マクニカネットワークスは6月23日、サイバー攻撃に遭いやすい企業のIT資産を調査し、セキュリティ対策方法などを助言するサービス「Attack Surface Managementサービス」を開始すると発表した。利用料は都度見積もりになる。
新サービスでは、同社セキュリティ研究センターの専門家がドメイン情報などのOSINT(オープンソースインテリジェンス)を使って、インターネットに公開されているサーバーやネットワーク機器、システムのポートなどを調査、可視化する。これをもとに脆弱性の有無や危険性などを分析して顧客にレポートするとともに、アクセス制御や認証強化、パッチ適用、機材撤去などの対策方法をアドバイスする。
「Attack Surface Managementサービス」の概要
サービス名にある「Attack Surface」とは、日本語で「攻撃対象領域」などと訳される。サイバー攻撃を受ける領域という意味になる。サイバー攻撃では、例えば、なりすましメールなどを使って攻撃者が狙った企業のコンピューターにマルウェアを感染させ、そこを踏み台にITシステム環境を隅々まで調べて機密情報などを入手するといった段取りが知られる。たた、企業側も多層防御を呼ばれるセキュリティ対策ポイントを幾重にも講じていることで、攻撃者にとっては侵入に手間取るなど面倒になってきている。一方で、2019年に複数のメーカーでVPN(仮想私設網)製品の脆弱性が相次いで発見された。これがきっかけで、攻撃者はインターネットに公開されているサーバーやネットワーク機器、ポートなどを攻撃で以前よりも狙うようになった。
インターネットに公開されているこれらのIT資産は、本来であればウェブサイトなど誰もが利用するために公開されている。そのためにドメイン所有者やドメインで使っているサーバーなどのシステムの情報なども公開されていて、誰でも参照できる。しかし実際は、これらの情報を手がかりにして芋づる式に、企業が公開していないつもりでも公開状態にあるIT資産が見つかってしまう場合がある。
つまり攻撃者は、誰でも閲覧可能な情報を使って、いつでも好きな時にインターネットに公開されているIT資産を探せる。そして、見つけたIT資産の脆弱性を悪用し、ITシステム環境に侵入できる。先述した多層防御をくぐり抜けるよりも簡単で、攻撃者は手軽に侵入を成功させることができるので、好むようになったという。
アタックサーフェース(攻撃対象領域)は手間がかからないインターネットに公開されたサーバーなどが中心になっているという
折しも2019年に複数のVPN製品の脆弱性情報が公開され、攻撃者側が脆弱性のあるVPN製品をインターネットに公開してしまっている企業を徹底的に調べ上げた可能性があるという。そして、2020年はコロナ禍により、世界中の企業がセキュリティ対策などが不十分なVPN経由で社内のITシステムを利用する在宅勤務やテレワークを大規模に緊急導入し、中にはアクセスの管理のままならない企業もあった。その結果、脆弱性のあるVPN装置が攻撃者に悪用されてしまったと想定されるセキュリティインシデントが多発し、現在まで暴露型ランサムウェア攻撃の被害が相次いでいる。
同社の調査では、インターネットに公開されているリモートデスクトッププロトコル(RDP/TCP 3389)の台数は2020年1月の約300万台から2021年4月は約460万台に増えた。Microsoftのウェブサーバーソフトウェア「Internet Information System(IIS)」のうちサポート切れのバージョンを使っているサーバーは440万台以上、VMwareの仮想サーバー管理ツールのvCenterも約5270台が公開されていた。
マクニカネットワークスでは、インターネットに公開されたシステムの状況などを調査している
日本企業の場合、国内拠点にあるIT資産はある程度管理下に置かれているが、海外拠点のIT資産は抜け漏れが非常に多く、ここが攻撃の侵入口となって日本国内のIT環境にまで攻撃者が侵入している状況だという。
瀬治山氏は、企業できちんと把握、管理されないままインターネットに公開されているIT資産が多数存在すると指摘する。企業が自らそのようなIT資産の存在を確認できないため。同社が今回のサービスを提供するに至ったとした。
サービスを担当するセキュリティ研究センター長の政本憲蔵氏は、「不正行為をせずとも一般の公開情報を使えば、簡単に企業やその関連組織などのつながりが分かるし、システムの情報も手に入る。今では信じられない“激古”のシステムが使われていることが一目瞭然」と実情を明かした。
セキュリティ研究センター長の政本憲蔵氏による、某社の状況を調査するデモ。メーカーサポートが終了した製品が次々に見つかり、政本氏が厳しく指摘した
