情報セキュリティ トピックス

今こそ社内にセキュリティ消防隊の整備を(1)

アバター 総合研究部 上席研究員 佐藤栄俊

2021.03.16
印刷
情報セキュリティ対策のイメージ画像

【もくじ】

1.今こそ社内にセキュリティ消防隊の整備を(1)

概要

1.CSIRTとは

2.イベント、インシデント、アクシデント

3.社内消防隊としての役割

4.実際のところ

5.平時からの予防の観点も

6.体制構築のポイント

7.CSIRT組織構築・評価のための参考サイト

8.日々の運用徹底が重視される時代

2.最近のトピックス

3.最近の個人情報漏えい事故(2021年1月、2月)

1.今こそ社内にセキュリティ消防隊の整備を(1)

概要

国内、国外を問わずセキュリティ事故が相次ぐ現在、トラブルの発生に備えた組織体制を構築することの重要性が叫ばれています。このような状況のなか、事故・トラブルへの対応力を向上するための取り組みの1つがCSIRT(Computer Security Incident Response Team)です。従来CSIRTには「大企業のもの」というイメージがありましたが、今やどの組織でも必要な仕組みであるといえます。とはいえ、CSIRTを立ち上げる方法を調べても、セキュリティの専門用語や技術用語の壁にぶつかり、答えが見えないという人は多いかもしれません。中小規模の組織なら、リソース不足、人手不足などが、CSIRTを持たない「言い訳」になっているものと考えられます。今や、外部からの不正なアクセスや、内部からの不正な情報の持ち出しなどあらゆる組織に等しくやってくる脅威やリスクに対して備えが求められており、有事の際の対応を前提とした、日々の訓練や運用が重要です。いわば、地域の中に有事の際に対応できる消防団があるように、企業・組織においても、セキュリティ上の事故やトラブルが発生した際に即応できるチームの整備が必要です。

1.CSIRTとは

CSIRT(シーサート)は「Computer Security Incident Response Team」の略称で、情報セキュリティにおけるインシデント対応するためのチームを指します。具体的には脆弱性や脅威に関する情報収集、トラブルの監視、情報収集や監視に基づいた対応方針や対応手順を策定することなどが挙げられます。

国内省庁からは、経済産業省「サイバーセキュリティ経営ガイドライン Ver2.0」や、総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第二版)」などで、セキュリティインシデント発生時および初動対応・再発防止策実施などのハンドリングを実施する専門組織としてCSIRTが記載されています。JPCERT/CCやIPA(情報処理推進機構)などのセキュリティ関連ドキュメントでは、CSIRTの存在自体が当然のごとく、記述されています。

このように、CSIRTとは企業規模や事業領域などに関係なく、様々な組織に必要とされている機能及び体制だと言えます。

▼経済産業省「サイバーセキュリティ経営ガイドライン」
▼総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第二版)」

CSIRTの目標は、インシデントによる被害を最小限にとどめ、速やかに元の状態に復旧することです。それには素早くインシデントを検知し、情報分析を通じて原因を特定することが求められます。原因がわかれば社内への周知や外部の専門家との情報共有や意見交換を行うことになります。これらの作業をスムーズに実行するにはインシデント検知の仕組みづくりや社内の連絡体制の構築が欠かせません。また、インシデントが発生した際の対応マニュアルの策定も重要です。

CSIRTは基本、企業内に設置されます。組織の規模にもよりますが2~3名のチームで構成されることが多く、組織体系も千差万別です。企業によっては、「CSIRT」以外の独自の名称が付けられているところも少なくありません。そのため、CSIRTの設置方法も組織によってまちまちです。一般的には、インシデント対応に対する課題を明確化し、CSIRTのグランドデザインを描きます。次に必要な人材を集め、予算を確保します。

CSIRTの設置において、最も難しいのは人材の確保です。CSIRTには豊富な知識と経験が求められるためです。もし、そのような人材の採用、育成が難しい場合は、外部の専門家をを利用する方法もあります。

2.イベント、インシデント、アクシデント

そもそもセキュリティ上の事故は、インシデントと呼ばれることが多いのですが、本来はインシデントと事故=アクシデントを使い分ける必要があります。通常はさほど気を付ける必要はないのですが、事故報告などの場合は、インシデントとアクシデントを明確にする必要があります。

アクシデント、インシデント、イベントを定義すると、JISQ27000では、インシデントとは、ある「事態」を示す言葉とされています。事業運営や情報セキュリティに影響を与えたり脅かしたりする可能性のあるインシデントのことを「セキュリティインシデント」と呼びます。

▼経済産業省「情報セキュリティ監査制度」

インシデントは、1つ以上の事象で構成されています。この事象のことは「イベント」といいますが、その中でも特にセキュリティインシデントと関係のあるイベントを「セキュリティイベント」と呼びます。

被害をもたらしたインシデントのことを「アクシデント」といいます。たとえば、「メールを受信し、添付ファイルを開いたら、ウイルスに感染した」という一連のイベントがもたらす事態はセキュリティインシデントですが、その結果、データが破壊されるなど業務に支障をきたす被害を引き起こしたインシデントは、アクシデントに分類されます。

1つのアクシデントの前にはアクシデントに至らなかったインシデントが29件発生している(ハインリッヒの法則)と言われます。こうしたインシデントをいち早く検出して対応することが、アクシデントを防ぐことに繋がります。そして、インシデントを早期に検出するためには、イベントの監視が欠かせません。

3.社内消防隊としての役割

セキュリティ事故への対応はよく、消防に例えられることがあります。セキュリティに何らかの問題が発生した際に行う「消火活動」(=事後対応)の側面と、平時から外部との交流を持ち、情報収集や啓蒙活動などを行う「防火活動」(=事前対応)という両方の側面が必要です。「うちは予防や対策が万全だから大丈夫。事故は発生しない」という前提は非常に危険で、やはり「事故はいつか起きる」という前提の下、社内組織における横の連携、あるいは社外チームと連携し、社内外のステークホルダーを含めたCSIRTを構築することが重要になります。グローバル企業であれば、日本国内の本社や支社だけでなく、海外にも多くの拠点があるでしょうから、各拠点が情報や問題を共有し、企業全体でセキュリティ事故対応能力を向上させるというイメージです。

