先日の番組をザッと文字おこしした。漏れ抜け間違い、悪しからず。
「※」は筆者のコメントや注記。
◆概況
報告されたサイバー攻撃 去年の3倍に急増
・取引先の実在人物を装ったウイルスメール → 事例1へ
・個人のPCを入口に会社に不正アクセスしようとしている → 事例3へ
・英語の脅迫文「ファイルはすべて暗号化されている」 → 事例2へ
生徒の進路情報が漏洩
・企業活動に影響。情報漏洩や生産停止など
三菱重工(※今年は三菱電機だろう?と思ったが、事例があった *1)、ホンダ
*1 在宅勤務時 SNS経由で社用PCが感染、社内ネットワーク接続で被害拡大(三菱重工業) (08/14)
https://scan.netsecurity.ne.jp/article/2020/08/14/44439.html
4月29日に..在宅勤務時に自宅から社内ネットワークを経由せずに外部ネットワークへ接続しSNSを利用した際に第三者から送付されたウイルスを含んだファイルをダウンロード..社有PCが感染
5月7日には当該従業員が出社し社内ネットワークに接続..
5月18日に社内ネットワークを通じ感染が拡大、
5月21日に同社グループ名古屋地区のサーバから外部不正通信を検知し調査を行った..
5月22日に不正アクセスのあった機器が判明
5月22日に、不正アクセスのあった機器をネットワークから遮断する等の初動対策を実施した後、通信ログ等の解析を開始、
6月16日にはパケット情報を分析し解読と精査を開始、
7月21日には流出を確認した情報の精査が完了した。
※大企業だからここまで出来た
◆事例1、取引先の実在人物を装ったウイルスメール
・テレワークを狙うウイルス ※EMOTETはコロナ前から。以前も今も慎重さが必要
予防的統制
過去のメールへの返信の形(アドレス、本文) → 本物と思いやすい
添付ファイルが(無味乾燥な)英文字羅列 → 不審と気づけた
発見的統制
会社でセキュリティが機能していると、比較的早く気付ける
自宅で『セキュリティが不十分』だと、、、
気づかないうちにPC内の情報を抜き取られる
別のウイルスが次々に送り込まれ、PC乗っ取られ操作されることもある
→結果、会社のシステムまで侵入され機密情報漏洩につながることもある
・9月以降、メール型ウイルス「EMOTET」が流行
顧客情報等の流出が急増
インタビューは、、、
「怖い、怖い」(※BGMも恐怖をあおっていた)
「職場であれば『こんなメール届いてるから気を付けた方が良い』と言えるが、、」
◆事例2、本来限られた人しかアクセスできないはずが、第三者に侵入された学校のケース
(※先のメール事例とは別物と分かり難い始め方で、しばらく混乱した。見せ方の工夫を)
事案
職員が出勤してPCを開けると英語の脅迫文が送り付けられていた
生徒の進路情報が攻撃者に漏洩
「ファイルはすべて暗号化されている。解除してほしければ我々に連絡するように」
「生徒さんの大事な情報なのでショックが大きかった」
背景、原因
サーバの保守管理の為に、業者のリモートアクセスを可能と設定した
設定に不備があり、第三者もアクセスできる状態
(※ID・パスワード無しって事? どうやって突破された?)
このため、侵入されたのではないかと見られている
(※モヤモヤ感が残るが、一般の視聴者向け番組なので、このあたりが限界か)
事後の経過
高校は攻撃者とは連絡を取らず、警察に通報
(※間違いとも正解とも断じられないが、日本の警察に連絡して解決できるのか?)
暗号化されたファイルの復旧は未達
「迷惑していると分かったら、さらに付け込まれると考え、このような対応」
(※犯罪組織に資金供給しない点は評価できる。番組は解決策に触れないまま、先に進む)
◆事例3、「テレワークサーバが人質に。"身代金よこせ"」、不動産中小企業事例
取引先情報、銀行口座まで暗号化された
0.0850BTC≒10万円支払え
背景、原因
テレワーク急遽対応の為、社内専用だったハードディスクをインターネットに接続
設定に不備
さらにパスワードも購入時のまま
事後の経過
「信用問題になり会社が倒れかねない」とビジネスライクに求められた
身代金支払い
※暗号解除。漏えい情報削除は? 公開や転売の禁止契約は?
