皆さまの安心・安全なビジネスを
サポートするセキュリティパートナです
我々は未知な領域での情報流出調査から、
脆弱性管理、監視、対策まで
高いレベルのセキュリティサービスをご提供いたします。
お問合せ窓口
アメリカのセキュリティ企業、パロアルトネットワークスの調査によれば、サイバーセキュリティ攻撃の原因で2番目に多かったのが「脆弱性」でした。サイバーセキュリティの脅威は常に進化しており、企業は先手を打つことが不可欠です。 自社のサイバーセキュリティを最新の状態に保つための効果的な方法が、脆弱性診断の実施です。脆弱性診断とは、システムやネットワークの弱点を特定し、高いレベルのセキュリティを維持するプロセスのこと。本記事では、脆弱性診断の特徴や必要な理由、ペネトレーションテストとの違い、診断の流れなどを解説します。 そもそも脆弱性とは? サイバーセキュリティの世界では、脆弱性はコンピュータシステムやネットワークの弱点を指します。シノプシス サイバーセキュリティ・リサーチセンターの調査によれば、4,400件のテストのうち95%に脆弱性が発見されました。 ハッカーは脆弱性を利用して企業の機密情報を盗み取り、ダークウェブ上で他の犯罪者に機密情報を販売するリスクがあります。なお脆弱性は、ソフトウェアやハードウェア、あるいは人間の行動にまで存在する可能性があり、悪用される前に特定し、対処することが組織にとってとても重要です。 脆弱性診断が必要な理由 脆弱性診断とは、システムやアプリケーションなどのセキュリティ上の弱点を特定し、評価するプロセスです。脆弱性評価が必要な理由の1つは、常にサイバー攻撃が高度化しており、新たな脆弱性が続々と発見されるためです。 サイバー犯罪者は脆弱性を利用して、システムへの不正アクセスや機密情報の窃取、マルウェアやその他の悪意のあるソフトウェアのインストールなどを行います。盗まれた機密情報は、ダークウェブ上で他のサイバー犯罪者に販売され、個人情報の盗難や金融詐欺など、さまざまな違法行為に使用されるリスクがあるのです。 脆弱性はサイバー犯罪者が機密データにアクセスして盗み出すための経路となり、そのデータはダークウェブで売買されます。このような攻撃を防ぎ、機密データを悪用されないようにするためには、企業がシステムの脆弱性を積極的に特定し、適切な対処を施すことが欠かせません。 脆弱性評価によって、企業は潜在的な脅威を把握し、脆弱性が悪用される前に対処できるようになるわけです。 ペネトレーションテストとの違い ペネトレーションテストとは、システムまたはネットワークに対する模擬攻撃をして、セキュリティ対策の有効性をテストし、攻撃者に悪用される可能性のある脆弱性を特定する手法です。ペネトレーションテストの目的は、現実世界の攻撃者が使用する戦術や技術、手順を再現し、組織のセキュリティ上の弱点やギャップを特定することです。 脆弱性評価とペネトレーションテストは、どちらも潜在的なセキュリティ上の弱点を特定する点では同じですが、脆弱性評価がより受動的なアプローチであるのに対し、ペネトレーションテストはより能動的なアプローチという違いがあります。 脆弱性診断の主な評価対象 脆弱性診断の対象としてよく知られているのは、Webアプリケーション、プラットフォーム、ネイティブアプリ、IoTの4つです。ここからは、各評価対象の特徴と脆弱性診断が重要である理由について説明します。 ウェブアプリケーション ウェブアプリケーションは、広く利用されており、ネットワークへの容易な侵入口となるため、攻撃者に狙われることが多いです。Webアプリケーションの脆弱性評価をすれば、SQLインジェクションやクロスサイトスクリプティング(XSS)、その他のコードインジェクション攻撃などの脆弱性を特定できます。また、ウェブアプリケーションへの攻撃リスクを高める設定ミスやその他の問題の発見も可能です。 プラットフォーム プラットフォームの脆弱性評価は、ウェブアプリケーションをサポートする基礎的なコンポーネントの脆弱性を特定するのに役立ちます。