★☆★JNSAメールマガジン 第251号 2022.12.2☆★☆
2022/12/02 (Fri) 15:30
★☆★JNSAメールマガジン 第251号 2022.12.2☆★☆
こんにちは
JNSAメールマガジン 第251号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ソフォス株式会社 セールスエンジニアリング本部 副本部長 兼
シニアセールスエンジニア 杉浦 一洋様にご寄稿いただきました。
【連載リレーコラム】
ランサムウェア被害報告から思う、見落とされがちなこと
ソフォス株式会社
セールスエンジニアリング本部 副本部長 兼 シニアセールスエンジニア
杉浦 一洋
日本国内におけるランサムウェア被害は警察庁から発表されているデータから、
年々増加していると考えられます。一方で、原因を報道発表から見ていると、
防げる事故ではなかったのかと考えることがあります。
・ランサムウェア被害例
ある日の朝、出社した社員が、サーバー内に保存されていたファイルが
開かないことを確認し、IT担当者に連絡。担当者が該当のサーバーに
ログインしたところ、英語で書かれた脅迫文が画面に表示されており、
作成したファイルやデータが全て暗号化されていた。
侵入原因はリモートアクセスVPNで、公開されているVPN機器の脆弱性は
未対応だった。
また、サーバーの管理者権限のパスワードは全サーバー共通で簡単な
パスワードを利用していた
なお、ウイルス対策ソフトは導入されていたが、最新の防御機能をオフに
していため、検知できなかった
これは、よく目にするランサムウェア被害例になりますが、対策として
-VPN機器の脆弱性対応
-EDRの利用、およびEDRのマネジメントサービスの利用
といった内容を見かけます。
しかしながら、ランサムウェアの侵入原因を見ると、被害を止められる
ポイントはいくつかあるのではないか、そして見落とされていないかと
考えております。
ランサムウェア被害に遭ったお客様を訪問した際に当時の状況を聞くこと
があるのですが、共通して思うことがあります。
すごく簡単に、攻撃者が侵入から実際にランサムウェア攻撃を実行する
までには
・(お客様環境に)侵入
・内部探索
・ランサムウェア攻撃
というような3つのステップがあると考えた時に、各ステップにて防げる
ことがあるのではないかと考えています。
例えば、リモートアクセスVPNからの侵入の場合、
・VPN機器の脆弱性対応はどうだったのかな
・多要素認証を利用するという話はどうだったのかな
・パスワードポリシーはどうだったかな
(特に侵入原因が単純にユーザーとパスワードが甘かった場合)
ということを考えます。
次に、内部に侵入されてしまった場合は
・WindowsUpdateはしていたらどうだったのかな
・ネットワークセグメントは分割されていたらどうだったのかな
・アクセス制御をしていたらどうだったのかな
・リモートデスクトップ接続の運用はどうだったのかな
ということを考えます。
最後のランサムウェア攻撃ですが、
・導入されたウイルス対策ソフトの防御機能を持ったものなのかな
・すべての機能を利用していたのかな
ということを考えます。
上記の対応をすべて行っていたとしても、侵害されることはあるのは
承知しているのですが、国内のランサムウェア被害事例を見ていますと、
防げる事故だったかもしれない、という印象を多く持ちます。
「ホームセキュリティサービスを導入するから、施錠しなくても大丈夫」
という人はいないように、防御体制を整えた上で、監視カメラと監視
サービスのようなEDRとそのマネジメントサービスの導入になると考えております。
被害報告が絶えないと、何か新しいものを導入することに注目しがちですが、
あまり注目されていない、パッチ管理やアカウント管理、アクセス制御の
再確認の方が効果の高い防御力強化ではないかと考えています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/jsj37a99
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本ISMSユーザグループによる
「情報セキュリティマネジメント・セミナー2022」12/16オンラインにて開催!
