今回はパスワード認証を突破することを目的としたパスワードクラッキングの手法やその対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよよりPDFファイルにてご覧いただくことができます。

1.概要

「パスワードクラッキング」とはシステムへのログインや特定機能を利用する際に利用者が本人であるかを確認するためのパスワードを割り出し、不正にログインする攻撃です。

多くのサービスで広く一般的に使われているパスワード認証ですが、パスワードを知らないはずの第三者に認証を突破され、不正利用の被害に遭ってしまったという事例は後を絶ちません。

8月7日にIPAより公開された「情報セキュリティ10大脅威 2019」においても直接または間接的にパスワードクラッキングが関係している脅威が多数ランクインしており、8月8日(米国時間)にはオーストラリアのサイバーセキュリティセンター(ACSC)よりパスワードクラッキングの手法の一つである「パスワードスプレー攻撃」がオーストラリアの組織を対象に行われたことを観測したとの情報が公開されています。

DX(デジタルトランスフォーメーション)によって企業の取り組みや人々の生活においてあらゆることがデジタル化されつつあり、そうした流れの中で攻撃対象の増加・技術の高度化に伴い攻撃の増加・巧妙化が予測されます。

以降、パスワードクラッキングの手法とその対策についてご紹介致しますので、セキュリティ対策にご活用ください。

2.攻撃手法

■ブルートフォース攻撃

「総当たり攻撃」とも呼ばれる攻撃手法で、図1のように特定のIDに対してパスワードとして使用可能なすべての文字列を組み合わせてログインを試みます。単純な原理で実施も容易であり、時間さえかければ確実に認証の突破が可能となる強力な攻撃手法です。

【図1：ブルートフォース攻撃のイメージ】

■辞書攻撃

人名や辞書に載っている英単語など、覚えやすい意味のある文字列を用いてログインを試みます。試行対象の文字列には単語の一部を大文字にしたものや数字・記号を付加したものも含まれています。

■パスワードリスト攻撃

攻撃者が別の手段で事前に入手してリスト化したIDとパスワードの組み合わせを利用してログインを試みます。複数のサービスで同じIDとパスワードを使い回したり、推測されやすい文字列を使用したりすると攻撃を受けるリスクが高まります。

■リバースブルートフォース攻撃

通常のブルートフォース攻撃では特定のIDに対してすべてのパスワードを試行するのに対し、リバースブルートフォース攻撃では図2のように特定のパスワードを複数のIDに対して用いてログインを試みます。

特定のIDに連続してログインを試みないので、パスワードクラッキングへの防御策として広く用いられているアカウントロックを回避することが大きな特徴です。また、辞書攻撃やパスワードリスト攻撃と併用される場合が多いといわれています。最近では送信元IPアドレスを変化させつつ、複数のサービスへ一定の時間を置きながら試行を繰り返すなど検知を難しくするための工夫がなされていることもあり、そうした時間をかけてゆっくりと認証の突破を試みる手口は「パスワードスプレー攻撃」「low-and-slow攻撃」などと呼ばれます。

徹底して痕跡を隠されると入力ミスなどによる正規ユーザの認証失敗と攻撃者による認証失敗を見分けることが難しく、実際に2018年10月から2019年3月にかけて大手IT企業のC社を対象にこの攻撃が行われ、不正アクセスを許してしまったとされる事例もあり、検知することの難しさが伺えます。

【図2：リバースブルートフォース攻撃のイメージ】

■パスワード窃取

それぞれの詳細な手法については割愛しますが、以下のような手段でパスワードを窃取し、その情報を用いて不正ログインを試みます。窃取された情報がハッシュ化されていた場合も、平文とハッシュ値の対応表であるレインボーテーブルを事前に用意して突き合わせることで平文のパスワードを解析されてしまう恐れがあります。

【パスワード窃取の手法】

1. フィッシング
2. システムの脆弱性を突く
3. マルウェアやキーロガーを仕込む
4. ショルダーハック

3.ユーザ側での対策

■意味を持たず、できるだけ長いパスワードを設定する

パスワードクラッキングは総当たりや推測によってパスワードを割り出そうとするものが多く、短いパスワードや意味のある文字列では攻撃を受けるリスクが高まります。

最近では使用する文字数を極端に多くした「パスフレーズ」を利用するケースもあります。これは単に総当たりに要する時間を長引かせるだけでなく、覚えやすい意味のある文字列を設定した場合にも複数の単語を組み合わせる必要があり、大文字小文字の違い・数字や記号の付加なども考慮すると膨大な数のパターンが存在し得るため、辞書攻撃によるパスワードクラッキングを困難にするという効果もあります。

■複数のサービスで同じパスワードを使いまわさない

複数のサービスで同じパスワードを使いまわした場合、一つのサービスからパスワードが漏洩した際に、パスワードリスト攻撃によって他のサービスにまで不正利用の被害が及んでしまいます。

異なるパスワードを管理する手間や忘却のリスクとトレードオフではありますが、複数のパスワードをまとめて管理するためのツールも存在しており、これを利用することで容易に実現が可能です。但し、パスワード管理ツール自体の管理や取り扱いは厳格にする必要があります。

■使用端末のOSやセキュリティソフトの状態を最新に保つ

マルウェアに感染してパスワード情報が漏洩することを防ぎます。パスワードクラッキングへの対策に限らずセキュリティを向上させる上で重要な対策です。この対策はシステム管理者側にも求められます。

■人目の多い場所でログイン操作を行わない

人目の多い場所では、ログイン操作を行う際の画面表示・キーボード操作や画面タップ操作などを盗み見ることでパスワードを窃取するショルダーハックのリスクが高まります。どれほど強固なパスワードでも他者に知られてしまうと役に立たないため、入力操作を行う際にも注意が必要です。

■利用サービスを選択する際はセキュリティ面にも意識を向ける

システムの脆弱性を突いてパスワードを窃取された場合、ユーザ側で防ぐ手立てはありません。

本来、そうした事態を防ぐ責任はサービスの提供元にありますが、実際に被害を受けるのはユーザであり、サービスの提供元が被害のすべてを補填してくれるとは限りませんし、個人情報の流出など取り返しのつかない被害も起こり得ます。

数ある類似サービスの中から利用サービスを選択する際、どうしても価格やサービス内容ばかりに意識が向いてしまいますが、以下のようにセキュリティ面や万一に備えた補償の有無に少しだけでも意識を向けることが被害の防止に繋がります。

【意識を向けるべき点】

1. 多要素認証や多段階認証が利用可能か
2. httpsを利用しているか
3. IDやパスワードを忘却した際の初期化手続きはどのように行われるか
4. 不正アクセスによる被害に対する補償が規約に盛り込まれているか

4.システム管理者側の対策

■アカウントごとのログイン試行回数に上限を設ける

規定回数以上認証に失敗した場合はアカウントを一定期間使用不可能にする機能を実装することで、特定のアカウントに対する総当たりでのパスワードクラッキングを防ぐことが可能です。

■危険なパスワード設定時にユーザへ警告を行う

短すぎる、文字種が少ない、パスワードとして設定されやすい文字列などの類推されやすいパスワードが設定された場合、警告を表示して再設定を促す機能を実装することで、危険なパスワードの利用を防ぐことが可能です。

■サーバなどで保持する認証情報は平文のまま保存しない

攻撃者からサーバなどに保存されたID・パスワードが窃取された際、平文のまま保存されていた場合は直ちに不正ログインの被害へと繋がるため、対策としてハッシュ化にて平文の特定を困難にすることが有効です。