◆対策
Q: 「メール見破りは難しいのでは?」
A: 攻撃者視点で考える。
大量の攻撃メールをばらまいて、ひっかかるのを待っている。
「やり取りの中で『本当にこんな返信があったのかな?』と考え、(PC操作の前に)慎重に判断する」
「おかしいと思ったら電話を掛けて確認する」
※「攻撃者視点」は良いお話。防衛戦略は敵の攻撃コストを高めること。Kill Chain, Multiple Layer Protection
◆対策1、無線LANの脆弱性対策
設定を誤ると他の人に傍受される
具体策
・通信経路を暗号化
「Windowsで確認可能。私もやってみらた簡単でした」 ※簡単なものは、いずれ簡単に破られる
「WPA2あるいはWPA3なら傍受されにくい」※ WEP→WPA→WPA2→WPA3。ゲーム機のレガシー仕様に注意
※便利さと脆弱性は比例
※Wi-Fi不可避なら、Wi-Fiルータは定期的に買い替える
・無線LANパスワード
簡単なパスワードは推測される恐れ
・ルータの管理徹底
ファームウェアを最新に保たないと攻撃を受ける(攻撃が成功する)場合がある
管理用パスワードもデフォルトから変更しておく
・フリーWi-Fiは管理が出来ていない恐れがある
※MACアドレスでのアクセス制御も完璧とは言えない。
※いろいろ大変なWi-Fiを避けて家庭は有線のみ、も選択肢に
◆事例4、ログイン画面での仕組みに不備があり、誰でも情報を見られる事案が多発している
※対策の話の途中でまた事例の話になり、流れが分かり難くなっていた
「ログイン画面が誰でも見られる」※だからログイン画面として機能するのでは? と思ったが
番組では、パスワードアタックの実験を公開。インターネット接続の後、頻繁に不正アクセスの試みがなされていた
※IDが一覧で誰でも見れる、さらにIDとパスワードだけの仕組みだったので、攻略容易だった、と言いたかった模様
30か国以上からパスワード試行されていた
◆対策実践
番組内で企業への対策呼びかけが始まる・・・
※TV制作会社の社会貢献をPRしようという意思を感じる
※民放でCMだらけの中で見ていたら、もっとイライラしたかも
◆対策実践1、関東の自動車関連会社
サーバの在庫管理情報が外部から見えてしまっていた。
攻撃されればサーバ停止の恐れがある ※漏洩リスクが重大リスク
対策、システム更新するよう提案
対応、すぐに対応 ※RFP、システム設計、競争見積もり、稟議などの手順を踏んだのか?
※簡単に(短期間で)出来る、と誤解する視聴者・経営者が出てこないか?
◆対策実践2、関西の学校法人
通信教育のデータ保管サーバが外部からアクセス可能
原因、古いプログラムが動いている
侵入されるリスクにつながっている
気づき
先月別のシステムの異常アクセス負荷を不審に思っていた
※非常連絡網は整備しているか? タイムリーに連携できているか?
番組側からの情報提供
データ漏洩や暗号化されるリスクを認識するに至る
対策、アクセスを制限し、古いサーバを更新するよう提案
対応、学校側はすぐにセキュリティを強化した
※ 直ぐ出来るなら、なぜもって早く、していなかったのか?
◆問われるサイバー攻撃への対策
傾向
攻撃は増え続けている。
認識していたものの、コストを考えると対策が出来ていなかった、という組織もあった。
対策
・OSの更新
・アクセス制限
だれが攻撃しているのか?
攻撃文は、欧米で使われているものと、今回高校に届いたものが似ている。
旧ソ連諸国の言語で動くサーバでは攻撃を止めるという特徴がある
リモート接続の設定が甘いサーバを集中的に狙う
※誰だったの?
課題
しっかりしたシステムを導入するには、コストも時間も掛かる
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)総務省
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00080.html
◆結論
テレワークの仕組みは攻撃者にとってもアクセスしやすい便利なもの
リスクを認識して、適切に使って、新しい働き方を実現すべき
提供側も、使いやすく、間違いを犯しにくい製品・サービスを提供すべき
※感想
※恐怖を煽りつつ分かり難く制作し、職場等で話題にして理解を深めるよう誘導し、国民へのIT統制浸透を図る高等戦術か? 関係の方々には辛口コメントで済みません。ただ日本は自動車産業が組み立て産業化したら、ITくらいしか可能性無いんじゃないか? だから皆でもっとリテラシーを高めていかないと、という思いもあり、辛口にしています。
※避けたいのは「我が社は大丈夫か?」と現場を疲弊させる事。
※問題は「時間とコストをかけて安全設計と運用を回すべきなのに出来ていなかった」事。
※多くの大企業の現場は時間・コストを掛けてきているはず。あと一歩足りないのは、経営層がITセキュリティ強化をコミットする事。
関西、関東の大企業は地震を契機にBCPの一環でテレワーク環境も整備してきたと想像する。
とすると、決定的に足りないのは、IT予算を割けない中小や、業績が低迷しているところか?
そうした組織が「自組織内資源にアクセスする為のテレワーク環境構築」というのは、IT施策方向性が違っている気がする。教員向けの管理資料満載のプライベートクラウド、授業ストリーミングのパブリッククラウドや、それらへの補助金・支援金・費用免除制度、僻地へのグーグル衛生通信ルータ(500$/月)or 5Gルータの費用減免制度、日本発プラットフォーマーへのファンディングなど、できないか?
課題もあるが、ビジネスチャンスもあるんじゃないか。