日本でよくあるセキュリティ上の脆弱な点(セキュリティホール)を解説します。これらに対処することで、企業内のセキュリティ対策は大きく進化し強固となります。
①ファイアウォール、ファイルサーバー、複合機のファームウェア更新の体制は整備されていますか?
インターネットから社内ネットワークにルーティングを行う重要な装置であるファイアウォール装置、ファイルサーバー(NAS)、プリンターや複合機は多くの中小企業で見かけます。これらの機器は組込型Linuxで動作していて、定期的なファームウェア更新が必要な事は、あまり知られていません。
通信機能をもった機器の脆弱性情報は、毎月パソコンと同程度 MITRE CVEにて公開されています。
ファイアウォールはインターネットに常時接続され、社内ネットワークへブリッジしているため、ファイアウォールのセキュリティホールを放置することは、家の玄関を開けっ放しにするのと同じ意味になります。
ファイアウォールから侵入後、次に社内で常時電源が入れられたままの機器に侵入します。国際的に知られたブランドのNAS(ファイルサーバー)は、悪意ある者からの攻撃に常に晒されています。悪意あるものは、社内に侵入後、ファームウェアが最新版へ更新されていなければ、過去の脆弱性情報を基にしてマルウェアなどを仕掛けます。
企業担当者や保守事業者から「止めてなにかすると動かなくなると困るから」という、セキュリティ対策としては全く意味がない理由で、ファイアウォールやNASのファームウェアを更新しないとの声を聞くことがあります。これはセキュリティ対策上ナンセンスです。
これは「玄関の鍵を交換したが、新しい鍵が合わなかったら困るので、鍵をかけなくていい」と言っているのと同じ事です。
ファイアウォール、ファイルサーバー、複合機、IP電話機、Wi-Fiアクセスポイントなどの通信機能をもった社内設置備品を管理し、ファームウェアを最新の状態に保つよう、実行責任者を必ず決めておく必要があります。
➁メールサーバとして、WEBサーバーのオマケを使っていませんか?
会社のホームページを借りているレンタルサーバーにメールサーバー機能が付いているので、それを利用している事業者が多いことに驚きを隠せません。そのメールサーバは、WEBサーバーのオマケであり、メールを複数の高度なセキュリティエンジンで添付ファイルを監査する機能を有していないケースが大半だからです。しかも、メールサーバ自身がSSL、DKIM、SPF、DMARCの設定がなされていないケースが多く、メールにウイルスが着信することに加えて、送信したメールは「迷惑メール」に分類されて相手に届かないというお粗末さ。大手ホスティング事業者の場合、共有メールサーバが「迷惑メールの送信元」として指定されており、送信相手の迷惑メールフォルダにすら入らず、受信拒否で戻されるケースすらあります。
中小企業ではメールシステムを自社運用することは、コスト面・運用面からも難しいので、Google Workspace か Microsoft365を利用することが望ましいです。メールに添付されたマルウェアの99.999%は、駆除されます。また、フィッシングメールも大半が迷惑メールに分類されます。従業員の労働生産性の観点から、メールにかける無駄な時間やリスクを排除するため、Google Workspace か Microsoft365 を利用することを強くお勧めします。
➂PPAP(パスワード付ZIPファイル)使っていませんか?
