内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
皆様、こんにちは!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
突然ですが、皆様は自家用車ってお持ちですか?
この業務の本拠地である京都に住んでいる私は、実は車って持ってないんです。普段の足は専ら原付です。
皆様も京都にお住まいになるとわかりますよ。京都という街では一番便利がいいのは原付です。
お坊さんが原付で疾走している理由がわかりますよ。
では、今日もレッツスタディセキュリティ!なのです。
今日も「ランサムウエアによるサイバー攻撃に関する注意喚起」を見ていきます
これ↓ですね。
(以下、特記なき場合同資料からの引用とします)
2.具体的対応策
(1) 【予防】ランサムウエアの感染を防止するための対応策
最近のランサムウエアの侵入経路は以下のようなものがあり、これらを踏まえた予防策が必要です。
① インターネット等の外部ネットワークからアクセス可能な機器の脆弱性によるもの
② 特定の通信プロトコル(RDP や SMB)や既知の脆弱性を悪用した攻撃によるもの
③ 新型コロナウイルス感染症対策として急遽構築したテレワーク環境の不備によるもの
④ 海外拠点等セキュリティ対策の弱い拠点からの侵入によるもの
⑤ 別のマルウエアの感染が契機となるもの
(以下、特記なき場合同資料からの引用とします)
ふ~んっていう感じですね。前回の文章に書いてありましたが「予防、検知、対応、復旧」の観点から行う必要があるということでしたね。
その「予防」にあたるのがこれということです。
①インターネット等の外部ネットワークからアクセス可能な聞きの脆弱性によるもの
ということなんですね。
そして「チェックポイント」として囲み記事があるんですが、これメーカーまで書いてありますが大丈夫なのかなあ。ま、大丈夫として、そこから引用しますね。
チェックポイント
●インターネット等外部ネットワークからアクセス可能な機器については、外部ネットワーク公開の必要性を十分検討したうえで、セキュリティパッチを迅速に適用する、外部からの管理機能、不要なポート(137(TCP/UDP) 、138(UDP)、139(TCP) 、445(TCP/UDP)、3389(TCP/UDP)など)やプロトコルを外部に開放しない等の対応策等、IT資産管理を改めて確認する。特に、通信プロトコル「SMB」や「RDP」については、これまでも必要最小限のポートの開放やSMBv1の無効化等を呼びかけているところ、ファイアウォールを含む各機器の設定を改めて確認する。
●ソフトウエアや機器等の脆弱性については、ランサムウエアを用いる攻撃者グループによる悪用が報告されているものを含む以下の脆弱性に十分留意する。
-Fortinet 製 Virtual Private Network(VPN)装置の脆弱性(CVE-2018-13379)
-Ivanti 製 VPN 装置「Pulse Connect Secure」の脆弱性(CVE-2021-22893、
CVE-2020-8260、CVE-2020-8243、CVE-2019-11510)
-Citrix 製「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix
SD-WAN WANOP」の脆弱性(CVE-2019-19781)
-Microsoft Exchange Server の脆弱性(CVE-2021-26855 等)
-SonicWall Secure Mobile Access (SMA) 100 シリーズの脆弱性(CVE-2021-20016)
-QNAP Systems 製 NAS(Network Attached Storage)製品「QNAP」に関する脆弱性
(CVE-2021-28799、CVE-2020-36195、CVE-2020-2509 等)
-Windows のドメインコントローラーの脆弱性(CVE-2020-1472 等)
●テレワーク等に関連し、職場から持ち出したPCについて、休暇中に長期間、十分な管理下になかった PC を職場で再び利用する際は、パッチの適用やウイルススキャンの実施など必要に応じて実施する。
●最近では、マルウエア「Emotet」に代わり、マルウエア「IcedID」に感染させる不正なメール等も確認されていることから、ウイルス対策ソフトの導入及び最新化、定期スキャンの実施、メール環境に対するセキュリティ対策等、通常のマルウエア対策も実施する。
画像版はこちら↓です。
まあこれは専門家だけが知ってればいいって感じでしょうか。
