リモートワーク普及に伴い増大する「デジタルリスク」 ʻ知らぬ間におこるデータ露出とはʼ

リモートワーク普及に伴い増大する「デジタルリスク」 ʻ知らぬ間におこるデータ露出とはʼ
Makoto Kawasaki
Read More From Makoto Kawasaki
May 6, 2020 | 1 Min Read
  • リモートワーク増加に伴う新たな情報漏洩リスクとは?
  • 3月中旬以降、設定不備により公開状態のストレージ(SMBファイル共有・NAS)が増加傾向
  • 日本国内では8000台以上のハードディスク装置が意図せず露出している可能性あり
  • ランサムウェアにリモート攻撃されたファイル共有も多数

日本国内でも新型コロナウィルス(COVID-19) の感染拡大が止まらず、ついには首都圏を中心に緊急事態宣言が発令され、GW明けまでは不要不急の外出の自粛が徹底されることとなった。企業でも感染拡大防止を図る一策として在宅勤務の実施がひろがり、これまでは外資系企業界隈などでしか馴染みがなかった「リモートワーク」という言葉も今日ではごく当たり前の様に使われている。

リモートワークについては、従業員同士のコミュニケーションの減少や、本当に業務に集中できるのかという生産性への懸念もついてまわるが、なによりセキュリティ、マルウェア感染や情報漏洩に対する懸念もより高まることとなる。多くの企業では持ち出しPCに対してはエンドポイントセキュリティの強化やネットワークポリシーの強制化(VPNやクラウド型SWGの導入)を通じてセキュリティリスクの低減が講じられていよう。だが近年新しいリスクの概念として注目されているデジタルリスクへの対策はどうだろうか。

デジタルリスクというのは、企業・組織のネットワークの外側にあるインターネット上のリスクを指すもので、例えばネット上で露出した企業の機密・機微情報やブランド不正利用、あるいは社外からみたときのアタックサーフェース(脆弱性など不正侵入の糸口になる箇所)が挙げられ、これらのリスクを特定・修復するサービスとして近年はDRP(Digital Risk Protection /デジタルリスクプロテクション)サービス市場が勃興しつつある。

筆者はこのリモートワークの拡大で特にインターネット上でのデータ露出の懸念が高まると考えており、以下、現状の実態とリスクについて述べたい。

思いもよらない情報漏洩のリスク

データの不適切な取り扱いによる情報漏えいといえば、PC本体の紛失やデータを保存したUSBなどメディアの紛失、あるいはメールの誤送信による漏洩という事案を思い浮かべられる方も多いだろう。また昨年には自治体が廃棄処分したサーバのハードディスクが不正に転売され大量の一般市民の個人情報が漏洩していたという事件が世間を騒がせたように、思いもよらないところで情報漏洩が起きることもある。

このように報じられるような情報漏洩の手口のほかに、あまり知られていないが確実に顕在化しているのが「データがネット上に露出している」ことによる情報漏洩リスクであり、Digital Shadowsはこのようなデジタルリスクの特定にもフォーカスしている。

さて、データが露出しているというのはどういうことか。これは例えばインターネットに接続されているサーバ・ストレージ機器やNAS、あるいはBOXやAWS S3のようなクラウドストレージのユーザ領域が管理上の不備により第三者が自由にアクセスできる状態にあることを意味する。サーバやストレージの所有者、管理者はアクセス管理を講じているつもりでも、設定不備のために実は無関係な第三者から丸見えになっているという事例は枚挙にいとまがない。

2019年5月に当社Digital Shadowsが発表した調査レポートToo Much Information – The Sequel では、このような意図せず露出したファイルは全世界で約23億強、日本国内(のIPアドレス)でも約7700万のファイルが露出状態にあることが調査結果として報じられている。その1年前、2018年3月に発表した同様の調査レポートでは露出ファイルの総数は15億であったため、およそ1年のあいだにデータ露出数が50%も増えているのが実態だ。多少の朗報としては、2018年後半にAWSがS3ストレージのセキュリティ管理機能を強化したため、S3上でのファイル露出数は激減している。ファイルが露出している主たるプラットフォームは、SMBファイル共有、NAS、FTP、その他Web Indexやrsync(バックアップファイル)であり、ファイル種類の内訳としては多い順からPDF, Excel, Word, PPT, .txt, logファイルなどである。

日本国内についていえば、国内約7700万のデータ露出の内訳として、プラットフォームではNASが約60%と一番多く、ついでSMBファイル共有によるファイル露出が約30%、残りはFTPによる露出、Webインデックス などだ。ファイル形式では日本国内の場合エクセル形式が40%強、ついでPDF形式、ワード形式、テキスト形式、PPTとなっている。

中小企業や家庭なでよく用いられるネットワーク接続型のハードディスクではSMB/SAMBA機能でネットワーク経由でのファイル共有機能を提供しているものも多いため、実態としてはデータ露出のほとんどが、ネットワーク接続型ハードディスクの設定不備によりインターネットから丸見えになっているケースと推測される。

