BLOG

F5 DCSによる不正アクセス対策とは?

Yukio Ito サムネール
Yukio Ito
Published April 18, 2022

表題

みなさん、こんにちは。
本ブログシリーズでは、2022年2月に発表されたF5 DCS(Distributed Cloud Services)を利用することで、どのようなセキュリティ対策を取ることができるか、いくつかのユースケースのご紹介をしてきます。

まずは第一回となる本ブログでは、具体的なソリューション内容に入るために、昨今のセキュリティ市場背景とトレンドは、どのようになっているのか?どのような考え方、対応策が求められているかを一緒に見ていきましょう!

セキュリティ市場背景

初めに法律面での変更点を見ていきましょう。2022年4月から改正個人情報保護法が施行されました。本改正により、万が一個人情報が漏洩した場合、個人情報保護委員会への報告に加え、本人への通義が義務化されました。また同時に罰金刑の最高額も引き上げされています。結果として、自社がきちんと個人情報の取り扱いを行っているか。改正法への対応ができているか。改めて現状の確認、対策を行うことが企業経営として重要な取り組みとなっています。

では、その個人情報を厳密に守るため、どのような脅威やリスクから保護しないといけないのでしょうか?
統計情報の一例として、毎年IPA, 情報処理推進機構から発表されている情報セキュリティ10大脅威があります。最新の2022年版レポートによると、組織編ではランサムウェアや標的型攻撃、サプライチェーンの弱点を狙った脅威が継続してランキングされています。ランサムウェアについては、電子カルテが使えなり手作業でカルテ作成を余儀なくされた病院の例や、大手製造業工場における取引先が狙われ、一時全工場が停止となったインシデントが大きなニュースになりました。
高まる脅威に対応するため、警察庁にて4月から「サイバー警察局」を発足させるなど、組織体制もサイバー犯罪に合わせた形で新設されてきています。

また、システムの脆弱性を狙った攻撃も継続して見受けられます。昨年末にCVSSスコア10と重大な脆弱性として公表されたApache Log4jや今年3月に発見されたJavaフレームワークSpring4Shellに関する対応・調査に追われた方も多いのではないでしょうか?
組織にとって、個人情報を含む機密データ漏洩対策を行うことは、社会信頼を得るために重要な取り組みとなります。また、セキュリティはビジネス事業継続性を守るためにも必要な要素となるため、経営者にとっても重要な施策となります。

次に個人編のリストを見てみますと、フィッシングによる個人情報等の搾取が2年連続して上位にランキングされています。不正なメールやSMSによるフィッシングメッセージを受信したことがある方も多いのではないでしょうか?
では、なぜ攻撃者はフィッシングを多用するのか、その背景を攻撃者視点で見ていきましょう。

攻撃者視点でのトレンド

攻撃者視点で、様々な手法を用いて目的を達成するまでの一連の行動を構造化したものとして、サイバーキルチェーンがあります。
これは偵察・武器化・デリバリー・エクスプロイト・インストール・C&C・目的の実行と7つのステップに分かれており、各ステップでどのような行動を取るのか俯瞰的に確認できます。
また、どのようなテクニックが各段階で使われるのか、より高度にフレームワーク化したものにMITRE社のATT&CKフレームワークがあります。
F5 Labリサーチが世の中の攻撃動向と、このMITRE ATT&CKフレームワークをマッピングした所、初期アクセスとなるInitial Accessが最も頻繁に利用されたテクニックであることが判明致しました。

 

 

このInitial Accessで使われる戦術として、近年では盗まれたアカウント、つまりValid Accountを使っているケースが増大しております。フィッシングやスミッシングで正当なアカウントを盗難。攻撃者はそのリストを利用すると簡単にシステム侵入ができ、目的を達成するための時短につながります。
最近はログイン時にID/PWに加え、二要素認証が推奨されていますが、二要素認証をバイパスしたり、二要素認証そのものを盗難するようなツールも見受けられます。これらは安価でダークウェブ等で取引され、攻撃者がよりコスト効率よく不正アクセスを行えるエコシステムが形成されている状況です。

まとめ

守る立場の観点から、システム全体を見渡した際、資産の可視化・ランサムウェア対策・脆弱性対応・不正アクセス対策といった様々なベクトルがあります。それらを全て完璧に対応するにはリソースがかかりますし、企業セキュリティ担当者の方の負荷が集中していることから、セキュリティ疲れといった人材面の懸念も指摘されています。
では、どのように効率よく対策を行っていければ良いのでしょうか?
次回では、F5 DCS(Distributed Cloud Services)を用いた具体的なユースケースをご案内していきます。

<参考文献>
https://www.ipa.go.jp/security/vuln/10threats2022.html
https://www.f5.com/ja_jp/company/blog/apache-log4j-vulnerability
https://www.f5.com/labs/articles/threat-intelligence/2022-application-protection-report-in-expectation-of-exfiltration