はじめに
サイバー攻撃は多種多様な手口で行われますが、その「糸口」には共通するパターンが存在します。脆弱なシステムを狙う攻撃、サプライチェーンの盲点を突く攻撃、人の不注意を利用する攻撃――これらはすべて情報の守りの穴を突いてくるものです。本記事では、IPAが解説書で取り上げる代表的な攻撃の糸口を五つの視点から分類し、それぞれに共通する対策を整理するとともに、実践的な補足策や最新の動向を紹介します。
糸口1: システムの脆弱性と未更新ソフトウェア
多くのマルウェアや侵入攻撃は、OSやアプリケーションの既知の脆弱性を悪用します。Palo Alto NetworksのVPN機器で発見されたCVSS 10.0の重大な脆弱性が攻撃に利用された例や、PHPの旧バージョンの脆弱性を突いてマルウェア「TellYouThePass」を感染させた事例が報告されています。脆弱性が公表された後も、パッチ適用が遅れるNデー攻撃が横行しており、攻撃者は公開情報を基に容易に侵入を試みます。
共通対策
資産管理台帳を整備し、全てのシステムやソフトウェアに対するパッチ適用状況を把握します。仮想パッチや脆弱性緩和ツールの利用も検討し、アップデート前の検証環境を整えることが重要です。さらに、脆弱性情報を収集する体制を整え、緊急度に応じた適切な対応を行うことで、攻撃の糸口を閉じることができます。
補足: 脆弱性管理のベストプラクティス
脆弱性管理を効果的に行うには、定期的な脆弱性診断やペネトレーションテストを実施してリスクを棚卸しすることが重要です。また、バグバウンティプログラムや脆弱性報奨金制度を導入することで、外部の研究者から早期に問題を報告してもらう文化を育てることも有効です。仮想パッチは一時的な対策であり、恒久的にはベンダーの修正パッチを適用することが求められます。クラウドサービスやIoT機器の場合、利用者側がアップデートできない場合が多いため、ベンダーとの契約で適時のセキュリティ更新を義務化することも重要です。
糸口2: サプライチェーンと委託先の管理不足
自社のセキュリティが堅牢でも、委託先や取引先の脆弱性を経由して侵害されるケースが多発しています。荷役用システムを開発するソフトウェアの一部が攻撃者に改ざんされ、多くの企業に感染が広がった例や、物流会社が委託先のシステムから侵入され業務が停止した例が代表的です。ソフトウェア開発で利用されるOSSにバックドアが仕込まれていた事例もあり、サプライチェーンは攻撃の格好の足掛かりになっています。
共通対策
委託先や取引先を選定する際は、情報管理の体制や過去のインシデント対応能力を確認し、契約にセキュリティ要件を盛り込むことが必要です。SBOM(ソフトウェア部品表)を活用して使用されているライブラリや依存関係を把握し、脆弱性対応責任を明確化します。さらに、サプライチェーン全体でインシデント情報を共有する枠組みを構築し、異常が発生した際に速やかに連携できる体制を整えます。
補足: サードパーティリスクマネジメント
サプライチェーン攻撃を防ぐには、契約時の確認だけでなく継続的な監査と評価が欠かせません。定期的なアンケートや現地監査で委託先のセキュリティ状況を確認し、重大な変更や新規システム導入時にはリスク評価を実施します。委託先がさらに下請けを使う場合は、末端までリスクを可視化する必要があります。サイバー保険に加入してリスク移転を図る企業も増えており、保険会社は委託先のセキュリティ基準を満たすことを契約条件としている場合があるため、第三者評価はますます重要です。
糸口3: 認証情報と人の不注意
攻撃者は、フィッシングやリスト型攻撃で取得したID・パスワードを悪用してシステムへ侵入します。特にリモートアクセス環境では、VPNやリモートデスクトップの認証情報が盗まれると内部ネットワークに自由にアクセスされる恐れがあります。また、BINDやS3の設定ミスで公開してはいけないデータを曝露してしまうケースも多く、人の不注意が攻撃の糸口となります。
共通対策
強固な認証方式の導入が不可欠です。多要素認証を適用し、VPNやクラウドサービスへのアクセスにはワンタイムパスワードや生体認証を用います。パスワードの使い回しを避け、長く複雑なパスワードを設定する教育も重要です。さらに、誤送信や設定ミスを防ぐために、ダブルチェックの運用や自動化ツールの活用を推奨します。
補足: ヒューマンファクターへの対応
