1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 日本セキュリティ・マネジメント学会 常任理事 萩原栄幸氏がひも解く 事件から学べ! 2015年度4大セキュリティ・インシデント

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

日本セキュリティ・マネジメント学会 常任理事 萩原栄幸氏がひも解く

事件から学べ! 2015年度4大セキュリティ・インシデント

記事の要約

  • 急増し、ますます巧妙化する標的型攻撃。世界各国で猛威をふるうランサムウェアの日本での感染も拡大局面に。
  • 外部より内部犯行のほうが多かった情報漏えい事件。頻発するパスワード窃取の防止のために、“なりすまし”が不可能な生体認証による対策を。
  • ついに発生、IoTを利用した車載システムのハッキング。従来型のセキュリティ認識とは一線を画す新たな脅威の出現に、強く待たれる、被害の拡大を抑制するセキュリティ技術の開発。

全文を読む

セキュリティ関連の事件・事故が後を絶ちません。2015年度も例外ではなく、重大なセキュリティ・インシデントの報道がマスコミを賑わせました。4月から始まる新年度に備え、2015年度に発生したインシデントから、特に注目すべき4つの重大インシデントを振り返りましょう。

事件ファイル1 急増する標的型攻撃!狙われたのは公的機関だけではなかった!

 2015年5月、ある公的機関において外部からの不正アクセスにより100万件以上の個人情報が流出するという大規模な事件が発生した。職員がメールの添付ファイルを開いたところ、PCがマルウェアに感染。サーバから氏名、生年月日、住所などの個人情報が窃取される事態となった。

 この事件は、個人情報を保管するシステム全体のチェック体制が不十分だったこと、インターネットに接続するPCから個人情報が保存されたサーバへアクセス可能な設計だったことなど、管理の甘さが原因だとされている。ただし、この事件には注目すべき点がある。それは、マルウェア感染源のメールに当該公的機関への意見を装った題名が付けられていたことだ。つまり、明らかな標的型攻撃だったのである。

 実は事件の発生以前から、日本の官公庁や公的機関、企業を狙った標的型攻撃が急増していた。私が把握しているだけでも、標的となった企業・組織は1,000を超え、情報漏えい・流出の事件件数は2万件に及ぶ。しかし事件の中には、公表されていないものも多い。その理由としては、経営陣が株主代表訴訟をおそれて事件を意図的に隠す、あるいはそもそも被害に気づかないことなどが挙げられる。

 いずれにせよ、標的型攻撃は今後も手口がますます巧妙となり、事件が増えることが予想される。サイバー犯罪者に情報が狙われているという意識を常に持ち、セキュリティ対策をいま一度見直す必要があるだろう。

事件ファイル2 日本でも感染拡大!セキュリティベンダーも警戒するランサムウェア

 PC内のファイルを人質に身代金を要求するマルウェア「ランサムウェア」が世界各国で猛威をふるっている。
 2015年12月、日本国内において「vvvウイルス」の感染例が報告され、大きな話題となった。このウイルスは、感染したPC内部のファイルを勝手に暗号化して拡張子をvvvに変更するというものだ。複数のセキュリティベンダーが分析したところ、ランサムウェア「TeslaCrypt(別名TeslaCrypt)」の亜種であると判明。

 ランサムウェアは当初、英語圏を標的にしたものと考えられていたが、日本語表示に対応したものが現れたことにより、日本国内での感染も拡大傾向にある。サイバー犯罪者によって常に感染や拡散の手口が改変されているため、警戒を強めなければならない。主な感染源は、マルウェアが添付されたスパムメール、不正広告から誘導された脆弱性攻撃サイトだ。

 『2016年の4大セキュリティ・トレンドはこれだ!』においても、私はランサムウェアの脅威を指摘したが、vvvウイルスの感染被害は増えていくと見ている。ランサムウェア作成キットはインターネットの闇市場で取引されており、新たなサイバー犯罪の温床となる危険性が高い。

 ランサムウェアの被害に遭わないためには、最新のウイルス対策ソフトウェアを導入するとともに、不審なメールの添付ファイルは絶対に開かないこと、不審なWebサイトにアクセスしないこと、また万一に備え、定期的にデータをバックアップすることも重要である。

事件ファイル3 止まらない情報漏えい!多様化する内部犯行の手口とは?

