以下はSCSK株式会社より許可を得て期間限定で掲載しています。
YNIF2022 ブレイクアウトセッション「サイバー攻撃vsヤマハネットワーク」レポートコラム ~前編~
2022年1月25日に 行われたYNIF2022 で、パネルディスカッション「ネットワークエンジニアの視点からセキュリティを考える」及び、ブレイクアウトセッション「サイバー攻撃vsヤマハネットワーク」に出演させていただきました。好評いただき、アンケートのご感想なども沢山いただきました。非常に励みになります。誠にありがとうございます。
さて、YNIF2022の内容は盛りだくさんで、途中からメイントラックとブレイクアウトセッション合計4つのトラックに分かれてしまうため、すべてをライブで視聴できません。おそらく私のトラックタイトル気になっているけど、やっぱりメイントラック聞きたいな。という方もいらっしゃったと思うので今回「サイバー攻撃vsヤマハネットワーク」の要点をコラムにまとめました。一度、視聴いただいた方も改めて、このコラムを見てもらうことで、理解を深めていただくことができると思います。
・セミナー資料ダウンロード
・セミナー動画サイト
自己紹介 自遊空間と私
ランシステムは、ネットカフェ自遊空間を運営する企業です。私自身ヤマハルーターのファン・エンジニア歴22年、故障が少ない、コストパフォーマンスが高い、エンジニアコミュニティーが優れているといった3点が好きでヤマハを使い続けています。
最近の自遊空間は、無人化運営するための仕組みとして、リモートで多数の防犯カメラ映像をモニタリングしながら、安全にリモート鍵の制御ができることが求められ、ヤマハネットワーク機器を用いることで、このインフラを安定稼働させています。
また、サイバーセキュリティに関する取り組みにも力を入れており、海外のイベントに参加する機会や、サイバーセキュリティの世界でカリスマ的存在である、Mikko Hypponen氏(以下、ミッコ氏)との交流もあります。彼は、難しいサイバーセキュリティのことを分かりやすく説明してくれます。彼のTEDの動画をご連ください。(日本語字幕設定ができます)
https://www.ted.com/speakers/mikko_hypponen
私は、テクニカルライターもしており、Software Design 12月号、1月号と「ヤマハルーターネットワーク本格構築入門」の連載記事を書きました。WEBサイトにコラムも掲載しています。
1,サイバー攻撃最近の動向
セキュリティリサーチのエキスパートのミッコ氏は、情報社会においてデータは新しいオイルのように価値があるものだと説明しています。
GoogleやFacebookを無料で使えるのはデータを提供しているからで、企業は集めたデータを利用し収益を得ています。ビジネスの世界ではプライバシーポリシーや利用規約のルールで、データの利用範囲が決められています。
一方、サイバー攻撃を仕掛ける側から見てもデータはお金になります。彼らは無断でデータを使い金銭を得ようとします。また、昨今サイバー攻撃が増えているのは、仮想通貨を使い金銭を受け取りやすくなったことが背景にあるようです。サイバー攻撃の目的の中心は金銭であることを意識しましょう。
そして、サイバー攻撃を仕掛ける側は、脆弱性を狙っています。複雑性が脆弱性を生み出し、セキュリティのリスクを高めていることを意識しましょう。コードが大きければミスが増え、バグや脆弱性が発生するので、大きければ大きいほど脆弱性が増すことになります。
昨今のサイバー攻撃で、ランサムウェアの被害が増えています。ランサムウェア攻撃では、データを暗号化し、システムを停止させ身代金を要求します。初期のランサムウェアは、バックアップからシステムを復元することで対処できましたが、ランサムウェア2.0では、システム停止に加え、ダークウェブで情報漏洩すると二重の脅迫をしてきます。なお、攻撃者はネットワークを介し諜報活動をします。人の手を使い、止まっては困るシステム、漏洩しては困るデータを見極め、バックアップからの復元を阻害する計画まで立て、相手が困る最悪のタイミングで攻撃を仕掛けてくるそうです。そして、もう一つ「ビジネスメール詐欺」にも注意が必要です。ミッコ氏が説明する動画コチラをご覧ください。
ランサムウェア攻撃のインシデント分析
以下の手口を示した図は代表的なものですが、2021年10月末に被害を受けた病院のインシデントも同様の手口と思われます。2019年9月にSSL-VPN製品の脆弱性が発表され、2020年11月に影響を受けるホストリストが漏洩し、その後ランサムウェアの被害が増えている状況です。
▼SSL-VPN 製品の脆弱性(2019年9月)
https://www.jpcert.or.jp/at/2019/at190033.html
▼影響を受けるホストリストが漏洩(2020年11月)
https://www.jpcert.or.jp/newsflash/2020112701.html
手口の流れ
- 脆弱性を利用して、認証情報のファイルを集めリストを作成。リストにはIPアドレス、ID、パスワードが含まれているのでそれを利用して攻撃が可能です。
- 攻撃者は、このリストをダークウェブに公開し金銭を得るものもいます。
- 多くの攻撃者は、ダークウェブで情報を取得し攻撃に利用しています。
- リストを使いVPN接続を試みて成功した相手をターゲットにします。
- 諜報活動を進め攻撃の準備をします。
- 相手が困る最悪のタイミングで攻撃を仕掛け身代金を要求します。
攻撃を防ぐポイント
- まずは脆弱性が発表されたときに、早期にセキュリティパッチを適用(ファームウェアの更新)が必要でした。
