月)のコンピュータウイルス・不正アクセスの届出事例が公開されていました。
こうした事例は自分自身や企業が、コンピュータウイルス感染や不正アクセスに合わないための試金石・転ばぬ先の杖となりますので、目を通しておきたいですね。
届出事例の中から個人的に気になったものをピックアップしてご紹介します。
コンピュータウイルス・不正アクセスの動向
2021年上半期の受理件数の主な事例は「127件」、2020年下半期の「135件」よりも減少しているようです。
内訳
内訳を見ると、下記のような数値になっています。
| 2021年上半期 | 2020年下半期 | |
| コンピュータウイルスの検知・感染被害 | 14件(↓) | 49件 |
| 身代金を要求するサイバー攻撃の被害(ランサムウェア) | 30件(↑) | 21件 |
| IDとパスワードによる認証を突破された不正アクセス | 31件(↑) | 22件 |
| 脆弱性や設定不備を悪用された不正アクセス | 24件(↓) | 32件 |
| サプライチェーンに関するインシデント | 23件(↑) | 0件 |
| その他 | 6件(↓) | 11件 |
コンピュータウイルスの検知・感染被害の減少
顕著なのが、「コンピュータウイルスの検知・感染被害」の件数が激減している点です。
ここについては、Emotetという凶悪なウイルスが撲滅されたことにより、被害件数が2020年下半期に44件あったのが、2021年上半期に6件と減少したことが原因のようですね。
<過去記事>
2021年1月にEmotetを配布していたサーバがユーロポーロに摘発されたおかげで、世界的に猛威を振るっていたEmotetが終息し始めているようですね。
欧米の金融機関ではEmotetのせいで約25億ドル(日本円で2600億円)の被害が出ていたそうなので、激おこだったのでしょうね。
助かります!!って感じです。
ウイルス対策は余談を許さない状況
とはいえ、ランサムウェアのような質の悪いコンピュータウイルスによる被害も増えていますので、コンピュータウイルスへの対策は予断を許さない感じではあります。
<過去記事>
企業のセキュリティを担当されている方は分かると思いますが、
「予断を許す状態なんて1ミリもない」というのが本音ですね。
攻撃も常に進化しますから、「大丈夫だろ~」と怠けていると、すぐに防御力は低下します。常にアンテナを張り続けて、最新の動向を確認しておきましょう。
私は「Security Next」というニュースサイトを良く見ています。
そういう意味では、セキュリティ担当の人たちが共通して見ておくサイトや、共有する場みたいなものが必要ですよね。
チーム間ならびに上司や経営層にも連携できると、尚良いですね。(理想)
サプライチェーンのインシデントが増加中
あと、個人的にはサプライチェーンに関するインシデントが増えているというのが印象的です。
サプライチェーンというのは、「製品の原材料や部品の調達、製造、管理、配送、販売、消費といった一連の流れ」のことですが、
セキュリティでいうところのサプライチェーンは、自社ではなく他社に委託している、自分たちでは対応困難な部分のことです。
例えば、ターゲットにされた企業を直接狙うのではなく、まずはセキュリティの弱そうな子会社を狙い、そこ経由でターゲット企業を攻撃することをサプライチェーン攻撃と言います。
このインシデントが増えているということは、攻撃者が直接的な攻撃手法ではなく、絡め手で攻撃を仕掛け始めているということですね。
自社のセキュリティ対策を保つのはもちろん、業務委託先や利用しているクラウドサービスなどのセキュリティが大丈夫かどうかも、大事になってきますね。
気になった事例のご紹介
事例のなかで、個人的に気になったものを紹介します。
コンピュータウイルスの検知・感染被害
届出者(非営利団体)において、長期間使用していなかったメールアカウントから、複数のメールアドレス宛てに IcedID への感染を狙った攻撃メールが送信された。組織内の受信者は不審に感じて添付ファイルは開かなかったため、感染の被害はなかった。原因については判明していないが、送信元となったアカウントのパスワードが攻撃者に推測された、総当たり攻撃で特定された等の可能性を考えている。当該メールアカウントは事案の発覚時点で削除した。今後の対策として、パスワードの定期的な変更と、不要になったメールアカウントは即時削除する運用とした。
身代金を要求するサイバー攻撃の被害
届出者(企業)の NAS 上の 20 万個以上のファイルが「.mars」という拡張子に書き換えられ、復元のために身代金を要求するメッセージが置かれていたことを発見した。調査したところ、ファイル共有のためのポートが外部に開放されていたこと、およびファイルが暗号化された時間帯には従業員のパソコンからのアクセスがなかったことから、組織外部から直接 NAS に不正アクセスされたものと考えられる状況であった。従業員のテレワークに対応するため、外部から社内環境へのアクセスを設定した際に、誤ってファイル共有のポートも外部に開放してしまっていたことが原因と推測している。外部アクセスの設定を是正して対策した。また暗号化されたファイルの一部はバックアップから復元した。
IDとパスワードによる認証を突破された不正アクセス
届出者(地方自治体)の組織内でメールの送信遅延が発生したため調査したところ、メールアカウントの一つが海外から不正アクセスを受け、スパムメールの配信の踏み台にされていることが判明した。調査の結果、当該アカウントの認証がパスワードリスト攻撃により突破されたと考えられる状況であったが、詳細な手口については不明である。対策として、メールアカウントのパスワードの文字数を増やして強度を上げた。また、メールシステムへ接続できる IP アドレスを国内だけに制限し、さらに細かいアクセス制限の実施を検討している。
脆弱性や設定不備を悪用された不正アクセス
届出者(一般団体)が運営している複数のウェブサイトにおいて、管理画面にログインできなくなっていること、および不審なファイルがウェブサーバ上に置かれていることを発見した。サーバを提供するレンタルサーバ事業者と調査した結果、原因は不明であるが、CMS のバージョンが古かったことや、管理者の ID やパスワードの強度が弱かったことから、それらを悪用されて不正アクセスされたものと推測している。対策として、管理画面へのアクセス制限、各機能の自動アップデート運用を適用した。
サプライチェーンに関するインシデント
届出者(地方自治体)が利用しているクラウドサービスに関して、監督官庁からセキュリティ設定の確認依頼があった。委託先の事業者と調査したところ、SaaS 基盤使用時の設定に不備があり、何者かに悪用されてシステムにアクセスされ、個人情報が不正に閲覧されたことを確認した。委託業者が設定を修正する対応を行った。届出者は委託業者と連携して、インシデント発生時の対応体制の見直しを実施した。
色んな事例が盛りだくさんですので、是非チェックしてみてください。
ではでは