PPAPは、電子メールサーバ間の通信ががSSL化されていなかったインターネット黎明期に始まった手法です。今では大半のメールサーバ間通信がSS化されたので不要になりました。Google Workspace か Microsoft365 では、添付ファイル内のZIPファイルにマルウェアなどの悪意あるファイルが添付されていないかセキュリティ監査を行う機能を実装しているため、PPAPを利用するとマルウェア監査機能が利用できなくなります。
欧米の企業では、メール添付ファイルをマルウェア監査することができなかったものは、メールサーバーが自動的に「マルウェア監査ができなかったため、差し戻します。改めて送信しなおしてください」とメールを送信者に差し戻す設定になっていることが多いです。
日本でもようやく政府がPPAP全廃の方針を打ち出しましたが、EMOTETという日本でPPAPを利用していることを逆手にとって利用したマルウェアが蔓延したからです。
日本でEMOTETを広げてしまったのは、「昔からの慣習からなかなか抜け出せない」日本の文化的な慣習によるものなのかもしれません。
PPAPを使う変わりにOneDrive,Onedrive for Business, Dropbox business, boxなどのクラウドストレージの共有リンクを相手に通知してください。電子メールのファイルサイズも大きくなくなりますし、誤って送信してしまったことを後で気がついた際には、そのファイル共有リンクを切れば良いのです。またメール送信後に資料の誤りを修正することも可能です。
④電子メーラーソフトを使っていませんか?
Exchange Serverと共に利用した電子メールソフト「Office版Outlook」。Mozilla Thunderbird。社内にいまだに利用している人がいたら直ちに利用を中止させましょう。マルウェアは、こうした電子メーラーのアーカイブァイルを入手し、次の攻撃先のリストとして使用することが、昔から使われている手段です。
またメーラーは、HDDよりも耐久寿命が短いSSD搭載パソコンにおいて、パソコンが突然クラッシュした際に、大切なメールデータが閲覧できなくなってしまうリスクを負うことになります。クラウド型メールサービスをブラウザーで利用する事によって、このようなリスクを大幅に削減することができます。また、過去メールの検索が非常に良く、業務の生産性向上へ大きく寄与します。
Google Workspaceの場合は、誤った相手先に送信しようとすると警告してくれる機能もあります。
➄古いMicrosoft Office使っていませんか?
サポートが切れた古いバージョンのMicrosoft OfficeをWindows 10で起動するからとイスントールし、利用しているケースを見かけることがあります。これは見逃すことができな非常に深刻なセキュリティ上の問題点です。
多くのマルウェアは、電子メールから侵入し、過去のOffice製品が抱えたセキュリティホールを突いてパソコン内での活動を開始します。
最新版のMicrosoft 365でサブスクリプション版のOfficeアプリケーションを利用すれば、随時セキュリティパッチが適用され、セキュリティは担保されます。
マルウェア感染を研究するマルウェア研究者ではないのだから、Windows 10にMicrosoft Office 2000をインストールするという暴挙を行わないようにいま一度考え直して頂きたいです。
パソコンにMicrosoft Officeがプリインストールされているものは、2年も経過するとOfficeへのセキュリティパッチが適用されなくなり、事実上危険であるためプリインストールされているパソコンは、月換算すると割高になる点にも注意が必要です。
➅パソコンのセキュリティソフトは個人用ではありませんか?
感染後の調査依頼を受けた際に、パソコンはWindows 11/10なのに、セキュリティソフトは家電量販店で購入した個人向けのセキュリティソフトをインストールして利用している中小企業が意外に多くありました。
最近は認知度が高まってきましたが、Windows 11/10では市販されている個人向けセキュリティソフトよりも、強固なセキュリティ機能が標準で搭載されています。特にWindows 11では、数々の強化策がWindows 10よりもなされ、市販されている個人版セキュリティソフトをインストールすると、Windows標準のセキュリティ機能が停止するため、マルウェア感染リスクが逆に高まります。
法人であれば、法人版のセキュリティソフトともいうべき「法人版のエンドポイント保護(EPP)」を導入することを強くお勧めします。米国内の調査では感染してしまうと社会的信用を失い、3割の中小企業は3年以内に事業継続を断念しています。日本でも同様なはずですので、値段が高いからと躊躇するのではなく、感染する前に対策をする事が大切になります。
エンドポイント保護は、家電量販店で市販されている「ブラックリスト+ヒューリスティック方式」による昔ながらのものと、Windowsに現在標準搭載されている「AIレピュテーション方式」のものがあります。AIレピュテーション方式のほうが新しく、次世代エンドポイント保護(NGAV)と呼ばれることもあります。
ヒューリスティック方式でも、AIレピュテーション方式であっても、「過去の感染情報を基にしてマルウェア」を特定する「知見に基づく方式」です。政府に資金援助されている最近のマルウェア制作者たちは、豊富な資金をもとに、AIを活用して市販されいてるセキュリティソフトのエンジンを分析し、回避するマルウェアを作成しています。
最近のマルウェアにより、強固な保護をしていたはずの発電所などが世界各国でサイバー攻撃にあい、過去の知見を基にしたものは限界ではないかという議論がなされるようになってきています。
そこで生まれたのが、ゼロトラスト・セキュリティモデルと呼ばれるもので、ベースは「アプリケーション・ホワイトリスト(NIST SP 800-167)」「脆弱性を抱えたアプリケーションは利用しない(NIST SP 800-40)」という考えです。
日本では、PC Matic PROという製品がこれに準拠しています。
⑦社内システムは、ID、パスワードだけで利用できていませんか?
