【ICT】なるほど!セキュリティ―情報共有編 インシデントから得られる教訓(月刊J-LIS2020年10月号より)
地方自治
2020.11.16
【ICT】なるほど!セキュリティ情報共有編 インシデントから得られる教訓
(月刊「J-LIS」2020年10月号)
※この記事は、地方公共団体情報システム機構発行「月刊J-LIS」2020年10月号に掲載された記事を使用しております。なお、使用に当たっては、地方公共団体情報システム機構の承諾のもと掲載しております。
はじめに
地方公共団体情報システム機構情報化支援戦略部セキュリティ支援担当では、地方公共団体及び関連組織で発生したインシデントに関する情報の収集と分析を行っています。
昨今新型コロナウイルス感染拡大に伴い、地方公共団体も含め、テレワークの導入が加速しております。そこで本稿では、テレワーク端末を起点とした不正アクセス事案を紹介します。民間企業の事例ではありますが、地方公共団体においても教訓にしていただけたら幸いです。
事例1 社有端末のマルウェア感染
企業Aの内部サーバーからインターネットへの不正通信を検知し、調査を開始したところ、内部ネットワーク上の端末やサーバーにマルウェア感染が拡大しており、従業員の氏名、メールアドレス、サーバーのログや設定情報等が外部に漏えいしたことが判明しました。
本事案は、社有端末(モバイルPC)を社外に持ち出した際、社内ネットワークを経由せずに直接インターネットに接続していたところ、SNSを悪用したソーシャルエンジニアリングの被害によりマルウェアに感染し、再度社内ネットワークに接続した際に、マルウェア感染が社内ネットワーク内に拡大したとみられています。
本事案を受け、企業Aでは、次の再発防止策を実施しました。
・本事案の経緯説明及び注意喚起
・ 社有端末を持ち出した際にインターネットに接続する場合は、強制的に社内ネットワークを経由させる処置(VPN による強制接続)
・ 特権ID のパスワードを全て変更
・パスワードの流用を禁止
事例2 BYOD 端末からの不正アクセス
企業Bの一部の社内サーバーに不正操作の痕跡が発見されたことから調査を開始したところ、顧客の機微情報が漏えいしたおそれがあることが判明。さらに調査を進めたところ、テレワーク用のBYOD端末から社内サーバーに対する不正アクセスが行われていたことが判明しました。当該BYOD端末がマルウェア感染した経緯は不明ですが、VPN 機器等に対する社員アカウントを不正に取得し悪用されたものとみられます。
本事案を受け、企業Bでは、次の再発防止策を実施しました。
・全社員アカウントのパスワードを変更
・リモートアクセス時の認証及び監視の強化
・エンドポイントのセキュリティ対策強化(EDR 製品*1の導入)
・攻撃者や社員の振る舞いを監視するUEBA製品*2の導入
・セキュリティ対策の有効性を検証するRedTeam*3の強化
テレワーク環境(リモートアクセス)に関するセキュリティ対策
上記事例でもわかるとおり、テレワーク環境のセキュリティ対策を検討する上では、なりすましを防止するための認証強化や、テレワーク端末がマルウェアに感染したとしても情報が窃取されない対策が重要です。総務省から発出された通知(令和2年8月18日付総行情111号)において、テレワーク端末に対するセキュリティ対策の基本的な考え方として、次の点が示されています。
・テレワーク端末は支給端末を推奨する
・庁内へのリモートアクセスは画面転送による接続とし端末に情報を保存させない
・リモートアクセスサービス利用時は多要素認証を用いる
BYOD端末は、支給端末のように管理や制限ができないことが多く、リスクが高いと考えられます。そのため、総務省は支給端末によるテレワークを推奨とし、やむを得ずBYODを行う場合は「政府機関等の対策基準策定のためのガイドライン」を参考に各種対策を実施するよう示しています。また、テレワーク端末に情報を保存させない対策として、クリップボード共有やファイル移動の禁止、プリンターリダイレクトの禁止などが挙げられます。
さらに、なりすまし防止対策として、リモートアクセスサービス利用時の多要素認証(IDとパスワードによる認証に加え、クライアント証明書や生体認証等を行う)についても求められています。
上記以外にもさまざまなセキュリティ対策について示されておりますので、テレワーク環境(リモートアクセス環境)を構築する場合は、総務省通知に記載された各種セキュリティ対策を確認し、実施するようお願いいたします。
また、Pulse Connect Secure製のVPN機器の認証情報がハッキングフォーラムで公開されていた事例*4にもあるとおり、VPN 機器をはじめとするネットワーク機器の脆弱性対策も重要です。
ネットワーク機器は更新プログラムの管理等からおろそかになるケースも多いですので、特にご注意ください。
おわりに
今回は実際に報道のあった民間企業における事例を紹介しました。各団体におかれましては、インシデントを未然に防ぐため、適切かつ継続的に対策を講じていただきますようお願いいたします。
・・・・・・・・・・・・・・
*1 EDR:Endpoint Detection and Responseの略。端末やサーバーのプロセスやログ等を監視し、マルウェアの活動と思われるような不審な動作を分析、検知する技術。また、感染が疑われる端末のネットワーク遮断や感染経路の分析等、インシデント発生時の初動対応を迅速に行う技術。
*2 UEBA:User and Entity Behavior Analyticsの略。端末操作ログや通信ログ等から、人及び機器の振る舞いの分析を行い、不正な行動を早期に検知する技術。
*3 Red Team:組織へセキュリティ攻撃を実行し、当該組織が適切に対応できるか、セキュリティ対策が有効に機能しているか等評価を行い、改善提案などを実施するチームのこと。
*4 900件以上のVPN機器(Pulse Connect Secure社製)の認証情報やIPアドレスを含む機微情報がハッキングフォーラムで公開されていた事例。公開されたもののうち、約1割が日本国内のIPアドレスであった。令和2年6月末~7月にかけて不正アクセスが行われたとみられる。機微情報の窃取には既知の脆弱性が悪用されたとみられ、被害のあった企業はPulse Connect Secure社製のVPN機器を利用かつ、最新の更新プログラムの適用を行っていなかったと推察される。