NRIセキュアが「サイバーセキュリティ傾向分析レポート2018」を発表した。調査ではIoT機器やWebサイトの、外部に開放された不要なポートが攻撃経路となっている傾向が見られた。こうした設定の不備を防ぐためには。
NRIセキュアテクノロジーズ(以下、NRIセキュア)は2018年8月21日、同社サービスの提供を通して2017年度に得たデータを基に集計、分析した年次レポート「サイバーセキュリティ傾向分析レポート2018」を発表した。同社サイバーセキュリティ開発部セキュリティコンサルタントの原田 諭氏は、本年度のレポートで注目すべき点の一つとして、意図せず外部開放されている不要ポートが攻撃者の標的になっていることを挙げる。
2016年に世界で猛威を振るったマルウェア「Mirai」と同様、IoT(モノのインターネット)機器を悪用した攻撃が続いている。IoT機器が攻撃を受けた場合、DDoS(分散型サービス拒否)攻撃に悪用されたり、仮想通貨の採掘に機器のリソースを無断で使われたりする可能性がある。レポートによると、同社が提供するマネージドセキュリティサービスにおいて、ファイアウォールで2017年度にブロックした通信のうち、IoT機器を狙った通信の割合は38.0%だった。
IoT機器を遠隔操作するためのプロトコルには、telnetが広く使われている。telnetで利用されるTCPの23番ポート(以下、telnetポート)への通信の割合は、2016年度の48.1%から29.2%に減少。一方ファイアウォールでブロックした通信の総数は、約22億件から約25億件に増加した(図)。原田氏はこの結果を受け「攻撃者が悪用するポートの種類が分散しつつある」と言う。
原田氏は攻撃されることが多いポートとして、ルーターやデジタルビデオレコーダーなどのIoT機器を他の機器につなげるためのポートや、管理画面に接続するためのポートを挙げる。IoT機器は導入後すぐにインターネットに接続して利用できるように初期設定されていることが多く、そのままでは攻撃の影響を受けやすいという。具体的には、監視カメラを初期設定のログインIDとパスワードのままで利用することや、ルーターのファームウェアの自動更新を無効にしていることが、攻撃成功の要因として挙げられる。
原田氏によると、不要なポートが開放されているケースはIoT機器だけではないという。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。
企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。
ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。
事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。
「WannaCry」による被害発生を契機に、国内でもその脅威が広く周知されることになったランサムウェア。今さら人に聞きづらいランサムウェアの基本から、「二重脅迫」と呼ばれる手口、組織が取るべき対策に至るまで、5分以内で解説する。
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
ユーザー任せの「PCセキュリティ」はもう限界 “誰が使っても安全”な方法とは (2025/4/21)
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。