Category: BLOG

アメリカのセキュリティ企業、パロアルトネットワークスの調査によれば、サイバーセキュリティ攻撃の原因で2番目に多かったのが「脆弱性」でした。サイバーセキュリティの脅威は常に進化しており、企業は先手を打つことが不可欠です。 自社のサイバーセキュリティを最新の状態に保つための効果的な方法が、脆弱性診断の実施です。脆弱性診断とは、システムやネットワークの弱点を特定し、高いレベルのセキュリティを維持するプロセスのこと。本記事では、脆弱性診断の特徴や必要な理由、ペネトレーションテストとの違い、診断の流れなどを解説します。 そもそも脆弱性とは？ サイバーセキュリティの世界では、脆弱性はコンピュータシステムやネットワークの弱点を指します。シノプシス サイバーセキュリティ・リサーチセンターの調査によれば、4,400件のテストのうち95％に脆弱性が発見されました。 ハッカーは脆弱性を利用して企業の機密情報を盗み取り、ダークウェブ上で他の犯罪者に機密情報を販売するリスクがあります。なお脆弱性は、ソフトウェアやハードウェア、あるいは人間の行動にまで存在する可能性があり、悪用される前に特定し、対処することが組織にとってとても重要です。 脆弱性診断が必要な理由 脆弱性診断とは、システムやアプリケーションなどのセキュリティ上の弱点を特定し、評価するプロセスです。脆弱性評価が必要な理由の1つは、常にサイバー攻撃が高度化しており、新たな脆弱性が続々と発見されるためです。 サイバー犯罪者は脆弱性を利用して、システムへの不正アクセスや機密情報の窃取、マルウェアやその他の悪意のあるソフトウェアのインストールなどを行います。盗まれた機密情報は、ダークウェブ上で他のサイバー犯罪者に販売され、個人情報の盗難や金融詐欺など、さまざまな違法行為に使用されるリスクがあるのです。 脆弱性はサイバー犯罪者が機密データにアクセスして盗み出すための経路となり、そのデータはダークウェブで売買されます。このような攻撃を防ぎ、機密データを悪用されないようにするためには、企業がシステムの脆弱性を積極的に特定し、適切な対処を施すことが欠かせません。 脆弱性評価によって、企業は潜在的な脅威を把握し、脆弱性が悪用される前に対処できるようになるわけです。 ペネトレーションテストとの違い ペネトレーションテストとは、システムまたはネットワークに対する模擬攻撃をして、セキュリティ対策の有効性をテストし、攻撃者に悪用される可能性のある脆弱性を特定する手法です。ペネトレーションテストの目的は、現実世界の攻撃者が使用する戦術や技術、手順を再現し、組織のセキュリティ上の弱点やギャップを特定することです。 脆弱性評価とペネトレーションテストは、どちらも潜在的なセキュリティ上の弱点を特定する点では同じですが、脆弱性評価がより受動的なアプローチであるのに対し、ペネトレーションテストはより能動的なアプローチという違いがあります。 脆弱性診断の主な評価対象 脆弱性診断の対象としてよく知られているのは、Webアプリケーション、プラットフォーム、ネイティブアプリ、IoTの4つです。ここからは、各評価対象の特徴と脆弱性診断が重要である理由について説明します。 ウェブアプリケーション ウェブアプリケーションは、広く利用されており、ネットワークへの容易な侵入口となるため、攻撃者に狙われることが多いです。Webアプリケーションの脆弱性評価をすれば、SQLインジェクションやクロスサイトスクリプティング（XSS）、その他のコードインジェクション攻撃などの脆弱性を特定できます。また、ウェブアプリケーションへの攻撃リスクを高める設定ミスやその他の問題の発見も可能です。 プラットフォーム プラットフォームの脆弱性評価は、ウェブアプリケーションをサポートする基礎的なコンポーネントの脆弱性を特定するのに役立ちます。例えば、Webサーバーの脆弱性評価では、サーバーを攻撃されやすい状態にしている古いソフトウェアや設定の特定が可能です。 ネイティブアプリ ネイティブアプリとは、AndroidやiOSなどの特定のオペレーティングシステム上で動作するように設計されたアプリケーションです。これらのアプリはデバイスに直接インストールされ、カメラやマイク、位置情報サービスなどのデバイス機能にアクセスできます。 ネイティブアプリの脆弱性評価は、安全性の低いデータ保存や不十分な暗号化、認証の問題などの脆弱性の特定に役立ちます。 IoT IoTとは、インターネットに接続され、相互に通信可能な物理的なデバイスや自動車、家電製品などを指します。IoT機器の脆弱性評価は、脆弱なパスワードや暗号化されていない通信経路、安全でないファームウェアなどの脆弱性を特定するのに役立ちます。また、IoT機器の管理・制御に使用されるモバイルアプリやウェブポータルの脆弱性も発見することができます。

