対応の先延ばし

多くの場合、悪意ある者たちはハッキングによって「完璧なものを力づくで叩き壊そう」としているわけではない(もちろん、力づくで突破しようとする攻撃手法はある)。完璧ではないところを見つけ出して、そこに対するハッキングを試みるのだ。
完璧ではないところ?

真っ先に思い浮かぶものを3つほどあげてみよう。

まずは、脆弱性の悪用。もちろん、未知の脆弱性を狙ったゼロデイ攻撃なんて、1回使ったらゼロデイではなくなるから、そんな取っておきの攻撃はそうそう使わない。ここで用いられるのは、既知の脆弱性に対する攻撃。そして、既に公知のものとなってはいるものの、対策が取られていないIT資産を狙っていく。

そして多くの場合、真っ先に狙われているのは「Webアプリケーション」の脆弱性だ。2019年には、およそ6割のサイバー攻撃でWebアプリケーションが狙われた。*1

少々古いが知名度が高いので、2017年5月に世界中で甚大な被害を及ぼした WannaCry(ワナクライ)について見てみよう。私のいる英国においても、当時多くの医療機関が被害に遭ってしまい、手術中の患者を他の病院に移送するなど甚大な被害を及ぼしている。日本でも8,000台以上ものサーバが感染被害に遭った。

このWannaCryであるが、感染のために必要な脆弱性は既に数カ月前に発見されており、その脆弱性に対応するための修正プログラムも配布されていた。それなのに、なぜこれだけもの被害が?

修正プログラムを適用することによって別の不具合が生じてしまうことを懸念して、対応を先延ばししていた企業や組織も多かったのだ。修正プログラムを適用することで医療機器が停止してしまえば、即生死にさえ影響を及ぼしかねない。また日本でも3月決算の企業であれば、5月の決算発表後へと適用を先延ばししていたところをやられてしまったことも大きかった。

*1 https://images.content.hello.global.ntt/Web/NTTLimited/%7B04386033-0679-4304-9607-de98c8b370f4%7DGTIC-Monthly-Threat-ReportAugust-2020.pdf 参照
まだまだ現役

米国土安全保障省の組織であるCISA(サイバーセキュリティ・インフラセキュリティ庁)から今年5月、日常的に悪用される脆弱性の上位10件が公表された。*2 ここでは2016年から2019年に悪用された脆弱性をもとに報告されている。それらが発見され公表された年別に見てみると次のとおりだ。

 2012年に発見された脆弱性:1件
 2015年に発見された脆弱性:1件
 2017年に発見された脆弱性:5件
 2018年に発見された脆弱性:2件
 2019年に発見された脆弱性:1件

3年以上前に既に公知のものとなっている脆弱性であっても、まだまだ現役で狙っていけるのだ。2017年に発生したWannaCryの事例について前述したが、古い事例だからといって学べることが無いのかというとそういうわけでもない。

そして、これら長期にわたって対策の取られていない脆弱性。前述のように対策に伴う不具合の懸念から先送りされていることもあれば、単に対応の抜け漏れであったり、そもそも脆弱性の存在に気付いていないということも概して多い。

このような問題は技術的な面だけでなく、法的な面からも重大な問題をもたらす可能性がある。

近年、多くの国や地域ではサイバーセキュリティやデータ保護に関する法規制の厳罰化が進んでいる。

日本でも6月に個人情報保護法が改正されたが、米国カリフォルニア州では1月にCCPA(カリフォルニア州消費者プライバシー法)や、欧州では2018年にGDPR(EU一般データ保護規則)が施行されている。

先行した法律における判例を見てみると、「対策していたがやられた」と「対策していなくてやられた」とでは決定に大きな違いがあるのだ。当然、「対策していなくてやられた」は厳しい制裁へと発展することが多く見受けられる。

*2 https://us-cert.cisa.gov/ncas/alerts/aa20-133a 参照
積極的に迎え入れる

完璧ではないところを生み出してしまう2つ目は、開いたままのポート。不用意に開いたままのポートは、悪意ある者を迎え入れるかのように侵入経路を与えかねない。迎え入れているのだから「侵入」ではないのではという話はさておいてだ。

新型コロナウイルスの感染拡大に伴い在宅勤務が推進された。オフィス使用していたラップトップを持ち帰ったり、自宅のラップトップを業務に供したりしている。そして自宅からは会社のシステムへ接続している。場合によっては、ラップトップの不具合をIT部門のエンジニアが遠隔からサポートしてくれることもあるだろう。

これらの際に用いるRDP(リモート・デスクトップ・プロトコル)で使用するTCPポート3389とUDPポート3389が開いたままになっている環境があまりにも多過ぎる。Shodanなどの検索エンジンでも容易に探し出すことができるが、本稿執筆時点でも400万台以上のIT機器でポートが開いたままだ。

新型コロナウイルスの感染拡大に伴い各国の都市がロックダウンを始める前の1月時点では150万台程度のIT機器でポートが開いたままであったが、実に3倍近くまで急増した。私たちが企業のサイバーリスクを分析・評価していく中でも、このような問題を抱えた企業の増加は顕著にあらわれている。

前回、IT機器の設定ミスや不十分なセキュリティ対策によって、ものの数分から数秒でハッキングされてしまう環境が非常に多いという話をした。いかがだろうか。これら2つの問題だけでも、悪意ある者たちを積極的に迎え入れていないだろうか。

「3分ハッキング」できてしまう環境を用意しているのは自分自身かもしれない。
やればいいという訳でもない

そして、完璧ではないところを生み出してしまう3つ目は、証明書の問題。証明書の有効期限が切れたままとなっている状況などだ。

例えばウェブサイトの場合、証明書が適用されていなかったり有効期限が切れているとブラウザに警告が表示されるようになっていることが多い。そのため実際に多く目にするのは、有効期限内の証明書が適用されているものの、安全ではなかったり脆弱な暗号が用いられていることだ。

SSHサーバが Arcfour または Cipher Block Chaining (CBC) モードの暗号アルゴリズムをサポートするように設定されていることがある。この場合、CBC の代わりに Counter (CTR) モードの暗号化を使用したり、Arcfour アルゴリズムを無効にすべきである。このような設定の不備も非常に多く目にする。

証明書に問題があれば、通信を盗聴されたり改ざんされたりする可能性も出てくる。やればいいという訳でもないのだ。

いかがだろうか。今回、真っ先に思い浮かぶ問題を3つほどあげてみたが、悪意ある者たちは「完璧なものを力づくで叩き壊す」までもなく、ご丁寧に用意された脆弱なところを狙っていくだけで美味しい思いができてしまう。

【著者】足立照嘉(あだちてるよし)

ロンドンを拠点に活動するサイバーセキュリティ専門家。サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、国内外の通信会社やIT企業などのサイバーセキュリティ事業者に技術供給およびコンサルティングを提供。外資系金融機関のサイバーセキュリティ顧問なども兼任。また、サイバーセキュリティ関連技術への投資や経営参画なども行っている。大阪大学大学院工学研究科共同研究員。主な著書に「サイバー犯罪入門」(幻冬舎)、「GDPR ガイドブック」(共著/実業之日本社)、「3分ハッキングサイバー攻撃から身を守る知識」(かんき出版)がある。