サクッと読む!セキュリティインシデントから学ぶこと
こんにちは。SecureNaviでFit&Gapを通したソリューションを提案し、カスタマーサクセスとして顧客支援を担当している佐藤です。
今日は忙しい皆様に、ここ1年ほどで起きた情報セキュリティインシデントの中から、教訓として活かせそうなものや新手と思われるもの(実際には新しくなくとも、あまり認知されていないもの)をサクッと読んで新たな気づきを得ていただけるように、事例をご紹介したいと思います。
この記事は「SecureNavi Advent Calendar 2024」の12月20日にエントリーしています。ぜひ他の記事も読んでみてください!
1️⃣ お伝えしたいこと
弊社では週1回の全社会議で代表の井崎がセキュリティインシデントの事例を共有し、その上で確認テストを実施しています。セキュリティ会社として、セキュリティ事故撲滅のため、日々の意識付けが重要だという考えが根付いています。
一方でセキュリティは本業への貢献を感じにくく、インシデントの被害は甚大になるものの、個人事業主や人格のない社団等を含めると800万社前後あるという法人数に比べると報道される数(公表されていない、または報道されていないインシデントは多くあると想像しております。)は非常に少ない状況です。そのため、自分たちは大丈夫と考え、最低限の対策で済ませてしまっている実態もあると思います。
しかし、最低限の対策のみの場合、攻撃が成功してしまう可能性が高くなることが予想されます。昨今では、セキュリティ予算があり攻撃が成功しづらい大企業ではなく、セキュリティ予算が限られている中小企業などを狙ってくる傾向が強まっているようです。
そのため、事例から教訓を学び、日々の業務で「!?」という気づきを得ることが重要だと思います。
戦国武将の武田信玄が言ったとされる「人は城、人は石垣、人は堀」のように、会社も、それを構成する事業も、それを守るものも、人が重要であると考えます。システム的な制御だけでは、セキュリティの安全を維持・強化することはできません。不用意にファイルを開かないこと、情報を漏洩しないことなど、私たちが日々セキュリティルールを守り、行動することが重要になります。
2️⃣ 事例共有
それではここから具体的な事例を紹介してまいります。
インシデント事象はもちろん、特に【対策】の部分について自分の会社や組織がきちんとできているだろうかと考えながら見ていくとよいかもしれません。
1.ディズニー元従業員による不正アクセス、情報削除など
【インシデント事象】
2024年11月9日、米国ディズニーでレストランのメニュープロダクションマネージャーとして働いていた元従業員が解雇後に不正アクセスを行い、アレルギー情報を含むメニューの改ざんを行った。この行為に伴いシステム停止が発生した他、関係従業員のアカウントのロックを行った疑いがあるという。容疑者は自宅のPCを用いた仮想マシンから不正行為を行ったと疑われている。
【この事件の対策】
• 退職時のアクセス権限の即時無効化
→不正アクセスを防ぐ
• 定期的なアクセスログの監視と異常検知
→異常な通信を検知する
• 内部脅威対策の強化と従業員教育の徹底
→従業員の内部脅威要因を排除する
今回の事件は「技術力」と「不満」が結びついた場合の危険性を物語っています。解雇後の権限管理や従業員満足度向上が、リスク回避のカギだと改めて感じる事件でした。
ディズニーランドという子供から大人まで訪れる施設だからこそ、世間からの注目や売上への影響も大きくなるでしょう。
2.RDP構成ファイルのフィッシングメール
【インシデント事象】
2024年11月6日、RDP(リモートデスクトッププロトコル)構成ファイルを添付したフィッシングメールが確認されました。これにより、PCにリモートアクセス設定が行われ、ファイルとディレクトリの内容、セキュリティ情報、機器情報などの端末側の様々なリソースがサーバーへ送信される状態となる。さらに継続して攻撃できるようなファイルを置いたり、継続して接続できるような仕組みを追加する可能性も指摘されている。
【この事件の対策】
• メールフィルタリングと従業員教育の強化(不審な添付ファイルへの注意喚起)
→メールを受信しない、開かないための工夫と意識付け
• RDP利用時の多要素認証導入と利用ガイドラインの徹底
→RDPファイルを開いただけでは使えないようにする
• RDPの利用をしない場合は、機能制限を行う
→RDPを開いても影響を受けないようにする
今回の事件はあまり馴染みのないファイル形式で、「あれ、これは何だろう?」と思いながらもファイルを開いてしまう可能性があると思います。RDPの場合、影響が大きくなる可能性が高く注意が必要です。またAIの進化により、さらに巧妙な攻撃が発生する可能性が高まっています。今回はウクライナ語での攻撃となっており、日本語の攻撃の有無は不明ですが、AIにより正しい日本語で送付されてくる可能性が高いと思います。
3. 標的型攻撃:東京大学教員の事例
【インシデント事象】
2023年10月25日、東京大学教員が偽の講演依頼メールを通じた標的型攻撃を受ける事件が発生しました。この攻撃では、実在する組織をかたる巧妙な手口が使用され、日程調整のため教員がやりとりをしている中でメールに記載されたURLにアクセスしたところ、マルウェアに感染し、PCに保存されているデータが流出した可能性が高いです。
【不審メールの件名の例】
・ 【依頼】インタビュー取材をお願いします
・ 研究会へのゲスト参加のお願い【●●●●●●】
・ 【ご出講依頼】●●●●●●勉強会
※ ●には実在する組織名等が入る
【この事件の対策】
• 不審メールへの対応策を含むフィッシング対策の強化
→知識で感染を防ぐ
• 多層防御戦略の採用(入口対策・内部対策・出口対策の実施)
→万が一マルウェアに感染しても影響を最小限に抑えるように
• インシデント対応計画の策定と従業員訓練の実施
→意識することで防げた可能性もあります
今回の事件は2022年7月19日に感染し、2023年1月18日に指摘が入り、2023年5月23日にPC内の情報窃取の形跡が発見され、2023年10月24日に情報流出の可能性について公表となっております。感染から指摘までも半年間ほどあり、調査で判明するまでほぼ1年経過しているものとなっております。これが国防など安全保障等の軍事技術へ転用可能なデータなどを保存しているPCではなかったことは不幸中の幸いといえると思います。
いかがでしたでしょうか。
冒頭でも申し上げた通り、システム的な制御だけでは、セキュリティの安全を維持・強化することはできません。私たちが日々セキュリティルールを守り、行動することが重要だと思います。
本記事を通して、ぜひみなさまの会社や組織でも、「セキュリティ事故は身近に起こり得る」ということを意識付けるきっかけにしていただけると嬉しいです。
次回の記事は、営業部メンバーの「フルリモート下のオンボーディング〜入社前の不安と、2か月経った現在〜」です。お楽しみに!
■採用情報
■カジュアル面談一覧
■募集ポジション一覧