また、その際は先述したレインボーテーブルへの対策として、ハッシュ化前の平文にユーザごとに異なるソルトと呼ばれる文字列を付加する方法とハッシュ化で求めた値を更にハッシュ化する処理を複数回繰り返すストレッチングの実装が求められます。

これらの対策は独自の方法で実装すると脆弱性が混入する恐れがあるため、使用する言語ごとに推奨されている専用のハッシュ関数を利用して実装する必要があります。

■多要素認証・多段階認証を実装する

SMS認証や生体認証など、別の認証方法との併用や、以下のような点が普段と異なる環境からログインが行われた際に追加認証を行うリスクベース認証を実装することで、パスワード認証を突破された場合にも被害の発生を防ぐことが可能です。

【リスクベース認証の判断材料】

1. IPアドレス
2. 端末情報
3. 使用OS
4. ISP
5. 位置情報

■ログインの試行を記録して怪しい動きがないか監視する

パスワードクラッキングが行われる場合、以下のように特徴的な記録が見られます。それらの情報を発見し、ユーザへ通知を行ったり、IPアドレスを基に通信を遮断したりするなど適切な対処を行うことで被害を抑えることが可能です。 これを実現するために、セキュリティ機器や監視基盤を導入し、SOCにてログインの試行状況を監視することが有効です。

【パスワードクラッキング時に見られる特徴】

1. 特定IPアドレスから大量のログイン試行
2. 存在しない多数のIDへのログイン試行
3. 普段と異なる環境からのログイン

5.e-Gateの監視サービスについて

FirewallやIPSをはじめとするセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

6.参考情報

IPA(独立行政法人 情報処理推進機構)

• 情報セキュリティ10大脅威 2019
  https://www.ipa.go.jp/security/vuln/10threats2019.html
• 不正ログイン対策特集ページ
  https://www.ipa.go.jp/security/anshin/account_security.html

JPCERT

• 適切なパスワードの設定・管理方法について
  https://www.jpcert.or.jp/newsflash/2018040401.html

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

弊社のグループ会社であるサービス&セキュリティ株式会社は7月27日（土）、お客様へより良いサービスのご提供と社員育成を目的に大阪支社、大津支社、名古屋支社の3支社合同で業務プレゼン大会を実施しました。

入社2年目の社員を対象とし、各業務で経験した失敗に対する原因と対策、及び成果などを発表しました。

今回で5年目を迎え、過去最大の300名以上の社員が参加する業務プレゼン大会となり、社員全員でさらにチャレンジする気持ちを高め、力を合わせて顧客サービスを向上し続けられるようにと気持ちも新たになりました。

同日、盛大に業務プレゼン大会の表彰式と懇親会も行われ、支社の枠を超え各社員が交流を深める機会となりました。

弊社のグループ会社であるサービス&セキュリティ株式会社は2019年8月1日（木）～8月2日（金）に神戸で開催される「第14回AsiaJCIS 2019」に協賛いたします。

今年で14回目を迎えるAsiaJCISはアジアを中心とした情報セキュリティに関しての学術研究や業界からの成果を発表するフォーラムです。

詳しい内容はサービス&セキュリティのホームページにてご覧いただけます。

サービス&セキュリティ　　https://www.ssk-kan.co.jp/topics/?p=10021

是非ご覧いただきますようお願いいたします。

今回は2019年5月にMicrosoftより発表されたリモートデスクトップサービスの脆弱性を狙った攻撃手法やその対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1. はじめに

リモートデスクトップサービス (RDS) とは、Windowsにリモートでログオンし、データへのアクセスやアプリケーションの実行などの遠隔操作ができるサービスです。 2019年5月の月例セキュリティ情報において、MicrosoftはRDSにおける脆弱性 (CVE-2019-0708) を修正する更新プログラムを公開しました。この脆弱性は「BlueKeep」と名付けられ、2017年に甚大な被害をもたらしたランサムウェア「Wanna Cryptor」に匹敵する被害をもたらす危険性が指摘されています。Microsoftがすでにサポート終了している「Windows XP」などのOSに対しての更新プログラムを公開する異例の対応をとったことも、その危険性を物語っています。

そこで本記事では、「BlueKeep」の特徴と対策をご紹介いたします。

2. BlueKeepの攻撃について

2.1 攻撃の流れ

RDSにおいて、クライアントは遠隔サーバのTCPポート3389（デフォルト設定）に対してリモートデスクトッププロトコル (RDP) で通信を行います。この通信において、以下のような手順でサーバを乗っ取ることができます。

【図1：攻撃の流れ】

③の細工されたデータの送信はRDSのユーザー認証の前に行われるため、アカウント名やパスワードを知らなくてもサーバを乗っ取ることができます。接続に成功した場合、攻撃者が管理者権限を手に入れてしまい、悪意のあるプログラムをインストールしたり、すべての権限を持つ新しいアカウントを作成したりすることが可能になり、気づかないうちにサーバを乗っ取られてしまいます。

2.2 特徴

• ワームのような特性

【図2：被害拡大のイメージ】

攻撃対象となったサーバからさらに別の端末に細工したデータを送信することで、ワームのように自動的な拡散が可能です。1つの端末が攻撃を受けてしまうと、ネットワーク内の他の端末も攻撃の対象となってしまう可能性があります。

• 古いWindowsが対象

この脆弱性の対象として発表されたのは以下のバージョンであり、サポートが終了したものが含まれています。

• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003
• Windows 7
• Windows Vista
• Windows XP

古いバージョンであるとはいえ、それらのバージョンのシステムがいまだに利用されているケースも少なくありません。前述のようにMicrosoftがそれらのシステムに対する更新プログラムを配布していることも、これが重大な問題であることを裏付けているといえるでしょう。

3. 対策

• 最新のアップデートを適用する

脆弱性を修正する更新プログラムをMicrosoftが公開しています。対象バージョンのシステムを使用している場合、インストールすることが推奨されます。

• RDSを無効にする

この脆弱性はRDSを利用したものであるため、必要ない端末のRDSを無効にしておくことも有効な対策であるといえます。その上で更新プログラムをインストールするとさらに確実です。

• TCPポート3389に向けた通信をブロックする

RDPはデフォルト設定で3389ポートを使って通信を行うため、当該ポートへの通信をFirewallやIPS（侵入防御システム）などで遮断することも一定の効果が見込めます。SecureSoft Sniper IPSでは2019年6月に配信されたシグネチャID 4791によって当該脆弱性に対応しています。ただし、FirewallやIPSで遮断できるのは外部からの侵入であるため、内部のネットワークから侵入される場合には効果がないことにご注意ください。

4. e-Gateの監視サービスについて

FirewallやIPSをはじめとするセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

5. 参考情報

• Microsoft
  CVE-2019-0708 のユーザー向けガイダンス
  https://support.microsoft.com/ja-jp/help/4500705/customer-guidance-for-cve-2019-0708
  CVE-2019-0708 | リモート デスクトップ サービスのリモートでコードが実行される脆弱性
  https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0708

• IPA（情報処理推進機構）
  Microsoft 製品の脆弱性対策について(2019年5月)
  https://www.ipa.go.jp/security/ciadr/vul/20190515-ms.html

• JPCERT
  リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について
  https://www.jpcert.or.jp/newsflash/2019051501.html