例えば、Webサーバーの脆弱性評価では、サーバーを攻撃されやすい状態にしている古いソフトウェアや設定の特定が可能です。 ネイティブアプリ ネイティブアプリとは、AndroidやiOSなどの特定のオペレーティングシステム上で動作するように設計されたアプリケーションです。これらのアプリはデバイスに直接インストールされ、カメラやマイク、位置情報サービスなどのデバイス機能にアクセスできます。 ネイティブアプリの脆弱性評価は、安全性の低いデータ保存や不十分な暗号化、認証の問題などの脆弱性の特定に役立ちます。 IoT IoTとは、インターネットに接続され、相互に通信可能な物理的なデバイスや自動車、家電製品などを指します。IoT機器の脆弱性評価は、脆弱なパスワードや暗号化されていない通信経路、安全でないファームウェアなどの脆弱性を特定するのに役立ちます。また、IoT機器の管理・制御に使用されるモバイルアプリやウェブポータルの脆弱性も発見することができます。 主な脆弱性の種類一覧 主な脆弱性の種類とその特徴を下記表にまとめました。 脆弱性 特徴 SQLインジェクション 攻撃者が悪意のあるSQLコードを埋め込み、データへのアクセスやアプリケーションの制御をするサイバー攻撃。ウェブアプリケーションを介して実行される。 クロスサイトスクリプティング(XSS) 攻撃者が他のユーザーが閲覧するウェブページやアプリケーションに悪意のあるスクリプトを埋め込み、機密データの盗難やユーザーセッションの乗っ取りをするサイバー攻撃。 ユーザー入力の検証や出力のサニタイジングが適切に行われていないウェブアプリケーションを介して実行される。 リモートコードエグゼキューション(RCE) 攻撃者がターゲットシステムまたはアプリケーション上で悪意のあるコードを実行することで、システムやアプリケーションの制御や機密データの盗難をするサイバー攻撃。 ユーザー入力を適切に検証しない、入出力チャネルを保護しないなど、安全でないコーディング手法が原因となることが多い。 人的脆弱性 物理的な機密情報の盗難や社外での会話が原因の漏洩、破損などの人為的な操作により引き起こされる脆弱性。 手動とツールの脆弱性診断の違い 脆弱性診断は手動もしくはツールで実施されます。どちらの方法にもメリット・デメリットがあるため、自社に最適な方法を選べるように、各方法の特徴を理解しましょう。 手動による脆弱性評価 手動による脆弱性評価とは、サイバーセキュリティの専門家が攻撃者の視点となり、手動で調査する方法です。主にツールと手動によるテスト方法を組み合わせ、ツールが見落とす可能性のある脆弱性の特定に使用されます。 手動調査は、ツールベースの評価よりも時間とリソースを要しますが、より詳細で正確な結果に期待できます。なぜなら、手動評価では専門家の知識と経験、直感が使用されるため、ツールでは見落とされる可能性のある脆弱性や潜在的な攻撃ベクトルを特定できるためです。 ツールベースの脆弱性評価 ツールベースの脆弱性評価は、システムまたはアプリケーションの既知の脆弱性と弱点を特定するように設計された自動スキャンツールを使用して実施されます。 ツールベースの評価は、手作業による評価よりも迅速かつ少ないリソースで実施できますが、正確性に欠ける場合があります。自動化されたツールは、データベースに登録されている既知の脆弱性しか特定できないため、新しい脆弱性や未知の脆弱性を見逃す可能性があるためです。 ツールベースの評価は、コンプライアンス目的などセキュリティ態勢を迅速かつ定期的に評価する必要があるシステムに推奨されます。 脆弱性診断の流れ 脆弱性診断の流れは以下の通りです。 1.目的の明確化 2.脆弱性診断サービスの選択 3.スケジュール調整4.調査の実施5.報告及び対策 ここからは、各ステップの詳細について解説します。 目的の明確化 脆弱性診断における最初のステップは、診断目的を明確にすることです。目的が明確になれば、診断対象となる資産や診断の範囲、テストする脆弱性の種類などが特定できます。 脆弱性診断サービスの選択 目的が明確になったら、脆弱性診断サービスを選択します。