JAXAの事例
宇宙航空研究開発機構(JAXA)は、昨年10月に外部機関からの通報を受け、業務用イントラネットの一部サーバーに対する不正アクセスを確認しました。その後の調査で、外部機関と共同で実施する業務に関連する情報や個人情報が漏洩していたことが判明しています。
JAXA
警察庁は、2019年から2024年にかけて、日本の安全保障や先端技術に関する情報を狙った210件のサイバー攻撃が、ハッカー集団「MirrorFace(ミラーフェース)」によるものであると特定しました。
MirrorFaceは、実在する組織の元幹部や有識者を名乗り、関心を引く件名のメールを送り、添付ファイルを開かせる手口で攻撃を行っていました。また、VPN機器の脆弱性を悪用して内部ネットワークに侵入する手法も確認されています。
警視庁
JAXAは、攻撃元との通信遮断やサーバーのネットワークからの切断、専門機関との連携による調査を実施し、再発防止に向けた対策を強化しています。
どんな攻撃か
ゼロデイ攻撃(Zero-day Attack)
ゼロデイ攻撃とは、まだメーカーやセキュリティベンダーが把握していない、または修正パッチが提供されていないソフトウェアや機器の脆弱性を狙った攻撃です。
攻撃者は、未知の脆弱性を突くため、防御側がパターンファイルや既存のセキュリティルールなど従来の対策だけでは対応しにくいという特徴があります。
フィッシング・標的型メール(社会的エンジニアリング)
MirrorFaceと呼ばれる攻撃グループは、実在する組織の幹部や有識者を名乗り、興味を引く件名でメールを送付し、受信者に添付ファイルを開かせる手口を使っていました。
いわゆる「標的型メール攻撃」であり、組織の内部事情に詳しいかのような内容や、業界関係者が興味を持ちそうな内容が含まれているため、つい開いてしまう可能性が高まります。
VPN機器の脆弱性を狙った攻撃
組織の内部ネットワークに侵入するため、VPN機器やファイアウォールなどのネットワーク機器の脆弱性を悪用することが確認されています。
セキュリティパッチを適切に適用していない、もしくは設定ミスがあった場合、そこを足がかりにして内部へ侵入されるリスクが高まります。
情報漏洩
実際に宇宙航空研究開発機構(JAXA)のケースでは、外部機関と共同で実施する業務に関連する情報や個人情報が漏洩していたことが判明しています。
重要な技術情報や防衛関連情報を盗むために、攻撃元としては日本の先端技術を狙う意図があったとみられています。
どんな対策が有効か
アクセス制限の徹底
ネットワーク接続元のIPアドレス制限
外部からアクセスする際に、あらかじめ許可したIPアドレスのみ接続を許可する(ホワイトリスト方式)。
例えば「社用PCからしかアクセスできない」ようにしたり、VPNアクセス先を特定の拠点や端末に限定するなどの方法が考えられます。
端末認証の強化(多要素認証)
ログイン時にパスワードだけでなくワンタイムパスや生体認証などを組み合わせる。
パスワード漏洩だけで侵入されないよう、多要素認証を導入することでセキュリティを高められます。
ゼロデイ攻撃への対策
脆弱性情報の収集と迅速なパッチ適用
VPN機器やOS、ソフトウェアなどへのセキュリティアップデートをこまめに実施し、既知の脆弱性を早期に塞ぐ。
未知の脆弱性(ゼロデイ)であっても、OSや製品ベンダーが修正プログラムを出した段階で早急に適用し、攻撃可能期間を短くする。
侵入後の横展開を防ぐネットワーク分離・セグメント化
社内ネットワークを用途ごとにセグメント分割し、万が一外部から侵入されても重要サーバーや機密ゾーンに容易にアクセスできない設計にする。
重要システムへのアクセス権限を最小限にし、また、監視を強化する。
標的型メールへの対策
メールのフィルタリングやサンドボックスの活用
添付ファイルを自動的にサンドボックス上で実行し、マルウェアの挙動がないかを検知する。
実在組織名を騙るメールでもドメインをよく確認し、不審なものは隔離する。
従業員教育
標的型メールの特徴や手口を定期的に周知し、添付ファイルを不用意に開かない意識づけを強化する。