- 次に漏洩したかもしれない、認証情報(パスワード)の変更が必要でした。
- 多要素認証を利用し認証強化することも有効でした。
ビジネスメール詐欺に発展する恐れがあった事案
実際にある会社から相談を受け私が対処した事案になります。ビジネスメールに突然大量の未達メールが届き、スマホの通知音が止まらなくなったそうです。
心配になり私に相談があり、ログ解析を行ったところ、身に覚えのないIPアドレスからのログインとスパム送信用サイトのIPアドレスからのログイン履歴が見つかり、即時パスワードの変更を行いました。乗っ取られたことに気が付かなければ、ミッコ氏の説明でもあったビジネスメール詐欺に発展していた可能性がありました。乗っ取りの攻撃では、AmazonのAWSからリモートアクセスされるケースが多いと聞いたことがあったので、ログのIPアドレスをすべて逆引きして調べたところ、やはりAWSからのログインが見つかりました。この会社には、多要素認証を導入するよう提案しております。各企業でクラウド依存が高まっています。認証を強化することは早急に対処しなければならない課題だと思います。
2,サイバー攻撃にどう対抗するか
最近の動向を踏まえ、脆弱性対策、IoT機器の保護、認証情報の保護の3つの対策が必要だと考えました。ヤマハ製品だけでは補えない部分も含め実践的な説明をします。
脆弱性対策
ランサムウェア攻撃の入り口がVPN装置だったように、不特定多数からアクセスが可能なインターネットの境界に設置される機器の対策は最重要です。ルーター、VPN装置、UTMは脆弱性対策をしっかり行っている信頼できるベンダーの製品を選びましょう。ヤマハ製品の脆弱性対策について目を向けると、ヤマハはしっかり対応をしています。JVNに脆弱性が公開される前の2021年4月に脆弱性対応のファームウェアが公開されています。RTX830、NVR510、NVR700W、RTX1210が対象になっています。まだ、ファームウェアを更新してない方は、速やかに更新しましょう。
JVNVU#91161784 ヤマハ製のルーターにおける複数の脆弱性
なお、ヤマハルーター、UTXともにファームウェアの自動アップデート機能がありますのでご活用ください。
境界に設置する機器以外にも脆弱性対策は必要です。サーバ、パソコン、スマートフォンなど、OSの脆弱性以外にも、様々なソフトウェアの脆弱性対策が必要です。しかも、モバイル端末は様々なネットワークに接続されるため、境界セキュリティだけでは保護できません。
エフセキュアのEPP製品は、マルチOS対応、クラウド管理コンソールですべての管理項目を一元的に管理できます。マルウェア対策だけではなく、WEBコンテンツ制御、ソフトウェアアップデータ(脆弱性対策)、USBメモリなどのデバイス制御、ファイアウォール、アプリケーション制御、データガードを搭載しており、エンドポイントで必要とされる機能が一つのエージェントで完結します。EDRも同一エージェントで動作するので、あとから契約をするだけでEDRを有効にすることが可能です。エフセキュアは、AV-TESTのベストプロテクション部門でアワードを7回受賞しており、保護する性能は世界トップクラスで評価されています。私は、運用管理面の使い勝手が良い点を評価しています。どんなに優れた製品でも利用者が使いこなせないと意味がないと思っています。
IoT機器の保護
IoT機器は、EPPで保護できないため、ネットワーク境界で保護する必要がありUTXが有効です。ハードウェアに組み込まれたマルウェアがあったとしても、アンチボット機能で不正なアウトバウンドの通信を止めることが可能です。IoT機器は、どんどん増えています。スマート○○という機器は、セキュリティの心配があるものと認識するとわかりやすいです。
認証情報の保護
認証情報保護の課題は、脆弱なパスワード、膨大なパスワードの管理、認証情報の侵害に気が付かない。などがあげられます。エフセキュアのID Protection という製品は、複数のデバイス間で認証情報を安全に同期します。また、ダークウェブなどにアカウント情報が漏洩した時には、侵害した情報と具体的な対処方法を日本語で通知してくれます。
この例では、パスワードのハッシュ値が公開されていると記載があり、パスワードの変更と同じパスワードを流用している場合変更するように具体的に対策が示されています。また、エフセキュアではヒューマンインテリジェンスという仕組みで、侵害された情報をいち早くキャッチし速やかに通知することで認証情報の悪用を防いでいます。
もう一つの認証情報の保護手段として多要素認証があります。VPN装置の脆弱性からランサムウェアの攻撃を受けた事例を紹介しましたが多要素認証化することで、同様の攻撃を防ぐことができます。皆さんが使っている、YMS-VPN8のからのリモートアクセスVPNを多要素認証化することができました。
WatchGuard社のAuthPointソリューションを連携させることで多要素認証を実現しております。YMS-VPN8からヤマハルーターにVPN接続した際に、ヤマハルーターはRadiusサーバに認証要求を出す設定とします。実際には、WindowsにAuthpoint Gatewayというプログラムをインストールし、そのホストが代行してWatchGuard Cloudに認証要求を出します。すると、事前に登録してあるスマートフォン上のAuthPointアプリにプッシュ通知が届き「承認」をタッチするとVPNが接続される仕組みです。管理者側はウォッチガードクラウドのwebコンソールでユーザ管理を行えます。この仕組みを実際にご利用されている企業の導入事例を紹介します。
※後編はこちらをご覧ください。