自社にサイバーセキュリティに精通した人材がいなければ、専門のベンダーに依頼しましょう。サービス選定の際に考慮すべき要素としては、サービスの専門性や評判、実績、コスト、可用性などが挙げられます。 スケジュールの調整 専門のベンダーと脆弱性診断の日程を調整し、資産へのアクセスやネットワーク接続など必要要件を調整します。 調査の実施 自動化ツールもしくは手動テスト、またはその両方を組み合わせた脆弱性評価を実施します。評価対象の資産への影響を最小限に抑えるため、管理された構造的な方法で実施する必要があります。 報告および対策 調査が完了したら、評価結果を文書化し、ステークホルダーと共有します。レポートには、特定された脆弱性の概要やその重大性、および推奨される対策が含まれるべきです。報告書を確認し、リスクに基づいて脆弱性に優先順位をつけ、迅速に対策をしましょう。 まとめ 脆弱性診断は、企業が自社のシステムやネットワークにおけるセキュリティリスクを特定し、サイバー攻撃を事前に防ぐために必要不可欠です。定期的に脆弱性診断を実施することで、機密情報の流出をはじめとするサイバー攻撃の被害に遭う前に、脆弱性を緩和する予防策を講じられます。 弊社は脆弱性診断とペネトレーションテストを提供しております。サイバーセキュリティの専門家が、貴社のニーズや状況に応じた脆弱性診断を提案し、診断結果と対策案を詳細に報告いたします。ご興味のある方は、まずは下記よりお問い合わせください。 https://www.aegistech.jp/contact
read more
-
20 2023-03国内金融機関、 ダークウェブ への情報流出調査結果
国内金融機関、 ダークウェブ への情報流出調査結果 サイバーセキュリティ専門会社の株式会社アイギステックは、国内の主要金融会社30社についてダークウェブへのアカウント情報漏洩の現状を調査した結果、合計15,202件の漏洩と社内文書の流出が13社発生していることを確認しました。ランサムウェア攻撃を行っている組織は、ダークウェブから不正に取得した情報を基に攻撃するケースが増加しているので、流出した経緯の分析と対策が必要です。 <調査方法> 脅威インテリジェンスプラットフォームである「ダークトレーサー(DarkTracer)」を利用して、2023年2月末において、国内の主要金融機関からダークウェブへ流出したアカウントの数を調査しました。 . 対象:メガバンク、地方銀行10社、大手保険会社10社、大手証券会社10社 . アカウント情報はID(e-mail)とパスワードのペアが流出したケースを1件とカウント . 流出したアカウント情報はダークウェブに流出したデータ原本のままであり、 真偽及び有効性(ログイン可能か)は検証しておりません。 < 調査結果 > - 調査対象30社のすべての企業でダークウェブへの情報流出を確認 - アカウント情報流出件数:15,202件以上 - 社内文書が流出した社数:13社 - 社内端末がハッキングされている疑い:5社、9件 ※より詳細な調査により流出した文書のタイトルまで確認することができます。 区分 会社数 流出件数 1000件以上 6 10,641 500~999件 4 2,589 100~499件 9 1,571 1~100件 11 401 合計 30 15,202 - 本調査では、一般的に確認可能な各社の代表ドメインのみを対象に、調査しましたので、子会社、グループ会社、協力会社のドメインまで拡大して精査を行った場合、 さらに多くのアカウント情報流出が見つかるだろうと予想しています。 - 特に、社内の端末がハッキングされたと疑われるケースも5社から9件あり、 金融企業としては調査及び対策が必要と判断しています。 - 流出したアカウント情報が1,000件以上の会社は6社、100件以上は13社、100件未満は11社 < ダークウェブ情報流出の脅威> ダークウェブに流出した情報はサイバー攻撃に悪用される可能性が高いです。 