事例から考える情報セキュリティ対策:ブルートフォース攻撃による不正アクセス
実際に起きた情報セキュリティインシデントの事例から、改めて自分自身が関わるセキュリティ対策を見直すために「事例から考える情報セキュリティ対策」をシリーズとして始めようと思っています。
本業が医療系の技術職のため、主に医療機関を対象にした情報セキュリティインシデントを取り上げます。
注意:事例から学ぶためにインシデント情報も掲載しています。公開情報ではありますが、拡散を推奨する内容ではありません。倫理的な配慮を持った取り扱いをお願いします。
概要
大学医学部附属病院教職員のメールアカウントが海外からブルートフォース攻撃(総当たり攻撃)を受け、個人情報が含まれる電子メールが閲覧された可能性があるとの発表がありました。
閲覧された可能性のある個人情報の対象者は患者184名、医学部学生等184名、共同研究者及び治験関係者34名、附属病院教職員14名の計416名で、含まれていた個人情報は対象により様々ですが、電子メールの内容が悪用された事実は認められていないとの事です。
再発防止策として多要素認証の導入、ブルートフォース攻撃に対する対策の検討、職員への個人情報保護および情報セキュリティに関する教育研修を実施するとの事です。
https://cybersecurity-jp.com/news/64313実際の対策(案)
再発防止策として挙げられている内容について、実際にどうすればいいかの方針を考えてみます。実現方法は多岐にわたるうえ、費用との兼ね合いもあるためあくまで方針と代表例にとどめています。
メールサーバーの対策
サイバー攻撃(ブルートフォース攻撃)に対する対策
詳細(OS、プログラムなど)はもちろんわかりませんが、多くの場合メールサーバーだけでブルートフォース攻撃の対策は難しいのが現実です。サーバー管理者は、必要に応じて追加プログラムの導入も考えないといけません。
また、当然ブルートフォース攻撃だけでなく他の攻撃に対する対策も必要になります。サイバー攻撃対策の有料サービスも提供されていますし、内部での管理が難しい場合は外部クラウドサービスを使ったメールサービスの導入も有効です。
https://www.aspicjapan.org/asu/article/7732認証・通知に関する対策
仮にブルートフォース攻撃でパスワードを突破されたとしても、複数要素認証を取り入れていれば不正アクセスは防げた可能性が高いです。また、複数要素認証は無くとも、ログイン通知だけでも発見は早かった可能性があります。
ですが、正当なアクセスも含めて全て複数要素認証やログイン通知を行うと利便性を損なうため、一般的なユーザーではかえって逆効果になってしまう可能性もあります。
効果を上げるためにはリスクベース認証の導入など、一般ユーザーでも許容でき、必要なセキュリティが確保される仕組みを取り入れる必要があります。
https://cybersecurity-jp.com/column/35310#i-5Googleからもサービスが提供されています。
https://cloud.google.com/blog/ja/products/identity-security/...ユーザー自身の対策
ユーザー自身がとれる対策では、以下の個人情報の取り扱いと、パスワード運用の対策が中心になります。
パスワード運用については、多くの情報セキュリティ対策で語られているように「強固なパスワードの使用」、「パスワードの使いまわしを避ける」が基本かつ重要な対策です。特に、今回の事例では不正アクセスの期間も長かったため、突破されたパスワードを使って別のサービスへのログインが試みられている可能性が高く、「パスワードの使いまわしを避ける」ことの重要さが理解できると思います。
万が一複数のサービスで同じパスワードを使っている場合は、自分のアカウントが不正ログインされた際にすぐにでも利用しているすべてのサービスのパスワードを変更する必要があります。
個人情報を含む情報の取り扱いに対する対策
今回、漏洩した可能性のある個人情報の中には「氏名」、「診断名」の「要配慮個人情報」が含まれています。
もちろん、通常の個人情報であっても取り扱いは慎重に行いますが、要配慮個人情報はさらに取り扱いに注意が必要です。
メールで個人情報を取り扱う際の注意点
暗号化されていないメールは平文
Webブラウザでの通信(http)は常時SSL化(https)が浸透しており、メールに関しても、サーバー間通信は以前に比べるとはるかに暗号化通信がされています。
ただ、気を付けないといけないポイントは、メールクライアントソフトを各自で使っている場合、メールサーバーからクライアントまでの暗号化通信は各自で設定が必要なことです。また、メールサーバー間の暗号化通信はそれぞれのサーバー管理者が対応しないといけません。
暗号化通信に対応していないサーバー、クライアントではメールの内容が平文で転送されているため、個人情報をメールで取り扱う際は相手先も暗号化通信に対応しているか確認の上で送信する必要があります。
個人情報には適切な対策(でもPPAPは非推奨)
暗号化メールに対応していない場合や、個人情報を含む添付ファイルが保護されない状態は好ましくないため、個人情報を含む内容は少なくともパスワード保護が必要です。
ですが、PPAP(P:パスワード付きのファイルを送ります・P:パスワードは後で送ります・A:暗号化・P:プロトコル)は非推奨です。
パスワードをメール以外の方法で伝えることができる場合は問題ないと言う意見もありますが、Zipファイルの暗号化プロトコルを適切に選択することが必要になります。また、Zipファイルにパスワードを付けるとウイルス対策ソフトで検知ができません。
最近では再びEmotetの感染が広がっていることもあり、やはりパスワード付きZipを使ってのメール運用は避けた方がいいと考えています。
https://smbiz.asahi.com/article/14495946上記リンクに記載されている代替方法の注意点としては、ダウンロードリンクの送付やファイル共有を使った共有でも、何も保護をしないままではメールアカウントが不正アクセスを受けた際にそのまま閲覧できてしまいます。
URLオープン時のパスワード設定や共有期間など、適切な対策は必要になります。
https://uura.site/post-ppap/今回の事例の教訓
3つの要因が重なったため発生
今回の事例で特に感じた事としては、上記の対策のうち少なくとも1つが確実に実施されていれば今回の情報漏洩(疑い)は起きなかった可能性が高いことです。
一つ一つの要因では大きな影響が起きなくても、重なると今回のような事例になる事を実感しました。
情報セキュリティ対策だけでなく全ての事に当てはまりますが、小さな積み重ねが大切です。各自で責任を持って、できる対策を地道に続けることが情報セキュリティの推進には必要だと感じました。
https://uura.site/sc-main/it-security-summary/