メール1:『大阪急性期総合医療センターのランサムウェア攻撃』
ご無沙汰しました。レイ・イージス・ジャパンの青木です。
いつも私のつたない文章をお読みいただきましてありがとうございます。
今回は、最近のセキュリティ事故(2022年後半から2023年2月までに公になったもの)を使って、後出しじゃんけんになってしまいますが、どうしていたら良かったのかということを5回に分けてお話しさせていただければと考えています。
いろいろな事故がございますが、どうしても自社で提供しているサービスと紐づけられるようなもののご紹介になってしまうことをあらかじめお断り申し上げておきます。もっと大きな視野でお話しできれば良いのですが、人間の性とでも申しましょうか。。。すみません。
【第1話】大阪急性期総合医療センター
ここ半年~1年くらいを振り返ってみて、一番話題になったのは、2022年10月末に公表された大阪の大阪急性期・総合医療センターでのランサムウェアによる電子カルテの障害でしょうか?その後復旧につとめ、患者の受け入れを再開したのは2週間以上たってから、通常診療再開は2023年1月までかかってしまったという大きな事件でした。
その後の調査から、ランサムウェアの侵入口は、入院患者の食事情報のやり取りをするためのアクセス権限のみを与えられていた、入院患者向け食事の納入業者のシステムである可能性が高いとされています。いわゆるサプライチェーン型の攻撃が行われたということになりますね。
この食事の納入業者では、リモートメンテナンス用に使われていたVPN装置が古いバージョンのまま使用されていたと報告されています。
病院と業者は入院患者の食事に関する情報を、病院内に設置した栄養給食管理サーバを介してやり取りしており、業者側は閉域網を介してサーバ上の共有フォルダとの間でファイルコピーしていたのみとのことで、今回問題になった電子カルテなどにはアクセスできない状態でした。それでも、攻撃者は細い経路をたどりながら電子カルテにたどり着き暗号化することに成功してしまっています。
この話を聞いて、数年前に台湾でおきたATMから数百万ドルを引き出された事件を思い出しました。こちらの事件では、ロンドン支店の音声システムに侵入を果たした攻撃者が、長い時間をかけて徐々に内部に忍び込み、ATMを制御するためのAPIの仕様書を入手し、ATMシステムに使われるプログラムを書き換えて、ついには決められた時間に、決められたATMの前に立っているとお金が自動的に吐き出されてきて、攻撃者グループはそれを回収したという事件でした。
大阪の事件や、この台湾での数年前の事件から分かることは、他のネットワークから切り離されたシステムというのは神話であるということです。99%隔離されていても、メンテナンス用のVPN装置や、一般の業務で使われているシステムやネットワークから管理やメンテナンスのために接続した瞬間を狙ってもぐりこもうとする攻撃者がいるということを忘れてはなりません。
このような事故を100%防ぐことはできないのかもしれませんが、少なくとも外部との接続点になる機器については、セキュリティレベルが一番良い状態に保っておくということが大事です。また余裕があれば、その機器を通過するトラフィックを常時監視しておくということもお勧めです。
瞬間的なスキを狙ってマルウェアの感染を広げるという意図を防ぐためには、サンドボックスなどを使って、出番を待っている不審なファイルを常時チェックするということも考えてみてもよいのかもしれません。
レイ・イージス・ジャパンでも、VPN装置などの外部のネットワークに面している各種機器向けのお手軽なペネトレーションテスト、そのような機器の監視サービスなどを提供しておりますので、気になる方はお電話、Webサイトのお問い合わせフォームなどからご連絡ください。サンドボックスも各社出されていますが、AI技術を使ったクラウド型の安価なサービスも行っております。
類似の事故の例として、以下も参考になると思いますので、ご存知のなかった方は是非ご連ください。
株式会社タカミヤ.「当社サーバーに対する不正アクセスに関するお知らせ(第2報)」
https://www.takamiya.co/upload/news/00.pdf
最後は半分宣伝になってしまいましたが、次回をお楽しみに。
メール2:『株式会社KKSのサイバー攻撃による情報暗号化』
お世話になっております。レイ・イージス・ジャパン青木です。
2つ目のお話としては、東京機械製作所の連結子会社である株式会社KKSが2023年1月30日に公表した、第三者によるサイバー攻撃によって同社所有サーバの情報が暗号化されてしまったという事故です。詳しくは以下をご覧ください。
第2話 株式会社KKS(親会社である株式会社東京機械製作所による発表文)
「当社連結子会社における不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ」
https://www.tks-net.co.jp/corporate/wp-content/uploads/2023/01/ba2f440e215c66bb3eccb96a517deb1b.pdf
報道によると、2022年11月5日に、サーバ内のファイルにアクセスできなくなり、モニターに「LOCKBIT2.0」と表示される事象が発生したとのことです。原因としては、外部侵入を避けるために導入していたセキュリティ機能の脆弱性をついた攻撃によって複数のサーバが暗号化されてしまったものであると推測されています。サーバ内に保存されていた顧客情報などが流出したという証拠は見つかっていないようですが、完全には否定できない状態とのことです。
