本記事は「公開IT資産 の検知:Criminal IP ASM活用事例(2)」の転載記事となります。
2024年1月に、IPAより「情報セキュリティ10大脅威 2024」が公開されましたが、その後、最新の具体的な脅威の内容について解説する資料が追加で公開されました。この資料の中でIPAは、企業など組織における脅威は、攻撃の手口を把握しているだけでは対策にならないと指摘。自組織におけるリスクを洗い出した上で情報を継続的に収集し、状況にあわせて対応を講じる必要があると説明しています。
具体的な対策の一つとして、2023年5月に経済産業省が公開したASM導入ガイダンスを引用し、“ASM(Attack Surface Management・攻撃対象領域管理)を行う”ことを推奨しています。
出典:IPA「情報セキュリティ10大脅威 2024」
出典:IPA 情報セキュリティ10大脅威 2024 セキュリティ対策の基本と共通対策(PDF)
業種・規模問わず、多くの企業・団体が自社ホームページやサービスページを通して、企業の宣伝やコンタクト窓口、サービス提供を行っています。しかし、そのWeb資産を適切な知識をもって管理する体制を整えるのは容易ではありません。セキュリティに関する情報収集はもちろん、収集した情報の中から自社に該当する内容を分別し、リスクを評価した上で対策の優先順位を決め、タイムリーに対策を打つためには、相応の専門性と経験値、そしてマンパワー(人数)も要求されます。
実際、海外のある公共機関に提出された個人の公的申込書が、ファイルサーバーの設定ミスとそのミスに気づくのも困難であったために、数年間インターネット上で誰もが検索できる状態であった例も報告されています。
このような昨今の状況とインシデントの例などを踏まえて、IPAでは、上述のようにWebに公開されたIP資産に対して、リスクを洗い出し、情報を継続的に収集した上でリスク分析と評価(スコアリング)を行う一連のプロセスであるASMをセキュリティ対策として推奨しているのです。
※ASMに関する詳細は前回記事「ASM(攻撃対象領域管理):ASMを活用した脆弱性検知 : Criminal IP ASM活用事例 (1)」をご参照ください
公開IT資産 管理のためのOSINT活用法
毎日のように、多くの企業で一般的に使われている業務ソフトウェアやOS、セキュリティ製品、ネットワーク機器、NASなどストレージ製品から新たな脆弱性情報とその対策情報が公開されますが、すでにその時点で悪用が確認されているケースも多くあります。OSINT (Open Source Intelligence) と言われる、合法的に入手可能で一般に公開された情報をもとに多様な情報を組み合わせて分析することで一定の見解を導き出す手法は、サイバーセキュリティの現場では常識ではありますが、公開されている情報をもとにしているという意味では、攻撃者もこのOSINT情報を利用して、脆弱なままインターネット上で発見されるIT資産を攻撃対象とします。
ASMツールを使うと、攻撃者が見るのと同じように、パッチ未適用のままインターネット上から見えているサーバーや管理不備・不注意などで漏洩しているAPIキー、Secret Access Keyなどを見つけることができます。
Criminal IPのIT資産検索にAWSのCloud Formationシステムを検索した画面
Criminal IPのIT資産検索で検知した公開サーバー、
PHPの基本設定だけでなく、アカウント情報まで漏洩されている
しかし、数百〜数千におよぶCTI(脅威インテリジェンス)検索結果の中から、自組織の公開IT資産に関連するケースだけを特定するには限界があります。オープンソースで使えるCTI検索エンジンもいくつか存在しますが、どんな検索ワードを入力すべきか漠然としている場合がほとんどで、Tagの使い方などツールを使いこなすという新しい課題にぶつかります。
その際、ASMソリューションである、「Criminal IP ASM」を活用すると、代表ドメインを一つ登録するだけで、膨大なOSINT基盤の脅威インテリジェンスの中から、自社と関連するIT資産と情報だけを検知できます。特定されたデータはAIなどを活用した分析・スコアリング結果としてダッシュボードに表示され、レポート機能で注目すべき内容をもれなく受け取ることもできます。Criminal IP検索エンジンと連動されているので、繋がっているIPアドレスのWHOIS情報やVPN、Tor、ホスティング使用の可否など、気になる項目をクリックすることで資産ごとの詳細を把握することもできます。
組織資産の現況をダッシュボードで確認できる
攻撃対象領域管理ソリューション「Criminal IP ASM」
公開IT資産 、タイムリーな検知と対処に活用
Criminal IP ASMは、日時を決めて行われる脆弱性診断・ペネトレーションテストとは異なり、日々、登録した代表ドメインと関連のある資産情報・脆弱性情報を監視します。そのため、何らかの理由で開放されたままのポートや新たに発見された脆弱性を含んだIT資産がある場合、タイムリーにリスクとしてとらえることができ、対処を急ぐことができます。
連動されているOSINT検索エンジンCriminal IPで検索した公開IT資産のIPアドレス情報、
22番ポートが脆弱性に漏洩されたままオープンされている
導入効果・無料トライアル
Criminal IP ASM は完全SaaSでの提供の為、別のエージェントやデバイス、サーバーを立てる必要なく、直ちに今の環境にご導入いただけます。インフラセキュリティの担当者、SOC/CSIRT部門、WEBサービス・サイト運用・保守サービス事業者の日々のシャドーIT対策・サイバーセキュリティ対策・脆弱性管理業務の自動化・効率化の実現を手助けします。
ASM対策やCriminal IP ASMに関する詳しい説明を記載した資料も用意しておりますので、ご興味がある方はぜひダウンロードしてご覧ください。
Criminal IP ASMは、皆様のコーポレートサイト・サービスサイトに対する脅威インテリジェンス データを体験頂けるように無料トライアルを提供しています。無料トライアル申し込みもこの機会にご利用ください。