【経営者必見】名和 利男が説く「最新サイバーセキュリティ動向と経営者への提言」2018年10月号

世界中で発生しているサイバーインシデント(事件・事故)は、経営の根幹をゆるがす重大な脅威です。経営者は事故発生時に、組織横断的な観点で原因究明の指示や対応の判断が求められます。本レポートでは、サイバーセキュリティのスペシャリストである名和 利男が、世界中で起こるサイバーインシデント、犯罪傾向やプログラム不具合などのサイバー脅威を解説します。拡大するサイバー脅威に対し、事業継続に不可欠な脅威・脆弱性情報を経営者がどう読み解くべきか、サイバーインシデントへの備え方や対策方法を説明します。

9月は、セキュリティ対策として管理が甘い市販プログラムを利用したWebサイトへの攻撃、狙われる個人情報が従業員情報に広がるなどの対象範囲の拡大、コンピュータの基盤プログラムを狙ったより深いサイバー攻撃、などが報告されました。これらのサイバー攻撃にどのように備えるべきでしょうか。以下、主なインシデントの解説とその対策方法を紹介します。

2018年9月の注目のサイバーインシデント(事件・事故)

  • 9月7日 航空会社のウェブサイトなどから顧客情報が盗まれる(脅威情報)、他1件
  • 9月26日 ショートメッセージで求人への応募を促し、個人情報を収集(脅威情報)
  • 9月28日 UEFIを侵害するルートキット「LoJax」(脅威情報)、他1件

注目インシデントの解説と提言

航空会社のウェブサイトなどから顧客情報が盗まれる(脅威情報)、他1件

解説

航空会社のウェブサイトと携帯電話向けアプリで、予約手続きをした顧客の個人情報とクレジットカード情報が盗み取られました。攻撃を可能にした一因は、ウェブサイトで使われていたプログラムに脆弱性が存在していたためです。ウェブサイト開発では、市販されているウェブアプリケーションやオープンソースなどのプログラムを利用することが増えています。自社開発プログラムに比べ、市販プログラムは十分な検証がなされずに導入される場合があり、脆弱性が見過ごされる危険性があります。

提言

ウェブ開発で利用された市販プログラムを調達材料と考えると、ソフトウェアのサプライチェーンが存在することになります。開発の企画・設計段階から、外部調達によるサプライチェーンに起因するリスクの検討が必要です。欧州のデータ保護規則GDPRでは、企業や団体に個人情報の厳格な管理を求め、多額の罰則も定められています。多大な損失を引き起こしかねないデータ侵害が発生しないよう、サプライチェーンを含む総合的なセキュリティ対策を実施する必要があります。

ショートメッセージで求人への応募を促し、個人情報を収集(脅威情報)

解説

求職者を標的としたショートメッセージによるフィッシングキャンペーンが盛んに行われています。ショートメッセージから偽の求人情報サイトへ誘導し、好条件を提示するなど巧みに個人情報の入力を促します。別の事件では、企業の人事部に所属する従業員が狙われました。攻撃者は人事部の従業員から奪取したIDとパスワードで従業員になりますし、人事システムに侵入します。従来の顧客リストに加え、人事の立場でしか入手できない社員や採用候補者の情報などへと、窃取の対象が拡大する傾向にあります。しかもその際に、私物パソコン/スマートフォンなど企業の管理していない個人端末が利用されるケースが見受けられました。

提言

顧客リストだけでなく、社員情報や採用者情報も重要な情報資産であることを周知徹底する必要があります。個人情報台帳にある管理者はもちろん、人事情報を扱う従業員に対して、情報資産の取り扱いに関する教育が重要となります。さらに、定められたセキュリティポリシーを守るため、コンプライアンス管理体制の強化も必要です。また、アカウント奪取を防ぐための厳格なパスワードの管理や運用、情報の漏洩を防ぐための個人端末への制限など、セキュリティを強化する必要があります。


UEFIを侵害するルートキット「LoJax」、他1件(脅威情報)

解説

コンピュータが起動するために必要な基盤プログラム「UEFI(新しいBIOSシステム)」を狙った攻撃が発生しました。従来のコンピュータウイルスなどを使ったサイバー攻撃では、稼働するコンピュータで動く業務アプリケーションなどのプログラムが狙われましたが、UEFIなどコンピュータの基盤プログラムが攻撃対象となると、より広範囲に管理を施す必要があるためセキュリティ負荷が高まります。以前お伝えしたOSI参照モデルの最下層への攻撃と同様に防御が困難なため、重大なインシデントにつながる危険性が懸念されます(参照:7月号:「VPNFilter」が多数の製品を侵害、セキュリティ企業が詳報公開(脅威情報)、他2件)。

提言

コンピュータウイルス対策やネットワークに侵入した不正通信の対策から、コンピュータの基盤プログラムへの対策が必要となったことを示唆しています。組織のコンピュータ端末全てにウイルス対策ソフトを入れるような二次元的に捉えた従来のセキュリティ対策では不完全です。今後は端末ごとにより深い対策方法を加えた三次元的な対策が求められます。複雑化したサイバー攻撃手法の出現は、従来と異なる対応を求められ、対応完了が長期化する恐れがあります。脅威・脆弱性の動向から想定される事業継続上のリスクを常に把握し、対応する取り組みにいち早く着手する必要があります。

名和 利男の知見から読み解く、サイバー攻撃の着眼点

9月を振り返ると、自社ウェブ開発時のソフトウェアのサプライチェーン対策、守るべき個人情報の対象範囲の拡大、攻撃対象となるシステム範囲の拡大、などが特筆すべきインシデントの傾向でした。攻撃者とのサイバー攻撃対策はイタチごっこと言われますが、攻撃する側が守る側よりも有利なのは言うまでもありません。予期せぬ攻撃を受けてしまうと、防御や対策が間に合わないこともありえます。サイバーインシデントは、企業の存続にかかわるようなダメージを与える可能性もあるのです。本レポートを購読いただいているCIO、情報システム担当者はもとより、企業経営者の皆さまにおかれましては、サイバーリスクは経営リスクであることをご理解いただき、サイバー情報にアンテナを伸ばし、事故は起きる前提で備えてください。何より自分事として用心いただければ幸いです。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

執筆者

名和 利男

PwC Japanグループ, サイバーセキュリティ最高技術顧問, PwC Japan

Email