要注意!“長期休暇中”のセキュリティ対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

要注意!“長期休暇中”のセキュリティ対策

2013/07/16


 2009年末から翌年にかけて多発したWeb改ざん事件(Gumblar攻撃)の衝撃が遠いことのように思えるこの頃だが、実は形を変えたWeb改ざん攻撃は再び勢いを増している。しかも標的型攻撃と組み合わせたり、巧妙に身を隠して存在に気付かせずに情報を窃取するウイルスを仕込んだりと、かつてよりも手の込んだ攻撃手口を使うことも多い。システムやネットワークの一見些細な異常を放置していると、やがて莫大な被害に発展する可能性がある。
 特にセキュリティ管理レベルが低下しがちな休暇期間前後では注意が必要だ。夏季の長期休暇を控えた今、被害が発生しやすいポイントや対策方法について紹介していく。

Web改ざん

休暇中のWeb改ざん被害と休暇後のメールからのウイルス感染に要注意!

 「お盆休みを終えて出社したら自社Webサイトユーザから、ウイルス感染被害のクレームが殺到」「休暇明けのわずか1日で、社内で新型ウイルスがアウトブレイク」など…。システム管理部門もユーザ部門もともに社内にいなくなる長期休暇は、システムやネットワーク監視が手薄になる危険な時期だ。

■夏休み期間に緊急対応を要した「Blaster」事件
 思い起こされるのは2003年のお盆休み頃に大流行したネットワーク感染型ウイルス「Blaster」の騒動だ。同年6月に発見されたソフトウェアの脆弱性を利用するBlasterウイルスは、7月には完成して感染活動を始めていた。日本では8月12日に最初に発見され、18日までに国内で2,000件を大きく超える感染報告がなされるほどに猛威をふるった。脆弱性があればネットワークに接続するだけで感染するこのウイルスに対して、すでに休暇に入っていた企業の運用管理担当者は休み中、休み明け、そしてその後のウイルス駆逐と脆弱性解消のために走り回ることになった。結局のところ大きな直接的被害はなかったが、その後亜種が登場して影響は翌年まで続いた。その後十年を経てアンチウイルスツール側とユーザ企業側での対策強化がなされて同じようなウイルスの活動は抑え込まれているが、無くなったわけではない。むしろ複数の脆弱性を狙い、巧妙な手口を加えたウイルスが登場し続けている。

■年末年始にも被害が続いた「Gumblar」事件
 また、2009年末から翌年にかけて世界で多くのWebサイト改ざん事件を引き起こした「Gumblar」攻撃も年末年始の期間を通して緊急対策を要した大事件だった。Gumblar攻撃そのものはすでに抑え込まれているものの、複数の攻撃手法が組み合わされたこの攻撃の亜流とも言えるさまざまな攻撃は、現在に至るまで途絶えることなく続いている。

■Web改ざん攻撃は現在急増中
  しかもIPAによるとWeb改ざん攻撃は近隣の諸国から行われるケースが増えており、最近特にWeb改ざんの届け出事例が増加傾向にあるという。図1に見るように、昨年後半にピークを迎えたWeb改ざんはいったん減少したものの、今年に入って次第に増えている。この6月にはIPAへの届け出件数は16件を数え、四半期合計で16件だったGumblarの流行時の状況をはるかに上回る被害が生じている。

図1 IPAに届け出られたWeb改ざんの件数推移(直近4年間)
図1 IPAに届け出られたWeb改ざんの件数推移(直近4年間)
資料提供:IPA

 この傾向がこのまま続けば、運用管理者が通常の監視や対応ができなくなる夏季休暇期間にも攻撃が頻発する可能性は高い。休暇前、休暇中、そして休暇後といった節目には、特に集中して警戒して被害を未然に防ぐ手立てが必要になるだろう。

■休暇明けにはメールからの感染リスクが高まる
 長期休暇の間に届くメールは各ユーザごとに多数にのぼる。普段は「怪しいメール」をより分けて廃棄していても、数が多いとその作業がおろそかになりがちだ。その結果、標的型攻撃メールなどの添付ファイルをうっかり開いてしまい、ウイルス感染する可能性が高まる。従来型のメール感染ウイルスもいまだに蔓延しており、添付ファイルの見かけを巧妙に偽装するものも多いので、従業員が一斉にメールチェックする休暇明け早々の時期は要注意だ。