もし事故が発生したら、社内での調整を行い、初期の事態収束化を行います。横の連携を図り、どこに事態報告すれば良いのか、技術的にどのような支援を受ければ良いのか、被害拡大防止のために何をすればよいかなど、迅速に状況判断をしなければなりません。これらはとても一人の要員では対応できませんので、社内の連携が必須となります。そこで、CSIRTは専任のセキュリティ担当者だけで結成するのではなく、まずは兼任のメンバーで構成することから始めてみるとを推奨します。事故が起きなくても予防の観点から、情報収集や啓蒙活動を平時の活動として実施します。CSIRTはこれがベストという型がある訳ではありません。100社あれば100通りのCSIRTができます。組織体制や企業風土、業界独自の事業形態やリスクが異なるはずで、やはりその企業にしか分からない部分があります。また、セキュリティ事故が発生した場合、迅速な経営判断を迫られることが十分考えられるので、CSIRTは経営層と十分に連携して、「判断する機能」を自社で持つスキームにすることが重要です。

4.実際のところ

CSIRTの本来の構築方法としては、その企業にとって守るべきものは何か、それをどこまで守ればよいのかを明確にする必要があります。それを実現するためにはどのような役割が必要であり、その役割は自社で育成・保有していくのか、アウトソーシングしていくべきなのかという決定をして、組織化します。しかしながら、他社が作っているからという理由で、とりあえずCSIRTの担当者をいきなり命名し、CSIRTをとりえあえず運営させるという構築をしてきた組織もあるようです。

この場合、CSIRTにはセキュリティと名のつくものがすべて投げ込まれ、何でも解決できる理想的な組織として会社から期待されることになります。ただ、何か問題を改善しようにも、守るべき対象がそもそも何なのかのコンセンサスを社内でとっていないために、何から手をつけてよいのかわからず、人員を増やそうにも、どのような要員が何人必要かもわからず、途方にくれることになります。もし、そのようなあるのならば、初心に帰って、守るべきものは何かをまず定義することが必要です。

CSIRTを構築して、「名ばかり」だったり「存在意義」そのものに疑問を持たれているような場合は、一度を振り返り、運営そのものに曖昧な箇所が残っていないかを確認することをお勧めします。もちろん、CSIRTの成熟度を計測するにはSIM3(※)というメジャーがありますが、それを利用する前に、まずは自社のCSIRTの立ち位置を確認し、そこを固めることが次のステップへの入口となります。

※SIM3(Security Incident Management Maturity Model)

EUを中心に利用されているセキュリティインシデントのマネジメントの成熟度モデルで、OpenCSIRTFoundationが2019年5月にバージョン1が公開されました。SIM3では、組織、人材、ツール、プロセスの4つのカテゴリ、さらに44の評価項目が設定されている。成熟度は、1から4のレベルを定義し、対応していないレベル0を含めて5段階で評価を行っています。EUのネットワーク情報セキュリティ機関であるENISA(European Network and Information Security Agency)は、SIM3のモデルをもとに自己評価するためのツール(CSIRTMaturity – Self-assessment Tool)を公開しています。

5.平時からの予防の観点も

CSIRTは、画一的なテンプレートを組織構築に適用できません。なぜなら、各企業の組織構成によって、インシデントにおける「対応や検知、復旧」の実現方法は異なるからです。しかし、いずれにせよ、こうしたインシデント対応において、総務や情報システム部、社長室など複数の組織間の社内調整は必要不可欠です。

また、CSIRTは、インシデントが発生した時に対応するイメージが強いですが、普段からやなければならないタスクと、問題が起きた時にやるべきタスクがあります。普段からのタスクは脆弱性情報の収集や担当者への連絡、パッチマネジメント、リスクアセスメント、ポリシーの成熟度を高める、部門間のシステムアドバイザリーといったものです。また、企業の中には「CSIRTはご大層なもの」という誤った印象を持つところもありますが、CSIRTという言葉を一度“自社のインシデント対応体制”に置き換えてみると、構築のイメージがしやすくなります。

今の時代にセキュリティ上の事故に対して、全く何もしない企業・組織があり得るでしょうか(一部はあるかもしれませんが)。明文化されていなくても、例えば「マルウェアの感染が見つかった場合は、〇〇部署の△△担当に報告して対応を検討する」といったように、何らかの体制や方針があってしかるべきです。こうした対応を実行に移す“旗振り役”のことをCSIRTと呼んでもいいわけです

旗振り役にはインシデント対応時に情報を調整し、必要な部署に必要なリソースを滞りなく流せるように、組織内をスムーズに動かすことが求められます。旗振り役をどこに置くべきかは、企業の業界や風土に大きく依存するため、発言力が高く、権限を持つ部署が適切です。

企業組織を俯瞰し横串で情報連携できる部署に旗振り役を置き、そこを中心にCSIRTを構築していくということです。CSIRTは、基本、インシデントに備えて対応する組織・チームです。CSIRTの“R”であるレスポンスは、『対応』と訳されています。そのため『事後対応』のみを意味すると思われがちですが、実際には『事前対応=備え』の意味も含みます。備えの部分を重視するためにも、旗振り役や窓口といった連絡機能を作るところから始めることも大事です。

このように、平常時において、CSIRTの重要な役割は、情報の収集と共有です。最新のサイバー攻撃手法を収集し、自社のセキュリティ強度を評価してセキュリティリスクを把握する必要があります。場合によっては、既存のセキュリティ対策の設定変更や、追加的な対策を施す必要があるでしょう。従業員への教育や研修を通じて新たな脅威への対応力を身につけさせることも、CSIRTの役割となります。

6.体制構築のポイント
ポイント(1)異変を早期に気づけるようにする

例えば、病気は早期の発見・治療が重要ですが、症状が軽度な場合は様子見をしてしまい、悪化させることがあります。これはインシデント対応でも同じことが言え、異常を早期に検知・対処することで被害の軽減に繋がります。早期検知にはSIEM(※)の導入やSOC(※)の構築が有効ですが、すぐに導入・構築するのは困難であり、導入・構築後に組織に合わせた運用を実現するには時間が必要です。

