投稿者: katsuya.ueyama.usl-inc

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂いています。今回は、「１０　サイバー攻撃を生業とする者が増大する（悪のブローカーがはびこる）」です。

サイバー攻撃側からみると、インターネット拡大と経済のグローバル化による世界的なサプライチェーン拡大により、サイバー攻撃の対象が増えてきています。また、仮想通貨の一般的な流通と、攻撃成功時の報道・インターネット上からのバッシングダメージの拡大により金銭要求のし易さと高額化、社会的信用失墜により、攻撃を行う動機も高まっています。さらに、各国での経済格差（収入格差）の拡大と自国第一主義の台頭や、インターネット利用による匿名性（完全ではないが匿名であると本人は思っている）などのよる社会的モラルの低下によって抑制力や自制心が低下しています。これらの状況が合わさって、サイバー攻撃をする手法や、ツールをダークサイドで販売し、それを購入しての攻撃を行う傾向が増大すると考えます。
俗にいえば、獲物が増えて、高く売れ、責められない（自己嫌悪もない）となれば、不当な狩り（泥棒）をする者が増えるということです。対策は、カモにされないように防御し、警備をして事前あるいは初期段階で諦めさせ、逮捕して主要機関に届けて情報提供をして同じ目に合う人を削減し、詐欺であればそれに気づくか、代替物により現状復帰を行ってお金を支払わない、デジタルフォレンジックスの技術で追跡し、犯人を特定して逮捕するということを通じて、防御していくことが必要でしょう。

https://www.usl-inc.co.jp/

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂いています。今回は、「９　巧妙なビジネスメールや偽造サイトを使用した攻撃の増大（だまされる奴も悪いとは言えなくなる）」です。

送信者のなりますしや、フィッシングサイトや中間者攻撃などにより得た、個人だけが知る情報を利用して、巧妙になりすましたメールを利用しての詐欺行為が増えると考えます。また、メールや偽造サイトのクリックにより、ウイルスやワームを潜伏させて、有効な位置まで展開させた後で、情報の奪取に移行する攻撃も増えると考えます。防御のためには、外から入られることに対する入口対策だけでなく、内から外にでる出口対策の考慮も益々重要になるものと考えます。また、一点の脆弱性が全体に悪影響を及ぼすため、個々のエッジデバイスのリモートからの集中管理も有効性を増すものと考えます。

https://www.usl-inc.co.jp/

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂いています。今回は、「８　特権アカウントへの攻撃は引き続き行われる（黄門様の印籠は大丈夫？）」です。

特権アカウントの管理は、いまだ多くの組織において軽視あるいは形骸化される傾向があります。１つのサーバにログインすると同類の別サーバにログインできる状況の放置や、ＩＤやパスワードの共用、デフォルトのアカウント名の使用、組織の略称などを使用するなど容易に推測できるＩＤやパスワードが使われている点を狙った攻撃は引き続き行われると考えます。強靭化と利便性や作業効率を高めるためにはLDAP（Lightweight Directory Access Protocol）やAD(Active Directory)を使用してのセキュリティ対策が重要視されると考えます。

https://www.usl-inc.co.jp/

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂いています。今回は、「７　インターネット上の汎用ツールを使用した脆弱性チェックと攻撃（ただほど怖いものはない）」です。

インターネット上には無料で使用できる、例えばSNMP (Simple Network Management Protocol)ツールや、パケットキャプチャのようなフリーソフトやSSL/TLSの脆弱性をチェックするツール（サイト）が存在しています。防御する側ではこのツールを使用して脆弱性のチェックを行い、対策を打つことが可能です。しかし単に死活監視や特定MIBのしきい値によるアラート監視、グラフ作成したり、データ収集したり、脆弱性チェックを行ったりするだけで、具体的な対策を打つことができている組織はまだ少ないと考えます。反対に、サイバー攻撃側はこれらのツールの技術をそのまま使用したり、部分的に活用したりして、サイバー攻撃のための情報を入手して、具体的な攻撃のための情報として活用することが想定できます。

https://www.usl-inc.co.jp/

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂いています。今回は、「６　AIを使った攻撃が増加する（悪も最新の技術を使用する）」です。

2019年にはAIと機械学習を使った攻撃が増加すると考えます。最近のセキュリティツールには、ＡＩを活用して全体として脆弱性を判断し、侵入や中間者攻撃を成功させる手順（手口）を判定するものが出てきています。防御のために有効ですが、反面サイバー攻撃にも利用することが可能ということになります。成功した攻撃手法を分析して最新の情報を新たな攻撃パターンに反映させ、防御側のパターンについても学習します。防御側の困難度は大幅に増大すると考えます。

https://www.usl-inc.co.jp/

昨年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂きます。今回は、「５　サプライチェーン全体でセキュリティ確保する必要あり（伸びきった兵站は危険）」です。

今後、サプライチェーンへの攻撃の形が増すものと考えます。最近(2018年10月)でも「AppleとAmazonが、自社サーバのマザーボードにデータを盗み出すチップを仕込まれた。対象は米国Supermicro製のサーバ用マザーボード。マザーボードは中国で製造されたもので、製造工程で米粒大のチップを追加された。このチップは、ネットワークとシステムメモリの両方にアクセスでき、ネットワークを介して接続し、実行中のOSを変更してパスワード検証などをバイパスすることで、サーバ内のデータにアクセスできる」というBloombergによる報道が話題を呼びました。ちなみに本件についてApple・Amazonは完全否定していますし、技術的にも困難であると思います。またSupermicroサーバは米軍が現在も調達していることからも、Bloombergが入手した情報はどうも別の意図をもったものと考えます。報道を受けて、関連株、特にSupermicro株が暴落したとのことです。これはこれでリスキーです。ご存知の方も多いと思いますが中国メーカーのHuawai、ZTEなどのデバイスを調達から外すという話も出ています。従来の企業スパイや企業への攻撃とは異なる形でのリスクが増大すると考えます。デバイスの提供サイドでの問題だけでなく、企業においても、関連企業、流通過程、ユーザとの関係において全体のセキュリティを考慮することがより重要になってくるものと考えます。伸びきった兵站は防御がむずかしくなるということだと思います。また国家としては、陸海空・宇宙に加えて、サイバー空間を対象とした部隊を構成していることも見逃せません。

https://www.usl-inc.co.jp/

年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂きます。今回は、「４　産業用制御システム(ICS)が狙われる（鎖国されたネットワークに黒船がやってきた）」です。