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

お客様各位

平素よりSecureSoft Sniper IPSサポートサービスをご利用いただきまして 誠にありがとうございます。

この度、アップデートサーバのメンテナンス作業を実施致します。

尚、作業時間帯は、アップデートサーバとの通信で瞬断が発生する 可能性がございます。

何卒、ご了承下さいますようお願い申し上げます。

---------------------------------------------------------------------

□【実施予定日】2019年8月6日 (火)　4:00～7:00

---------------------------------------------------------------------

※詳細につきましては添付ファイルをご参照下さい。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

2019年6月25日、株式会社セキュアソフト（代表取締役社長：姜 昇旭、以下セキュアソフト）はキヤノンマーケティングジャパン株式会社（代表取締役社長：坂田正弘、以下キヤノンMJ）とセキュリティ運用監視サービス事業で協業することを発表しました。

今回の協業について、各種メディアに記事を掲載して頂きました。
この場をお借りしまして、お礼を申し上げます。

下記、主なWEBニュースをご紹介しますので、是非目を通して頂きますようお願い申し上げます。

■日経xTECH、6月25日付
「キヤノンMJとセキュアソフトがSOCサービス、侵害発生時の支援も」　
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05354/

■マイナビニュース、6月25日付
「キヤノンMJ×セキュアソフト、SOCサービスで協業」
https://news.mynavi.jp/article/20190625-848299/

■クラウドWatch、6月25日付
「キヤノンMJ、セキュアソフトとの協業によりセキュリティ機器監視（SOC）サービスを提供」
https://cloud.watch.impress.co.jp/docs/news/1192394.html

■ASCII.jp、6月25日付
「キヤノンMJ、エンタープライズ向けSOCサービスを提供開始」
https://ascii.jp/elem/000/001/882/1882560/

■ZDNet Japan、6月25日付
「キヤノンMJ、セキュリティー機器監視サービスを開始」
https://japan.zdnet.com/article/35138915/

■Tech Republic Japan、6月26日付
「キヤノンMJ、セキュリティー運用監視サービス--セキュアソフトと協業」
https://japan.techrepublic.com/article/35138983.htm

ご不明な点、ご要望などございましたら、弊社広報担当までお気軽にお尋ねいただきますようお願い致します。
E-Mail：press@securesoft.co.jp

今後とも一層のご愛顧のほど、よろしくお願い申し上げます。

今回は最近相次いで報告されたWordPress向けに提供されているプラグインの脆弱性を狙った攻撃について、攻撃手法や動向、対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1.概要

コンテンツマネジメントシステム（以下CMS）は今やWebサイト構築には欠かせないものです。本年の1月に代表的なCMSであるWordPress向けのプラグインを狙った攻撃について紹介いたしましたが、5月から6月にかけて新たにWordPress 用プラグインにおける脆弱性が相次いで報告されました。これらの脆弱性を悪用されることにより不正なアクセスや悪意のあるスクリプトを実行される可能性があります。本記事では、5月から6月にかけて報告されたこれらの脆弱性を狙った攻撃の手法と動向・対策についてご紹介いたします。

2.相次いで報告されるCMSの脆弱性について

5月から６月にかけてCMS関連の脆弱性が報告されております。その中でもWordPress用のプラグインを対象としたものが多数を占めています。これらの脆弱性を悪用されることにより、情報漏洩やWebページの改ざん、マルウェア感染などの恐れがあり対策が必要です。

【5月から6月にかけてJVN iPediaに公開されたWordPress 用プラグインの脆弱性】

3.攻撃概要

前述で紹介しましたWordPress用のプラグインの脆弱性において、その対象となる攻撃手法は、いずれもクロスサイトスクリプティング（XSS）かクロスサイトリクエストフォージェリ（CSRF）です。これらの脆弱性を狙った代表的な攻撃手法であるクロスサイトスクリプティング（XSS）の概要と脅威について解説します。

クロスサイトスクリプティングは脆弱性のあるWebサイトに悪意のあるスクリプトを埋め込み、そのスクリプトにユーザーが誘導されて重要な情報を盗まれたり、マルウェアに感染するという攻撃です。情報の入力や誘導される不正なURLリンクへのクリックなどに対し注意が必要ですが、これらのリンクが不正なものであるかを全て判断することは非常に困難です。

攻撃の流れは以下となります（下図１を参照）

①   攻撃者は脆弱性のあるWebサイトを狙い、悪意のあるスクリプトを埋め込んだ罠リンクを用意します。

②   ユーザーが誤って罠リンクをクリックすることで、悪意のあるスクリプトが実行されます。

③   実行された悪意のあるスクリプトによりユーザーは、重要な個人情報などの入力を促す偽サイトなどに誘導されます。

④   ユーザーは偽サイトと気づかず、個人情報等を入力してしまいます。

これにより、重要情報の漏洩や、マルウェアに感染させるなどの被害が想定されます。

【図1 クロスサイトスクリプティング（XSS）の攻撃イメージ】

4．CMSの脆弱性を狙った攻撃の増加

このようにWebサイトを狙った攻撃の足掛かりとなりやすいのがCMSの脆弱性ですが、当e-Gateセンターにおいても、CMSの脆弱性を狙った攻撃を多数観測しています。下記グラフはWordPress以外にも、JoomlaやDrupal等のCMSの脆弱性を狙った攻撃イベントの検知件数の推移を示しています。

5月になり攻撃イベント検知数が従来の3倍以上に急増しており、6月現在も引き続き検知され続けています。これらの攻撃に警戒が必要です。

【図２　e-Gateセンターにて検知したCMSの脆弱性を狙った攻撃の検知件数の推移】

5.対策

このような被害の可能性のある脆弱性を放置しておくことは情報の漏洩やサービスの不正利用などにより多大な損害を受ける可能性がある為、早急に対処することが重要です。

① 定期的なCMSやプラグインのセキュリティ情報の確認

脆弱性のある古いバージョンのCMSは攻撃者がスキャニングをおこなうことで、容易に特定することが可能です。当e-Gateセンターでもこれらのスキャニング通信を多数観測しています。これらの脆弱性に対しては、JVNの脆弱性情報や開発元ベンダのアップデート情報など信頼できるサイトのセキュリティ情報をもとに対処することが必要です。また、これらの情報は攻撃者にとっても攻撃の糸口となります。確認できた脆弱性に対してベンダ情報を参考にアップデートなどの適切な処置をいち早く行えるようにするため、定期的にセキュリティ情報をチェックすることを強く推奨いたします。

② セキュリティ機器・サービスの導入

セキュリティベンダの提供するセキュリティ機器やサービスを導入し適切に運用管理することにより、重要な情報の流出や被害の拡大を抑えることができます。

6. e-Gateの監視サービスについて

サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

7.参考情報

■ IPAセキュリティ情報

https://www.ipa.go.jp/security/announce/alert.html

■ JVN iPedia

https://jvndb.jvn.jp/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

株式会社セキュアソフト（本社：東京都渋谷区、代表取締役社長：姜 昇旭）はキヤノンマーケティングジャパン株式会社（代表取締役社長：坂田正弘、以下キヤノンMJ）とセキュリティ運用監視サービス事業で協業します。セキュリティ機器のログを収集・分析し、インシデントの監視・検知を行うセキュリティ機器監視（SOC^※1）サービスを7月上旬、キヤノンMJより提供開始します。

今回提供するSOCサービスは、2018年3月にグループ会社であるサービス＆セキュリティ株式会社にて販売開始した次世代型監視サービス「e-Gate」をベースに、お客さまのセキュリティ機器（ファイアウォール、IPS、UTM、WAFなど）のセキュリティログを24時間365日体制で監視・分析し、インシデントの検知と通知を行い、セキュリティエンジニアによる分析結果を月次レポートとして提供します。また、アドバンスサービスとして、キヤノンMJグループのセキュリティエンジニアによる通知情報の詳細分析やインシデント発生時の対処方法アドバイスなどのサービスを提供することにより、お客さまのセキュリティ対策を支援します。

