「米国の動きと企業、個人にできること」
米国の動き
OFAC(財務省外国資産管理局)が2020年10月に下記内容の「身代金支払いに関連する制裁リスクを強調するための勧告」を発行しました。
-「身代金支払いは、米国の国家安全保障上の利益を脅かす行為である」
-「身代金支払い/補填行為は合衆国憲法およびOFAC規制に違反する」
OFACはテロリストなどの資金調達になるような外貨流出を抑えたい意向があります。
FBI(連邦捜査局)は2021年3月に下記内容のレポートを発行しました。
-「身代金の支払いに応じるかどうかにかかわらず、ランサムウェアのインシデントを最寄りの支局に報告するように」
FBIは捜査のために多くの情報を収集したい意向があります。
これらOFACやFBIの要請に対して企業側への法的拘束力はなく、遵守するかどうかは企業側の自主的な判断に委ねられていました。
つまり、実際には身代金を支払って解決したが自力で復旧したとごまかすことができていました。
しかし、2022年2月のロシアによるウクライナ侵攻を期に下記内容の法案が「重要インフラに関するサイバーインシデント報告法」として審議されました。
重要インフラを運営する民間企業は、
「サイバーインシデントが発生したことを認識してから72時間が経過するまでにCISAに報告しなければならない」
「ランサムウェア攻撃の結果として身代金を支払う場合には、その支払いがなされてから24時間が経過するまでにCISAに報告する義務を負う」
CISA:Cybersecurity and Infrastructure Security Agency
アメリカ合衆国サイバーセキュリティ・インフラセキュリティ庁
「重要インフラに関するサイバーインシデント報告法」の審議
|
2022年3月1日 |
「米国サイバーセキュリティ強化法(S.3600)」の法案の一つとして上院で可決 |
|
2022年3月9日 |
「2022年包括歳出法」の第Y編として下院で可決し、翌日、上院でも可決 |
|
2022年3月15日 |
「2022年包括歳出法」が大統領により署名され成立 |
この法案の成立により今後はランサムウェアの被害に遭った企業が身代金を支払った場合は24時間以内に報告をしなければならず、OFACは「身代金支払い/補填行為は合衆国憲法およびOFAC規制に違反する」としているので企業への制裁が行われることになります。さらに保険会社から身代金の補填があった場合は保険会社も同様の制裁対象となるため保険商品の見直しを余儀なくされます。
今回の法案で規制対象となるのは「大統領政策指令第21号-重要インフラの保全及び耐障害性で定められた16分野の重要インフラに含まれる事業者」になりますが、今後、その範囲が拡大される可能性もあります。また、日本においても米国にならって同様の法案が作成されることが考えられるので企業が情報セキュリティに対して本気で向き合っていかなければいけない時代になると予想されます。
対象となる16分野:
[化学][商業施設][通信][重要な製造業][ダム][国防産業基盤][救急サービス][エネルギー][金融サービス][食料・農業][政府施設][健康・公衆衛生][情報テクノロジー][原子炉・核物質・核廃棄物][交通システム][水道・下水システム]
参考:サイバーセキュリティ法制度の国際動向等に関する調査(三菱総合研究所)
ゼロトラスト
このようにサイバー攻撃の手口が進化する中、我々の情報資産を脅威から守るためには従来の「境界(VPNやファイヤウォール)」による防衛だけでは限界が見えており、今後は「ゼロトラスト」という考えを持つことが重要になってくると言われています。
「ゼロトラスト」とは「誰も、何も信頼せず、すべてのアクセスを検証する」というセキュリティの考え方です。「ゼロトラスト」については別の機会に詳しく紹介したいと思います。
企業レベルの対策
・専任のCISOもしくはCISOチームを配置し、適切な権限を与えた上でセキュリティ戦略の立案と推進、及び成果の指標を明確化する。そして自社に求められるセキュリティ水準を維持するため取締役や執行役員、各部署との連携・共有を行うこと。
・事業継続計画(BCP)にランサムウェアによる脅威を想定した内容を組み込む
・被害にあった場合に備えて事前にインシデント対応の大方針を決めておく
(最も優先して守りべきものが何かを明確にしておく)
・システムに関わるプレイスホルダの把握と構成管理をしっかりと行う。とくに外部のサービスや委託などを行っている場合は契約内容を把握し責任の所在を相互で確認しておくことが大切。
個人レベルで気を付けること