人の不注意を完全に無くすことは不可能ですが、教育と仕組みでリスクを低減できます。例えば、フィッシングメールへの耐性を高めるために、社内で模擬フィッシング訓練を実施し、疑似攻撃に対して報告・無視できる文化を育てることが効果的です。送信前に内容や宛先をチェックするポップアップや、送信予約機能を導入して誤送信を防ぐ仕組みも有効です。また、重要な設定変更には複数人承認制を設けることで、設定ミスを組織的に防止できます。
糸口4: 内部不正・内部統制の不備
内部の従業員や委託先による不正行為も重大なリスクです。顧客情報を不正に持ち出して競合企業に売却したり、退職者のアカウントを悪用してデータにアクセスする事件が発生しています。動機は金銭目的だけでなく、職場への不満や個人的な報復であることもあります。
共通対策
情報資産の分類とアクセス権限管理を徹底し、定期的に権限の棚卸しを行います。内部監査やログ監視により不審な行動を早期に検知し、退職者のアカウントは速やかに無効化します。従業員に対する倫理教育や通報制度の整備も内部不正の抑止に有効です。
補足: 行動分析と組織文化
内部不正の兆候を察知するには、ユーザー行動分析(UBA)やデータ損失防止(DLP)ツールを活用して、通常と異なるアクセスや大量ダウンロードを検知することが有効です。HR部門と連携し、ストレスや不満が溜まっている従業員に早期に対応することで、不正の動機を減らすことも可能です。また、内部通報制度を整備し、報復のない環境で声を上げられるようにすることが重要です。役員レベルで情報セキュリティと倫理に関する方針を示すことで、組織文化として不正を許さない意識が根付くでしょう。
糸口5: 標的型攻撃と高度な攻撃手法
標的型攻撃やAPTは、特定の組織を狙って長期間潜伏し、機密情報を窃取する高度な攻撃です。攻撃者はメールやSNSを利用したスピアフィッシング、ウォータリングホール攻撃、ゼロデイ脆弱性の悪用など複数の手法を組み合わせます。実際に、暗号資産取引所から約48億円相当の資産が盗まれた事件では、従業員のアカウントが乗っ取られ、長期間にわたって内部情報が盗まれていたことが判明しました。
共通対策
メールフィルタリングやエンドポイント防御の導入に加え、ネットワークを分割して重要システムへのアクセス経路を限定します。暗号化やデータ分類を行い、機密情報が漏えいしても容易に解読されないようにします。インシデント対応チーム(CSIRT)を整備し、攻撃兆候を早期に検知して封じ込める訓練を実施することが重要です。
補足: 情報共有と脅威インテリジェンス
APTへの対抗には、組織単体での防御に限界があります。業界横断の情報共有体制(ISACや公的な脅威情報共有プラットフォーム)に参加し、最新のIOC(Indicators of Compromise)や攻撃キャンペーン情報を入手することが、早期検知に役立ちます。また、脅威ハンティングチームを設置して、侵害前提の視点でログやトラフィックを分析し、不審な活動を proactively 発見する取り組みも効果的です。定期的にレッドチーム演習やペネトレーションテストを実施し、組織の対応力を磨くことも忘れてはいけません。
共通対策のまとめ
上記の糸口ごとに対策を整理しましたが、これらを横断する共通の基本対策をまとめると次のようになります。
- 最新状態の維持
- 多要素認証と厳格なアクセス管理
- バックアップとリカバリ
- サプライチェーン管理
- 従業員教育と意識向上
- インシデント対応体制
- 監視とログ分析
- ネットワークやシステムのログを継続的に監視・分析し、不審な挙動を早期に検知する。AIを用いた行動分析やUEBA(User and Entity Behavior Analytics)を導入し、未知の攻撃手法にも対応できるようにする。
- 情報共有と法律順守
- 脅威インテリジェンスや業界横断の情報共有に参加し、最新の攻撃トレンドを把握する。また、個人情報保護法や不正アクセス禁止法、サイバーセキュリティ基本法などの法令を遵守し、違反時には適切な報告と通知を行う。
おわりに
サイバー攻撃の糸口は常に進化していますが、その大半はシステムの未更新やサプライチェーン管理不足、人の不注意など基本的な管理の弱点を突くものです。脆弱性管理、アクセス制御、教育、インシデント対応といった共通対策を日頃から徹底することで、多くの攻撃の糸口を塞ぐことができます。さらに、脅威インテリジェンスの活用や外部との情報共有、サイバー保険の活用など、組織を取り巻くエコシステム全体でセキュリティを高める視点が求められます。組織全体でセキュリティ文化を醸成し、攻撃者に付け入る隙を与えない取り組みを継続しましょう。
