名古屋港サイバー攻撃、国交省発表にみるセキュリティ課題と対策ポイント

名古屋港サイバー攻撃、国交省が示した緊急セキュリティ対応策

2023年7月、名古屋港コンテナターミナルでサイバー攻撃ランサムウェアによるシステム障害が発生し、およそ3日間にわたりターミナルの操業が停止しました。物流に大きな影響を与えたサイバー攻撃の発生を受け、国土交通省（以下、国交省）は、同月、有識者らによるセキュリティ検討委員会を設置し^※1、2023年9月末に、事案の検証結果などを含む中間の取りまとめを公表しました^※2。

この中間取りまとめは、「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について（案）」として、名古屋港のセキュリティ対策の問題点やコンテナターミナル向けに緊急に実施すべきセキュリティ対応策が示されています（図）。

ここで示された名古屋港事案におけるセキュリティの問題点は、トレンドマイクロが把握する昨今のセキュリティインシデントにおける組織の対策課題と多くの共通点があり、規模や業種を問わず、多くの法人組織のセキュリティ点検に有益な情報となっています。本記事では、国交省の中間取りまとめの概要を説明し、そこで示された問題点のなかで、特に昨今のセキュリティ動向などから、広く組織において点検、強化を推奨するポイントを紹介します。

図：国土交通省「中間取りまとめ①　名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について概要」
コンテナターミナルに向けに示された対応策は基本的なものだが、名古屋港事案の検証による問題点は多くの組織にとって自組織のセキュリティ対策点検に有益な情報

※1 国土交通省　コンテナターミナルにおける情報セキュリティ対策等検討委員会について
※2 中間取りまとめ①　名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について（全13ページ）
中間取りまとめ① 名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について概要（全1ページ）

国交省「中間取りまとめ」にみる名古屋港のセキュリティ課題

中間取りまとめの検証結果に関して、多くの報道記事ではウイルス対策ソフト（原文ママ）の機能が不十分であった問題にとくにフォーカスが多く当たっていますが、実際は、対策、体制両面から5つの問題点が示されています（表）。

ランサムウェアの感染経路として考えられている外部接続部分のほか、サーバやネットワークのセキュリティ対策の不足といった技術的対策の課題が指摘されたほか、バックアップや障害対応の問題点も挙げられています。技術面に関しては、OS付属のセキュリティ対策ソフトのみしか使ってない点について、「基幹OS付属のセキュリティ対策ソフトは最低限の機能を有するものであり、NUTSに求められるセキュリティレベルとしては不十分なもの」であり、「より信頼性の高いセキュリティ対策ソフトを用いるべき」との考えを示しました。また体制面では、事業継続計画（BCP）においてサイバー攻撃によるシステム障害が想定されていなかった点やセキュリティインシデント発生時にセキュリティ専門家に相談する体制が構築されていなかった点が問題として上げられました。

今回のランサムウェア感染経路は、現在のところ、VPNからの侵入、USBメモリからの持ち込み、名古屋港統一ターミナルシステム（NUTS）と港湾事業間とのネットワーク連携で運用しているNAT^※3変換によるNUTSへの接続からの侵入、これらいずれかによるもの考えられており、なかでも被害状況からVPN機器からの侵入によるものとの説が有力です。NUTSの保守用VPNは、運用面の利便性が重視された結果、IPアドレス制限をかけておらず、IDとパスワードさえ合致すれば誰でもアクセス可能な状態でした。さらに、VPNには数か月前に脆弱性が公表されていたものの、脆弱性への対応が未対応であったことも確認されており、サイバー攻撃者の侵入経路となった可能性も指摘されています。

VPNは、昨今多くのセキュリティインシデントでサイバー攻撃の侵入経路になっており、広く注意喚起がされています。警察庁の発表によれば、2023年上半期のランサムウェア被害企業の感染経路の7割がVPNからの侵入が占めており、引き続き警戒が必要な状況です^※4。こうした基本的な対策が放置、または見落とされていたことが原因で、大きなセキュリティインシデントにつながった事例は少なくありません。以下では、中間取りまとめの検証を踏まえ、トレンドマイクロが把握するセキュリティ動向から、広く組織において点検、強化を推奨するポイントを紹介します。
※3 Network Address Translation（ネットワークアドレス変換）。IPアドレスを変換する技術。
※4 令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について（2023/9/21）
ランサムウェア被害企業で感染経路についた回答した49件のうち、VPN機器からの侵入は35件で全体の71％を占めた

表：「問題点の抽出と改善点」（国土交通省「中間取りまとめ①　名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について概要」）をトレンドマイクロがまとめたもの（表内の単語は国交省が使用しているもの）

