近年、サイバー攻撃の高度化・巧妙化が進み、従来のセキュリティ対策だけでは防ぎきれないケースが増加しています。特に、ファームウェアやネットワーク機器、IoT/OT機器といった、従来は見落とされがちだった領域が攻撃対象となるケースが目立ち始めています。
そうした中で、企業や組織がいかに「攻撃される可能性のある入口=アタックサーフェス」を把握・管理できるかが、セキュリティ対策の成否を大きく左右しています。米国CISAによる「KEVカタログ(Known Exploited Vulnerability)」などの指標を活用し、どの脆弱性への対処を優先すべきか、合理的に判断する姿勢が求められています。
本記事では、近年国内でも発生しているファームウェア起因のサイバーインシデント事例をもとに、なぜいま「アタックサーフェスマネジメント(ASM)」が必要なのか、また、ファームウェアレベルでのリスク把握と対策強化がどのような意味を持つのかについて解説します。
アタックサーフェスとは
アタックサーフェスとは、「攻撃者の視点で見た、企業の"攻撃可能な入口”」のこと。
つまり、脆弱性のあるサーバーや公開された不要なポート、古いソフトウェアなど、外部から攻撃が可能な“穴”を指します。現在、弊社のような脆弱性診断やペネトレーションテストなど、サイバー攻撃に対する脆弱性を可視化するベンダーにおいて、注目されている情報です。
このアタックサーフェスを正確に把握・管理することで、「どの経路から攻撃されやすいのか」「優先して対策すべきポイントはどこか」が明確になり、効率的かつ実効性の高いセキュリティ対策が可能になります。そのため、こうしたリスクを継続的に可視化・管理するアタックサーフェスマネジメント(ASM)の必要性が高まっています。
優先的に対処すべき脆弱性とは?注目される「KEV」
世の中には日々新たな脆弱性が発見されており、どれに対応すべきか悩ましいのが現実ですが、
そこで活用されているのが、KEV(Known Exploited Vulnerability)という指標です。
これは、米国のCISA(Cybersecurity and Infrastructure Security Agency)が発表しているもので、「すでに実際の攻撃に悪用されたことがある脆弱性」をリストアップした「KEVカタログ」が定期的に更新・公開されています。このKEVに多く含まれるのが、このKEVに多く含まれるのが、以下のようなベンダーのネットワーク機器、IoT/OT機器、サーバー機器の脆弱性です。
- ネットワーク機器ベンダー: Cisco,Fortinet,Ivanti,D-Link,Zyxel
- IoT/OT機器ベンダー:AMI,Schneider Electric,Siemens,Geovision,TP-Link
- サーバー機器ベンダー:AMI,HPE,Intel
この中でも特に注目されるのが「ファームウェアの脆弱性」です。
事実、以前の弊社ブログにて触れたファームウェアの脆弱性をついたサイバー攻撃はCisco製のルーターのファームウェアでしたし、米国eclypsium社の2023年3月時点での分析では、当時のKEVに含まれる889件のうちファームウェアの脆弱性が204件で、全体の23%との報告もあります。
国内でも起きている「ファームウェア起因の可能性があるインシデント」
このような状況の中、国内でもファームウェアが原因と疑われるセキュリティインシデントが発生しています。
「日鉄ソリューションズ、ネットワーク機器へのゼロデイ攻撃受け顧客情報流出のおそれ」( ITmedia )(※1)
同記事によると、社内ネットワーク機器がゼロデイ攻撃を受け、顧客やパートナー、従業員の個人情報などの一部が外部に漏えいした可能性があると発表した、とのことです。また、日鉄ソリューションズの発表によれば、3月7日に同社サーバーへの不審なアクセスを検知し、その後影響範囲調査を実施する中で、第三者による不正アクセスの形跡が確認されたとのことで、発表時点での被害報告はない、とのことです。再発防止については、「不正アクセスを受けた機器に対する隔離・再構築等の適切な対策、及び出口対策強化・ふるまい検知強化等の残存可能性のあるリスクへの対策を講じる」としていますが、一部メディアでは、「今回侵害された機器については廃棄し、別のあらたな機器を導入する方針。」としています。(※2)
筆者は、この一部メディアの「侵害された機器について廃棄」という点に注目しています。もしこの内容が真実であれば、不正アクセスから約3か月間の調査の結果、侵害された機器の何が問題だったのか、確証がもてていない、と推察されるからです。不正アクセス後に実施された(フォレンジック)調査では、高度なサイバー攻撃の場合、侵入経路や侵害されたソフトウェアを特定できない、といったケースが多く、その場合には安全策として、機器ごと廃棄・リプレイスという手法がとられるからです。前述のネットワーク機器やIoT/OT機器の脆弱性がKEVに上がっており、その中には、ファームウェアの脆弱性が相当量含まれている実態を考慮すれば、本件も、何かしらの形で、このファームウェアの脆弱性を突いた改ざん、侵入が大いに疑われます。漏洩したと思われる個人情報の中には、業務委託をしていた経産省の業務に関する個人情報も含まれていることが判明(経産省発表※3)しているので、標的型攻撃として、非常に高度なサイバー攻撃を受けた可能性が考えられます。
参照サイト:
※1 日鉄ソリューションズ、ネットワーク機器へのゼロデイ攻撃受け顧客情報流出のおそれ
※2 ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ
※3 業務委託先への不正アクセスによる個人情報の漏えいについて
セキュリティ対策支援サービスのご案内
サイバー攻撃の攻防は日々進化しており、外交安全保障環境が急速に悪化する中、攻撃者は「見落とされがち」な領域を突き、私たちの防御をかいくぐろうとしています。
だからこそ今、
- 攻撃されやすいポイント(アタックサーフェス)を把握すること
- ファームウェアなど深層領域まで監視を広げること
が、企業のセキュリティ戦略において欠かせない視点になっています。
特に多くの機器をご利用、取扱いの組織では、是非ファームウェアのリスク管理の強化をおすすめします。
弊社では、これらを統合的に支援するソリューションをご用意しています。
ご興味がある方はぜひこちら(セキュリティに関するお問い合わせ)までお問い合わせください。
セキュリティ無料相談会はこちら
- トピックス:
- セキュリティ
- 関連トピックス:
- アタックサーフェス ファームウェア