セキュアソフトとサービス＆セキュリティとキヤノンMJ（既に当社のIPS製品の販売パートナー）は、今後、販売面での連携や、SOCサービスとキヤノンMJのセキュリティ製品・サービスとの連携、対応機器の拡充のほか、機器の監視だけではなく機器の運用までを包括したマネージド・セキュリティ・サービス（MSS）を提供していきます。

※1 Security Operation Centerの略。企業などにおいて情報システムへの脅威の監 視や分析などを行う専門組織のこと。

以下の画像をクリックしますと、PDFファイルにてニュースリリースをご覧いただけます。

本日(2019年6月24日)日本経済新聞朝刊12面に、慶應義塾大学教授 村井純様と弊社代表取締役社長 姜昇旭が、「情報が価値を生む時代 狙われる企業のデータ」と題し て対談をした記事体広告を掲載しました。

是非ご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

※2019年6月24日付日本経済新聞朝刊より許可を得て転載しております。

近年フィッシングの発生件数は増加傾向にあり、攻撃方法も高度になっています。
フィッシングの概要から最近の手法の特徴、対策方法について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1. はじめに

フィッシングとは、金融機関や有名企業をかたったメール（フィッシングメール）などから、攻撃者が用意した本物そっくりのWEBサイト（フィッシングサイト）へと誘導し、そこでクレジット番号やパスワードを入力させ、個人情報を奪うことを目的とした攻撃です。フィッシングは以前から存在する手口ですが、フィッシング対策協議会に2019年4月までに寄せられたフィッシング報告件数 (海外含む) によると、2019年に入ってからの報告数は右肩上がりとなっています。これまでにも注意喚起は行われてきましたが、近年はフィッシングメールやフィッシングサイトがオリジナルと見分けが付かないほど巧妙に作られており、見極めるのが難しくなっています。

そこで本記事では、フィッシング攻撃の基本から、最新の手口、フィッシングを回避するために気を付けるべきポイントをご紹介いたします。

2. フィッシングの概要

2.1. 攻撃の流れ

【図1 フィッシング攻撃の流れ】

① フィッシングサイトにアクセスさせる契機にはメールが主に使われます。「Google」や「Apple」、最近では「LINE」や「メルカリ」など老若男女が利用する有名なサービスをかたり、「アカウント更新のためログインしてください」や「不正ログインが検出されたため確認のためログインしてください」といった文面と共に、フィッシングサイトへのURLやアクセスするボタンを配置しています。メールの文面は、文法的に誤りがあったり、誤字脱字が見受けられたりすることもありますが、本物と見分けが付かないくらい作りこまれているものも中には存在します。

② URLをクリックすると、フィッシングサイトへと誘導されます。メールと同様、本物と見分けがつかないものもあり、注意していないといつも通りログインフォームにIDとパスワードを入力し、ログインボタンを押してしまいます。

③ ログインボタンを押すと、フィッシングサイトを設置した悪意のある者にIDとパスワードが知られてしまいます。いわゆる個人情報の流出です。

2.2. 最新手口の特徴

• フィッシングサイトのHTTPS対応

  一昔前までは、オリジナルサイトはHTTPSに対応しているものの、フィッシングサイトはHTTPのままであるといった場合が多かったため、HTTPSならばフィッシングサイトではないと判断するケースがありました。しかし、現在では約半数のフィッシングサイトがHTTPSに対応しています。HTTPSだからといって真正なサイトであると判断するのは、非常に危ういことだと言えます。

• フィッシングサイトおよびフィッシングメールの本物度が格段に向上

  本物と見分けがつかないフィッシングメールやフィッシングサイトが存在します。以前は不自然な日本語の文面や、デザインの違和感などで怪しいと思えることもありましたが、そのような判断はできない場合が多くなってきています。

• スミッシング

  SMS+フィッシングの造語で、スマートフォンなどの携帯端末で用いられるSMS（ショートメッセージサービス）に有名企業をかたったメッセージを送る手法です。PCだけではなくスマートフォンにおいても、フィッシングの被害にあう可能性は十分にあります。また、スマートフォンやタブレットでは、アップデートを促す文面で不正なアプリをインストールさせるといった手口も見られるようになっています。

2.3. フィッシングの件数

フィッシング対策協議会に寄せられたフィッシング報告件数（図2）を見ていただくと、2018年10月までは下降していましたが、以降ほぼ右肩上がりとなっていることがわかります。よって、今後も増加することが予想されますので、ますますの対策や意識付けが必要です。

【図2 2019年4月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む)】

3. 対策方法

3.1. メールが来た時に注意すべきこと

• メールから直接WEBサイトにアクセスしないようにする

メールで重要な情報を伝えWEBサイトへのアクセスを促す場合、その情報はメールだけでなくWEBサイトにも書かれていることがほとんどです。常にフィッシングであるかどうか疑いの目を向け、メールのリンクからではなく、ブックマークや検索サイトから当該WEBサイトにアクセスすることが重要です。なお、メールに記載されているURLと実際のリンク先のURLを異なるものに偽装することは簡単にできます。そのため、メールのURLを目視で真正なWEBサイトのURLであると判断したとしても、アクセスするのは大変危険です。

• 「重要」「緊急」などの急かす文言に焦らない

フィッシングメールは「重要」「緊急」などの、利用者に早急な対応を迫る文言を件名や本文に入れていることが多いです。このような文言のメールを受信したとしても、前述したようにメールから直接WEBサイトにアクセスしないようにするなど、冷静な対処を心がけましょう。

• 電子署名の確認

多くの金融機関などでは、送信元が正規の事業者であることを証明するため、電子メールに電子署名を付与しています。怪しいメールが送られてきた場合、電子署名を確認することも対策になり得ます。

3.2. 普段のセキュリティ対策

• セキュリティソフトの有効化、最新版への継続的なアップデート

セキュリティソフトの中には、怪しいWEBサイトへのアクセスをブロックするものもあります。パターン定義を最新に保ち、新しく登場するフィッシングサイトへのアクセスをブロックできるようにしましょう。

• 同じパスワードを別のサービスで使い回さない

万一パスワードが流出した場合、ほかのサービスでも同じパスワードを使っていると流出したパスワードでログインされ、被害がさらに大きくなります。

3.3. セキュリティ機器の導入、監視

• WEBプロキシアプライアンス、IPSなどを導入し、不審なサイトへのアクセスを監視、ブロックする

プロキシやIPSは通信を監視するネットワーク機器です。怪しいWEBサイト一覧のデータベースを持ち、パケットに含まれるアクセス先のURLを検査し、データベースに一致するとアラートを発報したり、通信を遮断したりする機能を持っています。これらの機器を導入し、適切に運用及び監視することにより、重要な情報の流出や被害の拡大を抑えることができます。

4. e-Gate監視サービスについて

サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

5.参考情報

■ フィッシング対策協議会

https://www.antiphishing.jp/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

セキュリティ技術が進化していく中で、マルウェアも日々進化しています。
大型連休に向けたセキュリティ対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1. 概要

2019年のゴールデンウィークは4月27日から5月６日まで、10日間の大型連休となる企業が多くなりました。稀に見る大型連休に備えて、社内システムの運用の観点から実施可能なセキュリティ対策をご紹介いたします。 ここで紹介する対策はこの度の連休だけに限らず、日々のセキュリティ運用にも共通する内容となっているため、連休を過ぎてからも基本事項の確認のために是非ご参照ください。