そのような中でもすぐに着手できることもあります。そのひとつとして自組織のCSIRTへの連絡体制を整備することが考えられます。もちろん、人手だけですべてのインシデントを検知することは困難です。しかし、インシデントを検知した場合の連絡体制が整備されれば、これまでよりも早くインシデント対応を開始できます。意外かもしれませんが、「CSIRTを設置したが、社内で認知されておらず連絡先もわからない」というケースが実際にはあります。

  • SIEM( Security Information and Event Management)

    • SIEMとは、ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。ファイアウォールだけ、あるいはプロキシだけのログを単独で見るのではなく、それらから出力されるログを集約することにより、それぞれの通信の流れを詳細に把握できるメリットがあります。セキュリティベンダーによっては、顧客のセキュリティ機器などから出力されたログを取得し、それを自社のSIEM環境で分析を行い、サイバー攻撃などが検知されれば顧客に通知を行うサービスを提供しているケースもあります。
  • SOC(Security Operation Center)
    • サイバー攻撃の検知や分析を行い、その対策を講じることなどを専門とする組織をSOCと呼びます。SOCの主な業務は、各種セキュリティ装置やネットワーク機器、サーバーの監視やそれらから出力されるログの分析、サイバー攻撃を受けた場合の影響範囲の特定、サイバー攻撃を阻止するためのセキュリティ対策の立案などです。こうした業務を適切に行うには、高いレベルのセキュリティスキルが必要となるほか、サイバー攻撃はいつ発生するか分からないため24時間体制での対応が求められます。このため、社内にSOCを設置するのではなく、外部にアウトソースするケースが少なくありません。
ポイント(2)(すぐに連携が取れる)専門家を活用する

例えば、病気によっては市販薬での対処ができないとき、急ぎ内科などを受診することになります。ただ、病院によって診察できる領域や治療方針等に差異があり、信頼できるかかりつけ医に加えて、医療機関間の連携が必要です。

大規模インシデント等、限られた自組織のCSIRTのメンバーだけで対応できないことも起こりえます。インシデント発生後に支援してくれるベンダーを探そうにも、サービスの調査・比較が必要になり対応が遅れてしまいます。現在、弊社では緊急時の事故対応をはじめ、緊急対応マニュアルの整備や、複数のベンダーとの調整するサービスを提供しています。このように、普段から外部の専門組織と連携が取れるようにしておくということも一つの手段です。

▼株式会社エス・ピー・ネットワーク「IT・情報セキュリティリスク」
ポイント(3)現状を把握できるようにする

インシデントによる影響の特定にはシステムの現状把握が欠かせません。緊急時のシステム停止まで想定すると、システムの構成、稼働するサービス、他システムとの連携等、詳細に把握することが必要です。しかし、社内では多数のシステムが稼働し、限られたCSIRTのメンバーだけでは対応が困難です。そこで、最低限、各システムの担当者を特定し、いざという時の連携体制を整備することが必要です。

組織全体でサイバーセキュリティの問題に対処していくために、まずは形から入ってみるのも一つの手段です。情報システム部門だけでなく、組織全体で横断的に取り組める体制を作っておくことで、サイバーセキュリティ対策が事業継続のために必要であることが徐々に浸透していくはずです。

7.CSIRT組織構築・評価のための参考サイト

組織内CSIRTを設置することの重要性は理解しつつも、設置のための第一歩を踏み出せないケースもあると思います。自組織に必要な機能は何か、具体的に何から取り組めばいいのかを整理する意味で、参考となるサイトを下記のとおり紹介します。

  1. CSIRTの計画から運用までフェーズ
    JPCERTコーディネーションセンター(JPCERT/CC)は、組織内CSIRTを構築する過程をフェーズ1~3までに分けて、次のような内容で紹介しています。CSIRT構築の各フェーズで取り組むべきことを知りたい場合には、ぜひ参照してみてください。

  2. CSIRT初期構築時の対応例
    JPCERT/CCのCSIRTマテリアルのサイトには、CSIRT初期構築時に必要な「『CSIRT記述書』のフォームと作成例」があります。

  3. CSIRT構築初期段階で使えるドキュメントサンプル
    日本シーサート協議会は、「CSIRT構築に役立つ参考ドキュメント類」というリンク集を公開しています。組織内CSIRSTやSOCの構築の初期段階で必要となるドキュメント類の書き方を作成フォームや作成例を交えて紹介しています。その他、IPA (情報処理推進機構)では、「CSIRT構築前の検討事項」や「CSIRT構築のパッケージ」を紹介しています。

8.日々の運用徹底が重視される時代

もしかしたら、経営者含め、組織幹部の中には、情報システム部門がセキュリティインシデントに対応できるから問題はないだろうと考える向きもあるかもしれません。ただ、いまやセキュリティ上の脅威は片手間で対応できないほどに大きくなっていることを強く認識すべきです。実際に被害に遭遇した場合にできる対応は限られます。また、被害の状況によっては企業の存続すら危ぶまれるようになってきています。時代の変化と真摯に向き合い、適切な対策のひとつとしてCSIRTの重要性を捉えてもらいたいところです。

また、企業統治の観点からも、CSIRTの必要性は高まっています。企業をめぐるステークホルダーからは、事業継続に対する目が厳しくなっています。BCP(Business Continuity Plan、事業継続計画)を策定し、その情報を公開している企業も少なくないはずです。CSIRTの設置は、企業がBCPを検討し、事業の継続性を考えるうえでも重要な取り組みとなります。検討するべき脅威は、災害やテロだけでなく、セキュリティインシデントも含めることを忘れてはなりません。

今回のコラムでは、社内消防隊としてのCSIRTのあり方や考え方についてまとめてきましたが、次回は演習や訓練、対応マニュアルの整備について取り上げたいと思います。

2.最近のトピックス

▼警察庁、総務省、経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

総務省、経済産業省及び警察庁は3月4日、「不正アクセス行為の禁止等に関する法律」(平成11年法律第128号)第10条第1項の規定に基づき、不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況を公表しました。

