ブログ

ユーロ 2020 期間中のサイバー犯罪対策

デビッド・ウォーバートン サムネイル
デビッド・ウォーバートン
2021年6月14日公開

延期されていたユーロ2020選手権がついに開幕し、1年以上ぶりの最大級のスポーツイベントの始まりとなる。

そして、この規模のイベントでは、サイバー犯罪者が試合にふさわしい体力と準備を整えて出動すると予想されます。 イベントの盛り上がりや関連するオンライン活動の急増により、特にオンラインゲーム、ギャンブル、電子商取引サービスが標的となる可能性が高くなります。

ユーロ 2020 中心のサービスを提供する企業が大会期間中 (および大会後) に注意すべき脅威をいくつか紹介します。

DDoS攻撃に対する防御

DDoS 攻撃はあらゆるビジネスに甚大な影響を及ぼす可能性がありますが、オンライン ゲーム サイトは特に脆弱です。 試合が近づくにつれて、結果に賭ける人の数が増え、ほぼ無限の選択肢を通じて、試合中も賭け続けることが予想されます。 攻撃者はこれを知っており、それに応じてタイミングを調整することがよくあります。

DDoS 活動はすでに増加しています。 F5 Silverline セキュリティ オペレーション センター (SOC) と F5 セキュリティ インシデント レスポンス チーム (SIRT) が収集したデータによると、2020 年 1 月から 2021 年 3 月の間に DDoS 攻撃が 55% 増加したことが判明しました。 これらのインシデントの大半 (54%) は複数の攻撃ベクトルを使用しており、攻撃者の攻撃手法がますます巧妙化していることを示唆しています。

注目すべきことに、SOC が観測した最大の攻撃は、ゲームやギャンブル組織に情報セキュリティ サービスを提供する企業を標的としていました。  この例では、会社は支払いをしなければ攻撃すると脅されました。 彼らが拒否すると、1か月以上続く多方向攻撃が開始されました。

サイバー犯罪者がこのような企業を標的にするのは、いくつかの理由があります。 最も明白なのは、DDoS 攻撃の脅威を利用して身代金を要求することによる金銭的利益です。 その他の動機としては、競合他社に代わって攻撃を行うこと、脅威アクターが DDoS 攻撃を陽動作戦として利用しようとすること、または単に名を上げようとしているハッカーが攻撃を行うことなどが考えられます。

幸いなことに、防御を強化する方法はいくつかあります。 クラウドベースのマネージド サービスを活用して、企業ネットワークへの攻撃を阻止することがますます重要になっています。

F5 Silverline DDoS Protectionのようなソリューションが良い例です。  クラウドベースのプラットフォームを介して提供され、リアルタイムで検出して軽減し、最大規模のボリューム型 DDoS 攻撃がネットワークに到達するのを阻止します。  このサービスは、SOC エキスパート チームへの 24 時間 365 日のアクセスによってサポートされており、包括的で多層的な L3 ~ L7 保護により、DDoS 攻撃中でも企業のオンライン状態を維持します。

DDoS 攻撃から保護するために、次の技術的/予防的なセキュリティ制御も推奨されます。

  • ネットワーク ファイアウォールと Webapplicationファイアウォールの両方を使用します。
  • ネットワークベースの侵入検知システムを使用します。
  • システムが攻撃に利用されるのを防ぐために、すぐにパッチを適用してください。
  • 偽装された送信元 IP アドレスを持つトラフィックをブロックします。
  • レート制限を使用して、受信トラフィックの量を制限します。

フォームジャッキングでレッドカード

他に注意すべき機会を狙ったサイバー犯罪者の戦術としては、フォームジャッキングがあります。 これは現在最も一般的な Web 攻撃手法の 1 つであり、組織の Web ブラウザーから攻撃者が管理する場所にデータを流し込むものです。

ショッピング カート、カード決済、広告、分析などの重要なコンポーネントに接続する Webapplicationsが増えるにつれて、ベンダーは大きなターゲットになります。 コードはさまざまなソースから配信される可能性がありますが、そのほとんどはプロキシや Webapplicationファイアウォールなどの通常の企業セキュリティ制御の境界を超えています。 多くの Web サイトが同じサードパーティのリソースを利用しているため、攻撃者は、1 つのコンポーネントを侵害するだけで、膨大な数の潜在的な被害者からデータを盗み取ることができることを知っています。

