キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報 サイバーセキュリティ情報局 ESET サイバーアタックサーフェスとは何か。そのリスクを軽減する方法とは？

近年の情報漏えい事故において、「サイバーアタックサーフェス（サイバー攻撃を受ける可能性の高い領域）」や、それに近い言葉を耳にした人も多いだろう。サイバー攻撃がどのような経路で発生し、組織のどこにリスクがあるかを理解することは重要だ。今回のパンデミックにおいて、このアタックサーフェスはこれまでにないほどのスピードで急速に拡大してしまった。そして残念なことに、企業は今日、攻撃を受ける可能性の高い領域がどこにあり、どれほど複雑になっているのかを特定できなくなっている。結果として、デジタルおよび物理的な資産が、サイバー犯罪者の攻撃を受ける余地を残したまま放置される事態となっている。

しかし幸いなことに、以下に紹介するベストプラクティスを実践すれば、アタックサーフェスの可視性を改善できる可能性が高い。可視化によって、アタックサーフェスを最小化し、適切に管理するために必要な施策を打てるようになるだろう。

アタックサーフェスとは何か？

簡単に言うと、アタックサーフェスは企業が保有する物理的およびデジタル的な資産のうち、サイバー攻撃を容易にするために侵害される可能性のあるものを指す。攻撃者の目的としては、ランサムウェアの拡散やデータの窃取、ボットネットの形成、バンキング型トロイの木馬のダウンロード、仮想通貨マイニングマルウェアのインストールなど多岐にわたるが、最終的には攻撃対象の拡大を狙う。つまり、攻撃対象が大きければ大きいほど、攻撃者が標的とする範囲が拡大するということだ。

アタックサーフェスは大きく2つのカテゴリに分類される。

デジタル・アタックサーフェス

ネットワークに接続されたハードウェア、ソフトウェア、そのほかすべての構成要素が含まれる。

アプリケーション：アプリケーションの脆弱性は一般的なものであり、攻撃者は重要な情報システムやデータへの有効な侵入口となり得る。

コード：マルウェアや脆弱性が含まれている可能性があるため、サードパーティによってコンパイルされたコードには大きなリスクがある。

ポート：攻撃者は開いているポートや特定のポートを使っているサービスがないかを探し回っている。例えば、RDP（Remote Desktop Protocol）に使われる3389番のTCPポートが対象となり得る。これらのサービスが適切に設定されていなかったり、バグが含まれていたりすると悪用される恐れがある。

サーバー：エクスプロイトを使った脆弱性攻撃やDDoS攻撃の標的となり得る。

Webサイト：Webサイトにおけるコードの欠陥や設定ミスといった要素もデジタル・アタックサーフェスに含まれる。サイト改ざんやフォームジャッキングのように悪意のあるコードが埋め込まれる可能性がある。

証明書：証明書を失効したままにしてしまう企業は少なくなく、攻撃者に悪用される恐れがある。

これらは、アタックサーフェスのすべてを網羅しているわけではない。デジタル・アタックサーフェスの急拡大を示すため、2020年にFTSE30社を対象に行われた調査の概要を以下に示す。

フィジカル（物理的な）・アタックサーフェス

攻撃者が物理的にアクセスできる、すべての端末が含まれる。

従業員も物理的な攻撃対象の主要な当事者であると言えるだろう。それは、サイバー攻撃の過程でフィッシング詐欺やその派生型を含め、ソーシャルエンジニアリングによって誘導されてしまうリスクがあるからだ。また、従業員の中には、企業のセキュリティ管理から逃れ、承認されていないアプリケーションや端末を使用するなど、シャドーITを行う者もいる。承認されていないツールは、多くの場合、十分に保護されていないために企業を新たな脅威にさらしている可能性がある。

アタックサーフェスは拡大しているのか？

企業は長年にわたり、ITインフラやデジタル資産を構築してきた。しかし、パンデミックにより、劇的に変化するビジネス環境に合わせてリモートワークをサポートし、ビジネスを維持するための大規模な投資をしてきた。そのため、アタックサーフェスも拡大しているのだ。以下はその一例である。

この傾向は今後も続いていく。専門家によると、多くの企業において業務の在り方が恒久的に変わる、デジタル化の転換点を迎えたという。こうした変化は、以下のようなリスクをはらむ。

また、アタックサーフェス拡大のリスクは上記にとどまらない。実際、攻撃者による数百もの手法が存在し、その中には非常に拡散しているものがある。例えば、ESET社は、2020年1月から2021年6月の間に、RDPの設定ミスを突いた710億件の攻撃を発見している。

アタックサーフェスのリスクを軽減するには

拡大するアタックサーフェスに対しては、サイバーセキュリティのベストプラクティスに従い対処するのが重要だ。その範囲を理解し、軽減・管理するための措置を講じることが第一歩となる。以下に、そのヒントを記す。

企業のIT環境は常に変化し続けている。具体的には、仮想マシンやコンテナー、マイクロサービスの普及、従業員の入社・退社、さらには新しいハードウェアやソフトウェアの導入といったものだ。そのため、アタックサーフェスの状態を可視化して管理していくためには、リアルタイムの情報に基づいて判断できる柔軟で高度なツールが求められる。アタックサーフェスのリスクを軽減するには、ほかのセキュリティ施策と同様に、「可視性と統制」に注目するべきである。