公表された資料によると、2020年における不正アクセス禁止法違反事件の認知・検挙状況等では、不正アクセスの認知件数が2,806件で、前年(2,960件)からは154件減少しています。また、不正アクセス行為を受けた管理者では、引き続き「一般企業」が2,703件で突出して多く、次いで「行政機関等」が84件となっています。認知の端緒は、「警察活動」が1,608件と全体の57.3%を占めています。「アクセス管理者からの届出」は614件で21.9%です。不正アクセス後の行為では、「インターネットバンキングでの不正送金等」が1,847件で全体の65.8%を最多を占めています。次いで「メールの盗み見等の情報の不正入手」が234件で全体の8.3%を占め、以下、「インターネットショッピングでの不正購入」(172件:6.1%)、「オンラインゲーム・コミュニティサイトの不正操作」(81件:2.9%)となっています。

先日、Googleで検索結果に表示される広告からフィッシングサイトに誘導される事例が複数確認されました。広告審査の網をすり抜けてしまったものと考えられますが、特定の製品名を検索した結果表示されるネット広告の仕組みを悪用した偽広告の詐欺の手口です。この他にも、FacebookやInstagram、TwitterなどのSNSでも、利用者の趣味嗜好や性別、年齢に応じた広告が表示されますが、ここにも詐欺広告が紛れ込むことがあります。一見しただけでは偽広告であると気付くことは困難ですが、極力アクセスしないという対策を徹底することと、詐欺の手口や危険性を知っておくことで注意力を高めておく必要があります。通常より価格が格安だったり、振込先口座の名義がサイト上に表示された企業名と異なったりする場合は偽サイトの可能性が高く、このような不審な点がないかをしっかりと確認していくことが大事です。

▼警察庁「令和2年におけるサイバー空間をめぐる脅威の情勢等について」

警察庁は3月4日、「令和2年におけるサイバー空間をめぐる脅威の情勢等について」を発表しました。令和2年は、新型コロナウイルスの感染拡大防止策としてテレワークやキャッシュレス決済が普及し、サイバー空間が日常生活と密接に関わり始めています。その状況の中で新たなサイバー犯罪やサイバー攻撃が国内外で発生しており、サイバー空間における脅威は極めて深刻な情勢になっています。

新型コロナウイルスに関連するサイバー攻撃は2020年の特徴といえますが、これに関連するサイバー犯罪が疑われる事案を警察庁では887件の報告を受けています。このうち、「ショッピングサイトでマスクを購入したが商品が届かない」などの「詐欺」が446件と約半数(50.3%)を占めます。給付金の送金のために返信を促す「不審メール・不審サイト」が135件(15.2%)、「個人情報等不正取得」が103件(11.6%)と続いています。

令和2年に発生した主なサイバー攻撃の事例では、1月および2月に防衛関連企業がサイバー攻撃を受け、情報漏えいの可能性があると発表しました。この企業は11月にもサイバー攻撃を受け、国内取引先の金融機関口座に関する情報が流出したと発表しています。また5月には、大手電気通信事業者が海外拠点への侵入をきっかけに情報漏えいの可能性を発表しました。7月にはリモートアクセスに利用したBYOD端末から不正アクセスされ、社内ファイルが閲覧された可能性があると発表しています。8月には大手製造業者がSNSを発端としたマルウェア感染も発生しています。

海外では、「APT29」と呼ばれるロシアの諜報機関に属するサイバー攻撃集団による、新型コロナウイルス関連の研究情報や知的財産を狙う攻撃に対し、米国、英国、カナダが7月に注意喚起を行っています。同じく7月には、中国政府期間の利益などを目的に新型コロナウイルスのワクチン開発などに関連する企業のネットワークの脆弱性などを調査したとして、米国司法省が中国籍の2名を起訴しています。12月には、ITインフラ管理ソフトの脆弱性を利用したサイバー攻撃が発生し、米CISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)などが注意喚起を発表しました。

サイバー犯罪の事例では、11月に国内大手企業がランサムウェアに感染し、いわゆる二重恐喝が発生しました。9月には、事業者が提供するスマートフォン決済サービスと提携する金融機関に解説された口座情報を不正に入手・連携し、不正な振替(チャージ)を行う事案が確認されました。2月には、本人確認が行われていないSMS機能付きデータSIMカードを利用し、利用者と異なる電話番号を登録させるSMS認証代行の事案も確認されています。

警察庁が24時間体制で運用するリアルタイム検知ネットワークシステムでは、令和2年に1日・1IPアドレス当たり6,506.4件のアクセスを検知し前年の4,192.0件から増加しており、IoT機器など攻撃対象の増加と、踏み台を含む攻撃側の機器やサーバの増加が要因としています。事実、IoT機器などが多く使用する1024以上のポートへのアクセスが急増しています。

また、同庁がサイバーインテリジェンス情報共有ネットワークにより把握した標的型攻撃の件数は4,119件であり、このうち「ばらまき型」が全体の95%を占めました。さらに、送信先メールアドレスがインターネット上で公開されていないものが全体の75%、送信元メールアドレスが偽装されていると考えられるものが全体の97%を占めています。

送信元のメールアドレス偽装については、たとえそれが「信頼できる」送信元から送られてきたものであったとしても、安易にリンクをクリックしたりファイルをダウンロードしたりするべきではありません。

メールの「送信者」の表示は、自由に書き換えることができます。そのため、送信者のメールアドレスが正しいからといって信じてしまうのは禁物です。メールの実際の送信元は、メールのヘッダ情報から確認することが可能です。当該メールの送信元のドメインが、実在する企業と無関係な場合はフィッシングの可能性が高いと言えます。パソコンの場合は、メールのヘッダ情報を確認することで、ある程度メールの信頼性をチェックできます。メールソフトからヘッダ情報を開きますが、実はほとんどの項目が偽装できるということです。