社内LANネットワークからしかアクセスできない経理などのシステムは、ID、パスワードだけで利用できるケースが大半ですが、LANネットワークへの侵入はファイアウォールの脆弱性やゼロデイなどによって許してしまっていると考えた方が良いです。LANネットワークは安全ではないので、自宅から社内にアクセスする際のVPNがあるから安全だという神話も、新型コロナウイルスによる在宅勤務時に、VPNによって社内に侵入された事例が膨大にあることから立証されてしまいました。
社内システムへのログインは、ID、パスワードの他に、MicrosoftやGoogleが無償で利用を開放している二要素認証(2FA)を社内システムに組み込んで利用してください。
利用者は、利用するパソコンに加えて、自分のスマートフォンで二要素認証アプリケーションを立ち上げ、認証する手間が増えますが、これによりセキュリティを高めることができます。
⑧社内システムは、定期的にプログラムやデータのバックアップを取得していますか?
経理用パソコンにしかデータが入っていない。こんな恐ろしい話を聞くことがあります。ランサムウェアやマルウェアによるサイバー攻撃だけでなく、最近のパソコンは耐久寿命が短いSSDを利用しています。事前の兆候がなく、突然起動しなくなります。社内システムは定期的にCD-ROMなどへバックアップをとり、それを離れた事業所に厳重に保管してもらいたい。その事業所が火災や天災に見舞われることも想定しなければ、対策として不十分だからです。
➈パソコン横に付箋でパスワードを貼っている従業員はいませんか?
パスワードを忘れてしまうからと、ディスプレイの右端などに付箋などでパスワードを記載したり、引き出しにパスワードを書いたメモ帳を保存している人がたくさんいます。
会社の機密情報を盗もうと、清掃員やOA機器保守員に紛れた諜報活動員が日本国内で多く暗躍しています。その危機感では社内のノウハウが一夜に盗られてしまいます。情報漏洩させた犯人は、もちろん付箋などにパスワードを書いておいた人物です。「私は悪くない」では済まされません。
このようなことを回避するために、Windowsでは、「Windows hello」という顔や指紋認証機能を搭載したパソコンが発売されています。macでも同様の物があります。こうした生体認証機能を持つパソコンを利用することで、情報漏洩リスクは大きく低下します。
➉ファイル転送は、ftpは20/21番ポートではありませんか?
Webサーバや顧客との間で情報をやりとりする際、インターネット黎明期に使われていたftpプロトコルの20/21番ポートを利用しているケースがあります。耳を疑うようなこの行為、いまだに続いています。
暗号化されず、平文で情報が流れるため、第三者にその情報は取得されていると考えた方がいい。
ファイル転送は、SSHを用いたsftp (標準Port 22)を利用して暗号化したものを利用してください。
この10箇条が日本で比較的良くみかけるセキュリティ上の問題点です。自社に当てはまる箇所があれば、その箇所を改善し、セキュリティ強化に役立てて頂ければ幸いです。
文責:坂本光正