Digital Shadowsでは顧客向けデジタルリスクモニタリングサービスの一環として、継続的にこれらアクセス可能なファイルのメタデータの収集を行っている。これらメタデータのインデックスにはファイル名、ディレクトリ名の情報が含まれているので、いわゆる業務データや個人データと思われる機微情報、重要情報の検索をサンプル的に行ってみた。

残念なことに、そして驚くほど多くの、規模を問わずに企業のデータがインターネット上で露出していることを垣間見ることができた。

例として、「契約書」をファイル名に含むデータがインターネット上でどれだけ露出しているかを検索した結果が図1.1である。当社システムのクローラーがインターネット上で公開状態となっているハードディスク(SMBファイル共有/NAS)、FTP、rSyncのメタデータのインデックスでは、過去30日分の収集データから「契約書」を含むファイル数は23,721個という結果が得られた。これらのファイルが置かれているハードディスクの持ち主は個人から中小規模の企業まで様々と思われるが、中には大量の契約書、個人情報を含む業務用途のハードディスクもいくつか見受けられた(例、図1.2)。

図1.1:Digital Shadowsが収集しているオープンファイル共有情報から、「契約書」を含むファイル名を検索。過去30日間で23000以上のファイルが露出している。
図1.2:とある地方で進行中のメガソーラープロジェクトに関する大量のデータが保管されたLAN接続型ハードディスク。Web GUI経由での閲覧機能の設定が不十分なため、認証無しで外部からアクセス可能となっており、地権者情報や個別契約書などを含む大量のセンシティブなデータが露出している。

なぜこのようなことが起こるのか。例えば会社支給のPCでも、USB経由でのデータ書き出しができないよう設定されているとする。しかし家庭で設置されたブロードバンドルーターのLAN内に設置されたネットワーク接続型ハードディスク(NAS型ハードディスク)へのアクセスまで制御できているケースはそう無いだろう。自宅で業務を効率的にできるように、あるいは勤務先では仕事量をこなしきれない、といった理由で自宅のPCで執務したいということもあるかもしれない。業務PCから個人所有のネットワーク接続型ハードディスクにデータをコピーする理由は様々だろうが、会社・勤務先にバレることなくコピーするのは実に簡単なことだ。

そして、これらのハードディスクは前述の様にSMB/SAMBAでファイルアクセスが可能な場合、ブロードバンドルーターの設定で特にポートの制限などかけていない場合はルーター越しに丸見えになってしまうのだ。また、使いやすさ、機能で多くのユーザから支持を得ている国内大手のバッファローのLANハードディスクではWebベースのGUIも備えており、インターネット上でのファイル共有機能が提供されている。この機能の制限を十分におこなわないため、Web GUIからも重要情報が丸見えになっているケースも非常に多い。

ここで、読者の方々は疑問に思われるかもしれない。

たとえ管理の不備によってデータが「露出」したとしても、誰の目にも触れることが無ければ漏洩することはないのではないか?Googleやその他サーチエンジンでもそのような領域はクロールしていないはずなので検索結果には表示されないはずだ、と。そこで、このように露出したデータが第三者の目に触れてしまう、つまり本当に漏洩してしまう可能性、蓋然性について考えてみたい。

ハッカー・サイバー犯罪者の手法

前述したように、露出したデータそのものが、サーチエンジンがインデックス化して検索結果として提供されることは原則的には無い。例外的に、データ露出を見つけた第三者が別の領域にコピー(後で手元にダウンロードする目的で)したリンクが収集されていたケースも過去にあったが、それは既に第三者に見つけられた事実を証明するものだ。しかし、データを露出している状態にあるホスト(サーバ、ストレージ)に関していえば、ShodanやCensysといったデバイス・IOT向け検索エンジンを利用して見つけられるのはご存知だろうか。

ここではその手口の詳細な説明なでは踏み込まないが、インターネット上で公開されている手順やコマンドを用いて、外部アクセス可能な状態にあるFTPサーバやNAS、SMBファイル共有ストレージを見つけることは非常に簡単だ。無償版では検索結果の表示件数に上限があるが、国や地域別での絞り込み一通りの機能が利用可能だ。例えば図2.1は日本国内に存在する認証無しでアクセス可能なSMBファイル共有で利用されるポートがアクセス可能なホストをShodanで検索したものだが、5月1日時点では国内(のIPアドレス)では4,217台の存在が確認できた。3月23日に同条件のクエリを実施した際には3,765台であったので、リモートワークの増加との因果関係は断定できないが、1ヶ月強の間に12%、452台増加している。

図2.2はバッファロー社NASのWebインターフェースが公開されているものを検索した結果で、こちらも4000以上のNASが外部アクセス可能な状態であることがわかる。バッファローのWebインターフェースはSMBファイル共有とは異なるポートを利用しているため、図2.2と2.1の台数にさほど重複はなく、国内で8000台以上のハードディスクが外部に意図せず露出している実態がうかがえる。

