ニュース

業務委託先の甘いセキュリティ管理でウイルス感染――など、2019年上半期に企業で実際に起こった被害事例

  • 磯谷 智仁

2019年9月2日 12:16

 2019年上半期(1月~6月)に一般利用者や企業・組織から届出があった、ウイルス感染や不正アクセスに関する12件の事例を独立行政法人情報処理推進機構(IPA)が公開した。このうち、3件の事例については具体的な被害内容や原因、同機構が着目した点について解説している。

業務委託先を経由してランサムウェアに感染、組織内メールサービスの一部機能に影響

 組織内のサーバーがランサムウェアに感染し、組織内に提供されているメールサービスの一部機能が利用できなくなったケースでは、システム関連の構築・運用を担当していた委託先のベンダーの作業PCを経由して、不正アクセスが行われていた。

 当該サーバーは、ベンダーからのリモートデスクトップ接続を許可しており、遠隔で管理されていた。サーバー側では、接続元IPアドレスによるアクセス制限を設定しており、ベンダーの社内ネットワーク以外からのアクセスは行えないように設定。しかし、ベンダーの担当者は社外にいることが多かったことから、サーバーの運用管理に使用するベンダー社内PCへのリモートデスクトップ操作を社外から可能な状態にしていた。

ネットワーク概略図

 社外からベンダー社内PCへのリモートデスクトップ接続については、固定IPアドレスを持たない環境からのアクセスを前提としていたため、接続元IPアドレスによるアクセス制限は行っていなかった。そのため、ベンダー社内PCはインターネット上の第三者からのアクセス試行が可能な状態になり、攻撃者による総当たり攻撃によって不正アクセスされた。さらに、ベンダー社内PCから組織内サーバーに対してもリモートデスクトップにより侵入され、ランサムウェアを感染させられることになった。

 その結果、ランサムウェアに感染したサーバーを完全停止させ、新たなサーバによるシステム構築を行うことになった。

不正アクセスの様子

 IPAでは、リモートデスクトップに限らず、リモートアクセスは必要最小限のアクセスのみに制限すること、リモートデスクトップの要否自体についても十分検討する必要があると指摘する。また、認証試行回数に制限を設けるなどして、総当たり攻撃をはじめとする不正アクセスへの対策を実施するよう促している。

 こうしたサプライチェーンによるリスクへの対策として、委託元組織と委託先組織の情報セキュリティ上の責任範囲を明確化し、合意を得ておくことが重要だという。また、委託元組織が責任を持って委託先組織の対策状況の実態を定期的に確認することも重要だと説明している。

外部持ち出し用PCが感染、ワーム機能で組織内ネットワーク300台のPCとサーバーに被害拡散

 組織内のネットワークにある300台のPCおよびサーバーでウイルス感染が確認されたケースでは、SIM内蔵の外部持ち出し用モバイルPCが感染源になっていた。

 同端末が組織外からインターネットへ接続する際にグローバルIPアドレスが付与され、一時的にインターネット上からアクセス可能な状態になっていた。これにより、SMBプロトコルによる総当たり攻撃を受け、管理者権限を持つアカウントを窃取されてウイルスに感染。同端末がVPN経由で組織内ネットワークへ接続した際、ウイルスのワーム機能により、組織内のサーバーおよびPCに感染が拡大することになった。セキュリティソフトの定義ファイルが更新されるまで感染を繰り返した。

ウイルス感染拡大の様子

 IPAでは、グローバルIPアドレスが付与される場合でも、セキュアな設定(脆弱性の解消、パーソナルファイアウォールの設定など)を適切に実施することで被害を受ける可能性を低減できるとしている。持ち出し用PCについては、利用者によっては想定外の方法で使用される可能性もあることから、組織内ネットワークへのアクセス可能な範囲を制限することや、インターネット接続方式などを見直すよう促している。

 また、ワーム機能を持ったウイルスの感染拡大防止策としては、ネットワークセグメントの分割、端末間・セグメント間での不要な通信の遮断、認証の試行回数の制限、各サーバーやPCで使用するローカル管理者アカウントの認証情報をそれぞれ異なるものに設定する方法を挙げている。

ECサイト決済画面書き換えでクレカ情報窃取、本番環境と同一サーバー上に構築されたバックアップサイトに原因

 とある企業が運営していたECサイトの決済画面が不正に書き換えられ、クレジットカード情報や個人情報が窃取されたケースでは、本番環境と同一サーバー上に構築されたバックアップサイトに問題があった。

 セキュリティ会社によるフォレンジック調査では、バックアップサイトの管理アカウントのパスワード強度やアクセス制限が脆弱だったことが明らかになった。被害発覚のきっかけとなった外部組織からの連絡よりも前に、「クレジットカード情報を2回入力した」という顧客からの報告を受けていたものの、ウェブサイト運営委託先業者は顧客PCのセキュリティソフトの不具合と考えたことから攻撃に気付くことができなかった。

 IPAでは、バックアップサイトと本番環境が同一サーバー上に存在する場合、サイバー攻撃を原因としたものに限らず、悪影響が相互に発生し得るため、環境や権限の分離などに注意する必要があると指摘する。また、ウェブサイトの改ざん検知の仕組みなどを導入することも有効だとしている。