サイバーセキュリティ専門会社の株式会社アイギステックは、国内の主要金融会社30社についてダークウェブへのアカウント情報漏洩の現状を調査した結果、合計15,202件の漏洩と社内文書の流出が13社発生していることを確認しました。ランサムウェア攻撃を行っている組織は、ダークウェブから不正に取得した情報を基に攻撃するケースが増加しているので、流出した経緯の分析と対策が必要です。 <調査方法>  脅威インテリジェンスプラットフォームである「ダークトレーサー(DarkTracer)」を利用して、2023年2月末において、国内の主要金融機関からダークウェブへ流出したアカウントの数を調査しました。 . 対象：メガバンク、地方銀行10社、大手保険会社10社、大手証券会社10社 . アカウント情報はID（e-mail）とパスワードのペアが流出したケースを1件とカウント . 流出したアカウント情報はダークウェブに流出したデータ原本のままであり、真偽及び有効性（ログイン可能か）は検証しておりません。  < 調査結果 > –  調査対象30社のすべての企業でダークウェブへの情報流出を確認 –  アカウント情報流出件数：15,202件以上 –  社内文書が流出した社数：13社 –  社内端末がハッキングされている疑い：５社、９件    ※より詳細な調査により流出した文書のタイトルまで確認することができます。 区分 会社数 流出件数 1000件以上 6 10,641 500~999件 4 2,589 100~499件

デジタル化の進展とサイバー攻撃の増加により、企業は常に情報流出の脅威にさらされています。大阪商工会議所の調査では、対象企業のほとんどがウイルス対策ソフトの導入をしているにもかかわらず、すべての企業がサイバー攻撃の標的になっており、中には知らぬ間に情報流出が起きていたケースも判明しました。 適切な対策をしても知らぬうちに情報流出している可能性があるため、定期的に情報流出調査を実施し、潜在的な脅威の発見と予防、被害拡大の防止もしなければいけません。本記事では、情報流出調査の重要性や手法、情報流出を防ぐ方法について解説します。ぜひ記事を参考に、データ保護に積極的に取り組み、情報流出のリスクを低減していただければ幸いです。 情報流出調査とは 情報流出調査とは、情報流出の特定から原因の分析、さらなる被害拡大を軽減するためのプロセスです。情報流出調査の目的は、機密データがどのように流出したのか、誰が流出に関与したのか、流出によって生じた損害の程度を明らかにすること。 効果的な調査を行うことで、企業は情報流出の影響を最小限に抑え、将来の情報流出を防止するための対策を講じられます。 情報流出調査が必要な理由 「自社に限って情報流出があるわけはない」「情報流出対策は十分にしている」と考える方もいるでしょう。弊社が「ダークトレーサー(DarkTracer)」を用いて国内100大企業を対象に情報流出調査をした結果、すべての企業でダークウェブへの情報流出を確認できました。 膨大なデータを管理する現代においては、企業規模や業種を問わず、あらゆる企業が情報流出のリスクを抱えています。また、年々サイバー攻撃が高度化しているからこそ、既存のセキュリティ対策に満足するのではなく、定期的に情報流出調査を実施して、データ流出の影響の最小化や新たな脅威に備えなければいけません。 情報流出調査をすれば、知らぬ間に流出していた情報の発見と迅速な対応により、被害拡大を防げます。また、顧客やステークホルダーに情報セキュリティに熱心に取り組んでいるアピールができ、信頼の獲得も可能です。 情報流出の主な原因6選 情報流出が発生した場合、原因の迅速な特定と報告が必要となります。また、事前に主な流出元を知っておくことで効果的な防止も可能です。ここからは、情報流出の主な原因6選をご紹介します。 従業員の過失 従業員が誤って機密情報を開示してしまうケースは珍しくありません。例えば、間違った相手へ機密情報を含んだEメールの送信や公共の場に書類を放置、電子端末データの不適切な保護などが挙げられます。定期的に従業員に教育を実施し、機密情報の管理を徹底させましょう。 インサイダー脅威 現職または元従業員が意図的に機密情報を漏らすリスクがあります。独立行政法人情報処理推進機構が2020年に2,175社を対象にした調査によれば、情報流出ルートで最も多かったのは「中途退職者（役員・正規社員）による流出」で36.3%でした。