組織の安全を保つために役立つ一般的なセキュリティ対策は次のとおりです。

  • Webapplicationsの資産リストを作成します。 これには、サードパーティのコンテンツの徹底的な監査が含まれる必要があります。 このプロセスは、第三者がさらに多くのウェブサイトにリンクしていることや、セキュリティ管理が標準以下である傾向があることから複雑になっています。
  • 環境にパッチを適用します  パッチを適用しても必ずしもサードパーティ コンテンツの欠陥が修正されるわけではありませんが、最初の足掛かりから重大な侵害にエスカレートすることが難しくなります。 Web インジェクションは非常に汎用性の高い手法であるため、侵害されたサードパーティ資産による被害を防ぐために、独自の環境で実行されているapplicationsにパッチを適用することが依然として重要です。
  • 脆弱性スキャン。 長年にわたり、CISO は、ハッカーの視点から状況を把握するために外部スキャンを実行することの重要性を認識してきました。 これは、クライアント側で土壇場で膨大な量のコンテンツが組み立てられる場合に、さらに重要になります。
  • コードの変更を監視します。 コードがホストされている場所に関係なく、新しい脆弱性が出現しているかどうかに関係なく、可視性を高めることが重要です。 これは、GitHub および AWS S3 バケット、およびネイティブ コード リポジトリを監視することを意味します。
  • 多要素認証 インジェクションは、Web サーバー コードにアクセスするための認証をバイパスするためによく使用されるため、影響の大きい資産に接続するすべてのシステムには多要素認証を実装する必要があります。 理想的には、アプリケーション層の暗号化は、ユーザーがブラウザに入力する資格情報と支払いカードの詳細を暗号化することで、TLS/SSL を補完することもできます。  よく知られている Webapplicationファイアウォール (WAF) 製品の中には、この機能を備えているものがあります。 ただし、 Advanced WAF は、アプリケーション層の可視性と制御のレベルを強化し、分散型およびポリモーフィック型のインジェクションのリスクを軽減するのに役立ちます。
  • Webapplicationセキュリティ ヘッダーの可能性を探ります たとえば、コンテンツ セキュリティ ポリシー (CSP) を設定して、Web サイトやapplicationへの不正なコードの挿入をブロックすることができます。 さらに、SubResource Integrity (SRI) Web メソッドでは、サードパーティ アプリが変更されていないことを確認できます。  どちらのツールも、Webapplicationに適切に適合させるには作業が必要です。 ここで、堅牢で柔軟な WAF が役立ちます。
  • 新しく登録されたドメインと証明書を監視します これらは、エンド ユーザーには本物のように見えながら、悪意のあるスクリプトをホストするためによく使用されます。

フィッシングの脅威に立ち向かう

フィッシングもまた、長年愛用されている手口です。 攻撃者は、ファイアウォールをハッキングしたり、ゼロデイ攻撃を見つけたり、暗号を解読したり、ピッキングツールを歯にくっつけてエレベーターシャフトを降りたりすることを心配する必要がありません。 誰かを騙して資格情報を渡させる方がはるかに簡単です。 最も難しいのは、人々がクリックしたくなるような説得力のある電子メールの宣伝文句と、訪問する偽のサイトを考案することです。 トーナメント中は、これらが大量に発生することが予想されます。

F5 Labs の最新のフィッシングおよび詐欺レポートによると、フィッシング サイトの 52% が Web サイトのアドレスに一般的なブランド名とアイデンティティを使用していました。 フィッシング詐欺師は、詐欺サイトを可能な限り本物らしく見せるための努力も強化しています。 報告書で引用されている F5 SOC データによると、ほとんどのフィッシング サイトは暗号化を活用しており、72% が有効な HTTPS 証明書を使用して被害者を騙していたことが判明しました。 つまり、単に南京錠 (または https:// で始まるアドレス) を探すだけではもはや十分ではありません。 実際、これをアドバイスするのは危険です。なぜなら、デジタル証明書を持っているだけでサイトが本質的に信頼できると示唆することになるからです。

フィッシング攻撃が標的型か無差別型かにかかわらず、あらゆる組織はいつかはフィッシング攻撃の標的になります。 残念ながら、すべての組織が強力な情報セキュリティ管理フレームワークを実装しているわけではありません。

NIST の 5 つの機能は、あらゆるサイバー脅威について考える上で役立つ方法を提供しますが、企業が自社のブランドと顧客を保護するためにどれだけ努力しても、何らかの方法で心理的に操作できる人間が存在する限り、フィッシング攻撃は成功し続けるでしょう。 そのため、セキュリティ制御と Web ブラウザは、詐欺サイトをユーザーに通知する機能をさらに強化する必要があります。 個人や組織は、偽の URL から HTTPS 証明書の悪用に至るまで、詐欺師が使用する最新の手法について継続的にトレーニングを受ける必要があります。

ボールから離れない

上記に詳述した脅威は、すべてを網羅したリストではありません。 他にもあります。 覚えておいてください、サイバー犯罪者はユーロ 2020 のようなイベントに関連する紆余曲折を利用することに非常に長けています。 常に注意を払い、適切なセキュリティ ソリューションを探し、攻撃者の考え方や能力の変化に常に追いつくようにしてください。