早期検知と封じ込めの強化
EDR(Endpoint Detection and Response)やNDR(Network Detection and Response)などを導入し、端末・ネットワークの挙動をリアルタイムで監視し、異常があれば直ちに対処できる体制を整える。
攻撃を発見した場合は、通信を即座に遮断し、該当サーバーをネットワークから切り離した上で、専門機関と協力して原因調査や影響範囲の特定を行う。
Splashtop Secure Workspaceで対策できる点
Splashtop Secure Workspace(以下 SSW)は、リモートアクセスや仮想化されたワークスペースを提供し、セキュリティ機能を組み込んだソリューションです。
以下のような機能・特長によって、上記の攻撃手法やリスクに対して有効な対策を講じることができます。
デバイス制限・多要素認証の容易な実装
SSWでは、接続するユーザーや端末に対し詳細なアクセス制御を設定できます。
多要素認証(MFA)と組み合わせることで「許可されたユーザー+許可されたデバイス」だけが業務環境へアクセスできる仕組みを作りやすくなります。
セキュアなリモートアクセス環境
Splashtop独自の安全な通信プロトコル、暗号化されたトンネルを経由するため、VPN機器の脆弱性を直接狙われるリスクを低減します。
従来型のVPNに比べて、利便性を損なわずにアクセス制限や監視がしやすい設計になっています。
ワークスペースの分離(ゼロトラスト的アプローチ)
SSW上で提供されるワークスペースはホストOSと切り離された環境として運用されるため、万が一ホストがマルウェアに感染しても、業務システム側への影響を最小化できます。
ゼロトラストの考え方に基づき、常にアクセスする端末やユーザーを検証する仕組みが組み込まれています。
セッションのログ・監査機能
リモートセッション中の操作ログやファイル転送ログを詳細に記録することができ、セキュリティ監査やインシデント発生時のトレースを容易にします。
攻撃の早期発見や、インシデント後の原因究明に役立ちます。
アプリケーションやデータへの直接アクセスの制限
Splashtop Secure Workspaceを通じてのみ社内のアプリケーションやデータにアクセスさせることで、持ち出しや不正接続を制限する仕組みを作れます。
端末にデータをダウンロードするのではなく、必要に応じて画面転送だけで作業し、データ自体を外部に残さない運用も可能です。
SSW導入によるメリットのまとめ
VPN機器の脆弱性を軽減:専用の安全プロトコルを使うため、VPNの既知・未知の脆弱性を突かれるリスクを下げる。
アクセス制御の細分化:IPアドレス制限や多要素認証などを柔軟に組み合わせられる。
感染時の被害最小化:ワークスペースを仮想環境や分離環境として提供することで、ホストOSや他のネットワークへの侵害を食い止めやすい。
可視化とログ取得:内部不正や不審なアクセスを検知しやすく、問題発生時の調査を迅速に行える。
まとめ
今回の攻撃は、ゼロデイ脆弱性の悪用や標的型メールによる侵入など高度な手法が使われ、さらにVPN機器の脆弱性も突かれるという多面的なサイバー攻撃でした。
有効な対策としては、アクセス制限の強化、脆弱性パッチの迅速な適用、メール対策、ネットワークセグメント化などが挙げられ、加えて早期検知・封じ込め体制も重要です。
Splashtop Secure Workspaceは、従来のVPNを置き換えたり補完したりする形で、ゼロトラストに近い安全なリモートアクセス・仮想ワークスペースを提供します。これにより、端末やネットワークの脆弱性を狙われるリスクを低減しつつ、アクセス制御・ログ監視を強化して、情報漏洩や不正アクセスを防ぎやすくなります。
このように、攻撃者の巧妙化に対しては「アクセスコントロールの徹底」「多層的な防御」「運用監視体制の強化」が欠かせません。Splashtop Secure Workspaceの活用は、その実現をサポート致します。