内部関係者による情報流出は、その従業員がすでに流出させたいデータにアクセスしているため、検知・防止が困難な場合があります。 サイバー攻撃 ハッキングやマルウェアなどのサイバー攻撃で、個人情報や企業秘密などの企業データに不正アクセスされる可能性があります。サイバー攻撃を防ぐためには、ソフトウェアの導入をはじめとしたセキュリティ対策が必要です。しかし、サイバー攻撃を100%防ぐことは困難なため、定期的な情報流出調査が欠かせません。 物理的な盗難 ノートパソコンやスマートフォン、USBメモリなどの機密情報を含む物理的なデバイスの盗難、画面に表示された機密情報の隠し撮りで情報流出が発生するケースも考えられます。対策としては、周囲に人がいる状況で機密情報を開かない、仮想デスクトップやパソコンを遠隔から操作するツールの導入などが有効です。 Webサービス SaaSをはじめとしたWebサービスの普及に伴い、情報流出のリスクが高まっています。例えば、2021年にはECサイト構築サービスを提供する企業の基幹サーバーに不正アクセスがあり、11社のECサイトから最大43万件の顧客情報が流出する事件がありました。 また、マルウェアによる攻撃やなりすましなどのリスクも考えられます。適切なセキュリティ対策をしているWebサービスを選ぶのは大前提として、自社でもマルウェア対策や認証の強化、ファイルの暗号化などの対策を実施しましょう。 個別端末 スマートフォンやタブレットで、機密情報やEメールの送受信などをする方は多いです。しかし、個人用と仕事用の端末の使い分けを徹底しなければ、従業員の個別端末から情報流出するリスクが生じます。 現代はスマートフォンを狙ったサイバー攻撃が増加しており、無料のWiFiネットワーク接続で第三者に通信内容を取得されるケースも多いです。企業は従業員の教育や業務用スマートフォンの支給、アクセス制御などの各種対策を講じましょう。

デジタル化が進んだ現代、あらゆる規模と業種の企業がサイバー攻撃の被害を受け、機密情報や知的財産がダークウェブで売買されています。ダークウェブは特定のソフトウェアによってのみアクセスできるウェブサイトの集合体で、盗難データやハッキングツールなどの売買が行われています。 ダークウェブに自社データが出品されると、ブランド毀損や顧客の信頼の損失、大きな被害額の発生などのリスクが生じるのです。ダークウェブの脅威に対抗するため、多くの企業が導入しているのがダークウェブ監視ツールやサービスです。 ダークウェブ監視ツールは、ダークウェブ上で特定の情報検索を行い、自社情報が発見された場合にユーザーに知らせます。企業は迅速に対策を講じ、被害を最小限に抑えられるのです。本記事では、ダークウェブの特徴や危険性、監視の仕組み、ツール選定ポイントを解説します。 ダークウェブとは ダークウェブは一般的なウェブブラウザではアクセスできず、アクセスするためには特定のソフトウェアや設定を必要とするウェブサイトの集合体です。ダークウェブ上においては、ユーザーの身元や活動を隠すために、暗号化や匿名化技術が使用されます。 ダークウェブ上のすべてのコンテンツが違法とは限りませんが、ハッキングサービスや個人情報の売買などの違法なマーケットプレイスとして知られています。ダークウェブは匿名性が高いため、ダークウェブで活動する犯罪者を追跡するのは困難です。 ダークウェブとサーフェスウェブの違い インターネットコンテンツは、サーフェスウェブ・ディープウェブ・ダークウェブの3種類に分けられます。 サーフェスウェブとは、GoogleやYahoo!などの検索エンジンでアクセスできるインターネットコンテンツです。インターネット接続さえあれば、誰でもアクセスできます。例えば、ニュースサイトやSNS、ブログ、オンラインショッピングサイト、企業のWebサイトなどが該当します。 ディープウェブとは、一般に公開されていないインターネットコンテンツです。検索エンジンに表示されない会員専用サイト、SaaSやオンラインバンクなどのログインが必要なサイト、ファイアウォールなどのセキュリティ対策がされているサイトなどが該当します。 ダークウェブとサーフェスウェブ・ディープウェブの違いを下記表にまとめました。 ウェブの種類 インデックス アクセスの方法 内容の例 サーフェスウェブ あり インターネットに接続すれば誰でもアクセス可能 ニュースサイトSNSオンラインショッピングサイト企業のWebサイト ディープウェブ なし アクセスに認証が必要なサイトや他のサイトからリンクされていないサイトなど一般公開されていない 会員専用サイトオンラインバンキングSaaSサイト ダークウェブ なし