 「情報漏えい事件の多くは外部より内部による犯行のほうが多い」という某セキュリティ関連サイトなどの発表により、多くのセキュリティ専門家の中で内部犯行に対する注目が高まった。
 2015年某月、関東地方の製造業で顧客データの情報漏えい事件が発生した。この事件は広く報道されることはなかったが、ID/パスワード運用の脆弱さを示す、注目すべき事例である。

 情報漏えいが確認された顧客マスターのログを分析すると、すぐに不審な動きを発見することができた。午前0時すぎに総務部長のID/パスワードがシステムにログインし、顧客データを外部媒体にコピーしていたのだ。総務部長は当日午後7時に退勤していたので、総務部長のID/パスワードを知る誰かが“なりすまし”によってアクセスしたと考えられた。そこでヒアリングや入退出ログ分析を含めたフォレンジック調査を実施。状況証拠から総務部A課長の容疑を固め、自供を引き出すことに成功した。窃取の理由はデータを転売し、身内の介護費用にあてるというものだった。

 ここでA課長がパスワードを入手した経緯が明らかになった。A課長は総務部長に仕事の相談をするふりをし、ログイン時の指先をのぞき見(ショルダーハッキング)していたのだ。この会社では8文字の英大小文字、数字、記号のパスワードを設定する決まりだったが、最初の3文字さえわかれば、あとは残りの5文字を洗い出す不正ツールによるブルートフォース攻撃(総攻撃)で簡単にパスワードを解析できたということだった。

 冒頭で述べたように、パスワード窃取などの内部犯行が急増している。私はこの状況を「パスワード・クライシス」と呼んでいる。この問題を解決するには“なりすまし”が不可能な生体認証による対策が最も有効だと考えられる。

事件ファイル4 IoTに忍び寄る影!ついに起こった自動車へのハッキング

 IoT、いわゆる“モノのインターネット”が急速に進展するその背景で、技術者の努力を欺く恐ろしい事件が起こっていた。
 2015年7月、あの有名な米国の自動車メーカーが約140万台を対象にリコール(回収・無償修理)を実施すると発表した。車載システムのソフトウェアに脆弱性があり、ハッキングによってハンドル、アクセル、ブレーキなどを遠隔操作されるおそれが判明したためだ。
 2016年2月には、日本の自動車メーカーが販売する電気自動車にも同様の脆弱性が見つかった。この電気自動車には認証の仕組みが実装されておらず、車両識別番号がわかれば遠隔地から制御したり運転履歴を取得したりできるという。

 いずれも脆弱性に起因した事故や負傷者の報告はないが、これらの事件から明らかになったのは、すでに自動車はコンピュータと同様にハッキングの対象となるリスクがあるということだ。とりわけ懸念されるのが、自動運転。自動運転は車載カメラ、センサー、GPSなどで自車の位置や外部の状況をコンピュータが把握・判断し、ハンドル、アクセル、ブレーキなどを制御して、運転手が操作することなく自動車を走らせるシステム。これがハッキングされたとしたら、どれだけ危険なことか。まさに人命にかかわる由々しき事態なのだ。

 自動車に限らず、IoTによってさまざまな機器同士が相互に連携して動作すると、必ずセキュリティの問題に直面する。対策が特に急がれる分野と言えるだろう。

まとめ

 皆様、萩原栄幸です。2015年度のセキュリティ・インシデントを振り返ってみると、これまでのセキュリティに対する認識とは一線を画す、新たな脅威が増加していることがわかります。

 企業・組織は、ますます増える標的型攻撃による情報漏えい・流出に対しての備え、あるいはパスワード窃取による内部犯罪を抑止するための方策を至急講じなければなりません。利用者一人ひとりは、ランサムウェアなどのサイバー犯罪から身を守るための対策が急務です。さらに自動車の事例にもあったとおり、IoTの分野では、メーカーが中心となって安全性を担保する取り組みが求められることになります。

 今後は重大なインシデントが発生したとしても、被害の拡大を抑制するセキュリティ技術の開発が望まれます。現在は道半ばですが、近い将来、必ずや実現できるものと信じています。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。