昨今のセキュリティインシデントとの共通点

トレンドマイクロが把握するセキュリティ動向から、広く組織において点検、強化を推奨するポイントを3つ紹介します。

●VPN機器への基本的なセキュリティ対策の徹底

トレンドマイクロが対応したセキュリティインシデントにおいても、最も多いのがVPN経由でのサイバー攻撃の侵入です（図）。VPNの脆弱性を狙ったものや、窃取したVPNの認証情報を使った不正アクセスによるものなど侵入手口は様々ですが、その多くは基本的なセキュリティ対策でリスクを低減できるものです。関係先を含めた対策の点検をお勧めします。

・VPN機器の脆弱性情報の把握と迅速な修正プログラム適用
・VPN機器の前にIPS（侵入防止システム）を設置する等の脆弱性攻撃対策を行う
・VPN機器の認証情報（アカウント情報）の管理。不要なアカウント削除、パスワードの複雑化、多要素認証の導入など。
・定期的なVPN機器のパスワード変更、または変更頻度の見直し
・通信の監視（ブルートフォースなどの攻撃監視）
・国内外の拠点などを含めた利用機器の把握と対策。使用しなくなった機器の無効化など。
・取引先などサプライチェーンのセキュリティ管理状況の把握やセキュリティ対策呼びかけ。共通のシステムを利用する取引先のVPN機器がサイバー攻撃を受けて、システムを介して自組織に攻撃が拡大するリスクも。

図：トレンドマイクロが対応したセキュリティインシデントにおける侵入経路（2021年～2023年10月現在までの経路特定できた32件を整理）

参考：VPN、サイバー攻撃被害に共通するセキュリティの注意点

●原因調査に有効なログ取得とバックアップ管理の整備

万が一、サイバー攻撃を受けた場合、被害最小化や迅速な復旧は時間との戦いになります。ここで重要なのが、サイバー攻撃の状況を調査するためのログです。
実際のセキュリティインシデントにおいて、サイバー攻撃の原因調査に必要なログのバックアップが取られていない、また取っていたとしても、対象範囲や対象期間が限定的で原因調査に活用できないというケースは少なくありません。サイバー攻撃のなかには、追跡を困難にするために、攻撃に使った通信や挙動に関連するログ情報を削除する手口も確認されています。迅速な原因特定による被害の最小化には、適切なログ取得、管理が前提となります。万が一のセキュリティインシデントを前提として、有効なログ設定と取得、そしてバックアップ管理の整備を検討ください。
参考：インシデント対応事例から学ぶ教訓 case2 「標的型攻撃の危険性半年以上組織内に潜伏」

●「見えない」サイバー攻撃を検知できるセキュリティへのアップデート

最近のランサムウェア攻撃は、大量にマルウェアスパムなどを送り付けて無差別に組織を狙う「ばらまき型」から、標的組織を定めて攻撃を行う「Human-Operated」と呼ばれる攻撃手法が主流になっています。2018年～2022年の期間にトレンドマイクロがランサムウェア攻撃被害のインシデント対応支援を行った案件のうち、94%がHuman-Operatedによる被害によるものでした。

攻撃者はセキュリティ検知を逃れるため正規ツールを使うなど、洗練されたテクニックを多用します。このため、一つ一つの怪しい挙動（攻撃の兆候の断片）だけでは、「攻撃」であると判断することは難しくなっている、つまり「攻撃の全体像が見えづらく」なっています。そのため、攻撃がどのような手法や順序で構成されているのか、攻撃を「一連のパターン」として検知する技術が必要です。攻撃を「一連のパターン」として検知するためには、一つ一つの怪しい挙動を相関分析して繋がりを見極め、攻撃シナリオを検出していかなければなりません。そのために有効なソリューションがXDR（Extended Detection and Response）です。なかでも、攻撃シナリオをより効果的に検出するには、どれだけ検知モデルを備えているかがポイントになります。
参考：「見えない」ランサムウェア攻撃への対策とは

中間取りまとめでは、この他、サイバー攻撃発生時に、適切な対応を取るためにも、公的機関への情報共有やセキュリティ専門家への相談することを推奨しています。実際の発生時に、一から共有先や相談先を探すのには時間もかかり、サイバー攻撃への対応が後手になります。平時から、情報共有先や報告先、また調査を依頼できる、信頼のおけるセキュリティ専門家、セキュリティインシデントの支援が可能な事業者のコンタクトを複数確保することも重要です。

参考情報
JNSA　サイバーインシデント緊急対応企業一覧
 警察庁　相談窓口（都道府県警察本部のサイバー犯罪相談窓口一覧リンク）