ここから本文です

企業サイトの4割が容易に攻撃可能、CMSなどの容易なサイト構築に潜む脅威

7/27(木) 16:37配信

ITmedia エンタープライズ

 NRIセキュアテクノロジーズは7月26日、顧客企業に提供した情報セキュリティ対策サービスを通じて蓄積したデータを基に、最新の動向分析と推奨する対策をまとめた「サイバーセキュリティ傾向分析レポート2017」を発表した。このレポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、2005年度以降、毎年発表されている。

 2017年版で分析対象としたデータは、2016年度(2016年4月1日~2017年3月31日)に顧客企業へ提供したサービスから得たもの。今回のレポートで注目されるトピックとして、同社は以下の3つを挙げている。

1.セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加

 マネージドセキュリティサービスの結果を分析したところ、2016年度中にファイアウォールで遮断した通信約22.6億件のうち、48.1%にあたる10.9億件が遠隔操作に用いられるtelnetポート(23番ポート)への通信だった。2015年度の1.7億件に比べて、約6.4倍となった。

 telnetは、ネットワークに接続された機器を遠隔操作するために使われるプロトコルで、通信の暗号化や証明書を利用した接続先の正当性を確認する機能を持たないため、企業用途で使われることはほとんどないという。にもかかわらず、WebカメラやルーターなどのIoT機器を標的としたtelnetポートへの攻撃が増加しているという。

 この背景として、telnetポートへのアクセス制限を行わずにインターネットにつながれているIoT機器が比較的多いことや、機器によっては初期設定のID、パスワードが公開されていることがあり、攻撃の標的となりやすいことが要因と分析。気軽に使えるようになったこれらの機器が脆弱な状態にあると、DDoS攻撃の踏み台などに悪用される可能性があると指摘する。

 企業側の対策としては、専任の担当者によって管理対象とすべきIoT機器を洗い出し、機器自身が持つアクセスコントロール機能や、ファイアウォール、ルーターなどによってアクセス制限を施すなどの適切な設定をすることを推奨している。その際、telnetポートに限らず、別のポートに機器固有の脆弱性が見つかれば、次はそこが狙われることになるため、IoT機器の管理手法を見直す必要もあるという。

 また機器メーカーには、機器の標準仕様で必要なセキュリティ機能を備え、販売後に脆弱性が発覚したときには速やかに対応できる体制を整えるといったことが望まれるとしている。

2.HTTPS通信(暗号化通信)への移行が加速する一方、新たな問題が浮上

 同社のマネージドセキュリティサービスの1つである「FNCセキュアインターネット接続サービス」のプロキシサーバのWebアクセスに関するログ(調査対象企業数20社)を集計した結果、HTTPS通信(暗号化された通信)の割合は、2016年4月の19%程度から、2017年3月に40%に増えたことが判明。

 GoogleやYahoo! Japanなどの大手インターネットサービスを中心にWebサービスのHTTPS化が進んでいることが、HTTPS通信の割合を引き上げる結果につながったという。HTTPS通信は、Webサーバの正当性を確認でき、第三者による傍受を防止できるなどの点から、ユーザーにとってメリットが大きいとされている。

 その反面、企業のインターネット接続環境の管理面では、プロキシによる通信経路上でのセキュリティ施策が有効に機能しなくなるというデメリットがあると指摘。HTTPS通信では、宛先IPアドレスや宛先QDNなどの限定的な情報しか検査できなくなり、アンチウイルス、URLフィルター、侵入検知(IDS/IPS)、通信内容の保存といった従来のセキュリティ対策ができなくなる問題があるという。

 また、多くのクラウドサービスがHTTPS通信で暗号化されているため、サービスを利用する企業にとっては、従業員の利用状況の可視化や統制がしづらくなるという問題も出てきている。

 HTTPS化の流れが進む中、このような問題を認識した上で、境界防御といったHTTPS化に対応したセキュリティ対策が求められるとしている。

3.企業のWebサイトの4割が容易に攻撃可能な状態

 顧客企業のWebサイトを棚卸しするセキュリティ診断サービス「Webサイト群探索棚卸サービス GR360」で2016年度に調査した全4039サイトのうち、約4割が、容易に攻撃可能な状態であることが分かったという。古いバージョンのソフトウェアを使用していたり、IDとパスワードのみの認証で管理画面が公開されたりする状態で、特にマーケティングキャンペーンのサイトや、中小企業のコーポレートサイトにこの傾向が多く見られたという。

 背景として、CMSの利用拡大により、専門的な知識をそれほど必要とせず、比較的容易にWebサイトを構築できる反面、セキュリティの堅牢化に関するノウハウの提供や、保守、運用までを配慮したサイト設計が十分になされていないことなどが挙げられると指摘。

 企業のWebサイトとしてセキュリティ水準を維持するには、専任の担当者を配し、自社のWebサイトの現状を把握した上で、Webサイトインフラの統合や一元管理を行うことが望ましいとしている。

 CMSでの対策については、2016年9月にIPA(独立行政法人情報処理推進機構)が公開した技術資料「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」などを参考に、サイトの安全性が一定の水準を満たしているかを検証することが有効だという。