当日の講演資料を公開中!
2020年6月25日にマイナビニュース主催セキュリティセミナー「事件・事故発生時の対策 スムーズな初動に必要な環境と考え方」が開催された。エフセキュアのセッションでは、法人営業本部 シニアセールスマネージャーの河野真一郎氏が登壇。「事例に基づく、クラウド環境マルウェア/ランサムウェア攻撃例と迅速な対応方法」と題して、Web経由、Salesforce経由での攻撃の具体例と対処法を紹介した。
バックエンドで連携するSalesforceが狙われる
1988年にフィンランド ヘルシンキで設立され、欧州最大のサイバーセキュリティサービスと企業向け検知/対応ソリューションを展開するエフセキュア。アンチマルウェア企業の老舗企業だが、コンサルティングでも多くの実績があり、サイバーインシデントに対する調査機関としては欧州で史上最多の依頼数を誇る。従業員は世界1,700名で、このうち300名以上が顧客向けにペネトレーションテストなどを実施するホワイトハッカーやリサーチャーだ。
河野氏は日本法人エフセキュアで、クラウドセキュリティおよびサイバーセキュリティコンサルティングを担当。外部勉強会やセミナーなどでもサイバーセキュリティの必要性と対応方法をリアルな具体例を用いて説明している。
「クラウド環境を対象とした新たな攻撃事例として近年増えているのは、Salesforce経由の攻撃です。業務アプリケーションのバックエンド側でSalesforceを利用しているケースは相当増えています。従来のようにメールでマルウェアを送信するのではなく、一般消費者からの問い合わせや申し込みのためのフォームにファイルを添付するかたちでマルウェアやランサムウェアを送信してくるのです」(河野氏)
新型コロナウイルス対策のためのWebサイトや特別給付金の申請用サイトでは、バックエンド側のシステムとしてSalesforceが使われるケースが増えており、攻撃者はそれらを悪用する。
「オンライン申請手続きに伴い自動車免許証などの個人情報の含まれた書類のコピーなどを装い、ランサムウェアを含んだファイルを添付してくる攻撃方法が増えてきています。コンタクトセンターの担当者が中身を確認しようとファイルを開くと感染してしまい、コールセンターのPCやネットワークでつながっているその組織の内部で、ランサムウェアが広がっていくことになります。以下の動画は、Salesforceを利用した攻撃例を紹介したご参考動画です」(河野氏)
窓口業務のオンライン化が脅威の広がりに拍車をかけている
こうしたSalesforceなどのクラウド環境と連携した業務システムを狙った攻撃に対しては、クラウド環境側でのセキュリティ対策、マルウェア対策も必要となってきている。
「新型コロナウイルスの影響で、従来の店舗・支店で実施していた窓口業務、受付業務のオンライン化が進んでいます。数年前に比べると、Webサイトを経由して一般消費者が証明書類などのファイルを添付して送信するケースは格段に増えています。これら業務のオンライン化に伴い、Salesforce環境が採用されることも多く、脅威はさらに増えることが予想されます」(河野氏)
そうなったとき、クラウド環境やSalesforce環境に対して、どのようにファイルスキャン、マルウェアスキャンを行えばよいのか。河野氏はまず、こうしたクラウドプラットフォームに対してセキュリティを導入する理由を、次のように説明する。
「クラウド上のコンテンツの安全性確保はユーザー側の責任であり、ユーザー側で対処する必要があります。また、企業の社内端末はエンドポイントセキュリティにより保護されますが、Salesforceはパートナーやエンドユーザーとコンテンツを共有する場としても使用されます。このような場所を通じてマルウェアが拡散されると、企業イメージのダウンにもつながります」
参考リンク
ホワイトペーパー: 「クラウドセキュリティの本質とは何か?」
クラウドサービスを対象にしたセキュリティ攻撃からあなたの会社を守る方法を確認ください。
実際、Salesforce社も「データプライバシー保護の観点からウイルススキャンまたは検疫はお客様のデータをファイルデータとして取り扱うため実施しません」と明言し、ユーザー自らがマルウェア対策ソリューションを実行することを推奨している。
1日数千件の問い合わせに対して迅速にマルウェアスキャン
そんななか、クラウド環境のマルウェア対策としてエフセキュアが提供しているのが「F-Secure Cloud Protection for Salesforce」だ。
「F-Secure Cloud Protection for Salesforceは、マルウェア/ランサムウェアや悪意あるURLに対するセキュリティチェックを提供するソリューションです。Salesforce環境とF-Secure Security Cloud がAPI連携によりウイルスチェックを行い、脅威の検知・対応を行います」(河野氏)
特長は、Cloud to Cloudアーキテクチャであり、ミドルウェアのインストールや新規サーバの導入が不要であり、Salesforce上のAppExchange(ビジネスアプリケーションのマーケットプレイス)を使ってわずか数分でインストールが完了することだ。ライセンスもユーザー数 × 年間単価というサブスクリプションモデルで利用できる。
F-Secure Cloud Protection for Salesforceは、ヤフーや金融機関など、国内で多くの採用実績がある。ある金融機関では、サービスの利用開始時の申し込み書類をSalesforce環境にアップロードする際のマルウェアチェックとURLチェックに利用。また、ある国内サービス業では、月間5,000名のCommunity Userが履歴書などの個人情報を私用PCからアップロードする際の保護の仕組みとして採用した。ヤフーでは1日数千件の問い合わせがあり、API連携によりパフォーマンス劣化のないマルウェアスキャンを実現しているという。
クラウド環境に特化したセキュリティコンサルティングを提供
エフセキュアではソリューションだけでなく、クラウド環境向けセキュリティコンサルティングまで提供してくれる。インフラやミドルウェア、ソースコードレベルのWebアセスメントから、クラウド環境に特化したセキュリティ診断として、侵入テスト、ソーシャル攻撃、物理セキュリティまでを行っている。
「Web上での侵入テストにとどまらず、IoTやオフィス環境の物理セキュリティまで含めてコンサルティングを実施しています。またクラウドについてもAWSやAzureなど、クラウド事業者ごとにコンサルティングを実施しています」(河野氏)
講演の最後には「情報セキュリティ事故対応アワード」審査員より、SBテクノロジー株式会社 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー辻 伸弘氏と、株式会社インターネットイニシアティブ セキュリティ情報統括室長 根岸 征史氏がパネラーとなり、河野氏とのディスカッションも実施された。
すり抜けてしまった脅威をあとから検知する機能はあるか、という辻氏からの質問に対して、河野氏は「スケジュールスキャンの機能と組み合わせて脅威をあとからでも検知できることはもちろん、導入前に蓄積されていた過去のファイルもスケジュールスキャンで検知することも可能です」と回答。
また、根岸氏が「エンドポイントに加えてクラウド環境にソリューションを入れるメリットは何ですか」と問いかけると、社内だけでなく顧客や社外ユーザーとのやりとりが保護されることがメリットであると語り、今まで窓口で対応していた業務が一般ユーザーからのファイルアップロードに移行した場合は、特に効果的であると強調した。
さらに根岸氏からの「たくさんのユーザーから脅威と思われるアップロードがあった場合、脅威のトリアージはどのように行うのか」といった質問に対しては、外部のSIEMとAPI連携することが可能なため、危険なマルウェアをピックアップする作業を自動化することもでき、またその運用方法に関するアドバイスやサポートも充実していることを紹介した。
クラウドの利用が広がるなか、新たな攻撃の手口が日々登場している。エフセキュアのソリューションは、それらに対抗する有効な手段になるといえるだろう。
[PR]提供:エフセキュア