2.休日中の脅威発生状況

e-Gateセンターでは、24時間体制で日々セキュリティログの監視を行っています。

IPSやUTMの監視においては、主に外部からの脅威発生を検知することが可能です。昨年のゴールデンウィークにおいて、外的脅威の発生が観測された一例として、あるUTMにおけるログ量の統計情報を示します。

【図1 攻撃ログと通信ログの件数推移 2018年GW前後の一例】

この例では、通信ログは業務通信の量を反映して、平日には多く、休日には少なくなっています。

一方で、攻撃を検知した際に発せられる攻撃ログは、休日と関係なく週に1日程度の頻度で検知数が跳ね上がっています。検知数は攻撃の種類によっても変化するため、ログ件数がそのまま危険性を示すわけではありませんが、休日・平日の区別なくサイバー攻撃が発生することがわかります。

このように、外部からの攻撃は休日であっても発生するため、インシデント対応の体制は常に必要です。

3.長期休暇に特有の社内状況

ゴールデンウィークのような長期休暇においては、通常とは違った社内状況があり、システム運用上の脆弱性が発生します。

（１）社内システムの利用者が減少し、使用されないシステムがある

通常、社内の各システムはそれぞれに利用者がいます。システム上の異変が生じた場合には、利用者が真っ先に発見することも多いですが、長期休暇で利用者がいないような状況では発見が遅れ、被害が拡大する恐れがあります。

（２）ノートPC等、機密データを保持する機器の持ち出しがある

長期休暇の期間にも社外でいくらかの業務を行うため、ノートPC等の機器の持ち出しをするケースがあります。それらの機器には多少なりとも機密データが保持されていると考えられるため、紛失、盗難、機密情報の漏洩といったリスクが発生します。

（３）社員間の連絡が取りにくく、社内ルールの確認などが困難になる

休暇中は社員がばらばらになるため、何かあった際にも社内ルールの確認などが困難になります。特にゴールデンウィークの時期は4月から部署異動で配属されたメンバーや新入社員などが十分に社内ルールを把握できていないことも想定されます。上記の持ち出し機器に関しても、持ち出した当人が理解していなければ運用ルールが守られず、危険な状態になります。

（４）システム担当者へ連絡が取りにくい

システム担当者も長期休暇に入るため、連絡が取りにくくなる可能性があります。トラブルが発生してもシステム担当者に連絡がつかず、適切な対処がされないまま被害が拡大するといった危険性があります。

（５）システム担当者のインシデント対応が遅れる

システム担当者に連絡がついた場合でも、遠隔地では対応が難しいという可能性もあります。担当者が戻ってから対応ということになると、上記と同じく、被害が拡大する危険性があります。

（６）未確認のメールが累積する

長期休暇の間に、各アカウントへのメールが累積することが想定されます。ユーザーは１つ１つのメールに対する注意が薄れ、標的型攻撃メールの添付ファイルやURLを不用意に開いてしまうといったトラブル発生の可能性が高まります。

（７）各種ソフトウェアの更新が滞る

システムの利用者や管理者が不在の期間は、各種ソフトウェアの更新が滞ることが想定されます。各端末や各サーバのOS、ミドルウェア、アプリケーションなど、それぞれに脆弱性を解消する修正パッチなどが出ている可能性もあるため、アップデートされていない状態は好ましくありません。また、セキュリティソフトの定義情報がアップデートされない場合も、危険性が高くなると言えます。

4.長期休暇前後に実施すべき対策

各社内状況（脆弱性）に対する対策と、その実施時期は次の通りです。

【図２ 長期休暇の脆弱性に対する対策】

【長期休暇前の対策】

1. 使用しない機器の電源を落とす

不要な機器の電源を落としておくことであらかじめリスクの低減を図ることが可能です。休暇中に使用しないPC、サーバ、ネットワーク機器などを確認し、可能であれば電源を切ることを検討しましょう。

2. セキュリティルールの周知を徹底する

全社的にセキュリティルールや運用ルールの周知を徹底し、休暇中にも個人個人がルールを把握できているように準備しましょう。その中には持ち出し機器に関するルールも含まれるはずです。

3. 社内の連絡体制を明確にする

トラブルが発生したときにどこに連絡すればいいのかといったことを明確にし、社内で共有しましょう。特にシステム関連は緊急連絡の窓口を設けて、その連絡先を周知することで、ユーザーが迷いなく連絡してくれるようになります。

4. システム担当者の緊急対応の体制を確認する

システム担当者として対応できるメンバーの中で互いに休日中の状況を確認し、だれが対応できるのかを確認しておくことで、インシデント発生時に速やかに対応することができます。



【図３ トラブル時の連絡体制の一例】

【休暇中の対策】

5. 社内ルールに従って運用する

休暇中は、事前に取り決めたルールに従って行動し、トラブルにも冷静に対応しましょう。

【長期休暇後の対策】

6. メール攻撃への注意喚起を行う

システム部や各部署の上長から注意喚起を行い、怪しいメールの添付ファイルを開かないといった基本的な対策について意識向上を図ることで、セキュリティインシデントの予防になります。

7. 各種ソフトウェアのアップデートを実施する

保留されていたOS、ミドルウェア、アプリケーションの更新を速やかに行いましょう。

8. セキュリティ製品の定義ファイルを更新する

OS等の基盤の更新のあとにはセキュリティソフトの定義ファイルも更新が必要です。

9. ネットワークの通信量の増大に注意する

累積したメールの配信や、上記のようなソフトウェアの更新が全社のクライアントにおいて行われると、ネットワークの通信量が増大し、帯域がひっ迫する可能性があります。リスクが見込まれる場合は、あらかじめアップデート処理を分散させる等の対策をとる必要があります。

【図４ 対策の実施タイミング】

なお、これらの内容は、日々のセキュリティ対策の運用と変わるものではありません。大型連休というリスクの高まる時期に、こうして基本的な対策を確認し、日々のセキュリティ対策へとつなげていくことが望まれます。

5.改元に伴う脅威増大の可能性について

今年はゴールデンウィーク中に改元があり、元号が平成から令和へと改められます。これに乗じたサイバー攻撃が発生する可能性があるため、注意が必要です。一般的なセキュリティ対策と変わるものではありませんが、セキュリティ情報の収集を行って必要な対策を確認してください。

また、改元に関してはシステムトラブルの可能性が話題になっていますが、個別のシステム障害が発生した場合にはセキュリティインシデントにつながらないかの確認も必要です。前述のとおり、取り決めた連絡体制や緊急対応の体制に従って対応を実施してください。

6.e-Gateの監視サービスについて

以上の長期休暇における対策を行ったうえで、よりセキュリティ対策を強固にするために、"e-Gate"のMSSの導入をご検討ください。e-Gateサービスではゴールデンウィークなどの長期休暇においても、24時間365日で監視を行います。

サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。"e-Gate"のセキュリティ監視サービスをご活用頂きますと、迅速なセキュリティインシデント対応が可能となります。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

セキュリティ技術が進化していく中で、マルウェアも日々進化しています。
進化を続けるマルウェア「Emotet」の最新動向と対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1. 概要

AI 技術を用いるなどセキュリティが進化していく中で、マルウェアも日々進化しています。 「Emotet」は 2014 年観測当時、銀行の認証情報搾取を目的としたバンキングマルウェアとして認知されていました。 しかし、この 5 年の間に新たな地域や業界を狙い、他の種類のマルウェアをダウンロードし拡散するローダーとして進化しまし た。感染すると重要なファイルが窃取され、同ネットワーク内の端末にまで感染する恐れがあります。 米コンピュータ緊急事態対策チーム（US-CERT）は、2018 年 7 月に Emotet による被害の修復に約 100 万ドルを 費やしたとする注意喚起を公開しています。日本国内も例外ではなく、2018年11月には日本国内でも検出されており今 後の被害拡大が懸念されています。

