セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

IPAが「コンピュータウイルス・ 不正アクセスの届出事例」を公開


独立行政法人情報処理推進機構(IPA)が2019年上半期の「コンピュータウイルス・ 不正アクセスの届出事例」を公開しました。
「コンピュータウイルス・ 不正アクセスの届出事例」は、一般利用者や企業・組織から届出があった、ウイルス感染や不正アクセスに関する事例をまとめたものです。
本記事では、今回の発表で挙げられた12の事例のうち2件をご紹介します。

事例1:持ち出しPCから企業の300台を超えるPCおよびサーバーにウイルスが感染

持ち出しPCから社内のPCやサーバーに感染が拡大した事例です。
この事例において、持ち出し用のSIM内蔵PCにはグローバルIPアドレスが割り当てられていたため、直接インターネットからの通信を受け付ける状態となっていました。
これにより、持ち出しPCはSMBプロトコルによる総当たり攻撃を受け、管理者権限を持つアカウントを窃取されてウイルスに感染。感染した持ち出しPCが社内ネットワークに接続すると、同一ネットワーク上の300台を超えるPCおよびサーバーに感染が拡大しました。

IPA(情報処理推進機構)より

この事例に対し、IPAが推奨する対策は次の通りです。

持ち出しPC経由での社内ネットワークへの侵入を防止するために

・OSやアプリケーションを常に最新の状態に保ち、脆弱性を解消する。
・持ち出しPCのセキュリティ設定(パーソナルファイアウォールの設定等)の確認。
・持ち出しPCから社内ネットワークへのアクセス可能な範囲を制限する。
・持ち出しPCにグローバルIPアドレスが割り当てられているかどうかを確認する。確認方法についてはこちら(外部リンク)をご参照ください。

社内ネットワークでのウイルス感染拡大を防止するために

・ネットワークセグメントの分割。
・端末間、セグメント間での不要な通信の遮断。
・認証試行回数に制限を設ける。
・各サーバーやPCで使用するローカル管理者アカウントの認証情報をそれぞれ異なるものに設定。

事例2:組織内サーバーが業務委託先経由でランサムウェアに感染

システム関連の構築・運用を担当していた委託先ベンダーのPCを経由して、組織内サーバーに不正アクセスが行われた事例です。
この事例において、組織内サーバーは、委託先ベンダーからのリモートデスクトップによって遠隔で管理されていました。サーバー側では、IPアドレスによるアクセス制限を設定し、委託先ベンダーの社内ネットワークからのみアクセスを許可していました。

IPA(情報処理推進機構)より

一方、ベンダー側は、社内PCへのリモートデスクトップ接続において、IPアドレスによるアクセス制限を行っていませんでした。
担当者が社外にいることが多かったため、サーバーの運用管理に使用するPCへのリモートデスクトップ操作ができる状態にしていたのです。

IPA(情報処理推進機構)より

その結果、ベンダーの社内PCは総当たり攻撃によって不正アクセスされてしまいます。更に、リモートデスクトップ経由で組織内サーバーまでランサムウェアに感染させられることになりました。

このように、リモートデスクトップで攻撃者に侵入されると、情報窃取や破壊、別の攻撃の踏み台にされる等、あらゆる被害に繋がる恐れがあります。

この事例に対し、IPAが推奨する対策は次の通りです。

リモートデスクトップを安全に運用するために

・リモートアクセスは必要最小限のアクセスのみに制限する。
・リモートデスクトップの要否自体についても十分検討する。
・認証試行回数に制限を設ける。

サプライチェーンによるリスクに対応するために

・委託元組織と委託先組織の情報セキュリティ上の責任範囲を明確化する。
・委託元組織が責任を持って委託先組織の対策状況の実態を定期的に確認する。

最後に

社外から社内ネットワークに接続する持ち出し端末のセキュリティ対策は企業にとって大きな課題となっています。
今回のような事例に対処するためには、IPAが推奨する修正プログラムの適用やアクセス制限などの基本的な対策に加え、持ち出しPCやモバイル端末自体のセキュリティ強化、そして社外から社内ネットワークに対する不正アクセスを遮断するための仕組みが必要です。

社外のエンドポイント端末のセキュリティ強化には、Check Point SandBlast AgentやSandBlast Mobileが有効です。
Check Point SandBlast Agent Check Point SandBlast Mobile

Check Point UTMのIPS(侵入防御システム)機能は、不正アクセスを検知・自動的に遮断します。
CP700 img_cp5000

参考

コンピュータウイルス・不正アクセスの届出事例[2019年上半期(1月~6月)]|情報処理推進機構(IPA)

記事一覧に戻る