最近のサイバー攻撃のトレンドとして、ダークウェブに流通した情報を使ってフィッシング、スミッシング攻撃、クレデンシャルスタッフィング攻撃されるケースが増えています 企業のシステム脆弱性、個人情報などの情報を容易に購入して攻撃できるため、このようなニーズが増えていると考えられます。特に、流出したアカウント情報を悪用するクレデンシャルスタッフィング攻撃は主なトレンドとして増加の傾向にあります。 *クレデンシャルスタッフィング攻撃(Credential Stuffing) - クレデンシャル: 暗号化された個人情報、ログイン情報 - クレデンシャルスタッフィング:攻撃者が事前に確保している個人情報を無作為で入力 し、利用者のアカウントを奪取するサイバー攻撃 < 対策方法> - ダークウェブに重要な企業情報が流出したことを発見した場合、以下のような対応をお勧めします。 1. 直ちにセキュリティ専門家や専門会社を通じて流出経路を把握 2. 流出した個人情報の保護のため、新たにアカウントのパスワード ポリシーを適用し、 セキュリティ認証手続きを強化 3. 個人情報が流出した経路及び方法を把握した場合は、関連する詳細内容を社内告知し社員全員が警戒心を持つように教育 4. 自動監査ソリューションを使用してダークウェブおよびその他のセキュリティ問題を 点検および監視 5. ユーザーの個人情報漏洩防止のため、新たなセキュリティ手順作成、セキュリティ管理のための各PC、サーバ、DBの脆弱性確認、常に監視することができるシステムの導入と定期メンテナンス計画の検討 <株式会社アイギステック 「ダークウェブ情報流出監視」サービスについて> オンラインプラットフォーム、ソーシャルメディア、ダークウェブへの企業情報、顧客の個人情報が流出しているかを定期的に調査および監視するサービスを提供します。 顧客のアカウント情報、電話番号、住所、Eメール、クレジットカード番号などの個人情報をはじめ、企業機密文書、メールアカウント/パスワード、 ハッキング/ウイルスに感染したデバイス情報を調査することで、より安全なセキュリティ対策を立てることができます。
-
10 2023-03国内100大企業、 Darkweb への情報流出調査結果
国内の100大企業のDarkwebへのアカウント情報漏洩を調査した結果、合計45万件以上が流出、ドキュメント流出は34社があることを確認しました。 サイバーセキュリテ会社の株式会社Aegistech(アイギステック, https://www.aegistech.jp/)は国内の時価総額基準100大企業のDarkwebへのアカウント情報漏洩の現状を調査('23.1月末)した結果、 合計45万件以上の情報が流出していることを確認しました。また、社内文書が流出した企業も32社あり、Credential Stuffing攻撃またはFishingの悪用が懸念されます。 <調査方法> Darkweb インテリジェンプラットフォームである「ダークトレーサー(DarkTracer)」を利用して、2023年1月末基準、国内の主要企業のDarkwebへ流出したアカウントの数を調査しました。 . 対象:時価総額上位100社の代表ドメイン. アカウント情報はID(e-mail)とパスワードのペアが流出したケースを1件とカウント. 流出したアカウント情報はDarkwebに流出したデータ原本のままであり、真偽及び有効性(ログイン可能か)は検証しておりません。< 調査結果 >- 調査対象100社のすべての企業でDarkwebへの情報流出を確認- 453,310件以上のアカウント流出を確認- 社内文書が流出したケースを32社で確認 ※より詳細な調査により流出した文書のタイトルと数を確認することができます。- 流出したアカウント情報が1,000件以上の会社は54社あり、半数以上の会社で1,000件以上の情報が Darkwebへ流出したことが判明しました。 - 製造業と非製造業に分けて比較した場合, 通信/IT/金融/サービス/不動産など非製造業の情報流出が 78%で製造業より3倍以上あることが確認されました - 本調査では、一般的に確認可能な各社の代表ドメインのみを対象に、調査しましたので、子会社、グループ会社、協力会社のドメインまで拡大して精査を行う場合、さらに多いアカウント情報流出が見つかるだろうと予想しています。 < Darkwebへの脅威とリスク>- 国内外のDarkweb市場の規模が次第に増加する傾向にあり、Darkwebを通じた企業の被害が増加しています。 RaaS(Ransomware-as-a-Service)キットは数年間、Darkwebで使用することができましたが、レビル(Revil)やガンクラブ(GandCrab)のような専門的な犯罪グループが登場するにつれて、これらのキットははるかに危険になりました。 これらのグループは自ら精巧な悪性コードを開発し、時には既存のツールと結合して「系列会社」を通じて配布します。系列会社はDarkwebを通じてランサムウェアパッケージを配布し、被害者のデータを盗み、身代金を払わないとDarkwebに公開すると脅す場合が多いです。 レビル(Revil)のような専門サイバー犯罪グループの実際の被害事例として、‘21.5.7米国パイプライン企業(コロニアル)、ランサムウェア攻撃により操業一時停止、‘21.5.14日本東芝テック海外支社に対するサイバー攻撃、‘21.5.16グローバル保険会社(AXA)のランサムウェアおよびDDoS攻撃後ダークウェブを通じた情報流出などがあり、年々増加の傾向です。- Darkwebに流出したアカウント情報は「クリエイティブスタッフィング(Credential Stuffing)攻撃 ※」およびフィッシング攻撃などに悪用され、様々な2次被害を引き起こす可能性があります。 最近、ランサムウェアグループが企業内部に浸透するためにDarkwebに流出したアカウント情報を悪用する事例も増えています。 ※Credential Stuffing攻撃 : ダークウェブなどから流出したIDやパスワードなどのログインアカウント情報を 収集し、他のウェブサイトやシステムなどに無作為に入力してログインに成功し、内部権限を獲得する攻撃< 対応方法>- Darkwebを常時モニタリングして流出したアカウント情報を把握し、以下のように対応しなければなりません。1. 直ちにセキュリティ専門家や専門会社を通じて流出経路を把握2. 流出した個人情報の保護のため、新たにアカウントのパスワード ポリシーを適用し、セキュリティ認証手続きを強化3. 個人情報が流出した経路及び方法を把握した場合は、関連する詳細内容を社内告知し社員全員が警戒心を持つように教育4. 自動監査ソリューションを使用してDarkwebおよびその他のセキュリティ問題を点検および監視5. ユーザーの個人情報漏洩防止のため、新たなセキュリティ手順作成、セキュリティ管理のための各PC、サーバ、DBの脆弱性確認、常に監視することができるシステムの導入と定期メンテナンス計画の検討 <株式会社アイギステック 「Dark Web情報流出監視」サービスについて>オンラインプラットフォーム、ソーシャルメディア、Darkwebへの企業情報、顧客の個人情報が流出しているかを定期的に調査および監視するサービスを提供します。顧客のアカウント情報、電話番号、住所、Eメール、クレジットカード番号などの個人情報をはじめ、企業機密文書、メールアカウント/パスワード、ハッキング/ウイルスに感染したデバイス情報を調査することで、より安全なセキュリティを提供します。
-
10 2023-03Dark Web企業情報流出調査、情報セキュリティコンサルティング専門「株式会社アイギステック」設立のお知らせ