▼警察庁「脆弱性が存在する複数のIoT機器を標的としたアクセスの増加等について」

警察庁は3月5日、脆弱性が存在する複数のIoT機器を標的としたアクセスの増加等についてレポートを発表しました。本レポートでは、「脆弱性が存在する複数のIoT機器を標的としたアクセスの増加」「PJL(Printer Job Language)に対応した機器を標的としたアクセスの増加」「NoSQL データベース『Redis』を標的としたアクセスの増加」について、それぞれ調査結果と対策についてまとめています。

脆弱性が存在する複数のIoT機器を標的としたアクセスの増加について、警察庁のインターネット定点観測で、2020年11月下旬頃より宛先ポート 37215/TCP、同12月中旬頃より宛先ポート 52869/TCPに対するアクセスの増加を確認しています。

観測した宛先ポート 37215/TCP に対するアクセスの多くは、外部サーバから不正プログラムのダウンロード及び実行を試みるもので、Huawei社製ルータ「HG532シリーズ」に存在する脆弱性(CVE-2017-17215)を標的としていました。

特に、サポートの切れたOSや出荷時の初期パスワードがそのまま機器に使用されていれば、攻撃側からすれば”最も攻めやすい部分”であることは明らかです。また、早急に機器の技術面、および運用面のそれぞれで防御態勢を整え、侵入口を増やさない運用が求められます。多くのつながりのなかで、目が行き届いていない機器の存在を把握し、機器自体の状態、他の機器との通信状況、および不正な中継点とならないよう管理・運用上の規制を機能させる必要があります。

▼Google「安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー」

生徒のインターネットやアプリの利用時間は、中学・高校とも学年が上がるごとに長くなる傾向にあることが、Googleが2021年2月9日に公開した「中高生のインターネット利用白書2021」より明らかになっています。

「中高生のインターネット利用白書」は、生徒および教員がインターネットを通して感じているメリットとリスクを調査することで、生徒のインターネット利用実態に関わる正しい理解を促すことが目的としています。「中高生のインターネット利用白書2021」では、中学生5,835人、高校生9,722人の計1万5,557人と、中学・高校の教員119人を対象に調査が実施されました。

その結果、学校がある日における生徒のインターネットやアプリの利用時間は、中学・高校とも学年が上がるごとに長くなる傾向にあります。中学1年生から2年生になる際の利用時間はあまり変わっていませんが、中学3年生になる段階でインターネットとアプリを長く利用する層が微増し、もっとも大きな変化があったのは、中学生から高校生に進級するタイミングとなっています。

インターネット利用のメリットについて、生徒が「自分で経験したこと」と先生が「生徒が実感していると思うこと」を調査したところ、「以前よりも世の中のニュースに関心を持つようになった」は生徒72%、先生41%。「自分の将来についてより具体的に考えられるようになった」は生徒66%、先生39%と、生徒と先生の間で大きな差がみられています。

インターネットのトラブルについて、「SNSで知らない人から不快なメッセージがきた」は生徒29%、先生8%。「ネット詐欺にあいそうになった」は生徒16%、先生3%。いずれも先生の想定と生徒の実感の間に3~5倍の違いがあります。

インターネットで何かしらのトラブルを経験したことがある生徒は、高校生女子、高校生男子、中学生女子、中学生男子の順に多く確認されています。トラブルの内容で多かったのは、「スマートフォンなどを使う時間が長くなり日常生活に支障が出た」です。性別ごとにみると、中学・高校ともに女子生徒は「SNSで知らない人から不快なメッセージ」を受け取るトラブルを経験する割合が、男子生徒よりも1.5倍高く、調査した項目のうち6項目中4項目において中学・高校ともに女子のほうがトラブルを経験しやすいことがわかっています。

最近は、中高生が有害サイトへのアクセスをきっかけに猥褻・恐喝事件に巻き込まれたり、薬物仲介や振り込め詐欺などの犯罪に加担させられたりすることもあります。いま自分がおかれている状況が安全か危険なのか、その判断はインターネットの世界では大人でも難しいといえます。先生や保護者、大人が見本となるような姿勢と意識を持つことはもちろん、その危険性を知ったうえでルールやマナーがなぜ必要なのかを理解してもらえるための丁寧で十分な教育とフォローが大事になります。

▼国立研究開発法人情報通信研究機構「NICTER観測レポート2020の公開」

国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所は2月16日、NICTER観測レポート2020を公開しました。NICTER(Network Incident analysis Center for Tactical Emergency Response)はNICTが研究開発した、コンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステムです。

同レポートによると、NICTERのダークネット観測網(約30万IPアドレス)で2020年に観測されたサイバー攻撃関連通信は、合計5,001億パケットで1IPアドレス当たり約182万パケットが1年間に届いた計算で、2019年と比較して約1.5倍と2019年から同様の増加傾向にあります。総パケットに占める調査スキャンの割合は、2018年頃から大幅に増加し始め、2020年は2019年とほぼ同じく全体の50%を超える水準で推移しています。

調査目的のスキャンパケットを除く2020年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位5位は、23/TCP:IoT機器(Webカメラ等)、445/TCP:Windows(サーバサービス)、80/TCP:Webサーバ(HTTP)/IoT機器(Web管理画面)、22/TCP:IoT機器(ルータ等)、1433/TCP:Windows(MS-SQL)となっています。また、上位10位までのポートが全体に占める割合は、2019年の49.8%から37.1%へと減少する一方で、その他のポートの占める割合は2019年の49.6%から62.9%に増加、多くのポート番号から成るポートセットを攻撃対象とするボットネットの活動が継続的に観測され攻撃が多様化したためと推測されています。

このような状況のなか、セキュリティ対策にまず求められるのが、侵入されてしまうことを前提とした対策です。そもそもサイバー空間では攻撃側が圧倒的に有利であるため、防御策だけですべての攻撃を防ぐことは厳しいといえます。そのため、ビルの防犯にたとえると「建物内」にも監視カメラを張り巡らせておき、怪しい動きがあればあとからでも追跡できるようにしておくことが重要になってきます。