ただ、とにかく「市場に出ている以上安全性には問題ないんだろう」という発想は危険だっていうことですね。もちろんわざわざリスクのある商品を販売しようという会社はないでしょうが、それまでに明らかになっているリスクや脆弱性に対して対策されているというだけであって、今後明らかになるリスクや脆弱性についてはどうしようもありませんからね。
一応かなりたくさん参照資料が掲載されているのですが、これはもういいでしょう。お使いの機器の最新情報は常にチェックして下さい。
②特定の通信プロトコル(RDP や SMB)や既知の脆弱性を悪用した攻撃によるもの
ということで予防策のその②です。
特定の通信プロトコルや既知の脆弱性を悪用した攻撃によるもの、とのことですが、おわかりになりますか、これ。
プロトコルというのはIT機器同士が連絡を取り合うために使われる言語みたいなものです。目的によってそれぞれに違うプロトコルが違ってくることがほとんどです。
例えばの話ですが、オフィスにある何台かのPCやサーバがありますよね。
もう何度の使い回しになるかわからないこの↓図ですが
PCとPC、PCとサーバ、PCとルータが通信するときに使われるのもプロトコルですが、PCの内部の各パーツが通信するときにもプロトコルというものに則って行われます。例えばスマホ1台の中にもプロトコルは飛び交っています。
そして、そういうプロトコルも場合によっては脆弱性があるということです。そしてその中にはもう既に明らかになっているものもあるってことなんですよ。
プロトコルの修正ということになると手間が膨大にかかりますので、そういうときには別のプロトコルを使うこともあります。なのでまずプロトコルにそういう脆弱性があることもあるということを理解した上で、時々はチェックするということも忘れてはいけませんね。
③新型コロナウイルス感染症対策として急遽構築したテレワーク環境の不備によるもの
さあ、これですね。
例のコロちゃんの問題で爆発的に普及したテレワーク環境なんですが、やっぱり会社のネットワークが従業員各人の個人的環境の中に入り込むという状態になった結果、従業員の使っている環境から入り込むっていうことが可能になったわけなんですよね。
そりゃ、攻撃者から見たら狙いますわ。私でもそうします。繰り返すようですが、攻撃者の気持ちになってどこに穴があるかを考えるのも重要な対策のひとつです。
弊社では行っていないのですが、ペネトレーションテストということを行っている会社様もあります。これは言ってみれば「模擬侵入」でして、それなりの技術のある皆様が悪人のやりそうな手口が使えないかどうか侵入してみるというものです。
余裕がある会社様なら一度お願いしてみてもいいかもしれませんね。
④海外拠点等セキュリティ対策の弱い拠点からの侵入によるもの
私は海外に拠点がある会社って勤務経験がないんですが、③の国内にあるメイン拠点に対してテレワークが脆弱性を抱えるように、海外の拠点というのは弱くなりがちなんでしょうか。
日本には「通信の秘密」というのがあり、通信の傍受は特殊な事情で許可されている場合以外は原則禁止です。憲法にまで謳われてますよね。
〔集会、結社及び表現の自由と通信秘密の保護〕
第二十一条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
2 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。
これ、当たり前の話だと思ってはいけないんですよ。憲法に書いてあるどころか、国のトップが堂々と「通信の傍受はするし、その内容が国益に叶うなら利用する」と堂々と発言している国があるんですよ。韓国なんですけどね。
まあ韓国の話はいいとして、無法者は法律なんか気にするはずもありません。
海外に拠点を作るときには、その拠点が通信の秘密についてどうなっているのかは確認しておいた方がいいかもしれませんね。
少なくとも、通信に対して何事か悪いことをしようという人間がいて実際に行われたとき、それを犯罪として捜査してもらえるかどうかというのは重要な観点だと思います。
まあ、法律では犯罪になることになってても、警察官にちょっと握らせれば解決しちゃうような国も結構あるんですけどね。
遠隔地にある拠点だからこそ、その拠点が以下に安全かということは厳しい目で審査しなければいけません。
日本ほど安全な国はない、と言えるかも知れませんが、それはサイバー空間であっても言える、ということなんでしょうね、残念ながら。
⑤ 別のマルウエアの感染が契機となるもの
正直、私はこの項目を読んで「それがあったか!」と思いました。マルウェア1本で侵入できないのならば、続けざまにマルウェアを送り込んでセキュリティに傷を入れればいい。
まあ、攻撃者側から見たらよっぽどのリターンが得られるターゲットでないとそこまではしないとは思うんですがね。