株式会社アイギステック企業の情報セキュリティ対策専門企業の株式会社アイギステック(本社:東京都港区、代表取締役:林翼鉉)が、2023年1月4日に設立されたことをお知らせ致します。 企業・組織はランサムウェアによる被害、標的型攻撃による機密情報の窃取、サプライチェーンの弱点を悪用した攻撃、テレワーク等のニューノーマルな働き方を狙った攻撃など多様なセキュリティ攻撃により被害が拡大しています。企業・組織が巻き込まれた場合は最も大事な顧客の信頼を失い、その影響の廃業するケースも少なくありません。一般的に企業ではスパムフィルターやアンチウィルスソフトなどで安全対策をとっていますが、これだけは情報流出を防ぐことは十分とはいえません。弊社はこのような状況でランサムウェアによる攻撃情報、悪質なハッカーによる攻撃情報など、企業活動の脅威となる情報を収集し、AIや情報セキュリティの専門家が分析、加工した精度の高い脅威インテリジェンスを、どこからでも使いやすいサービスを提供いたします。 特にダークウェブの脅威は年々増加しており、その危険性はいうまでもありません。 ダークウェブはGoogle, Yahooなどの通常の検索エンジンでは収集できない闇サイトのことで、TOR(The Onion Router)など特殊なソフトを使い、個人の認証情報や企業の知的財産、非合法な危険物などの売買などが日常的に行われています。そのため,ダークウェブ上でやり取りされている自社の情報を把握し,脅威を未然もしくは早期に対処することが最も重要です。しかし、企業や組織で自らダークウェブにアクセスして調査を行うことは技術的に・心理的に無理があります。弊社はTORやI2Pなどの匿名ネットワークソフトウェアを使用することなく、安全にダークウェブにある情報を検索できるソリューションを利用し、定期的に調査結果を報告するサービスをご提供いたします。 ツールに埋め込まれたOSINTテクノロジーは、ダークウェブとディープウェブの悪意のある攻撃者を特定するための多くの情報を提供します。ダークウェブにおける機密情報の侵害状況を監視することで悪意のある活動の重要な証拠を見つけ、ダークウェブとディープウェブの両方で犯罪者を追跡したり、企業の機密情報漏えい状況を確認したりするためにとても有効です。弊社の情報流出監視サービスを利用することで自社とグループ企業の情報漏洩状況を調査、顧客企業の情報漏洩状況を調査、犯罪調査などが可能です。また、一回だけでなく、定期的に調査・対策をすることでより安全なセキュリティを実現できます。 株式会社アイギステックならびに「Dark Web 情報流出監視」サービスをどうぞよろしくお願いいたします
-
10 2023-03【ダークウェブ無料調査キャンペーン実施中】
弊社は無料で企業の情報流出を調査するキャンペーンを実施しております。 【ダークウェブ情報流出の無料調査】企業のメールアドレス、パスワードなどのアカウント情報、ドキュメントのダークウェブへの流出が増えている中、将来的にこの情報が原因となってランサムウェアによる被害や、標的型攻撃による機密情報の窃取、サプライチェーンの弱点を悪用した攻撃、テレワーク等のニューノーマルな働き方を狙った攻撃など、様々な攻撃により被害が発生するリスクが増えてきております。これまで企業ではスパムフィルターやアンチウィルスソフトなどで安全対策をとっていますが、これだけは情報流出を防ぐことは十分とはいえません。まず、どのような情報がどの端末またはIPを通じて流出したか?どのような情報が流出出したかなど状況を把握する必要があります。アイギステックは流出状況の詳細を企業のドメイン、関連キーワードのみの情報でTORやI2Pなどの匿名ネットワークソフトウェアを使用することなく、安全にダークウェブにある情報を検索できるソリューションを利用し流出状況を詳細に調査することが可能です。詳細情報をもとに、e-mailアドレスの更新・破棄、パスワードの変更、ハッキングPCの特定、セキュリティポリシー強化などをご提案いたします。また、このような調査・対策を定期的に行うことにより、企業のセキュリティ対策を一段と強化することで多様化、高度化している悪意のある攻撃を事前に防ぐことが可能になります。 まずは無料簡易調査で自社の情報がどれだけダークウェブに流出しているか実態を把握してください。調査依頼も非常に簡単で、下記のURLからわずか1分で依頼が可能です。*ダークウェブ情報流出無料簡易調査キャンペーンhttps://www.aegistech.jp/free_summary 株式会社アイギステックならびに「ダークウェブ 情報流出監視」サービスをどうぞよろしくお願いいたします
