「金融・保険業の情報漏えい44%は内部から
~内部脅威の現状と対策~」
-
【講演者】
- 日本プルーフポイント株式会社
増田 幸美 氏<サイバーセキュリティの盲点>
金融および保険業において、全体の情報漏洩や侵害のうち、内部脅威によるものの割合は44%であり、3年間で内部脅威の増加率は20%も上昇している。IPAの調査によると、中途退職者による漏洩や現職従業員の誤操作、現職従業員のルール不徹底、による情報漏洩などが挙げられるが、これらのデータを集計すると、日本における情報漏洩のうち87.6%は内部脅威からの情報漏洩であり、サイバー攻撃からの情報漏えいの10倍以上も多いことが分かる。従来、日本企業は、外部からの情報漏洩対策に多く投資をしてきたが、内部からの情報漏洩に今一度目を向ける機会が訪れていると感じている。
<昨今のサイバー攻撃から気になる動向>
昨今のサイバー攻撃は、大規模なランサムウェア攻撃や、サプライチェーン攻撃、内部関係者による不正などがあげられるが、これらの要素の合わせ技の複合攻撃で行われることが増えてきている。
大規模なランサムウェア攻撃については、RaaS (Ransomware as a Service)というサイバー犯罪の攻撃エコシステムが出来上がっており、マルウェア(ウイルス)の作成者や元締めの運営組織から成り立っている。RaaSは、RaaSのお客さまにあたるアフィリエイトと呼ばれる攻撃者へのサポート、基盤運用などを行なっている。例えば、ランサムウェアで身代金を入手できると、実際に攻撃しているアフィリエイトには身代金の9割が取り分として支払われ、残りの1割を元締めが取るというようなビジネスモデルが出来上がっている。このRaaSモデルの構築により、大規模な攻撃が爆発的に増加している。
日本においても今年の5月頃より、ロシアに関連した攻撃グループの犯行が増えており、旧ソビエト連邦圏でのロシアのハッカーの動きが非常に加速している。ランサムウェア攻撃がなぜロシア関連と言えるのかというと、ランサムウェアが端末にたどり着いて起動する際に、関数による端末言語のチェックを行うため、ロシアに関連したグループと断定することが可能だからだ。ロシア系ハッカーの暗黙の鉄則ルールとして、「母なるロシアを標的にしない」「ロシアの諜報機関からの依頼には協力する」「そして休暇の場所を選ぶ」があげられる。これら3つのルールを守りさえすれば、民間のハッカーが規制当局に抑止されることはあまりない。ここに民間のサイバーハッカーの傭兵が育つ環境がある。
また昨今のランサムウェア攻撃は、従来までのランサムウェア攻撃とは異なってきている。以前は、メールの添付ファイルやURLをクリックすれば、その端末自体がすぐにランサムウェアに感染していたが、現在では最初の攻撃メールを受け取り、添付ファイルをダブルクリックした端末自体では何かが起こったようには見えない。この最初の端末や窃取した認証情報を足掛かりにしてネットワーク内を徘徊し、ドメインコントローラーに到達後、スクリプトで、ランサムウェアを投げるという手法に変わってきている。昨今、日本でも非常に攻撃が活発なロシアの攻撃グループLockBitは、バージョン2.0において、ドメインコントローラー到達後の動きを自動化し、効率化している様子がうかがえる。
また、LockBitは企業ネットワークへの侵入のために内部関係者をリクルートする新たな手法を取り入れている。実際に、テスラ社を狙ったロシアのハッカーは、テスラの内部の人に対して、WhatsAppというメッセンジャーでコンタクトを取り、攻撃に協力するよう要請した事案などもある。
ほとんどの企業において、すでにランサムウェアを被弾した際に、身代金を支払うかを経営判断で決めているかと思うが、自社の情報だけでなく、お預かりしている他の組織の情報が漏洩した場合の対応をどうするかなども、経営陣と握っておく必要がある。昨今のランサムウェア攻撃はサプライチェーンを介したものも多くなっているからだ。
これら進化するサイバー攻撃への対応ポイントとしては、認証情報を窃取後の正規ユーザーの動きを可視化することにある。実際に認証情報を取られた後に対するセキュリティ対策が欠如していることが多く、正規のユーザーの振る舞いの可視化が必要である。もちろん内部脅威をおこなう関係者の動きも正規ユーザーとしておこなわれるため、正規ユーザーの振る舞いの可視化こそ現在のセキュリティ対策の盲点といえる。
<内部脅威のコストと内部不正の解剖>
内部脅威による1インシデントあたり、平均コストは約8,000万円ほどであり、年間30以上の内部脅威インシデントが発生した企業の割合は60%以上である。また、封じ込めに要した平均日数は77日であるが、このデータからはなるべく早く対応して検知することにより、対応コストを抑えることができることが分かる。
日本における身近な内部脅威としては、退職に伴う情報漏洩、システム管理者による不正行為、委託先からの情報漏洩、職場環境に起因する不正行為、ルール不徹底に起因する不正行為、なりすましアカウントによる情報窃取が挙げられる。
アメリカの犯罪学者、ドナルド・クレッシー氏の理論では、内部不正を行うには、「動機」と「機会」と「正当化」の理由、この3つが揃うことにより、不正行為が行われるとしている。しかしながら、「動機」のほとんどは対応することが難しく、残りの2つの要素うち、どちらか一方の対策することによって不正行為を止めることができると考えている。「機会」を無くすために、管理監視を強め、犯行を行うきっかけをなくしていくことが重要である。「正当化の理由」への対策は、コンプライアンス教育を徹底することにより、未然に防ぐことができる。また、これらに対応するようなリアルタイムの教育ソリューションが必要だと考えている。
