事例で学ぶセキュリティインシデント（第19回）セキュリティパッチ適用を怠りインシデント発生

　セキュリティパッチの公開・提供から適用までの隙を狙った攻撃もある。新たなぜい弱性が発見されてから、修正プログラムの作成やウイルス対策の定義ファイルなどの対策が整う前に攻撃を仕掛けるゼロデイ攻撃だ。

　攻撃者は、セキュリティベンダーが新たな定義ファイルや修正プログラムを公開したその日に攻撃するケースもある。公開されたばかりの新たな定義ファイルの内容を分析し、企業ユーザーが適用する前にぜい弱性を突いて攻撃するため感染リスクも高くなる。特定の企業・組織を狙う標的型攻撃とゼロデイ攻撃を組み合わせて攻撃する手口もある。

　ゼロデイ攻撃を防ぐには、セキュリティベンダーが提供するセキュリティパッチを直ちに適用することだが、社内のすべてのパソコンやサーバーに適用するのは時間的に難しい場合もある。そこで、送られてきたファイルをゲートウェイレベルでチェックし、不審なファイルは一旦隔離して怪しい振る舞いがないかを調べるサンドボックスを利用したり、ゲートウェイに加え端末レベルでウイルスを検知するエンドポイントセキュリティなどを活用したりする方法もある。万一、ゼロデイ攻撃で端末がウイルス感染や不正侵入されても、被害を局所化できる可能性がある。

VPN機器のぜい弱性が狙われる

　攻撃者がウイルス感染や不正侵入の経路として狙っているのはパソコンやサーバーだけではない。ネットワーク機器のVPN装置も狙われている。海外の主要なネットワークベンダーは、自社のVPN製品や、VPN機能を搭載した次世代ファイアウォール製品のOSなどソフトウエアのぜい弱性に関する情報を公開。これらの製品を利用している企業に対して修正プログラム、セキュリティパッチの適用を促している。

　S社では本社の他、3カ所の営業拠点にVPN機器を設置し、インターネットVPNによる閉域網を構築。VPNはデータ暗号化や認証などで安全に拠点間を接続したり、コロナ禍の際にはテレワークで自宅の端末と本社のシステムを接続したりする通信手段として利用してきた。S社のIT担当者は、以前から同社のサーバーやシステムのサポートを任せていたIT事業者にVPN機器の選定・設置を任せ、特にトラブルもなく使い続けてきた。そのため、IT担当者はウイルス対策ソフトなどの更新は行うものの、VPN機器のセキュリティパッチの適用にあまり気を止めることはなかった。

　IT担当者はIT事業者の協力を得て、攻撃の侵入経路の調査を開始。攻撃者はVPN装置のぜい弱性を悪用し、VPN接続を行うユーザーのIDとパスワード情報を盗み取ったようだ。そして、攻撃者はそのID、パスワードを悪用してVPNに接続。本社ネットワークに不正侵入し、ファイルサーバーにマルウエアが仕掛けられた可能性がある。

　IT事業者はファイルサーバーをネットワークから切り離した上で、ログを元に他のサーバーやパソコンが不正アクセスされていないか、マルウエアに感染していないかをチェックした。幸い、正規利用とは異なる認証の試行やマルウエア、ランサムウエア感染の形跡は見つからず、ファイルサーバーのマルウエアを除去し、調査を終えた。そして、IT担当者はVPN機器のセキュリティパッチを適用して最新バージョンへのアップデートとともに、VPN接続を行うユーザーのパスワードを変更。さらにVPN接続時には多要素認証を行う仕組みに変更した。ウイルス感染のインシデントが発生した本社のファイルサーバーも、クラウドストレージへの変更を検討する。クラウドストレージであれば本社、営業拠点はもちろん、営業担当者などは外出先からもインターネットを介して必要な情報へ安全にアクセスでき、スムーズな業務が可能になると見ている。

　S社では、今回のインシデントを教訓に自社で利用しているパソコンやサーバー、ネットワーク機器、ソフトウエアのバージョン管理やパッチ適用の有無などIT資産管理を進める。そして、機器・ソフトのベンダーから提供されるぜい弱性情報をこまめに集め、必要なセキュリティパッチを適用するなど、セキュリティ対策の徹底を図る方針だ。