▼一般財団法人日本サイバー犯罪対策センター(JC3)「~悪質なショッピングサイト等に関する統計情報~」

一般財団法人日本サイバー犯罪対策センター(JC3)は2月4日、悪質なショッピングサイト等に関する統計情報を公開しました。

JC3では、商品が届かない、個人情報やクレジットカード情報等が盗取されるといった被害につながる悪質なショッピングサイト等による被害軽減を図るため、一般社団法人セーファーインターネット協会の悪質ECサイトホットラインに通報のあった悪質なショッピングサイト等について分析を行い、フィルタリング事業者やセキュリティ事業者等に提供を行っています。

2020年中にJC3へ共有された悪質なショッピングサイト等の通報件数は、10,095件で、2019年中の7,764件と比べ、2,331件(約30.0%)増加、新型コロナウイルス感染症の影響で、インターネットショッピングの利用が増えたためと考えられています。

また通報時の「どのようにそのサイトを知りましたか」との質問に対し、2020年及び2019年のいずれにおいても、「インターネットの検索結果」の回答が最多で、2020年は6,473件、2019年は4,856件となっています。「メールに記述されていたURL」が2019年は1,63件、2020年は1,311件で両年とも次点につけています。

「どのようなデバイスでそのサイトを知りましたか」との質問に対しては、2019年中は「PCブラウザ」の回答が3,380件と最多でしたが、2020年中は「スマートフォンブラウザ」の回答が4,112件と最多となっています。支払い方法については、2019年、2020年のいずれも「銀行振込」が最多です。

JC3では2020年の悪質なショッピングサイト等の特徴として、新型コロナウイルスの影響で、マスク等の衛生用品や、ゲーム機等の巣ごもり消費関連の商品を検索して悪質なショッピングサイトへ誘導されたという通報がみられ、こうした情勢に乗じた悪質なショッピングサイトも確認されました。正規のショッピングサイトを模倣した悪質なショッピングサイトも複数確認されたほか、悪質なショッピングサイトへ誘導する手段として広告表示による誘導も通報が多くみられ、手口の巧妙化を確認されています。

また、偽サイトは、実在するショッピングサイトのデザインやロゴ、商品画像、説明文などをそのままコピーして作られることが多く、一見しただけでは真偽を見分けることが難しくなっています。万一、偽サイトを誤って利用してしまった場合、代金を支払っても商品が届かなかったり、偽物や粗悪品を送りつけられたりする可能性があります。また、決済時に入力した個人情報やクレジットカード情報を盗まれ、金銭被害に遭うことも考えられます。

より利用される手口であるフィッシングは、利用者を偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報を盗み出す詐欺行為です。アカウント情報が盗まれ「なりすまし」により不正送金やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。このような脅威に対して、「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、多くの企業・個人が現実感を持てず、十分な対策をとれていないのが現状です。企業は、社内でフィッシング詐欺の手口や注意の必要性をアナウンスするとともに、セキュリティ対策の見直しと万が一被害に遭った場合の対処法を確認しておく必要があります

▼情報処理推進機構「サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))」

独立行政法人情報処理推進機構(IPA)は1月28日、2020年10月から12月の第4四半期における「サイバー情報共有イニシアティブ(J-CSIP) 運用状況」を公開しました。J-CSIPは、13業界263組織および2情報連携体制(医療系4団体およびその会員約5,500組織、水道関連事業者等9組織)の体制となっています。

同四半期、J-CSIP参加組織からIPAに対し、サイバー攻撃に関する情報(不審メール、不正通信、インシデント等)の情報提供が479件(前四半期は4,988件)行われ、その情報をもとにIPAからJ-CSIP参加組織へ38件(前四半期は29件)の情報共有が実施されました。このうち標的型攻撃メールとみなした情報は16件でありました。提供された情報の主なものとして、架空の組織を騙る、コロナ禍に乗じた日本語の不審メールについての情報提供が4割ありました。

同四半期に寄せられた情報提供について、遠隔操作ウイルス(RAT)が添付された日本語の攻撃メールで、メール本文は比較的簡素ではあるが日本語に不自然な点が少ないものがあり、情報共有を行ったところ、複数の組織で類似したメールが確認されています。2020年10月に確認されたメールでは、件名が「見積もり依頼」で、本文に「添付ファイルをお見積もりいただけますか?」とあり、メール署名部分には実在する企業情報が記載されており、内容に心当たりが無くとも本物の見積依頼メールに見え、添付ファイルを開封してしまう可能性があると推測されるものでした。

なお、メールにはzip形式の圧縮ファイルが添付されており、解凍すると実行形式(.exe)ファイルが格納されており、本ファイルを実行すると遠隔操作ウイルスに感染させられてしまうことになります。

また同資料ではビジネスメール詐欺(BEC)について「海外関連企業を狙った攻撃」「海外の取引先企業を狙った攻撃」「複数組織へ行われたCEOを詐称する一連の攻撃(続報)」「『日本語化』されたCEO詐欺の攻撃(続報)」の4つの事例を紹介しています。

IPAの報告によれば、攻撃者はメール攻撃を実行する前に組織内部に侵入し、メールの内容や内部情報を盗んでいた可能性が高いようです。このような被害に遭わないためには、マルウェア対策や迷惑メール対策といった徹底とともに、通常の手続きと少しでも異なる部分が生じた場合には銀行の担当者に確認する、おかしいと思った人が正しくエスカレーションできる報告ルートを整備するといった、IT上の仕組み以外でのセキュリティ対策も実施しておく必要があります。

「通常の手順と異なるメールでの依頼であれば実在する担当者に電話でも確認する」「不審と感じた場合に社内や取引先と情報共有する」など、何重にも防御策を講じる必要があり、技術的側面や物理的側面の整備だけでなく、組織面や従業員の心理的要因にまで踏み込んだ対策も重要になります。

3.最近の個人情報漏えい事故(2021年1月、2月)

