#960 タマダホールディングスグループにブルートフォース攻撃、社内ネットワークゲートウェイの認証を突破

今回は、ある製造業の企業グループで発生したセキュリティインシデントのニュースを取り上げます。サイバー攻撃の一つであるブルートフォース攻撃によって社内ネットワークの認証が突破され、サーバへの侵入を試みられたという衝撃的な内容です。早期発見と適切な初動対応により情報の流出は確認されなかったものの、再発防止策の徹底が求められています。このインシデントから、ブルートフォース攻撃の脅威と、適切な認証強化策、そしてインシデント発生時の初動対応の重要性について学ぶことができます。セキュリティ対策に課題を抱えるIT担当者の皆さんの参考になるはずです。

ある製造業の企業グループと、その子会社は、先月公表したセキュリティインシデントについて追加情報を発表しました。調査の結果、悪意ある第三者による総当たり攻撃、いわゆるブルートフォース攻撃で、社内ネットワークゲートウェイの認証が突破され、一部サーバへの侵入が試みられたことが判明しています。該当の企業は攻撃者の侵入とデータ取り出しと推測される挙動を確認後、直ちにネットワークを遮断する隔離措置を実施しました。この早期発見と迅速な遮断措置により、現時点では個人情報を含む情報の外部流出は確認されていないとのことです。現在、全サーバとパソコンのウイルス検査、パスワード再設定、ログ解析、監視体制強化を進めており、一部のシステムは復旧済みですが、一部サーバの利用は停止中です。今後は警察への被害届提出、関係省庁への事案届出に加え、情報セキュリティ管理体制の抜本的な見直しと再発防止策を徹底するとしています。

ブルートフォース攻撃は、総当たり攻撃とも呼ばれるサイバー攻撃の一種です。ユーザー名やパスワードのあらゆる組み合わせを片っ端から試行し、正規の認証情報を特定しようとする手法を指します。例えば、数字やアルファベット、記号などをランダムに組み合わせたパスワードを、システムがロックアウトするまで繰り返し入力し続けるイメージです。非常にシンプルながらも、弱いパスワードや短すぎるパスワードに対しては有効な攻撃となり得ます。

今回の事例の詳しい原因は不明ですが、一般的にブルートフォース攻撃によって認証が突破されるケースでは、パスワードが短すぎたり、推測されやすい単純な文字列だったりすることが多いです。また、多要素認証のような追加の認証手段が導入されていなかった可能性も考えられます。攻撃側は専用ツールを使って高速に試行しますので、通常のパスワードだけでは防御が難しい場合があります。認証の強化が不足していたと推測できますね。

今回の発表によると、この企業は攻撃者によるサーバへの侵入やデータ取り出しと推測される挙動を確認した直後にネットワークの遮断措置を実施したとあります。このことから、おそらく異常なログ記録や、通常とは異なる通信パターン、あるいはセキュリティ監視システムからのアラートなどによって、不審な活動を早期に発見できたものと推測されます。継続的な監視とログ分析が、早期検知の鍵を握っていたと言えるでしょう。

根本的な対策としては、まずパスワードポリシーを強化し、複雑で長いパスワードを強制することです。さらに、多要素認証の導入は非常に有効です。パスワードだけでなく、スマートフォンでの承認など複数の要素を組み合わせることで、たとえパスワードが漏えいしても不正アクセスを防ぐ確率が高まります。また、ログイン試行回数に上限を設け、一定回数失敗するとアカウントをロックする仕組みも重要です。これにより、総当たり攻撃を物理的に困難にできます。

今回から学ぶべきは、常に最新の攻撃手法を認識し、それに対応できるセキュリティ対策を講じ続けることの重要性です。ブルートフォース攻撃のような基本的な攻撃であっても、適切な対策がなければ深刻な事態につながる可能性があります。特に、認証情報の強化、多要素認証の導入、そして不審な挙動を早期に検知できる監視体制の構築は不可欠です。インシデント発生時の迅速な初動対応計画も事前に準備しておくべきでしょう。