インシデント報告から考えるセキュリティ対策

医療機関から個人情報を盗み出す攻撃

昨年夏、シンガポール最大の医療グループがサイバー攻撃を受け、同国首相を含む150万件の患者情報が攻撃者によって盗み出されました。このインシデントに関する詳細な調査レポートが2019年1月シンガポール情報通信省から公開されています。表１はこのレポートから攻撃に関わる主要なイベントを抜粋したものです。

表１　侵入後のイベント抜粋

攻撃者は侵入後、１年近くターゲット組織内で活動を行なっていました。レポートによれば攻撃者の能力は極めて高度であるものの、派手に動き回ったため管理者が不審に思うアクセスやエラーを何度も起こしていたそうです。ところがこうした兆候に対して管理者が適切に対処しなかったため、未然に防ぐことができませんでした。またその他にも下記の要因が重なった結果、大量の患者情報が盗み出されてしまいました。

• 脆弱な管理者パスワード
• 二要素認証の導入漏れ
• 不要なシステム間の通信を許可するなどの設定ミス
• 既知のバグや脆弱性を放置

組織内部に潜む攻撃者

現在普及している単一境界セキュリティモデルは「組織外部は信頼できない、組織内部は信頼できるはず」という前提に立ち、内と外を分ける境界で防御を行います。しかし様々な手口で境界セキュリティを突破した攻撃者は、感染端末のユーザ権限を手に入れると組織内を探索し、より重要なリソースへアクセスするための管理者権限を入手しようとします。強力な権限を手に入れた攻撃者は管理者と同じように組織内のリソースに自由にアクセスし、個人情報の窃取であれデータの破壊であれ、容易に目的を達成することができます。このように攻撃者が侵入後にターゲット内部で移動を行うことを「ラテラル・ムーブメント (Lateral Movement) 」「横展開」などと呼びます。そのための手法やツールはすでに広く知られており、現在では多くの攻撃者がこのテクニックを採用しています。

そのため、境界の内側、すなわち「信頼できるはず」のネットワークでは以下のアクセスが発生しています。

1. 適切なアクセス権を持つ人による適切なアクセス
2. 適切なアクセス権を持つ人による不適切なアクセス（内部不正）
3. 適切なアクセス権を盗み出した攻撃者による不適切なアクセス

上記リストの２と３は不適切なものなので許可すべきではありません。しかし、すべて適切な認証情報を利用するアクセスのため、単純なアクセス権のチェック機構だけでは見分けることは不可能です。

ではどのような対策を行えばよいのでしょうか。それにはまず、「内部は信頼できる」という根拠のない思い込みをなくす必要があります。攻撃者は境界の内側にも存在しており、重要なデータやシステムに適切なアクセス権を持って近づくことができる、という認識に立つべきです。そして境界の内側であってもいかなるアクセスも信頼せず常に検証を行う「ゼロトラスト」に基づくアプローチをとることで、保護すべき資産を内部に入り込んだ脅威から防御できる仕組みを作り上げます。ゼロトラストについては以下の記事が参考になります。

• ネットワーク セグメンテーションへのゼロトラスト アプローチ
• 保護対象領域の定義により攻撃対象領域を大幅に縮小

20 CIS Controls を使った対策

各組織は、ゼロトラストをセキュリティアーキテクチャの土台とした上で、実践的なセキュリティ対策を行っていく必要があります。その際、指針の一つとして 20 CIS Controls というフレームワークが利用できます。これは非営利団体 Center for Internet Security, Inc. が公開しているセキュリティガイドラインであり、優先順位のついた具体的な20のベストプラクティスから成り立っています。この記事を執筆している時点で公開されている Ver 7.1 は以下の通りです。

1. ハードウェア資産管理
2. ソフトウェア資産管理
3. 継続的な脆弱性管理
4. 管理者権限の制御
5. モバイル機器、ラップトップ、ワークステーション、サーバー上のハードウェアとソフトウェアの安全な設定
6. 監査ログの保守、監視および分析
7. 電子メールとWebブラウザの保護
8. マルウェア対策
9. ネットワークポート、プロトコル、サービスの制限と管理
10. データ復旧機能
11. ファイアウォール、ルーター、スイッチなどのネットワークデバイスの安全な設定
12. 境界防衛
13. データ保護
14. 知る必要性に基づいたアクセス制御
15. 無線アクセス制御
16. アカウントの監視と管理
17. セキュリティ意識向上およびトレーニングプログラムを実施
18. アプリケーションソフトウェアのセキュリティ
19. インシデント対応と管理
20. 侵入テストとレッドチーム演習

いずれも基本的な対策ですが、それぞれを適切なレベルで維持することは容易ではありません。このフレームワークで重要度の高い「継続的な脆弱性管理」や「管理者権限の制御」、そして「監査ログの保守、監視および分析」で問題があったため、攻撃者はシンガポールの医療機関からデータを盗み出すことができました。

まとめ

今回のインシデントには現代のサイバーセキュリティにおける主要なトピックがほぼ網羅されています。

• 単一境界セキュリティモデルの限界
• 内部に潜む脅威に対する防御のあり方
• 攻撃者の技術力の高さ
• 防御側のセキュリティアウェアネスとスキル向上の重要性
• 認証情報管理と多要素認証徹底の難しさ
• 設定ミスやバグ、脆弱性放置の危険性

攻撃手法やターゲット、そしてその結果から考えるとレアなケースではなく、多くの組織が同じ被害を受ける可能性があると言えます。ぜひこのレポートをご一読いただき、自身のセキュリティ対策について再考するきっかけにしていただきたいと思います。