参加登録開始はこちらから↓
https://www.jnsa.org/seminar/2022/isms2022/index.html
★標準化部会デジタルアイデンティティWG主催ミニウェビナー
12月22日開催 第3回「デバイスとアイデンティティ」
参加登録開始しました! ↓詳細・お申し込みはこちら↓
https://www.jnsa.org/seminar/digitalidentity/index.html
★社会活動部会によるJNSAセキュリティしんだん34号
「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を公開しました。
https://www.jnsa.org/secshindan/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第251号
発信日:2022年12月2日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第251号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ソフォス株式会社 セールスエンジニアリング本部 副本部長 兼
シニアセールスエンジニア 杉浦 一洋様にご寄稿いただきました。
【連載リレーコラム】
ランサムウェア被害報告から思う、見落とされがちなこと
ソフォス株式会社
セールスエンジニアリング本部 副本部長 兼 シニアセールスエンジニア
杉浦 一洋
日本国内におけるランサムウェア被害は警察庁から発表されているデータから、
年々増加していると考えられます。一方で、原因を報道発表から見ていると、
防げる事故ではなかったのかと考えることがあります。
・ランサムウェア被害例
ある日の朝、出社した社員が、サーバー内に保存されていたファイルが
開かないことを確認し、IT担当者に連絡。担当者が該当のサーバーに
ログインしたところ、英語で書かれた脅迫文が画面に表示されており、
作成したファイルやデータが全て暗号化されていた。
侵入原因はリモートアクセスVPNで、公開されているVPN機器の脆弱性は
未対応だった。
また、サーバーの管理者権限のパスワードは全サーバー共通で簡単な
パスワードを利用していた
なお、ウイルス対策ソフトは導入されていたが、最新の防御機能をオフに
していため、検知できなかった
これは、よく目にするランサムウェア被害例になりますが、対策として
-VPN機器の脆弱性対応
-EDRの利用、およびEDRのマネジメントサービスの利用
といった内容を見かけます。
しかしながら、ランサムウェアの侵入原因を見ると、被害を止められる
ポイントはいくつかあるのではないか、そして見落とされていないかと
考えております。
ランサムウェア被害に遭ったお客様を訪問した際に当時の状況を聞くこと
があるのですが、共通して思うことがあります。
すごく簡単に、攻撃者が侵入から実際にランサムウェア攻撃を実行する
までには
・(お客様環境に)侵入
・内部探索
・ランサムウェア攻撃
というような3つのステップがあると考えた時に、各ステップにて防げる
ことがあるのではないかと考えています。
例えば、リモートアクセスVPNからの侵入の場合、
・VPN機器の脆弱性対応はどうだったのかな
・多要素認証を利用するという話はどうだったのかな
・パスワードポリシーはどうだったかな
(特に侵入原因が単純にユーザーとパスワードが甘かった場合)
ということを考えます。
次に、内部に侵入されてしまった場合は
・WindowsUpdateはしていたらどうだったのかな
・ネットワークセグメントは分割されていたらどうだったのかな
・アクセス制御をしていたらどうだったのかな
・リモートデスクトップ接続の運用はどうだったのかな
ということを考えます。
最後のランサムウェア攻撃ですが、
・導入されたウイルス対策ソフトの防御機能を持ったものなのかな
・すべての機能を利用していたのかな
ということを考えます。
上記の対応をすべて行っていたとしても、侵害されることはあるのは
承知しているのですが、国内のランサムウェア被害事例を見ていますと、
防げる事故だったかもしれない、という印象を多く持ちます。
「ホームセキュリティサービスを導入するから、施錠しなくても大丈夫」
という人はいないように、防御体制を整えた上で、監視カメラと監視
サービスのようなEDRとそのマネジメントサービスの導入になると考えております。
被害報告が絶えないと、何か新しいものを導入することに注目しがちですが、
あまり注目されていない、パッチ管理やアカウント管理、アクセス制御の
再確認の方が効果の高い防御力強化ではないかと考えています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/jsj37a99
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本ISMSユーザグループによる
「情報セキュリティマネジメント・セミナー2022」12/16オンラインにて開催!
参加登録開始はこちらから↓
https://www.jnsa.org/seminar/2022/isms2022/index.html
★標準化部会デジタルアイデンティティWG主催ミニウェビナー
12月22日開催 第3回「デバイスとアイデンティティ」
参加登録開始しました! ↓詳細・お申し込みはこちら↓
https://www.jnsa.org/seminar/digitalidentity/index.html
★社会活動部会によるJNSAセキュリティしんだん34号
「サプライチェーンの情報セキュリティマネジメントの関連規格と現状」を公開しました。
https://www.jnsa.org/secshindan/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第251号
発信日:2022年12月2日
発 行:JNSA事務局 sec@jnsa.org
*************************************