実はIPAが提供しているWebサイトの攻撃徴候検出ツールiLogScannerというのがあります。
https://www.ipa.go.jp/security/vuln/ilogscanner/index.html
こういうツールもたまには使った方がいいのかも知れませんね。
情報セキュリティの強化・向上に務めるのは当然ですが…
ここまでは、既に判明している脆弱性を明らかにして、それに対する防御の話をしてきました。まあ、これは平時から行っておくべきことに違いないと思うんですが。
侵入されてしまったときが問題なのですよね。やっぱりランサムウェアに対する一番の備えはバックアップだと思うんですよ。
それも、少なくともネットワークには繋がっていないタイプの。
またまたまたいつもの話になってしまうのですが、いまの会社様はクラウドサービスを契約して、普段日用使いのデータも含めてクラウドストレージに上げてしまって「これで良し!」にしているところが多いと思うんですね。
敢えて極言してしまいますが、それは安全性を保つためのバックアップにはなっていません。
クラウドのストレージっていうのは、主目的は可用性の向上です。ネット端末さえ使えるなら世界中どこにいても利用できますからね。
ただ、以前にも出したグラフなのですが
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf
これが「バックアップの取得状況」なんですが、これが「だいたいの会社はバックアップを取っている」の根拠なんです。これを私は「クラウドにアップして良しとしている」と推測しているわけです。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等についてhttps://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf
その根拠がこのグラフです。これも以前にも出しましたね。
ネットワーク経由で入ってくる攻撃者に対してネットワークの延長上にある「クラウドバックアップ」が役に立つわけないでしょ、と…。
ネットワークに繋がってないバックアップこそが、ランサムウェアに対して有効なバックアップなんです。
バックアップの3-2-1ルール
バックアップの5-2-1ルール
バックアップの3-2-1-1-0ルール
もう何回目だこれ、という言葉も聞こえてきそうですが、これらに共通するのは、書き換え不可能なバックアップを遠隔地に置いておく体制を作ってくださいというところになります。
弊社ではまさにそのバックアップをお預かりするという業務を主軸としております。
弊社では「クラウドバックアップをやめて下さい」ということは申し上げません。むしろ、積極的に使っていただきたいんです。クラウドと弊社のリモートバックアップをご利用いただくことによってハイブリッドバックアップまたは複合バックアップという状態が作り出せます。
これも以前出した図ではありますが。
弊社のバックアップサービスは、オフラインバックアップ(コールドバックアップ)ですので、これを使ってリストアしますと、場合によってはRPO(目標復旧時点)目標はちょっと前になります。
ここで(もし利用可能なようであれば)クラウドバックアップから極力近日までリストアすることによって限りなくRPOは「いま」に近くなります。
これこそがハイブリッドバックアップの利点なのです!
さらに弊社にお任せいただけるなら、災害に備える遠隔地バックアップも同時に実現できます!ディザスタリカバリ(=ディザスター・リカバリー=DR)が同時に実現できるということです。これは他社にはない弊社の長所だと考えております。事業継続計画(BCP)にもお書きいただけるものだと自負しております。
どうぞよろしくお願いいたします。
お問い合わせはお電話、または以下のフォームにてよろしくお願いいたします。
小括
今回も内閣サイバーセキュリティーセンター 重要インフラグループが発表している文書「ランサムウエアによるサイバー攻撃に関する注意喚起について」を読んでいきました。
こんな文書が発表されるぐらい、いま世界中で大災害レベルで問題になっているのがランサムウェアということなんだと思います。
ただ、自然災害にせよこういう人災にせよ、脅威には様々な様態がありますが、それに対する備えというのは結構どんな災害にも共通するものです。
弊社のサービスは、正直なところを申し上げて「自動だから1回設定してしまえばあとは自動」という便利なサービスではありません。
しかし、手間もお金も、保険に使うには決して無駄金にはならないということを強く強く申し上げたいのです。
今日もありがとうございました。
今後ともよろしくお願い申し上げます。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5