マクニカ、神奈川県警察と共に神奈川県の企業に対し脆弱性リスクについて情報提供を実施
~管理不十分なVPN機器によるセキュリティインシデント防止に貢献~
株式会社マクニカ(本社:神奈川県横浜市、代表取締役社長:原 一将、以下マクニカ)は、神奈川県警察と、神奈川県の企業における外部公開資産を狙ったセキュリティインシデント防止に関する共同の取り組みを行ったことを本日発表いたします。
■背景
近年、企業の持つデータを暗号化するだけでなく、データを盗み取った上で「対価を支払わなければデータを公開する」などと金銭を要求するランサムウェアの被害が相次いでいます。その背景には、従来のUSB・WEB・メールに続く第四の侵入経路として企業の管理不十分な外部公開資産(ネットワーク機器やサーバ)が悪用されている状況があります。特にVPN機器からの侵入をきっかけとする被害は、被害総数の半数以上を占めており、企業にとって大きな脅威となっています。
<企業・団体等におけるランサムウェア被害の報告件数の推移>
<感染経路(有効回答数102件)>
出典:警察庁ウェブサイト「令和4年におけるサイバー空間をめぐる脅威の情勢等について」の図表1及び図表6を加工して作成
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf)
マクニカと神奈川県警察は、これまでも神奈川県下の企業に対し、サイバーセキュリティ対策に関する啓発活動を行ってきました。今回マクニカは、昨今大きな問題となっている脅威への新たな取り組みとして、外部に公開されている緊急性の高い脆弱性を持つ特定のVPN製品の調査を行い、神奈川県警察を通じて神奈川県の対象企業に情報提供及び注意喚起を行いました。
■活動内容
マクニカと神奈川県警察は、具体的に以下内容で共同の取り組みを実施しました。
① マクニカによる調査
自社で提供している「Attack Surface Managementサービス1」のナレッジを活用し、日本国内に存在する特定のVPN製品の利用企業調査を実施しました。その後、各VPN機器のバージョン特定および脆弱性有無の判定2を行い、対象製品を保有している神奈川県下の企業・組織を洗い出ししました。
*1:詳細はこちら(https://www.macnica.co.jp/business/security/manufacturers/mpressioncss/asm.html)
*2:本調査では脆弱性スキャンなどは行わず、公開情報から脆弱性を特定する手法を用いています。
② 神奈川県警察から企業への連絡
マクニカの調査結果を元に、神奈川県警察から脆弱なVPN製品を保有している企業へ1社ずつ連絡を行いました。その際、情報提供と注意喚起を行うとともに、可能な限り対処状況の確認を実施しました。
■活動結果サマリ
マクニカは2023年2月~3月の期間に対象製品調査を実施し、対象となる100社以上の企業・組織と機器情報を洗い出ししました。その後、神奈川県警察を通じて2023年3月~7月の期間に対象企業へ情報提供と注意喚起連絡を実施しました。
本取り組みを通して得た各社の状況は以下のとおりです。
<バージョンアップの必要性の認識>
<通知時の対応状況>
<機器の管理主体>
今回の注意喚起連絡時点では、12%の企業は脆弱性対応のためのバージョンアップの必要性を認識していない状態でしたが、58%の企業は必要性を認識しており、すでに対応済みか順次対応中でした。
また、一部の企業では何らかの理由でバージョンアップが滞っている状態でしたが、主な理由は以下のとおりでした。
・管理ベンダーと機器のバージョンアップを含む保守契約を結んでいたと認識していたが、改めて確認したところバージョンアップ作業は契約対象外だった。
・新型コロナウイルスの影響で遠方のベンダーが対応できていなかった。
・ベンダー、社内担当者ともに対応を失念していた。
・所管の省庁からの指導もあり、順次対応を行っていたが、多忙のため更新が滞っていた。
・保守契約があったが、導入後一度も更新が行われていなかった。
・社内調査の結果、関連会社が使用している機器と判明したため対応を指示した。今回の注意喚起を機にさらに調査を行ったところ、管理不十分な機器が他にも見つかった。
・バージョンアップに費用がかかるため、そのまま利用している。他社もそのような対応であると認識していた。
今回の取り組みにより、調査対象のVPN機器に対して様々な理由で対処が進んでいない実態が把握できました。特に、関連会社も含めてバージョンアップ未対応の機器が存在しないかの再点検や、バージョンアップ対応が自社の対応範囲なのか、委託先との保守契約の範囲に含まれるかの確認は、大丈夫だろうとの思い込みではなく、実際に確認を行うことが改めて重要であることがわかりました。
マクニカは、これからも神奈川県警察と、サイバー空間の新たな脅威に対していち早く連携した活動を実施し、神奈川県の企業におけるセキュリティレベル向上に寄与してまいります。さらに、今後は他の都道府県警察との連携も検討しています。
外部公開資産を悪用したサイバーセキュリティ攻撃は今後も継続することが予測されます。マクニカは、外部公開資産起因のインシデント発生確率を1%でも減らすために、引き続き啓発活動などを実施してまいります。
※本文中に記載の社名及び製品名は、株式会社マクニカおよび各社の商標または登録商標です。
※ニュースリリースに掲載されている情報(製品価格、仕様等を含む)は、発表日現在の情報です。その後予告なしに変更されることがありますので、あらかじめご承知ください。
株式会社マクニカについて
マクニカは、半導体、サイバーセキュリティをコアとして、最新のテクノロジーをトータルに取り扱う、サービス・ソリューションカンパニーです。世界23か国/地域81拠点で事業を展開、50年以上の歴史の中で培った技術力とグローバルネットワークを活かし、AIやIoT、自動運転など最先端技術の発掘・提案・実装を手掛けています。
マクニカについて:www.macnica.co.jp