東京オリンピックや大阪万博開催を控えて、サイバー犯罪者や国家ハッカーの関心が高まると考えられているのが、ICS（Industrial Control Systems）やSCADA（Supervisory Control and Data Acquisition）などの産業用制御システムです。国家的なインフラストラクチャーにも使用される産業用制御システムは、国家的イベントの開催で経済的利益が増大し、サイバー攻撃を誘引するだけでなく、サイバー戦争をしかけたり、サイバー兵器開発をもくろむ国家的ハッカーにとっても魅力的なターゲットになります。従来、産業用制御システムはインターネットなど外部ネットワークとの接続はされていなかったため、ＩＴセキュリティ対策に消極的なケースが少なくありませんでした。クラウドの活用、IoT展開、IPv6使用などで、外部ネットワークと直接・間接的に接続されるケースが増大するため、従来の情報系ネットワークに比べて、脆弱性は高く、脅威に対する防御力が低いために、被害が増大する可能性があります。サイバーセキュリティが事業継続に不可欠だと認識する必要があると考えます。

https://www.usl-inc.co.jp/

年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂きます。今回は、「３　IoTデバイスが狙われる（つながるのは良いことばかりではない）」です。

個人向けのデジタルデバイスは生活を便利にする一方でセキュリティの面での基準が緩く、また利用者のＩＴリテラシーが不足しているため推奨される設定・運用がなされず、踏み台や、ボット化してサイバー攻撃に加担させられる傾向が増えると考えます。またIoT活用が盛んな現在では、Raspberry Pi（ラズベリーパイ）のようにIoT向けのCPUにオープンソースのOSをベースに個別開発されるケースも増えると予想されるが、その場合のセキュリティ対策の盛り込みと、導入後に発生する脆弱性に対する対応が十分されないのではないかという懸念があります。さらにIoTはネットワークにつながるデバイスが多岐にわたるため、個々にセキュリティ対策を実施しても、全体として、いわゆる「穴のない対策」が取れているか否かの検証も重要になってくるものと考えます。

年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂きます。今回は、「２　デフォルト設定・設定の不備を突いたサイバー攻撃が増大（そのまんま設定、簡単設定は、将来の禍根かも）」です。

IPv6のＩPSec（Security Architecture for Internet Protocol）やSSH(Secure Shell)やSSL（Secure Sockets Layer）/TLS（Transport Layer Security）による暗号化を実施しても、機器の設定をデフォルトで行うことで、十分なセキュリティ強度を持っていないケース、従来機能（下位グレード機能）を使用したアクセス、よく知られたアカウントでログインされる、低い暗号強度使用によるオフライン攻撃などの設定の不備を突いたサイバー攻撃が増大すると考えます。強靭化のためには、暗号や暗号スイートの組み合わせ・順序なども考慮に入れての設計と、不要な機能の禁止設定や特権ＩＤ設定などの設計が必要です。また、数年前に適切・問題ないとされていた設定でも、時間経過とともに陳腐化（特に暗号）する点にも留意することが必要です。

本年もお世話になりました。ネットワークを通じて、従来からセキュリティに関する課題を発見したり、解決する場面が増えてきました。セミナーもセキュリティ関連のものが増えて参りました。そこで、年末から新年にかけて、「2019年に拡大が懸念されるサイバー攻撃」について随時投稿させて頂きます。今回は、「１　既知の脆弱性を突いたサイバー攻撃が増大（敵を知らず、己を知らなければ、百戦危うい）」です。

JVN(Japan Vulnerability Notes) 脆弱性情報データベースにより、各種脆弱性情報が毎日のように提供されています。CVSS(Common Vulnerability Scoring System)共通脆弱性評価システムによるスコアとどの部分にどのような脆弱性があるか、詳細情報も得ることができます。これは防御に有益な情報ですが、サイバー攻撃者にとっても有益な情報です。防御側が全く関知していない・チェック漏れ・対策の不備などで適切な対応が取れていない場合には、攻撃にさらされるケースがさらに増大すると考えます。対策が取れている場合でも、重要性の高い脆弱性のへの対策に焦点を向けがちですが（優先順位を考えた対策としてはもちろん重要です）、対策が容易で重要性が低い脆弱性は放置されやすく、放置し続ければやがて大きな事故のインシデントになるケースも想定する必要があると考えます。一例ですがSMB(Server Message Block)v1(Server Message Block)に関して脆弱性があると事前警告されていたケースについて、多くの企業では気づいていないか、把握していてもSMBv1は使用していない（が使用できる状態にはなっていた）ので問題ないとして対策していなかったケースが多く、結果として攻撃が行われ短期間かつ広範囲に被害が拡大しました（JVNDB-2017-001844のCVSSスコアは8.1ですが、SMBv1に関しては依然から5～7程度の脆弱性は出されていました。マイクロソフトからも脆弱性「MS17-010」として問題が起こる２か月ほどまでに情報提供されていました）。この攻撃はWannaCry（ワナクライ）という名前で広く報道されました。