下記の表は、今年1月と2月に発生した報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

1 メール誤送信 88名分のメールアドレス 「BCC」で送信すべきところを、「TO」で送信
2 アパレル 誤送付 顧客の個人情報50件 宛先とは異なる顧客の氏名や住所が記載された書籍の引換券を一緒に送付
3 高速道路 メール誤送信 307名分のメールアドレス 「BCC」で送信すべきところを、「TO」で送信
4 メーカー メール誤送信 415名分のメールアドレス 「BCC」で送信すべきところを、「TO」で送信
5 総務省 メール誤送信 メール12件、氏名、勤務先、連絡先など14人分の個人情報 メーリングリストの配信アドレスの設定に誤り
6 市立小学校 書類紛失 氏名、性別、電話番号、住所など児童に関する34人分の情報と保護者64人や兄弟14人の氏名 学級名簿の写しを自宅へ持ち帰ったところ、紛失
7 FAX誤送信 患者2名の住所や電話番号など 医療機関側が保健所にFAX番号を伝達する際、別の番号を通知していた
8 新聞社 メール誤送信 複数の取材相手の個人名
9 金融 メール誤送信 顧客の個人情報2,873件 ファイルの誤添付
10 医療法人 USBメモリ紛失 救急で入院した患者の氏名と健康状態一覧などの情報1100件
11 保健所 メール誤送信 新型コロナウイルス感染者414人の氏名、年齢、性別など メールアドレスに誤り
12 メール誤送信 県内企業4社からの調査回答メール
13 保健所 誤送付 氏名や性別、生年月日、健康保険種別、病名、症状などが記載された「就業制限通知書」 あらかじめ作成していた検査票をもとにシステムへ入力して書類を発送したところ、誤った住所が入力されていた
14 クリーニング メール誤送信 697件のメールアドレス 「BCC」で送信すべきところを、「CC」で送信
15 書類紛失 過去に受給を受けた44人に関する氏名、住所、年齢、調査内容など
16 輸入販売 メール誤送信 氏名、E メールアドレスの他、取引に関する情報など 誤添付
17 私立大学 誤開示 氏名やメールアドレスなど1,725件 学生や教職員などの情報を記録したファイルが外部サイトにアップロードされた
18 電力 メール誤送信 契約者109社の発電所情報約 7,300件 誤添付
19 医療 メール誤送信 メールアドレス235件 送信先のアドレスが表示される設定にしたまま送信
20 大学病院 USBメモリ紛失 患者56人分の氏名、ID、年齢、性別、検査データ、疾患区分と、患者3人分の氏名、ID、検査データを含む表計算ファイル 臨床検査技師が会議資料を作成するため、個人所有のUSBメモリを自宅に持ち帰り、紛失
21 FAX誤送信 新型コロナウイルスに感染疑いのある市民3名の個人情報 誤って記者クラブ加入の報道メディア10社にFAX送信
22 誤送付 新型コロナウイルス陽性患者17人分の氏名、住所、電話番号
23 メール誤送信 メールアドレス118件 「BCC」で送信すべきところを、「CC」で送信
24 パソコン紛失 24人分の氏名や年齢、症例などの患者情報
25 公社 USBメモリ紛失 732名分のマイナンバー情報等 電子申請された年末調整を扱う権限のある端末と、マイナンバーを扱う権限のある端末の間で、

