- 2023/12/26
- サイバー攻撃
年末年始に向けてセキュリティ担当者が留意すべきポイントとは?
Post by : Tomonori Sawamura
年末年始休暇は攻撃者にとって絶好のチャンス
間もなく多くの企業が一斉に年末年始休暇に突入しますが、サイバー攻撃を行う攻撃者にとってこの時期は格好の攻撃チャンスになります。年末年始は企業の一般従業員だけでなく、セキュリティ担当者やシステム管理者の大半も休暇期間に入りますので、もしこの間にサイバー攻撃を受けるとどうしても普段より対応が後手に回りがちです。
事実、近年猛威を振るっているランサムウェア攻撃の多くが、企業側の対応が手薄になりがちな休日の直前を狙って行われています。特に日本では年末年始に休暇を長くとる習慣がありますから、攻撃者にとって恰好の攻撃ターゲットだと言えます。特にここ最近、日本の企業・組織をターゲットにした標的型攻撃も多発しているだけに、より一層の注意が必要です。
JPCERT/CCが2023年11月16日に公表した「日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起」によれば、SSL-VPN製品「Array AG」やオンラインストレージサービス「Proself」の脆弱性を悪用した攻撃が日本国内で観測されています。
弊社が運営するGSOC(Global SOC)でも同様に、リモートからの侵入を可能とするネットワーク製品の脆弱性や、マルウェアの持ち込みや情報の持ち出しを可能とするファイル転送関連の脆弱性を悪用した攻撃を多数確認しています。
そのため年末年始休暇に入る前に、あらためてこれらの脆弱性への対応状況を確認しておくことを強く推奨します。またあわせて、休暇中に万が一インシデントが発生した際の対応手順や連絡体制を確認し、休暇に入る前にあらためて組織内で周知徹底させる必要があるでしょう。
単純なパスワードが設定されたアカウントの悪用
また同じく2023年11月16日に、パスワードマネジャーNordPassを提供しているNordSecurity社から「Top 200 Most Common Passwords」が発表されました。これは毎年同社が独自調査を行い、世界中で最も頻繁に使われているパスワードのトップ200を発表するものです。
本調査には情報窃取のマルウェアにより盗まれたパスワードも含まれており、その結果を見ると、「12345」「admin」「password」といった極めて単純な文字列が上位を占めている一方、これらの一部を記号や数字に置き換えて英数字記号を含むというパスワード設定の閾値をクリアしたものも含まれています。
攻撃者は攻撃により盗んだパスワードや他の攻撃者が盗んで売り出したパスワードのリストを利用して攻撃を行なっており、正規のアカウントとパスワードを利用して侵入されるとシステム上も「正規アカウントによる操作」と認識されるため攻撃が発覚しにくい傾向があります。ログ上でもログイン失敗の形跡が残らないため、攻撃が発覚した後の調査もやはり後手に回りがちです。
ましてや、セキュリティ担当者による監視が手薄になる年末年始休暇中にこうした攻撃を受けると、検知や対応の初動が普段と比べて大幅に遅れてしまい、結果的に被害が拡大してしまう恐れも考えられます。こうしたリスクを低減するためには、やはりパスワード管理の基本に立ち戻って、容易に推測可能なパスワードを利用しないことやパスワードの使い回しをしないことを長期休暇に入る前にあらためて周知徹底することが重要です。
仕事始めに一気に高まるフィッシングメールの感染リスク
長期休暇にかかわるもう1つの大きなセキュリティリスクとして、「メールを起因としたインシデントのリスク」があります。年末年始休暇が明けた直後のいわゆる「仕事始め」の日には、まず休暇中にメールボックスに溜まった大量のメールをチェックするのがお決まりの作業になります。場合によっては何百通にも及ぶ大量のメールを一気に処理する必要があり、1通1通の中身のチェックが雑になってしまった結果、普段なら騙されないようなフィッシングメールの手口に簡単に引っかかってしまうことも考えられます。
ましてや最近ではフィッシングメールの手口がより一層巧妙化しており、正規のメールとの違いがますます見分けづらくなっています。例えば2023年11月14日にフィッシング対策協議会が公開した情報によれば、最近8進数や16進数で不正サイトのIPアドレスを表記したフィッシングメールが報告されているとのことです。こうした表記法で不正サイトのリンクがメール本文内に記述された場合、メールセキュリティソフトウェアによるフィルタリング処理をすり抜けてしまい、ユーザーのメールボックスまで到達してしまう可能性が高まります。
長期休暇が明けた直後のタイミングでは、こうした巧妙な手口を用いたフィッシングメールの手口にユーザーが引っ掛かるリスクが一気に高まります。そのため、あらためてそのリスクについて組織内で注意喚起する必要があります。その際には単に「不審なメールに注意するように」と呼び掛けるだけでなく、フィッシングメール対策協議会などが公開している事例情報を基に、実際に観測されているフィッシングメールの実例を示すなど具体的な情報を発信することで、より高い教育効果が期待できるでしょう。
2023年下半期サイバー脅威予測 〜2023年上半期の主要な脅威の振り返りと、下半期に警戒すべき脅威の予測〜
サイバーリーズンでは、2023年上半期に起きたサイバー空間の脅威の傾向を受けて、特に大きな影響を及ぼす4つの脅威を2023年下半期のサイバーセキュリティ予測として取り上げました。
2023年上半期の主要な4つの脅威を振り返りながら、下半期のサイバー脅威予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/11263/