■休暇中の社員の行動にも注意が必要
 管理者の目が行き届かず、社内システムのセキュリティ対策が及ばない休暇期間中には、従業員個人レベルでの社内情報の取り扱いやPC/情報機器の使用についても、普段よりもいっそう厳しく管理する必要がある。
 その理由の1つは、従業員が自宅などに情報やPC等を持ち帰ることで、端末やメモリ媒体の紛失や盗難のリスクが増すことだ。
 また会社よりもセキュリティ対策レベルの低い環境では、ウイルスへの感染リスクが高くなる。外部に情報を送信するウイルスに感染した場合、持ち帰った社内情報が外部に漏洩する可能性がある。
 さらに、休暇後に社内にウイルスを持ち込む可能性も考えなければならない。会社端末へのUSBメモリの接続、社内ネットワークへの持ち帰りPCの接続などにより、自宅などで感染したウイルスを社内に放つことになってしまう。

 こうした危険を避けるために、長期休暇前、休暇中、休暇後にはどのような対策をとればよいのだろうか。


1

急増中のWeb改ざん攻撃とその対策

 まずは最も懸念されるWeb改ざんについて考えてみよう。業務用のシステムは長期休暇中は停止できるが、外部にサービスを提供しているWebサイトは別だ。もしも改ざんが行われたら、自社ばかりでなくWebサイトを利用するユーザ全体に被害を及ぼすことになる。

1-1

Web改ざんの手口

 現在のWeb改ざん攻撃は多様化している。図2にそのイメージを示すが、中心になっている1、2、5、6は“Gumblar攻撃”と同様の手口、3、4は新しくつけ加えられるようになった手口だ。

図2 Web改ざん攻撃の手口
図2 Web改ざん攻撃の手口
資料提供:IPA

 発端はWebサイト管理のための管理者ID/パスワードの不正入手だ。Gumblarの場合は管理用PCのウイルス感染により、Webサイト管理のためのFTP接続ID/パスワードが外部の攻撃者によって奪取され、それを不正利用してWeb改ざんが実行された。改ざんされたWebサイトにアクセスしたユーザはWebサイトに仕組まれた不正コードによって外部のウイルス配布用サイトに接続されてウイルス感染してしまう。
 その後、企業側でのFTP運用でのセキュリティ対策が進み、この方法が使いにくくなった一方で、図2の3、4のような手口も使われるようになってきた。4は弱いパスワードを“推測”などで破るという昔ながらの方法だが、3の「脆弱性を利用する攻撃」にはさまざまなソフトウェアの脆弱性が不正に利用されるようになった。主に狙われているのがCMS(Content Management System)で、シェアの大きい「WordPress」や「Joomla!」などの脆弱性が攻撃対象になっている。またホスティング会社がよく使っているサーバ管理ツールの「Parallels Plesk Panel」の脆弱性も最近特に多用されているようだ(図3)。

図3 Web改ざんの「原因」による分類(2012年1月〜2013年5月)
図3 Web改ざんの「原因」による分類(2012年1月〜2013年5月)
資料提供:IPA

セキュリティ情報局にご登録頂いた方限定で「要注意!“長期休暇中”のセキュリティ対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

Web改ざん/要注意!“長期休暇中”のセキュリティ対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Web改ざん」関連情報をランダムに表示しています。

Web改ざん」関連の製品

クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 CPI マネージド専用サーバー 【KDDI ウェブコミュニケーションズ】
WAF ハウジング
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 サーバー機能をパッケージ化したサービス。運用・管理のすべてをKDDIウェブコミュニケーションズに一任できる。回線帯域は最大1Gbpsとなり、高負荷環境にも余裕で対応。

Web改ざん」関連の特集


投資を厳選しながらセキュリティ管理のPDCAを回す体制づくりとは?中小企業に注目し、今実施すべきセキ…



 前回の西本の記事に「入鉄砲に出女」というキーワードが出たが、セキュリティインシデントの監視にあたり…



 前回は組織内から発生するセキュリティインシデントについて触れた。今回はエバンジェリストの私がよく質…


Web改ざん」関連のセミナー

現状の対策を見つめ直すためのサイバーセキュリティセミナー 【九州日立システムズ】 締切間近 

開催日 12月9日(金)   開催地 熊本県   参加費 無料

サイバー犯罪の最新動向とは?今の政府・行政の方針は何か?今後、企業が知っておかなければならないセキュリティ対策とは?昨今、国内ではサイバー攻撃による被害報告が相…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006140


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