今回は、「Emotet」の進化の歴史と、現在確認されている最新のマルウェア動向と対策についてご紹介いたします。

2. 進化の歴史

前述の通り 2014 年に観測されて以来、下記のような進化を遂げています。

• 2014 年:オンラインバンキングを標的としたトロイの木馬として利用
• 2015 年:標的地域を拡大しモジュール性の強いマルウェアへと進化
• 2017 年:他マルウェアや自己を拡散することを目的としたマルウェアへと進化
• 2018 年:Microsoft Outlook のメール収集機能が確認される

特に 2017 年の進化はターニングポイントでありシマンテック社は、銀行側の対策が進んだことで、他の収益源としてマルウェ ア拡散にビジネスモデルを変化させた可能性があると推測しています。 被害者側の対策が強化されることで今後も攻撃手法が異なるマルウェアへの進化が予想されます。

3. 「Emotet」概要

(1) 感染経路

「Emotet」の感染経路はメールです。攻撃者は企業やその組織関係者を装ったメールを送付します。 メールにはWordファイルやPDFファイルが添付されていたり、webサイトからWordファイルをダウンロードするためのリンクが 含まれています。ユーザがファイルを開きマクロを有効にしてしまうと Microsoft CMD(コマンドプロンプト)、PowerShell が実 行され外部の制御用サーバ(C&C サーバ)への接続が発生し、最終的に Emotet 本体である exe ファイルがダウンロード・ 実行されます。

【図 1】 「Emotet」感染のイメージ 

(2) 感染後の動き

1. 自身のアップデートと拡張機能の追加
• C&C サーバへ接続しアップデートすることで常に最新の Emotet を感染 PC に設置します。
• ・主な目的となる機能を持った部品(モジュール)をダウンロードし、拡張機能を追加します。
2. 情報窃取
• メール内容や設定情報、あらゆる認証情報を窃取し、C&C サーバへ送信します。 
3. 自己拡散
• 窃取したメール情報を利用して自身の送付を行います。
• Windowsのネットワーク環境でファイル共有などに利用される「Server Message Block（SMB）」プロトコルの脆弱性 を悪用してネットワーク内で横方向に広がる仕組みを備えているモジュールを利用し拡散します。
• 感染端末上のシステムに保存されているパスワード情報を窃取し、同じネットワーク上のコンピュータに対する総当たりアクセ スを試みます。
• 他種類のマルウェアの感染を広めます。

以下の耐解析機能も備えています。

• ファイルレスモジュール ダウンロードしたモジュールをファイルとして保存せずにメモリ上で利用します。本体には目立った不正な処理のコードを置かな いことでウイルススキャンソフトから検出されづらくなります。
• 複数のC&C サーバへの接続 Emotet 本体には、複数の C&C サーバの接続先情報が存在します。複数のアドレスを使用することにより追跡を撹乱します。

【図 2】感染後の動きのイメージ 

このように感染コンピュータを踏み台とし、窃取した情報を利用した精度の高い有効な攻撃で周囲のコンピュータに感染させ、 組織内で拡散しています。

4. 「Emotet」への対策

感染後の攻撃手法は脅威ではありますが、標的型攻撃メールの対策を実施していれば感染のリスクは大幅に軽減されま す。しかし、アップデートによって攻撃手法が大きく変更され対策を行っていたとしても感染してしまう恐れがあります。 いち早く感染に気付くためにも監視体制を徹底しておくことが肝要です。

運用管理対策

• 不審なメールのリンクや添付ファイルを開かない。
• マクロが無効化されていることを確認し、文書ファイルのマクロは有効化しない。
• 定期的なパスワード変更、多要素認証を導入。
• 定期的なバックアップの取得。
• OS、ソフトウェア、セキュリティ製品を常に最新の状態に更新しておく。

技術的対策

• メール無害化等の標的型メール攻撃対策製品の導入。
• 悪性 IP(C&C サーバ)との通信遮断機能を持った製品の導入。
• PowerShell の起動制限設定。

PowerShell のポリシーでの無効化では、バイパスされる恐れがあります。 PowerShell 自体の起動を制限しておくことを推奨いたします。 

検出対策

• ウイルス対策ソフトなどの定義ファイルを常に最新の状態に更新しておく。
• ネットワークを常時監視し、C&C サーバ等への不審な外部通信や内部の拡散活動の検知。
• 未知のマルウェアから防御可能なエンドポイント対策製品の導入。

不審なメールを開いたり、マクロを実行しないよう定期的なユーザ教育を実施することが対策へと繋がります。 また、被害にあわないよう定期的に情報収集し、情報に合わせた有効な対策を実施することをお勧めいたします。 

5.e-Gateの活用について

サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。
24時間365日有人監視体制のセキュリティ監視サービス "e-Gate"をご活用頂きますと、迅速なセキュリティインシデント対応、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。
"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

6.参考情報

• 米コンピュータ緊急事態対策チーム US-CERT

  Emotet 注意喚起(英文)

  https://www.us-cert.gov/ncas/alerts/TA18-201A

• ESET

  バンキングマルウェア「Emotet」が国内で流行の兆し

  https://ascii.jp/elem/000/001/789/1789760/

• Trend Micro

  「EMOTET」運用の仕組み

  https://blog.trendmicro.co.jp/archives/20222

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

3月25日（月）より、品川駅の港南口方向に向かう自由通路で、総合セキュリティサービスe-Gateの広告を70インチ大画面のディスプレイ44台を使い放映しています。
是非、品川駅をご利用する方はご覧ください。

e-Gateとは、グループ会社のサービス＆セキュリティ株式会社が提供する、総合セキュリティサービスです。
次世代SOC※"e-Gateセンター"を核として、人材・運用監視・対策支援という3つのサービスを軸に、全方位のセキュリティサービスを展開しています。

※ SOC (Security Operation Center)：企業などにおいて情報システムへの脅威の監視や分析などを行う専門組織

本日(2019年3月22日)日本経済新聞朝刊４面に、東京大学名誉教授 伊藤元重様と弊社代表取締役社長 姜昇旭が、「会社の情報守りきれていますか？」と題して対談をした記事が掲載されました。

是非ご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

※2019年3月22日付日本経済新聞朝刊より許可を得て転載しております。

IPAより発表された『情報セキュリティ10大脅威 2019』では、「サプライチェーン攻撃」が企業にとって新たな脅威として浮上しました。 サプライチェーン攻撃の脅威と対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1. 概要

サプライチェーン攻撃のリスクはかねてから指摘されていました。
経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番目に「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記し対策を促してきましたが、その手口は多様化し未だに被害が発生しています。2018年7月セキュリティ企業CrowdStrikeが発表した調査によれば、調査対象の世界8カ国(日本を含む)で約7割の企業がこれまでにサプライチェーン攻撃の被害を経験しており、直近12ヵ月に絞り込んでもおよそ3分の1の企業がサプライチェーン攻撃の被害に遭っています。また、この調査で日本ではサプライチェーン攻撃に対する包括的な対応策を行っている企業が37%に留まり、調査対象国のなかで最も低いと報告されています。
2019年1月 IPA（情報処理推進機構）が発表した『情報セキュリティ10大脅威 2019』では第４位に「サプライチェーンの弱点を悪用した攻撃の高まり」が初めてランクインしており、ここ数年第１位に選ばれている「標的型攻撃」の手口として「サプライチェーン攻撃」が多用される恐れも懸念されています。