前回のお話しともある意味似たような話ですね。違いはサプライチェーン型の攻撃ではなかったというところで、初めからKKSに狙いを定めて、外部ネットワークとの境界線にある機器の脆弱性を利用して侵入が行われたということです。ここで言っているセキュリティ機器には、一般的にはVPN装置のみでなく、ファイアウォール、IPS、UTMなども考えられますが、侵入から守る目的をもって入れられたものが逆に利用されてしまったという点では非常に皮肉な話になってしまっています。
そういう意味で、これらの機器については、最低限の心構えとしては定期的に各種機器の状況を把握する診断などを実施し、最新の状態に保っておくことが必要です。機器によっては、保守契約を結んでいない、SIベンダーのサポート対象から外れているというようなこともありますが、それは非常に危険な状態であることは、前回と今回のケースからご理解いただけると思います。
また、これらの機器(特にVPN装置については、ベンダーを問わず)の脆弱性については毎年のように新しいものが見つかっています。攻撃を企てる者たちは、常に外部からアクセス可能なIPアドレスに対してクローリングやスキャンなどを行っていて、どこにどのような脆弱性を抱えた機器があるということを調べています。そのような者たちに対抗するためには、こちらも常日頃から最新の状態にしておく程度のことは必要です。
また、余裕があるのであれば、これらの機器を常に監視することで、外部からの攻撃の兆しを早い段階で見つけることが可能ですので、自社で行うか、SIベンダーに依頼するか、あるいは私どものようなセキュリティ会社に依頼するかなどして、コスト効果の高い方法での監視をおすすめいたします。
皆様も、弊社を含め、セキュリティ会社にご相談していただき、出入口の安全性の確認、あるいはそれらを監視するなどの対策を真剣にご検討ください。
メール3:『ソースネクストにおける不正アクセスと個人情報漏洩』
お世話になっております。レイ・イージス・ジャパン青木です。
今回は、2023年2月に公表されたソースネクストのインシデントについて少し話をしてみたいと思います。
【第3話】ソースネクスト
ソースネクスト社では、同社が運営する www.sourcenext.com において第三者による不正アクセスにより、最大でお客様の個人情報120,982件(内クレジットカード情報112,132件)が漏えいした可能性があると発表しています。同社によると、システムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたためとしておりますが、より具体的にはウェブサイトのサーバ上のファイルが何者かによって改ざんされ、利用者がサイトに入力した情報の一部が、不正に外部に送信されてしまったということのようです。システムに脆弱性を抱えたままの状態になっているとこのようなインシデントを招きかねません。
このような事故は、多くの場合、脆弱性診断をきちんと行っておくことにより防ぐことができたか、被害範囲を軽減できた可能性があります。
脆弱性診断というのは、非常に地道な作業を伴うもので、ある程度のコストがかかるものですから、いままで攻撃を受けたことがないので大丈夫だろうと診断をしないで放置されているWebサイトが多いのが実態ですが、クレジットカードの情報は持っていないから大丈夫などと勝手な判断をすると攻撃を受け、お客様にご迷惑をおかけすることもありますので、最低でも年に1回行うことをお勧めします。
ただ、この件ではペイメントアプリケーションという非常に重要な部分への改ざんという攻撃手法から類推すると、Webアプリケーションの脆弱性ではなく、何らかのプラットフォーム側の脆弱を利用されて起きたものかもしれません。そうなると、脆弱性診断だけではなく、ペネトレーションテストのような実際の侵入試行を行うことで初めてわかる攻撃手法だったかもしれません。
また、以前もどこかでお話ししたかもしれませんが、新たな脆弱性というものが日々30件、50件と発表されていますので、1年前に診断したから安心と思い込むのも危険です。できることであれば、年に1回本格的な診断を行い、月に1回くらいの割合で、新しい脆弱性に対する問題がないかなどを何らかの方法で調べておきたいところです。レイ・イージス・ジャパンでは、そのような年間を通じた差分チェックを含めたサービスをご用意しておりますので、ご興味のある方は是非弊社担当までご連絡ください。
そのような手間をかけられないという場合は、最低でも常に最新のシグネチャへのアップグレードを実施しているクラウド型WAFなどの、あまり手間と費用の掛からない方法でWebサイトを守るということを考えてみてもよいかもしれません。レイ・イージス・ジャパンでもお客様の手間を最低限に抑えたクラウド型のWAFサービスなどをご用意しておりますので、お気軽にお問い合わせください。
第1話や2話でお話ししたような事故の方に気を取られていると、この手の事故も意外とたくさんあるので、Webアプリケーションを公開している方は定期的な脆弱性診断などを定期的に実施することを強くお勧めします。参考までに類似ケースをいくつか挙げておきます。
株式会社チンクエクラシコ.「弊社が運営する「Cinq essentiel」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」
