脆弱性の高いアプリやソフトへの警戒とセキュリティ強化に

たとえばリモートアクセスするには必須のリモートデスクトップのソフトですが、サイバー攻撃に遭いやすく、狙われやすいと指摘されています。脆弱性評価システム(CVSS)からは攻撃者が重要システムや機密情報にアクセスしかねない致命的な脆弱性を孕んだ複数のソフトが見られると警告されています。

今回はこの話題を取り上げ解説します。

事例サンプル

事例の一つですが、ヘルプデスクやテレワーカーの間で広く使用されている複数のリモートデスクトップアプリが、攻撃を受けた場合にリモートでコードを実行される恐れが高い脆弱性を発見されたことが報告されています。実際にシステムに不正侵入され、攻撃型エクスプロイトの展開と段階的攻撃を行うチェーンが再現されたのです。

またランサムウェア攻撃では利用者が多いITツールの致命的なゼロデイ脆弱性を悪用された事例が目立ちます。昨年におけるランサムウェア攻撃の急増においては「MOVEit」や「GoAnywhere」などのファイル転送サービス、Citrix Systemsのネットワークデバイスや印刷管理ソフトウェア「PaperCut」を標的とするゼロデイ脆弱性を悪用したケースが数多く上がっています。

対応のあり方

危険性の高くない脆弱性であれば、システムの定期アップデートと合わせ難なく対応できます。そうではない非常に危険で緊急性の高い脆弱性が発見された場合、しかるべき責任者が早急な対策と具体的指示を決断すべきですが、これが案外難しいもの。

米国ではサイバーセキュリティ担当の政府機関が音頭をとります。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は本年1月に緊急指令を発表、連邦民間行政機関(Federal Civilian Executive Branch Agencies)に対してリモートアクセスVPNサービスとネットワークアクセス制御製品に関連する脆弱性に対応するよう命じたことが報じられています。

こうしたことからも分かるよう米国のセキュリティ機関はさまざまな民間企業から政府機関に至る数千のシステムを常時調査・偵察しているのです。日本でも遅ればせながら情報処理推進機構(IPA)がランサムウェア対策特設ページを設け、ランサムウェア攻撃の被害低減に役立つ情報を公開を始めました。

米国ではさらに一歩進んだ取り組みを始めており、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は昨年からランサムウェア攻撃に関する事前通知を企業などへ1200件以上を直接発信し続けています。

企業への支援策

CISAの狙いは企業や組織に向け潜在的ランサムウェアの危険性に素早く気付かせること。警戒心を高め、攻撃を食い止め、業務への悪影響を軽減できる効果を促すことが一大テーマとなっているのです。米国連邦サイバー当局は昨年第1四半期から電力やガス・鉄道・空港と言った重要インフラ業界に向け、ランサムウェアによる侵入の可能性を複数回警告しており、通知活動の規模もまた大幅に強化しています。

また昨年から開始されたランサムウェアの脆弱性警告プログラムを用いて攻撃に悪用される可能性の高い脆弱性情報を重要インフラ業界の事業者に事前周知する活動も続けています。翻って日本におけるサイバー攻撃に対するセキュリティ強化への取り組みはまだまだこれからとは言え、徐々に強化されつつあるのは明白です。

企業にとり死活問題となったサイバーセキュリティ強化の動きは着々と進みつつあり、官民一体での支援の取り組みが徐々に始まっているのですが、まだまだ警戒心のゆるい経営層も多いのが実態でしょう。いつ被害者側になってもおかしくないとの認識に立ち、セキュリティ強化へ取り組むには、常に警戒を怠らず、脆弱性診断やデバイス等のセキュリティ診断を定期的に実施・チェックすることが必要となってきます。知らぬ間にウイルスに感染しないためにも、こうした定期点検・スキャン等の実施状況を経営側も把握しておくべきなのです。