攻撃手法としては決して新しいものではありませんが、未だ有効な攻撃手法であり、複雑で巧妙な「サプライチェーン攻撃」の理解を深め、対策を講じることが重要です。

2. サプライチェーン攻撃手法と被害例

(1) サプライチェーン攻撃とは
サプライチェーンとは製品やサービス提供をするために行われる一連のビジネス活動の流れのことで、製造業で例えると設計開発、資材調達、生産、物流、販売という全プロセスをつなぐ連鎖構造を指しています。セキュリティ対策を強化している大企業を狙わず、取引先や関連企業といった中小規模でセキュリティ対策が手薄な企業を狙い、そこを踏み台にして大企業を攻撃する手法をサプライチェーン攻撃といいます。

サプライチェーン攻撃と呼ばれる手法は2種類存在します。

①　「関連組織を狙ったサプライチェーン攻撃」
ターゲット企業のグループ企業、取引先企業、関連組織などを攻撃し、それを足がかりにターゲット企業に侵入する手法です。

【図1】 取引先など関連組織を狙った攻撃の一例

大企業などを標的型攻撃のターゲットとするうえで、まずはセキュリティ対策の手薄なグループ企業、関連組織、取引先企業などを侵入口として攻撃し、そこからターゲットの企業／組織へ潜入します。
具体的には、以下のような手口が存在します。

①攻撃者は取引先企業のメールを盗聴します。
②メールの盗聴が成功すると、攻撃者は取引先になりすました偽装メールをターゲット企業へ送ります。
③偽装メールのやり取りが成功すると、攻撃者はターゲット企業へ侵入するための情報を入手します。
④入手した情報を使い、攻撃者はターゲット企業のネットワークへ侵入します。

強固なセキュリティを備えた正面突破が難しい組織であっても、攻撃者はセキュリティ対策の遅れている子会社や関連組織を踏み台にすることで比較的簡単に侵入できてしまいます。

②　「ソフトウェアサプライチェーン攻撃」
ソフトウェア製品のサプライチェーンの脆弱性につけこんで製品そのものや、アップデートプログラムやパッチにマルウェアやバックドアを埋め込んで感染させる手法です。

【図2】 ソフトウェアサプライチェーン攻撃の一例

攻撃者はソフトウェアベンダーのネットワークに侵入します。ターゲットであるソフトウェア製品の開発環境に保管されたソースコードに不正コードを埋め込みます。改ざんされたことに気付かずリリースされたソフトウェアをユーザーが実行してしまうと、マルウェア感染や、埋め込まれたバックドアを通じてマルウェアがダウンロードされてしまいます。

開発元や配布元から直接提供された普段利用している正規のソフトであれば、受け取ったユーザーは疑う余地もなく使用してしまいます。強固なセキュリティ対策を施した企業であってもソフトウェア製品のパッチやアップデートの経路を通じ巧妙に侵入を果たします。

(2) サプライチェーン攻撃の被害例
①　「MeDoc税務会計ソフト アップデート改ざん」
2017年6月、税務会計ソフトウェア「MeDoc」のアップデートデータが改ざんされ、多くの企業にマルウェアがばらまかれました。ユーザーはその多くがウクライナの国内企業や組織、また同国と取引のある他国籍企業で、被害は全欧州に広がりました。ベンダーが提供する正規のソフトウェアアップデートであり、ユーザーが疑う余地はありませんでした。

②　「CCleanerを踏み台にしたマルウェア混入」
2017年8月から9月にかけて、PC最適化無料ツール「CCleaner」にマルウェアが混入された状態で配布され、世界の大企業に標的型攻撃が実行されるという出来事が発生しました。このマルウェア入りのCCleaner実行ファイルは、正規のダウンロードサーバで配布されていたことから、配布元に対するサプライチェーン攻撃であったとされています。
およそ200万台のPCに対して不正なアップデートが配信されたと推定されています。

3. サプライチェーン攻撃への対策

 サプライチェーン攻撃に対して決定的な対策を取ることは困難ですが、共通する対策として以下は効果的といえます。

・不正な通信からネットワークやサーバ、エンドポイントを防御するためのIPS導入。
・不正な挙動を検知し、感染した後の対応を迅速に行えるEDR製品の導入。
・被害を最小限に抑えるため、ネットワークの常時監視。
・サプライチェーン全体のセキュリティ対策状況の把握、及び教育の実施。

侵入への防御を固めると同時に、万が一侵入されてしまった場合に迅速な対応がとれるよう普段からの備えが大切です。
そのためにも、最新鋭のセキュリティ製品を導入し、適切に運用するとともに、いち早く検知できるような監視体制を徹底しておくことが肝要です。
また、自社のセキュリティ対策の強化だけでなく、サプライチェーンも含めてセキュリティ対策の強化が求められています。
サプライヤーや取引先企業のセキュリティ状況を連携し合い、改善を促していき、よりセキュアな環境を共同で構築していくことが重要になります。

4. "e-Gate" の活用について

 サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。
24時間365日有人監視体制のセキュリティ監視サービス "e-Gate"をご活用頂きますと、迅速なセキュリティインシデント対応、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。
"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
 SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

5. 参考情報

・独立行政法人情報処理推進機構（IPA)
　情報セキュリティ10大脅威 2019
　https://www.ipa.go.jp/files/000071191.pdf

・経済産業省
　サイバーセキュリティ経営ガイドライン Ver2.0 
　http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

・CrowdStrike
　サプライチェーン攻撃に関する調査 (英文)
　https://www.crowdstrike.com/resources/wp-content/brochures/pr/CrowdStrike-Security-Supply-Chain.pdf

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

本日(2019年2月26日)日本経済新聞朝刊12面に、東京大学名誉教授 伊藤元重様と弊社代表取締役社長 姜昇旭が、「会社の情報守りきれていますか？」と題して対談をした記事が掲載されました。
是非ご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

※2019年2月26日付日本経済新聞朝刊より許可を得て転載しております。

当社技術顧問で、村井純 慶応義塾大学教授がフランス政府からレジオン・ドヌール勲章シュヴァリエを受章し、フランス大使公邸で13日、ローラン・ピック大使から授与されました。

インターネットの研究活動、社会の発展、日仏間の学術交流に貢献したことが高く評価されたことによるものです。

レジオン・ドヌール勲章は1802年、ナポレオン・ボナパルトが創設したフランス最高位の国家勲章です。文化や科学、産業などの分野の功績を表彰しています。

　今年度の目標を実現するためのグループ施策や個人行動を発表しあうことで一丸となって業務を進めることを目的に合宿研修を箱根で実施しました。出席者は社長、副社長を始め、株式会社セキュアソフト（SSI）22名、サービス＆セキュリティ株式会社（SSK）　13名の合計37名です。講習やグループ毎の討議後、発表を行い有意義な合宿でした。

▼講義風景1：社長挨拶

社長より本研修の目的、期待を話していただきました。

▼講義風景2：宮野副社長

宮野副社長より「更なる変化」についてご講義していただきました。

▼講義風景3：

皆、真剣に聞いています。

講義の後はグループ別に分かれ、課題をどう解決していくかグループ討議を行いました

▼グループ討議風景1

　e-Gateの皆さんです。問題点を書き出し、討議を行っています。

▼グループ討議風景2

SSK総務グループの皆さんです。中西常務も入って議論しています。

▼グループ討議風景3

SSI　技術本部の皆さんは和室で議論を行っています。

▼グループ討議風景３

SSI　技術サポート部の方々です。

▼グループ討議風景３

SSI　営業本部の皆さんです。小西常務も入り議論を行っています。

▼懇親会風景１

社長の乾杯の音頭により懇親会の開始です。

▼懇親会風景２

明日の研修に備えて皆で英気を養いました。

▼発表風景１

2日目はグループ討議の結果発表です。

グループ単位で発表を行い、活発な質疑応答もありました。（資料内容は消しています）

▼集合写真

研修の最後に皆で記念写真です。

2日間での講義やグループ討議で得た経験を今後生かすことを誓って無事終了しました。

　今回は、最近報告されたWordPress向けに提供されているプラグイン「spam-byebye」の脆弱性を狙った攻撃と、急増している「Portable phpMyAdmin」の脆弱性を狙った攻撃手法や動向、対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

