セキュリティの
学び場

今回の解説ニュース

eラーニングのシステムが不正アクセスを受け、外部の専門業者による調査結果が発表されています。今回は、情報漏洩の痕跡を発見する方法と、インシデントの被害を最小限に抑える方法について説明します。今回のインシデントは、大学が利用するeラーニングシステムが不正アクセスを受けたというものです。

・原因
eラーニングシステムで使用しているオープンソースのeラーニングプラットフォームの脆弱性が悪用されたことが挙げられています。

・対策
不正アクセスを受けたeラーニングシステムを廃止し、当該システムを利用していた授業については、インターネットと切り離した新たなシステムの構築を検討するとのことです。

情報漏洩の痕跡を発見する方法

情報漏洩の痕跡を発見するためには、ログから調査する方法と、ダークウェブで調査する方法が挙げられます。

ログから調査する方法

まず、システムに保存されているログから、情報漏洩の痕跡を調査することができる場合があります。例えば、不正アクセスを受けたサーバからインターネットへ通信が発生している場合は、システム内の情報が外部へ送信された可能性があります。ネットワーク通信のログを調査して、内部から外部へ大量の通信が発生している場合は、情報漏洩の可能性を疑う必要があります。

ダークウェブで調査する方法

ダークウェブでやり取りされている情報から、情報漏洩の痕跡を調査することができる場合があります。例えば、ダークウェブでは、不正アクセスを受けた組織の情報がやり取りされていたり、漏洩が疑われている個人情報が実際に売買されていたりする可能性があります。不正アクセスを受けた後にダークウェブを調査して、組織に関連する情報がやり取りされている場合は、情報漏洩の可能性を疑う必要があります。

不正アクセスへの基本的なセキュリティ対策

不正アクセスを受けないためには、基本的なセキュリティ対策を徹底してください。第三者が予測できるパスワードを設定しない、公表されている脆弱性を修正することで、多くの不正アクセスは未然に防ぐことができます。

ただし、組織が大きくなればなるほど、被害の未然防止は困難となります。理由として、フィッシング詐欺やランサムウェアなど、人の弱さを狙ったサイバー攻撃を完全に防ぐことは難しいからです。

そこで、インシデントの発生を前提とした、事後対応のセキュリティ対策が必要となります。先ほど説明した、調査に必要なログを保存するために、EDRを導入する企業が増えてきました。EDRはパソコンやサーバで行われたすべての操作を保存することができますので、インシデントが発生した際に、詳細な調査を行うことができます。

また、インシデント対応フローをあらかじめ整備しておくことも重要です。インシデント対応フローの詳細については割愛しますが、検知、分析、初動対応、復旧から事後対応に至るステップを事前に策定し、関係者へ共有しておくことが必要です。

未然防止が最良ですが、現実的にインシデントをゼロにすることが困難である以上、事後対応まで考えたセキュリティ対策が求められます。