プルーフポイントでは、内部脅威対策としては「Proofpoint ITM」、コンプライアンス教育として「Proofpoint Security Awareness Training (PSAT)」をソリューションとして提供している。Proofpoint ITMは、簡単にいうと99.99%の善良な社員を守るために0.01%に抑止をかけるソリューションである。リアルタイムに、コンプライアンス違反になっている行動を警告することができ、悪意を持った人の場合は、捕まるリスクを高めるためにリアルタイム監視を実施する。それでも行いをやめない人に対して、リアルタイムにその行いに抑止をかけることが可能だ。
<デモンストレーション>
例えば退職予定者がCRMに接続し、顧客情報をコピーし、ファイルをダウンロードし、ファイル名をかえて、クラウドにアップロードを行うということも可視化、および阻止することができる。これら一連の行動を把握し、スコアリングすることにより実現させている。
さらには、退職者予定者が行った画面上の操作が一連のスクリーンキャプチャーとして、パラパラ漫画のように保存される。そのキャプチャも、単に録画しているだけではなく、アラートが上がった箇所をすぐに特定することができるようにしているため、調査時間を大幅に短縮することが可能だ。
また、プライバシーモードによって、監視対象の人の個人情報をマスキングした上で監視することもできる。これにより、プライバシーを保ちつつ調査をおこなうことが可能で、深堀調査が必要と判断された場合、権限のある人がマスキングを外し、実名で調べるという運用も可能だ。
また、抑止制御機能にも強弱を付けることができる。一番弱いもので管理者画面側ではアラートが上がるがユーザー側には通知しないなど、選ぶことができる。次のレベルでは、警告の文言を出すことや、ポップアップ ウィンドウに何かしらのコメントを入れるまで進めなくすることもできる。一番強い制御としては、ユーザーを強制的にログオフさせたり、あるいは遠隔からアプリケーションを落としたりすることもリアルタイムで可能だ。このようにリアルタイムに対応することによって、不正のダメージを最小化させることが、有効なアプローチだと考えている。
実際にある銀行の事例では、コロナ禍における、コールセンター業務の在宅可が進んだが、個人情報を扱う際の監査要件を満たすことができなかった。そのため、Proofpoint ITMを導入し、現在は2万4,000のユーザーに対してデスクトップを監視して、個人の信頼性を確認しつつ、機密情報を扱える環境を作り出している。
<DX時代のセキュリティの見直しポイント>
金融機関においても、コロナ禍において、DXの推進とともに、在宅勤務等が進み、Teams、Slack、Facebook、Twitter、LinkedIn、OneDrive、Box等のコラボレーションツールを使用する機会が増えているが、これらを導入する際には、必ずセキュリティとコンプライアンスを一緒に考えるべきである。プルーフポイントでは、これらのアプリケーションでどのようなデータをやりとりしているかリアルタイムで確認し、外に出してはいけない機密情報を送信した場合は、外部へのメッセージをリアルタイムにブロックし、情報漏洩を防ぐことが可能だ。またこれら外部とのメッセージをアーカイブして、法規制要件にも対応することもできる。
当社のデータから分析した金融および保険業へのメールを利用した悪意ある攻撃については調べたところ、ダウンローダー、バンキングトロジャン、企業向けのフィッシング、消費者向けフィッシング、スティーラー、ボットネット、バックドア、キーロガーなどの悪意のあるメールが多数検出されている。
また現在、なりすましメールの手口が多岐にわたっており、表示名詐欺、タイポスクワッティング、「Reply-to」詐欺、ドメインのなりすましなどが挙げられる。なりすましメールには、包括的な対策が求められるが、電子メールの送信元のドメインを認証と表示されているメールアドレスの整合性を確認する技術であるDMARCの導入は、ドメインをなりすましたメール対策として非常に有効である。しかし国別にDMARCの対応状況を比較すると、アメリカ67%、フランス59%、オーストラリア52%、イギリス50%であるが、日本は日経225企業でもたったの25%しか導入していない。欧米に比べて非常に遅れている。また日本の主要銀行におけるDMARC導入率は41%と半分以上の主要銀行はDMARCを未導入ということが確認できている。DMARCの第一段階であるnone(監視のみ)の設定については、簡単に設定できるため、ぜひすぐにでも取り組んでいただきたい。
<まとめ>
DXの推進に伴って、より組織は繋がりやすくなってきている。しかし一方で、攻撃できる面積が増えている。今後は、自組織だけでなく、繋がっているすべての組織をしっかりと守る、このような視点でセキュリティを考えていくべきである。
◆講演企業情報
日本プルーフポイント株式会社:https://www.proofpoint.com/jp - 日本プルーフポイント株式会社