2019年2月5日

サービス＆セキュリティ株式会社 e-Gateセンター

WordPress向けプラグインの脆弱性を狙った攻撃について

 1.   概要

  コンテンツマネジメントシステム（CMS）のWordPress向けに提供されているスパムコメント対策用プラグイン「spam-byebye」に脆弱性が存在していることが報告されました。この脆弱性が悪用されると、同プラグインの設定ページへアクセスできるユーザのWebブラウザ上で任意のスクリプトが実行される可能性があります。

  また、WordPress向けのプラグインである「Portable phpMyAdmin」では、約6年前に発見された脆弱性を狙った攻撃が昨年11月より急増し現在も検出され続けております。当セキュリティオペレーションセンター（以下、e-Gateセンター）においても、昨年に引き続き当脆弱性を狙った攻撃が多く検出されております。この2つの脆弱性を突いた攻撃の動向と対策についてご紹介いたします。

2.   WordPress向けのプラグインspam-byebyeの脆弱性（CVE-2018-16206）について

  JVN（脆弱性情報のポータルサイト）によりますと、WordPress向けに提供されているスパムコメント対策用プラグインであるspam-byebyeにはWebページを出力する際の処理が不適切なために、任意のスクリプトが埋め込まれてしまう反射型のクロスサイトスクリプティングの脆弱性（CVE-2018-16206）があることが2019年1月に報告されました。この脆弱性が悪用されると、セッションハイジャックによる情報漏洩やマルウェア感染などの恐れがあり対策が必要です。

  なお、e-Gateセンターにおいて当脆弱性を狙った攻撃は本稿作成時点では確認されておりません。

  対象プラグイン使用の有無やバージョンを確認し、使用されている場合は後述の対策を実施してください。

（1）攻撃概要

  【攻撃の流れ】（図１と対応）

　  WordPressにログインしている状態のユーザが対象。

  ①     Webサイトやメールに含まれるspam-byebyeへの悪意のあるリンクを表示する。

  ②     悪意のあるリンクを辿ってspam-byebyeにアクセスする際、細工されたリクエストが組み込まれる。

  ③     WordPressおよびspam-byebyeが設置されたサーバにより、スクリプトを含むリクエストを元にページが作成される。

  ④     ページに含まれるスクリプトが実行される。

【図1　spam-byebyeの脆弱性を狙った攻撃イメージ】

（2）影響を受けるシステム

spam-byebye 2.2.1 およびそれ以前のバージョン

（3）想定される影響

spam-byebyeのセットアップページにアクセスできるユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

（4）対策

  spam-byebyeのバージョンを最新版へアップデートしてください。脆弱性を修正したspam-byebye 2.2.2がリリースされております。

  ●  WordPress　spam-byebyeプラグインのリリース情報

       https://wordpress.org/plugins/spam-byebye/

◆  参考情報

  ●  JVN iPedia 脆弱性対策情報データベース

       WordPress 用プラグイン spam-byebye におけるクロスサイトスクリプティングの脆弱性

       https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000001.html

3.  WordPress向けプラグインPortable phpMyAdminの脆弱性（CVE-2012-5469）を狙った攻撃の増加

  約6年前のWordPress向けプラグインPortable phpMyAdminの脆弱性（CVE-2012-5469）を狙った攻撃が昨年11月から急増し、現在もなお観測され続けております。

  e-Gateセンターにおいても当脆弱性を狙った攻撃が多く検出されており、下記グラフは当攻撃イベントの検知数の推移を示しています。昨年11月から検出され始め、12月、1月と顕著に増加していることから、今後もさらに攻撃活動が活発となる可能性があり警戒が必要です。

【図2　Portable phpMyAdminの脆弱性を狙った攻撃イベント検知数の推移（直近6ヵ月）】

  下記グラフは、当攻撃イベントの2019年1月（2019年1月25日時点）の検知数の推移を示しております。連日、継続的に攻撃活動が観測されているため、しばらく注意が必要であると考えられます。

【図3　 Portable phpMyAdminの脆弱性を狙った2019年1月の攻撃イベント検知数の推移】

1月28日（月）より、品川駅の港南口方向に向かう自由通路で総合セキュリティサービスe-Gateの広告を70インチ大画面のディスプレイ44台を使い放映しています。
是非、品川駅をご利用する方はご覧ください。

総合セキュリティサービスe-Gateは次世代SOC※"e-Gateセンター"を核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
※SOC (Security Operation Center)：企業などにおいて情報システムへの脅威の監視や分析などを行う専門組織

ご来場者様　各位

拝啓 貴社益々ご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚く御礼申し上げます。

この度は1月23日（水）～25日（金）インテックス大阪にて開催された
"第３回関西情報セキュリティEXPO"の弊社ブースにご来場頂き、
誠にありがとうございました。

おかげさまで、多くの皆様にご来場頂き、
盛況な中、新製品等の展示・ご紹介をする事ができました。
会場におきましては、何かと行き届かない点などあったかと思いますが、
何卒ご容赦いただけますようお願い申し上げます。

なお、今回展示させていただきました製品への詳細説明・デモ等のご依頼ございましたら、
下記連絡先よりお気軽にお問い合わせ頂きますようお願いいたします。

（電話: 06-6125-5523   メール： sales@ssk-kan.co.jp　　担当者：森下・佐藤）

今後とも皆様に「安心」と「安全」をご提供し
ご期待に沿えるよう社員一同全力で取り組む所存でございますので、
引き続きご支援ご鞭撻を賜りますようお願い申し上げます。

敬具

2019年1月28日　　   　　　
株式会社セキュアソフト　　
代表取締役社長　　姜　昇旭

平成31年1月4日（金）にザ・キャピトルホテル東急にて、グループ会社のサービス＆セキュリティ株式会社（以下、SSK）と合同で新年祝賀会を行いました。
役員・社員と4月入社予定の内定者を招待し、SSK東京支社と合わせ約200名が参加しました。
壮大な太鼓演奏から始まり、お楽しみじゃんけん大会や抽選会などでとても盛り上がりました。

社長 挨拶

副社長 挨拶

鍋倉最高顧問 挨拶

SSK内定者紹介

お楽しみじゃんけん大会

全社員、役員、一致団結し頑張ります。

お客様各位

謹賀新年

平素は格別のお引き立てを賜り、心より御礼申し上げます。

2020年の東京オリンピック・パラリンピック開催まで残すところ１年半余りとなり、
サイバー攻撃も非常に複雑化かつ高度化し対策の重要性が益々高まって参りました。

弊社は本年もお客様の「安心・安全」を追求し、国際化する社会に貢献して参る所存でございます。

社員一同皆さまへの「感謝」の気持ちを忘れずに、
トータルセキュリティパートナーとしてより一層精進してまいります。

本年も変わらぬご愛顧のほど宜しくお願い申し上げます。

2019年1月7日
株式会社セキュアソフト
代表取締役社長 姜 昇旭