ニュース

「サイバーセキュリティ傾向分析レポート2018」を発表
~ 不要なポートの公開、シャドーIT、クリプトジャッキングへの対策を ~

2018年8月21日
NRIセキュアテクノロジーズ株式会社

NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、情報セキュリティ対策サービスを通じて蓄積したデータ※1を元に、サイバー攻撃などに関する最新の動向分析と推奨する対策を、「サイバーセキュリティ傾向分析レポート2018(以下「本レポート」)」※2としてまとめました。
今回の分析結果で注目すべき点は、以下の3つです。

■ 意図せず外部開放されたポートや経路から、IoT機器やサーバ、Webサイトが狙われる

2017年度中に、セキュリティ上のリスクからファイアウォールでブロックされた通信※3を分析すると、ブロックされた通信件数が多い上位100種類のポートのうち、IoT機器を狙ったものは16種あり、それらの通信件数の合計はブロックされた件数全体の38.0%を占めました。とりわけ、telnet※4ポートへの通信が全体の29.2%を占め、昨年度の結果(48.1%)よりも減少しましたが、その一方でIoT機器への侵入を図ろうとして探索行為を行うポートに分散傾向がみられました(図1)。

また、サーバやネットワーク機器を診断したところ、それらの24.9%が本来公開不要なポートをインターネットに開放していたほか、公開Webサイトに関しては、12.2%がメンテナンス用経路※5を開放していることが分かりました。

これらは意図せずに開放されていることが多く、外部から攻撃されてシステムそのものを乗っ取られてしまう危険性をはらんでいるため、アクセスを許可する対象を把握し、設定管理やアクセス制御を実施する必要があります。

■ 企業のクラウド利用を脅かす"シャドーIT"

情報システム利用に伴って生じるアクセスログに基づき、代表的な3つのクラウドサービスについて企業が利用している割合を調べたところ、2017年3月時点と2018年3月時点では、各サービスともに10ポイント以上増加していました※6(図2)。

クラウドサービスの利用普及に伴い、管理部門による許可・承認なしに、事業部門や従業員がIT機器・サービスを利用する"シャドーIT"は増えていると推測されます。仮に、管理部門が把握していないところで社内文書がインターネット上にアップロードされ、更にファイルの公開設定に不備があって、第三者もそのファイルを閲覧できてしまうと、機密情報が漏洩するリスクが高まります。そのようなケースでは、対策面においても、「クラウドサービスの利用実態の把握が難しい」「定常的にモニタリングする仕組みの整備や、既存ゲートウェイ機器での制御が難しい」「暗号化通信が、把握と制御を阻む」という、大きな課題があります。

有効とされる対策の一つは、クラウドサービスの利用を可視化・制御するためのツール「CASB(Cloud Access Security Broker)」の利用です。今後は、企業によるCASBの導入が加速していくと考えられます。

■ クリプトジャッキングの事象が増加

仮想通貨のマイニング(採掘)ツールをWebサイトに設置し、サイト閲覧者の同意を得ないまま、その閲覧者の端末リソースを利用して、閲覧者が気づかないうちにマイニングを実行させることで、ツールの設置者が報酬を得る「クリプトジャッキング」が、2017年9月以降増加しています。

NRIセキュアの次世代ファイアウォールを利用した企業について、クリプトジャッキングの可能性があるWebサイトへの月間アクセス件数を調査したところ、2017年8月は約1万件でしたが、10月には約7万件に急増しました※7(図3)。

これらのWebサイトの中には、サイト管理者の意思でマイニングツールを設置したのではなく、攻撃者がWebサイトを改ざんして設置している可能性もあります。

クリプトジャッキングの事象については、対策や法整備が技術の進展に追いついていないため、今後の動向を注目していく必要があります。また、企業においては、自社のWebサイトを悪用されないため、日ごろからシステム全般の脆弱性に対して、迅速かつ適切な対応を取っていくことが今後一層求められます。

 

本レポートの詳細については、下記のWebサイトからご覧いただけます。
https://www.nri-secure.co.jp/report/2018/cstar2018.html

 

※1 ここでは、NRIセキュアが、2017年度(2017年4月1日~2018年3月31日)に、顧客企業向け情報セキュリティ関連サービスから得られたデータを指す。

※2 本レポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、2005年度以降毎年発表しており、今回で14回目となる。

※3 NRIセキュアが提供するマネージドセキュリティサービスにおいて、ファイアウォールでブロックした件数を指す。分析に使用した全標本数は、25億件に達する。

※4 telnetとは、ネットワークに接続された機器を遠隔操作するために使用するプロトコルのひとつ。ここでは最も使われることの多い23番ポートへの通信を指す(23/tcp)。

※5 メンテナンス用経路には、FTP(21/tcp) または SSH(22/tcp) サービス、管理用ポート、管理用サブドメイン、コンテンツ管理用機能が含まれる。

※6 FNC セキュアインターネット接続サービスにおいて、1ヶ月の間に、1セッションの通信量が1MBを越える通信が確認できたものについて、当該クラウドサービスの利用があったと判断してその件数を集計している。今回調査したクラウドサービスは、「Microsoft Office365」「Dropbox」「Evernote」。2017年3月時点の調査対象企業数は41社。2018年3月時点は、35社。

※7 FNCセキュアインターネット接続サービスにおいて、2017年度に次世代ファイアウォールを利用した企業39社のアクセス先URLを調査。なお、クリプトジャッキングの可能性があるWebサイトかどうかについては、2018年4月時点でのサイト情報をもとに調査した。

ご参考

図1:ファイアウォールでブロックした通信件数

20180821news_fig1.png

図2:主なクラウドサービスを利用した企業の割合

20180821news_fig2.png

図3:Webサイト閲覧者にマイニングを実施させる可能性があるURLへのアクセス件数

20180821news_fig3.png

ニュースに関するお問い合わせ

NRIセキュアテクノロジーズ株式会社 広報担当
TEL:03-6706-0622 E-mail:info@nri-secure.co.jp