サイバーセキュリティコンサルティング会社の株式会社Aegistech（アイギステック）は、国内の時価総額基準100大企業のDarkwebへのアカウント情報漏洩の現状を調査した結果、合計45万件以上の情報が流出していることを確認しました。また、社内文書が流出した企業も32社あり、Credential Stuffing攻撃またはFishingの悪用が懸念されます。 <調査方法>  Darkweb インテリジェンプラットフォームである「ダークトレーサー(DarkTracer)」を利用して、 2023年1月末基準、国内の主要企業のDarkwebへ流出したアカウントの数を調査しました。    . 対象：時価総額上位100社の代表ドメイン . アカウント情報はID（e-mail）とパスワードのペアが流出したケースを1件とカウント . 流出したアカウント情報はDarkwebに流出したデータ原本のままであり、  真偽及び有効性（ログイン可能か）は検証しておりません。  < 調査結果 > –  調査対象100社のすべての企業でDarkwebへの情報流出を確認 –  453,310件以上のアカウント流出を確認 –  社内文書が流出したケースを32社で確認    ※より詳細な調査により流出した文書のタイトルと数を確認することができます。  – 流出したアカウント情報が1,000件以上の会社は54社あり、半数以上の会社において 1,000件以上の情報が Darkwebへ流出したことが判明しました。 区分 会社数　 流出件数 1万件 以上 9 283,773 5,000~10,000件

株式会社アイギステック 企業の情報セキュリティ対策専門企業の株式会社アイギステック（本社：東京都港区、代表取締役：林翼鉉）が、2023年１月４日に設立されたことをお知らせ致します。 設立に至った背景 企業・組織はランサムウェアによる被害、標的型攻撃による機密情報の窃取、サプライチェーンの弱点を悪用した攻撃、テレワーク等のニューノーマルな働き方を狙った攻撃など多様なセキュリティ攻撃により被害が拡大しています。企業・組織が巻き込まれた場合は最も大事な顧客の信頼を失い、その影響の廃業するケースも少なくありません。一般的に企業ではスパムフィルターやアンチウィルスソフトなどで安全対策をとっていますが、これだけは情報流出を防ぐことは十分とはいえません。 弊社はこのような状況でランサムウェアによる攻撃情報、悪質なハッカーによる攻撃情報など、企業活動の脅威となる情報を収集し、AIや情報セキュリティの専門家が分析、加工した精度の高い脅威インテリジェンスを、どこからでも使いやすいサービスを提供いたします。 特にダークウェブの脅威は年々増加しており、その危険性はいうまでもありません。 ダークウェブはGoogle, Yahooなどの通常の検索エンジンでは収集できない闇サイトのことで、TOR（The Onion Router）など特殊なソフトを使い、個人の認証情報や企業の知的財産、非合法な危険物などの売買などが日常的に行われています。 そのため，ダークウェブ上でやり取りされている自社の情報を把握し，脅威を未然もしくは早期に対処することが最も重要です。 しかし、企業や組織で自らダークウェブにアクセスして調査を行うことは技術的に・心理的に無理があります。弊社はTORやI2Pなどの匿名ネットワークソフトウェアを使用することなく、安全にダークウェブにある情報を検索できるソリューションを利用し、定期的に調査結果を報告するサービスをご提供いたします。 ツールに埋め込まれたOSINTテクノロジーは、ダークウェブとディープウェブの悪意のある攻撃者を特定するための多くの情報を提供します。ダークウェブにおける機密情報の侵害状況を監視することで悪意のある活動の重要な証拠を見つけ、ダークウェブとディープウェブの両方で犯罪者を追跡したり、企業の機密情報漏えい状況を確認したりするためにとても有効です。 弊社の情報流出監視サービスを利用することで自社とグループ企業の情報漏洩状況を調査、顧客企業の情報漏洩状況を調査、犯罪調査などが可能です。また、一回だけでなく、定期的に調査・対策をすることでより安全なセキュリティを実現できます。 株式会社アイギステックならびに「Dark Web 情報流出監視」サービスをどうぞよろしくお願いいたします ・会社概要 社名：株式会社アイギステック 代表取締役：林 翼鉉(イム　イキョン) 所在地：〒105-7510 東京都港区海岸1-7-1 東京ポートシティ竹芝10F 設立日：2023年1月4日 資本金：5,000,000円 事業内容：情報セキュリティコンサルティング、ダークウェブ情報流出調査、 　　　　　企業のセキュリティ脆弱性診断及びコンサルティング