図2.1:日本国内でゲストアクセス可能なSMBファイル共有(が有効なサーバ、ストレージ機器)を検索。IPアドレス情報をもとに所在地域を絞り込むといったこともできる。
2.2 image
図2.2:バッファローNAS(LAN接続型HD)が提供するWebアクセスインターフェースの検索結果。

Shodanが提供しているこのような機能は誰でも利用可能であり、世界中のサイバー犯罪者達も金銭的価値を求めてこのようなアクセス可能なホストを検索している。そのため、データが露出状態にあるということはすなわち、いち早く誰かしらの第三者から特定されてしまい、そしてデータが知らずのうちにダウンロードされている可能性が高いことも覚悟する必要がある。

「データ露出」によるランサムウェア被害のリスク

当社レポートでも触れられているが、データが外部アクセス可能な状態で露出しているということは、そのデータの中身を盗み見されるだけでなく、ランサムウェア攻撃の標的にもなっているという実態がある。ランサムウェアによるファイルの暗号化というとデータがローカルに置くホスト(PCなど)がランサムウェア(マルウェア)に感染し、ホスト上のローカルにあるファイルが暗号化(暗号キーはランサムウェア自身にハードコードされているもの、あるいはC2通信を使って鍵ペアを生成など)されるケースを一般的に想像されるかもしれない。しかしその他の手法で、SMBの脆弱性、リモートルーターの脆弱性を使って、リモートから露出したファイルをマウントし暗号化を施してしまう手法も近年増えつつある。このような手法を用いるランサムウェアでは、暗号化されたファイルに.nampohyu、.nytonといった拡張子が付けられるという特徴がある(図3)。

当社調べでも、国内にホストされるストレージ・サーバーの露出状態データで、このようなリモートからのランサムウェア攻撃により暗号化されたと確認できるファイルが8万以上あることが確認できている。

image 3
図3:とある病院内で使用されていると思われる、インターネット上に露出したハードディスクのディレクトリ情報。スキャン画像に.nampohyuという特徴的な拡張子があり、リモート型ランサムウェア被害にあっていることがわかる。

対策

インターネット空間に露出した自社重要・機微情報の特定を

取引先と重要データをやり取りする上で、ファイルへのパスワード付き暗号化での送受信などは一般的に行われているものの、ひとたび解凍された後は共有先が適切に管理していることを強制化することは決して容易ではない。取引先に渡ったファイルそのものにアクセス権を管理する社外向けIRM/DRM(ライトマネジメント)

ソリューションも存在するものの、利便性の極端な低下は免れず普及しているとは言い難い。漏洩対策は取引先の注意善管義務に委ねられているのが実情だ。しかし、一般家庭におけるブロードバンド接続や安価に入手可能なNAS型ハードドライブの普及と相まって、リモートワークの普及による業務データの社外・家庭での取り扱いの増加は、自社従業員のみならず取引先・サードバパーティによる自社データの持ち出し機会の増加を意味する。自分自身、あるいは自社従業員に対するネットワーク接続型ストレージの設定に注意喚起はもちろん大事だが、取引先やさらにその先の取り引き先までの徹底は到底、難しい。このため、意図しない形での業務データの露出リスクの排除はなかなか容易ではない。

Digital ShadowsのSearchLight™️ は、一般的なサーチエンジンでは検索できないディープ・ダークWeb空間の検索だけでなく、FTP、NAS、SMBファイル共有、クラウドストレージなどインターネットに接続され外部からのアクセスが可能となっている(=意図せずアクセス可能となっているものも含め)ファイルを全てインデックス化している。このため、例えば自社企業名に加えて機密を表すマーキング(社外秘、機密、Confidential等)が含まれているもの、といった条件で検索を行い、該当する重要ファイルがインターネット空間のどこかで露出しているかを特定できるという、非常にユニークなサービスを提供している。

リモートワークにこれまで消極的だった企業・組織でも、セキュイリティ対策が不十分なままになし崩し的にリモートワークを始めていることもあり得る。そのような時勢下では、セキュリティ対策が万全な企業にとっても、取引先やそのデータ共有先によって自社・自組織のデータが不十分なセキュリティのもと取り扱われているリスクを認識すべきだ。

自社・取引先を含めた包括的な情報漏洩対策の新しい取り組み方として、デジタルリスクのモニタリング実施を検討してはいかがだろうか。

Digital Shadowsについて:

Digital Shadowsは、望ましくないデータ露出の検知と外部脅威からの防御の両面においてデジタルリスクの最小化を図ります。企業・組織はデジタルリスクを放置することで当局からの罰金や知財の損失、そして風評被害を被ることがあります。

Digital ShadowsのSearchLight™️ は、このような損失を最小限にするため、情報漏洩の特定から、オンラインブランドの保護そしてアタックサーフェースの削減を支援します。

詳細は www.digitalshadows.com まで。

Access Our Threat Intel In Test Drive

Test Drive SearchLight Free for 7 Days
Try It Now

私達と接続