データをやりとりするために使用していた

26 メール誤送信 メールアドレス104件 「BCC」で送信すべきところを、「CC」で送信
27 製薬 メール誤送信 メールアドレス100件 「BCC」で送信すべきところを、「CC」で送信
28 記念病院 ノートPC紛失 患者情報1971名分の氏名や性別、年齢および生年月日のほかに、患者の特定部位についての撮影画像データ
29 システム開発 メール誤送信 顧客1万人分のリストで、氏名、メールアドレス、所属企業名など 送信先のリストを誤ってメールへ添付するミス
30 アプリ開発 不正アクセス メールアドレスやハッシュ化されたパスワードなど53万5015件で、氏名、アカウント名、生年月日、性別や都道府県および国などのコード、アイコン画像のURLといった登録情報 発覚に先立ち昨年10月にもクラウド事業者より不正アクセスの疑いについて警告を受け、11月16日には利用者からもセキュリティに関する問い合わせを受けていた。当時2度にわたり調査を行っているが、不正アクセスは確認されたものの、情報を窃取された形跡は確認できなかったと釈明
31 専門学校 書類紛失 学生23人分の氏名、再試験受験者5人分の点数、査定者の氏名、平均点など
32 私立大学 誤開示 卒業論文のデータベースに登録されているすべての論文 卒業論文データベースの外部公開サーバの更新時に、アクセス制御の設定を誤った
33 通販 不正アクセス メールアドレス10万5180件 システムの脆弱性を突く不正アクセス
34 福祉施設 書類紛失 ショートステイ利用者32人の氏名、電話番号、送迎時の留意点など 送迎表を車の上に置いたまま走行した
35 誤開示 新型コロナウイルス感染症陽性者の一覧表で、氏名、居住地、年齢、性別、症状など約9500人分の情報 医療関係者1人へ患者情報を含むファイルが入ったフォルダのアクセス権を付与したメールを送信したところ、類似したメールアドレスを持つ別人へ誤って送信
36 パソコン紛失 不明 無許可で共有パソコンを繰り返し持ち出し、昨年紛失しており、上長や警察からの事情聴取に対しても虚偽の供述を行っていた
37 コンビニエンストア 書類紛失 料金の代行収納を行った払込票の本部控え63件
38 メール誤送信 メールアドレス53件 「BCC」で送信すべきところを、「CC」で送信
39 記載ミス 対象者の電話番号や緊急時連絡先の氏名、続柄、電話番号、かかりつけの医療機関および薬局、利用施設などの個人情報
40 規制委員会 メール誤送信 メールアドレス111件 メールを送信した際にミスが発生
41 誤表示 氏名や住所、口座番号など 新型コロナウイルス感染症拡大防止協力金を電子申請する登録画面で他申請者が入力した個人情報が表示される不具合
42 保健所 メール誤送信 34人分の氏名や住所、電話番号、性別、生年月日のほか、症状の有無や基礎疾患、接触者の区分、接触の状況など 新型コロナウイルス感染症の積極的疫学調査のため、2事業者に対し接触者一覧表の作成を依頼した際、別の事業者に関する接触者の個人情報が含まれるファイルを誤って送付
43 私立大学 不正アクセス 最大944件の個人情報やクレジットカード情報最大162件
44 通販 不正アクセス 顧客1293人のクレジットカードの名義、番号、有効期限、セキュリティコードなど
45 医療機関 パソコン紛失 健診予約の手続き時に必要となる個人情報約2600件など
46 通販 不正アクセス クレジットカード情報再々3812件でクレジットカードの名義、番号、有効期限、セキュリティコード ログファイルを調べたところ、決済アプリケーションが改ざん以外にも、個人情報が保存されたサーバに対する不正アクセスの痕跡も残っていた
47 誤掲載 新型コロナウイルス感染症の患者191人分の氏名
48 保健所 誤送付 氏名や性別、生年月日、健康保険種別、病名、症状など
49 ガス 不正アクセス 登録会員1万365件のメールアドレスやニックネーム
50 ゲーム 不正アクセス 顧客147人分の氏名、住所、電話番号、メールアドレス、対応記録
51 市立小学校 書類紛失 児童29人分の氏名が記載された学級名簿や、児童名が記載された児童の写真26人分が入れていた封筒
52 誤開示 応募者28人分の氏名、住所
53 書類紛失 44人の氏名が記載された書類で、そのうち32人についてはテストの得点など 保育園の専用駐車場に駐車して子どもを引き取る間に、車内に置いていた鞄を持ち去られた
54 不動産 メール誤送信 約者392人分の氏名、契約物件名、号数、契約日など 誤添付
55 なりすまし 卒業生19人に関する氏名や現在の所属先のほか、17人については個人の電話番号 卒業生の連絡先についての問い合わせがあり、誤って情報を提供した
56 医療機関 書類紛失 患者12人分の氏名、生年月日、被保険者証の種別が記載された一覧表と、3人分の処方箋 立ち寄った飲食店で鞄ごと紛失した
57 通販 不正アクセス 商品発注に関わるデータベース用サーバに保存されていた顧客情報73件で、氏名や住所、電話番号、生年月日、性別、職種、メールアドレス、商品購入に関する情報など
58 通販 不正アクセス 顧客536人が決済に利用したクレジットカード情報で、クレジットカードの名義、番号、有効期限、セキュリティコード
59 東京都 誤公開 町会の代表者100人分の個人情報で、代表者の氏名、住所、電話番号
60 通販 不正アクセス クレジットカード決済を利用した147人のクレジットカード情報で、クレジットカードの名義、番号、有効期限、セキュリティコード
61 銀行 不正アクセス 姓名など2062件をはじめ、電話番号608件、メールアドレス49件、口座の有無799件のほか、管理番号、来店希望店舗名、相談内容など
62 パソコン紛失 24人分の患者情報
63 保安協会 持ち出し 71件の事業所名、設備容量、設備種類、遮断装置の情報など、顧客の業務情報を含む内部資料 職員が業務情報を個人用のメールアドレスへ送信し、持ち出し
64 メール誤送信 メールアドレス104件 「BCC」で送信すべきところを、「TO」で送信
65 通販 不正アクセス クレジットカード決済を利用した224人、336件のクレジットカード情報で、クレジットカードの名義、番号、有効期限、セキュリティコード
66 市立中学校 書類紛失 142人の氏名、学年、学級のほか、教職員14人の名字と携帯電話番号
67 都立高校 書類紛失 卒業生14人分の健康診断票

「55」は、実在する医学部卒業生を名乗る人物からの不審な電話に対して、県内の医療機関で働く医師19名の個人情報を本人の同意なく提供していた事案です。本事案だけではなく、申出者の確認を十分におこなわないまま、本人以外に情報を伝えてしまった等の事故が最近確認されています。

上記案件の他、オレオレ詐欺や還付金詐欺など、電話口で詐欺師が架空の第三者になりすまして(またはロボットを使って)ターゲットを騙し、金銭や特定の情報を騙し取る「なりすまし電話(スプーフィング)」の事例もあります。なりすまし電話はスプーフィング攻撃とも呼ばれていて、電話番号が偽装表示され、詐欺などの悪意のある用途で電話サービスが不正利用されることを指します。ほとんどのなりすましは、VoIP(ボイスオーバーインターネットプロトコル)サービス、または VoIPを使ってインターネット上で通話を送信するIP電話を利用して行われます。VoIPユーザーは通常、アカウントを設定する際に、発信者IDに表示する電話番号や名前を選択することができます。プロバイダーによっては、プリペイド式の通話カードのように機能するなりすましサービスを提供しているところもあります。

詐欺師や悪意のある第三者は、お金や個人情報、またはその両方を奪うように人々を騙すために、なりすましを利用することがよくあります。銀行や慈善団体、コンテストなどから電話をかけるふりをして、偽の賞品を提供することもあります。これらの「フィッシング」攻撃(または「ボイスフィッシング」)は非常によく見られ、この脅威にあまり気付いていない高齢者をターゲットにしていることが多くあります。

たとえば、よくある詐欺として国税庁を騙るものがあります。詐欺師はターゲットを脅して、裏金のためにお金を借りている、またはすぐに機密の金融情報を送信する必要があると考えさせようとします。もう一つのよくある詐欺は、偽の技術サポートで、詐欺師はマイクロソフトのような有名な会社から連絡していると主張し、コンピュータに問題があり、それを修正するためにリモートアクセスが必要だと伝えます。

また、携帯電話のSMSを悪用した「スミッシング」攻撃や、テキストメッセージを介したフィッシング攻撃もあります。しかし、一度クリックすると、お使いのデバイスがマルウェアを自動的にダウンロードしたり、プレミアムサービスに登録したり、オンラインアカウントの資格情報が盗まれたりすることがあります。

このような電話やメールを利用したソーシャルエンジニアリングは、対面せずターゲットに近づいて情報を入手しやすいのが特徴で、昔からある代表的な手口です。さまざまな心理的詐術を完全に防ぐことはできませんが、日々受信するメールや電話には偽物やなりすましが多く存在し、騙される可能性があるということを客観的に理解しておくことが大事です。「自分は騙されるわけがない」という意識こそが、最大の弱点になり得ます。このような「手口を知る」ことで、あらためて注意しておくことが大事です。

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

Back to Top