サイバーリスクが増大
VPN(Virtual Private Network)は従来より多拠点間や取引先などと安全にデータをやり取りするために多く導入されてきたが、新型コロナウイルスに伴う在宅勤務の推進に伴って利用は急増し、外出制限が各都市で始まった3月には前月までの月平均の約9倍にも契約が増加したIT企業もある。*1
もちろん、これはサイバーリスクを低減するためだ。
ところが米セキュリティ企業のVPN製品では “昨年” 8月、脆弱性が発見された。
その脆弱性を修正するためのパッチも同社から提供されていたものの、日本企業や団体など38社、世界では913社もの企業や団体から認証情報が流出していることが “今年” 8月に発覚し、不正侵入のリスクに晒されていることが分かった。NISC(内閣サイバーセキュリティセンター)も調査に乗り出している。サイバーリスクを低減させるつもりで導入したはずが、増大させてしまったのだ。
この脆弱性が発見されてからおよそ一年の間、サイバーセキュリティ企業だけでなく米国家サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からも注意喚起は出されていた。*2
ところがパッチをあてていなかった、もしくはパッチをあてる前に認証情報を窃取されてしまったなど何らかの理由でこれだけ多くの企業が被害に遭うこととなっている。
認証情報を窃取されてからパッチをあてても、パスワードを変更しなければ今度は正規のユーザとしてアクセスされてしまう。
そしてこのようなことを招いた理由として考えられるのは、増え続ける一方のIT資産を十分に把握できていなかったことによる対策の抜け漏れもある。
また、パッチをあてることで別の部分に弊害が生じるといった、何らかの事情でパッチをあてられなかった場合もあるだろう。
そして、VPNを用いて常に誰かが業務を行っているため、パッチをあてるタイミングを逸してしまい後手に回してしまうといったVPN固有の事情も考えられる。
とても役に立つ情報(ただし、悪意ある者に)
今回窃取されたような認証情報というのは悪意ある者にとって、とても役に立つ情報だ。最近調査に協力した事件では、大手IT企業の提供するクラウドサービスへの認証情報が窃取されていた。
その認証情報が一つあればメールやウェブ会議システムなどにも侵入することが可能だし、社員どうしでファイルを共有しているストレージサービスへも侵入されてしまう。
そしてこの事件では見事に侵入され、ストレージサービスから盗み出した請求書ファイルを改ざんし、乗っ取ったメールで顧客に偽請求書を送りつけて多額の売上金が横取りされていた。
また、パスワードを使い回しているような場合は、早急にパスワード変更が必要だ。
悪意ある者たちは同一企業の提供するサービス内を嗅ぎ回るだけでなく、同じ IDとパスワードの組み合わせが他でも使えないかと、片っ端から試していく。
それだけ、複数のWebサイトやサービスでパスワードを使い回している人が多いということでもあるわけだ。パスワードは必ず「一意」のものでなくてはならない。
当然、このような時に狙われがちなのは、社内でもそれなりの権限を持つ従業員の認証情報である。
それなりの権限を持っていれば、それなりの情報などにもアクセスでき、悪用した際には相応の対価が見込めるからだ。
そしてサイバー犯罪のエコシステムでは分業化が進んでいるため、これらの情報を集めてきた悪意ある者から買ってくれば即座に悪用することもできる。
窃取した認証情報を用いて不正アクセスを試みたとしても、いつもと異なるロケーションやデバイスなどからのアクセスということで確認のメッセージが表示されることもある。
このような場合には二つ以上の認証を方法を用いてログインするための、MFA(多要素認証)が用いられていることで不正アクセスのリスクを低減できるが、これさえ設定されていなければ悪意ある者があたかも「正規」のユーザであるかに装って侵入することができてしまう。
「境界」をつくるためには
認証情報を用いることで中に入れる者と入れない者とを隔てる「境界」ができているわけだが、本来正規のユーザのみが持つはずの認証情報が用いられて侵入されてしまえば、その境界さえも容易に越えられてしまうことになる。
この認証情報が冒頭の脆弱性によって窃取されてしまうこともあれば、盗むまでもなく容易に推測されてしまったが故に不正侵入を許してしまうこともある。
最後にパスワードの決め方について、NIST(米国立標準技術研究所)のガイダンスから紹介しよう。NIST SP800-63bで推奨されている方法だ。
以前は記号などの特殊文字も含めた形で、パスワードを決めることが推奨されていた。しかし、現在は異なっている。
特殊文字を必ず含めなくてはならないとしてしまうと、逆にパスワードのパターンを限定してしまい推測することが容易になってしまう可能性がある。
そのため、特殊文字を必ず用いることといった要件は設定しないようにする。
また、パスワードは覚えやすいものであることが推奨されている。これは意外なことではないだろうか?
パスワードが長かったり覚えづらかったりすると、パスワードをファイルに保存したり、書き留めたりしてしまうことが増えるからだ。
これでは本末転倒である。
そして、パスワードを定期的に変更することも現在では推奨されていない。
これは人の心理として、将来的にパスワードの変更をすると分かっている場合には、弱いパスワードを設定してしまう傾向があるということが判明したためだ。
今月のパスワードは September2020 といった具合に、容易に推測できてしまうパスワードにしてしまう人が案外多い。
冒頭述べたVPNの脆弱性へは技術的な面からの対策が必要であるが、同時に私たち一人ひとりも組織にとっての脆弱な存在とならぬよう取り組んでいかなくてはならない。
そしてこれらが継続的な取り組みである必要があるのだが、それでも悪意ある者によってセキュリティ侵害されてしまう隙がどこかに残ってしまうのもまた現実だ。
サイバーリスク低減に最も必要なことの一つは「継続」することでもある。。
出典
*1 https://r.nikkei.com/article/DGXLRSP533324_T20C20A4000000?s=5