https://www.cinqessentiel.com/view/page/topics
株式会社三京商会.「弊社が運営する「三京商会 公式ショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ」
https://www.the-sankyo.com/f/officialdocument
株式会社丹野こんにゃく.「オンラインショップ不正アクセスによる情報漏えいについて」
https://tannokonnyaku.co.jp/detail.html?no=65318
双日インフィニティ株式会社.「「TOMS Official Store」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ」
https://www.sojitz-infinity.com/jp/2023/02/15/2875/
メール4:『TOEIC申込サイトへの不正アクセスとパスワード管理の重要性』
お世話になっております。レイ・イージス・ジャパン青木です。
今回は、TOEICの申し込みサイトで知られる、一般財団法人 国際ビジネスコミュニケーション協会のケースについて少しお話しさせていただきたいと思います。
【第4話】TOEIC申込サイト
一般財団法人 国際ビジネスコミュニケーション協会.「TOEIC® 申込サイトへの不正アクセスのご報告およびアカウント管理に関するお願い」
https://www.iibc-global.org/info/important/imp_36.html
こちらは2022年11月11日に公表されたものですが、「TOEIC申込サイト」において、該当法人以外の外部サービスから入手したユーザーID・パスワードを用いた、第三者による不正アクセスが発生し、一部の会員の情報が第三者に閲覧された可能性を指摘しています。
こちらは、一部の会員が他のサイトで使用しているID・パスワードが何らかの理由で外部に流出し、攻撃者はそれを使用してアクセスを試み、成功した際にはパスワードを変更した上でそこで得られる個人情報などを取得したものと思われます。いわゆるパスワードリスト攻撃が行われたということになります。
ここからいえることは、ID・パスワードを使いまわさないということにつきます。私も別々のIDに対して同じパスワードを使うというようなことをしてしまうことがありますが、これも危険です。攻撃者は、パスワードを固定して色々なIDを試すというようなリバースブルートフォースを行うことによってパスワードを数回間違えたら再設定をしないと使えないという仕掛けをかいくぐる、ということも行いますので、組み合わせが違うから安心というわけにもいきません。攻撃者に時間的な余裕があったり、長期戦を構える覚悟があれば、多少の変化形までは試すかもしれませんので、最後に「!」を加えておけば安心という考え方も危険です。
最近では何もかもがインターネット経由でのサービスになってきたため、ID・パスワードを覚えきれないということから、ついつい同じものを使いまわししてしまう人も多くいらっしゃると思います。私もまったく同じ組み合わせではないものの、似たようなパスワードを使ってしまっていることもあります。自戒を込めて危険ですよと言っておきます。
この膨大な数になってしまうIDとパスワードをどうやって管理するかというのは悩ましい課題ですね。パスワード管理ソフトなどもあるようですが、私もこれがベストというものがなかなか思いつきません。どなたかご存知の方がいらっしゃったら是非教えてください。
Webサイト側では、利便性とのトレードオフになりますが、2要素認証などが1つの手となります。またパスワードの有効期間を3か月程度にすることで、今回のようなケースの可能性を減らすことも可能です。ただし、以前つかったことのあるパスワードは使えないようにしないと効果が半減してしまうかもしれないですね。私自身も、いくつかのあまり重要な情報を登録していないようなサイトでは、2つくらいのパスワードを交代で使ったりしていたこともありますが、本当をいうとそのような使いまわしはセキュリティ会社の人間としてはアウトですね。
(2024.11.05追記)
なお、最近、総務省やNISTの推奨事項からパスワードの定期的な変更に関して否定的な見解も出されていますが、確かに頻繁に変更することで類推しやすいパスワードを使ってしまうという可能性が高くなりますね。要は同じパスワードを使いまわさないということの方が重要なようですね。
▼総務省 国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/
今回はレイ・イージス・ジャパンからご案内できるようなサービスやソリューションはございませんが、皆様の方でなにかご存知でしたら情報提供お願いします。面白い情報をいただけましたら、内容によっては(もちろん情報提供いただいた方に事前確認はしますが)皆様にも共有させていただければと考えています。
ついでに、8桁以内のパスワードやIDを許しているサイトも多数あり、また実際に非常に短い桁数のものを使っている方も大勢いらっしゃると思いますが、ブルートフォースはその気があれば誰でも試せてしまいますので、IPAが推奨するように10桁以上で英数記号など複数の文字種を含むものを使うことで、何にも情報がないところから当てられてしまうということだけは避けましょう。
株式会社レイ・イージス・ジャパン
青木 登