2023年に揺れたサイバーセキュリティの現場~ランサムウェア、サプライチェーン攻撃、クラウドの脅威を振り返る
アライアンス事業部のヘマントです。 今回は、2023年の主なセキュリティインシデントについて共有します。
背景
デジタル時代
今日の世界では、私たちは常に膨大な技術ネットワークにつながっています。個人のデバイスから重要なインフラまで、すべてが複雑なデジタルシステムで動いています。この相互接続性は便利ですが、同時に脆弱性を生み出し、悪意のある者たちに多くの機密データをさらすことにもなります。
サイバー犯罪
サイバー攻撃はもはや時々起こる小さな問題ではありません。それらは増え続ける流行病となり、事件の数とその巧妙さは着実に増加しています。2023年には、企業や政府機関、医療システム、個人まで、あらゆるものを狙った攻撃が急増しました。
見出しの一年
インターネット上で悪意のある者による攻撃が増加しています。 彼らは Web サイト、オンライン サービス、その他のものを攻撃して、盗んだり損害を与えたりします。 政府機密や個人の個人情報も盗まれた。 このことにより、多くの方々に多大な被害とご迷惑をおかけしました。
重大なセキュリティインシデント
インシデント1:MOVEit
攻撃の種類: ランサムウェアとデータ盗難
説明: ランサムウェアとは、被害者のデータを暗号化し、復号化のための身代金を要求する悪意のあるソフトウェアのことです。データ盗難とは、システムやネットワークから機密情報を不正にアクセスして抽出することです。
攻撃の手口: Cl0pというロシア系のランサムウェア組織が、人気のファイル転送サービスであるMOVEit Transferに存在するゼロデイ脆弱性を利用して、顧客の環境に侵入し、機密データを持ち出しました。彼らは、身代金を支払わなければデータを流出させると脅迫しました。この攻撃は、2600以上の組織と8,300万人以上の個人に影響を与えました。
インシデント2: UK Electoral Commission
攻撃の種類: サイバー攻撃とデータ漏洩
説明: サイバー攻撃とは、システムやネットワークのセキュリティや機能を侵害しようとする試みのことです。データ漏洩とは、機密情報が不正な当事者に暴露されることです。
攻撃の手口: 英国選挙管理委員会は、2014年から2022年の間に選挙登録簿に登録された4,000万人の有権者の個人情報を盗んだ複雑なサイバー攻撃について報告しました。委員会のセキュリティ姿勢は貧弱で、基本的なセキュリティ監査に失敗し、Microsoft Exchangeサーバーを未更新のままにしていました。攻撃者は、2021年8月から委員会のネットワークを探っていた可能性があります。
インシデント3: Police Service of Northern Ireland
攻撃の種類: 内部者による侵害とデータ漏洩
説明: 内部者による侵害とは、信頼できる従業員やパートナーが機密情報に対するアクセス権を悪用して引き起こすセキュリティ事故のことです。データ漏洩とは、機密情報が不正な当事者に意図せずに暴露されることです。
攻撃の手口: PSNIは、ある従業員が情報公開法(FOI)の要請に応えて、WhatDoTheyKnowというウェブサイトに機密性の高い内部データを誤って投稿したと発表しました。そのデータには、監視や情報活動に従事する者を含む約1万人の警察官や文民職員の氏名、階級、部署などが含まれていました。そのデータは投稿から2時間後に削除されましたが、すでにアイルランド共和主義の反体制派の間で拡散されていました。
インシデント4: DarkBeam
攻撃の種類: データ漏洩と個人情報盗難
説明: データ漏洩とは、機密情報が不正な当事者に意図せずに暴露されることです。個人情報盗難とは、他人の個人情報を金銭的またはその他の利益のために不正に利用することです。
攻撃の手口: ダークウェブの情報収集会社であるDarkBeamが、保護されていないクラウドサーバーに個人情報や金融情報を含む38億件のレコードを公開しました。そのデータには、氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号、社会保障番号などが含まれていました。そのデータは、データ侵害、フィッシングキャンペーン、ダークウェブのフォーラムなど、様々なソースから来ていました。そのデータは、サイバー犯罪者によって個人情報盗難、詐欺、その他の犯罪を行うために利用される可能性があります。
インシデント5: Lockbit
攻撃の種類: ランサムウェアとデータ盗難
説明: ランサムウェアとは、被害者のデータを暗号化し、復号化のための身代金を要求する悪意のあるソフトウェアのことです。データ盗難とは、システムやネットワークから機密情報を不正にアクセスして抽出することです。
攻撃の手口: Lockbitというランサムウェア・アズ・ア・サービス(RaaS)の組織が、負荷分散やアプリケーション配信を提供するネットワークデバイスであるCitrix ADCに存在する脆弱性を利用して攻撃しました。この脆弱性はCitrix Bleedと呼ばれ、攻撃者が認証を回避してデバイス上で任意のコマンドを実行できるようにしました。攻撃者はそのデバイスを使って被害者の内部ネットワークに侵入し、データを暗号化しました。被害者には、グローバルなコンサルティング会社であるアクセンチュアや、様々な分野の他の組織が含まれていました。
ベストプラクティスと推奨事項
パスワード管理
パスワード管理ツールを使って、異なるアカウントやデバイスに強力で多様なパスワードを作成・管理し、定期的に変更します。パスワード管理ツールは、侵害や弱いパスワードの警告や、パスワードの自動入力などの便利な機能も提供します。
多要素認証(MFA)
オンラインアカウントやサービスに、二要素認証や多要素認証(MFA)を設定します。特に、機密性や個人性の高い情報を含むものには必ず適用します。MFAは、パスワードに加えて、コードや質問やデバイスなどを使ってあなたの身元を確認することで、セキュリティを強化する追加のレイヤーを提供します。
システムの更新と保護
システムを最新のセキュリティパッチやソフトウェアバージョンに更新します。古いまたはサポートされていないソフトウェアには、ハッカーがあなたのデータにアクセスしたり損傷したりするために利用できる脆弱性が存在する可能性があります。また、ファイアウォールやアンチウイルスを使って、ネットワーク上の悪意のあるまたは怪しい活動をブロックしたり検知したりします。
フィッシング対策
メールやメッセージやウェブサイトのリンクや添付ファイルをクリックする前に、よく考えます。フィッシングは、偽造またはなりすましのメールやウェブサイトを使って、あなたの個人情報や金融情報を明かさせたり、マルウェアをダウンロードさせたりすることを目的とする一般的なサイバー攻撃手法です。メッセージやリンクの送信者やURLや内容を必ず確認してからクリックし、不審なまたは勝手なメールはIT部門やサービス提供者に報告します。
サイバーセキュリティ教育
自分自身や従業員にサイバーセキュリティの意識とベストプラクティスを教えます。オンラインコースやワークショップに参加したり、サイバーセキュリティに関する記事やブログを読んだりすることで、学習できます。例えば、Coursera2が提供するものなどがあります。また、組織内にサイバーセキュリティの方針と文化を作り、スタッフにそれに従う方法や、事故や問題を報告する方法を教育します。