最後に、社外のネットワーク回線にPCやスマホを接続する際に気を付けておきたい点を少し上げておきます。
ルーターの脆弱性
ルーターはご自身で購入やプロバイダーからの提供、マンションに常設されているものを利用されている方などがいると思います。ルーターは有線・無線に限らず比較的新しいものでも脆弱性が報告されている商品があるためメーカーのホームページなどをチェックして必要であればファームウェアのアップデートや買い替えを行ってください。
例:
また、マンションによっては社内LANのようにハブを経由して直接各戸へLANケーブルが引き込まれているケースもあり、その場合は直接PCとモジュラージャックをLANケーブルで接続してしまうと同じマンションの別の戸のPCが見えてしまうということもあります。その場合は自身でルーターを購入してルーター経由で接続するのが良いかもしれません。
マンションによって各戸に通信盤がありそこでルーターを介していることもあるので、もしルーターを見たことが無いかたは確認されることをお勧めします。
ルーター(有線接続)
インターネットに接続するためにはグローバルIPアドレスが必要になります。グローバルIPアドレスに対しては世界中からアクセスが可能なので直接PCをインターネットに接続するとセキュリティ設定を行っていない無防備な状態であれば脅威にさらすことになります。
そのためルーターを介して接続することでグローバルIPアドレスはルーターに設定され、ルーターに接続される機器はルーターがローカルIPアドレスを割り振ります。
ルーターの初期の設定では、ルーターの外(インターネット側)からルーターが割り当てたローカルIPアドレスへのアクセスは全て拒否されるため外からの侵入を防ぐことができます。また、ルーターの内側からインターネットへアクセスした際は、その戻りの通信だけを許可するためインターネットサイトの利用が可能となります。
ルーターとの有線接続であれば、ルーターとPC間の通信データを盗聴されることがなく、また攻撃者がルーターに有線で接続してネットワークに侵入することも極めて困難なことから安全性は高いといえます。
ただし、外出先から家のPCにリモートアクセスするためにルーターの設定を自身で変更して一部ポートを公開するなどを行うと攻撃を受けるリスクが高まるので注意してください。
Wifi接続(公共Wifi)
無線接続は電波が届く範囲であればだれでもアクセスできるのでパスワードが破られるとネットワーク回線の「ただ乗り」や個人情報の窃取が行われるリスクがあります。また、Wifi機器とPC間の通信データは暗号化されていますが、WEPなどの古い暗号化方式が使われている場合は容易に復号できてしまうため使用しているWifi機器を確認し必要であればファームウェアのアップデートや買い替えなどが必要になってきます。
また、公共のWifi(フリーWifi)を利用するときにはさらに注意が必要です。Wifi機器の設定によっては接続しているすべてのデバイスへアクセスができてしまう(例えばスマホの操作画面を見ることができる)ものや、Wifi機器との通信が暗号化されていない場合もあります。
端末のOSによってはWifi接続時の暗号化方式が安全性の低いものの場合、「安全性の低いセキュリティ」などのメッセージが表示され確認することができます。鍵マークが表示されていないWifiは通信が暗号化されていないので接続しないほうが賢明です。
さらに、スマホの設定によっては一度接続したフリーWifiを記憶しており電波の範囲内に入ると自動的にそちらへ接続していることがあるため端末の接続Wifi一覧を確認して普段使わない接続は削除するなどの対応を行ったほうが安全です。
安易なフリーWifiへの接続は攻撃者が用意したフィッシング用のWifiに引っかかる可能性があります。攻撃者の用意したWifiに接続してしまうとスマホのデータを窃取されたり乗っ取られたりする被害に遭うので注意が必要しなければいけません。
まとめ
ランサムウェアを使った企業への攻撃が注目され被害報告が増す中、その足掛かりとなる手段として「テレワーク等のニューノーマルな働き方を狙った攻撃」も増えてきています。
攻撃者からすれば直接企業のセキュリティを破るより、セキュリティ意識が浸透していないテレワーク環境を狙った方が対象企業のシステムへアクセス権を得ることや機密データの窃取が容易だと考えるかもしれません。
各個人のセキュリティ意識の向上が今後は必須になると思います。
会社や自身の情報資産を守るためにも、決して他人ごとではないという意識を持つことから始めると良いと思います。
以上。
「RaaSの脅威について考える(全4回)」の記事
投稿
0 件のコメント:
コメントを投稿