情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は8月1日、「【注意喚起】インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意しましょう~|情報セキュリティ|IPA 独立行政法人 情報処理推進機構」において、企業や組織のネットワークとインターネットの間に設置されるセキュリティ製品が狙われ、ネットワーク貫通型攻撃として持続的標的型攻撃(APT: Advanced Persistent Threat)に利用されているとして、注意を促した。
企業内部のネットワークへ不正アクセスされた場合、企業情報の漏えいや改ざんに加え、ほかの組織への攻撃の踏み台になるとして、IPAは次のとおり備えるよう推奨している。
日々の確認
- 各種ログ監視による不審なアクセスなどがないかの確認
- セキュリティベンダーなどが発信する情報の収集
- 自組織で利用するネットワーク機器の外部公開状態の確認
平時の備え
- ベンダーから発信された情報を基に体制を整備
- ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順の整備
- 整備した体制、対応手順が運用可能なものであるかの確認と改善
IPAによると近年、日本国内においてもネットワーク貫通型攻撃が情報窃取キャンペーンの初期段階に用いられるケースが増えており、Array NetworksのArray AGシリーズ、vxAGシリーズ、FortiOS、FortiProxy、オンラインストレージ構築パッケージソフトウェアを使用しているサーバなど、ルータやVPN製品を悪用した事例が確認されているという。
IPAは、脆弱性を抱えた製品やサービスを使用している企業や組織はベンダーやSlerに相談し、修正プログラムや製品のアップデートなどの対策を行い、すでに侵害されている可能性を考慮してアクセスログなどに不審点がないか確認するよう求めている。
また、侵害されたサーバやネットワーク製品上にChinaChopperと呼ばれるWebシェルがバックドアとして設置されているケースがあるため、これら不審なファイルが増えていないかどうかも確認するよう呼び掛けている。
また、5月に経済産業省から公開された「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を活用し、組織のIT資産の状況把握とセキュリティ対策を行うよう促している。