This is the Trace Id: 29986d50846838428e0ab5ac2c09a857

日常のワークフローに組み込まれたエージェント。発表を読む

世界最大級のイベントの舞台を標的にしたサイバー脅威が増えています

ダウンロード
共有
サッカー スタジアムのイラストとさまざまなアイコン。

Cyber Signals 第 5 号: プレイの現状

脅威アクターは標的がいる場所へ出向き、機会をとらえて、標的型攻撃や広範囲の日和見攻撃を仕掛けます。インターネット接続環境が充実し続ける中で、脅威アクターは注目度の高いスポーツ イベントにまで活動の場を広げ、主催者、地域の開催施設、参加者にサイバー リスクをもたらすようになりました。英国の国家サイバー セキュリティ センター (NCSC) によると、もはやスポーツ団体へのサイバー攻撃は日常茶飯事になりつつあり、調査対象の 70% が少なくとも年に 1 回は攻撃を受けています。これは、英国内のあらゆる企業を含めた場合の平均値よりもはるかに高い頻度です。

そうした状況下で世界的イベントをスムーズかつ安全に開催しなくてはならないプレッシャーは、現地のホストや施設にとって新たな悩みの種です。たった 1 台のデバイスに設定ミス、パスワード漏洩、サードパーティ接続の見落としなどがあるだけでも、データ侵害や侵入を許す原因になりかねません。

Microsoft は、カタール国で開催された FIFA World Cup 2022TM において、期間中、重要インフラストラクチャ施設のサイバーセキュリティに関するサポートを提供しました。今号では、このイベント自体に関係する会場、チーム、重要インフラストラクチャに対し、脅威アクターによる環境評価、侵入がどのように行われるかを、当事者として知り得た内容に基づいてご紹介します。

誰もがサイバーセキュリティ防御の担い手です。

Microsoft は、2022 年 11 月 10 日から 12 月 20 日までの期間、6 億 3,460 万件以上の認証を実行しながら、カタールの施設や組織にサイバーセキュリティ防御を提供しました。

日和見的な脅威アクターは、標的が豊富にある環境を悪用します

スポーツ イベントやスポーツ会場は、多様で複雑なサイバーセキュリティの脅威にさらされています。重大な事態を未然に防ぎ、発生時に問題を軽減するためには、利害関係者の警戒とコラボレーションが常に維持される必要がありますす。世界のスポーツ市場規模は USD 6,000 億以上と評価されており、標的はふんだんに存在します。スポーツ チーム、メジャー リーグ、国際的スポーツ協会団体、そして娯楽施設は、サイバー犯罪者が手に入れたい価値ある情報の宝庫です。

運動能力に関する情報、競技上の優位点、個人情報は、非常にうまみが大きいターゲットです。残念ながら、ネットにつながったデバイスやネット間の相互接続が多数存在する環境では、こうした大量の情報が無防備な状態に置かれがちです。しかも多くの場合、その脆弱性は、チーム、企業スポンサー、地方自治体、サードパーティ請負業者など、複数の帰属先に横断的に関係しています。コーチ、アスリート、ファンも、データの損失や恐喝に対して無防備な場合があります。

さらに、会場やアリーナには既知の脆弱性や未知の脆弱性が多数存在しており、POS デバイス、IT インフラストラクチャ、訪問者デバイスなど重要なビジネス サービスを標的にした攻撃の実行に利用される可能性があります。すべての大型スポーツ イベントには 1 つ 1 つ異なる開催地、参加者、規模、構成などの要因があり、サイバー リスク プロファイルが同じになることは決してありません。

カタールの World Cup 開催期間中に集中的な対応ができるよう、私たちは先制的な脅威ハンティングを実施し、Defender Experts for Hunting というマネージド脅威ハンティング サービスを使ってリスク評価を行いました。このサービスでは、さまざまなエンドポイント、電子メール システム、デジタル ID、クラウド アプリを横断的に検索し、プロアクティブに脅威を見つけ出すことができます。その作業において重視した要因は、脅威アクターの動機、プロファイル、対応戦略などです。また、地政学的な動機を持つ脅威アクターやサイバー犯罪者に関してグローバルな脅威インテリジェンスを活用することも検討しました。

最大級の懸念事項として、イベント サービスや地域施設におけるサイバー障害のリスクがありました。ランサムウェア攻撃のような妨害行為や、データ窃取などの活動が、イベント体験と日常業務に悪影響を及ぼすおそれがありました。

2018 年から 2023 年の期間における公表されたインシデントのタイムライン

  • 2023 年 1 月、全米バスケットボール協会 (NBA) はファンに対し、データ侵害でサードパーティのニュースレター サービスから個人情報が漏洩した件の警告を発しました。1
  • 2022 年 11 月、Manchester United は、クラブのシステムがサイバー攻撃を受けたことを公式に認めました。2
  • 2022 年 2 月、San Francisco 49ers は、Super Bowl Sunday に大規模なランサムウェア攻撃を受けました。3
  • あるランサムウェア グループは、2021 年 4 月、Rockets から契約書、秘密保持契約、財務情報などのデータ 500 GB を盗み取ったと主張しています。なお、ランサムウェアは数件のシステムに限りインストールされましたが、それ以外は内部セキュリティ ツールによって阻止されました。4
  • 2021 年 10 月、あるミネソタ州の男性が、Major League Baseball のコンピューター システムをハッキングし、リーグから USD 15 万を脅し取ろうとしたかどで告発されました。5
  • 2018 年の平昌 Winter Olympics は高度な攻撃を受けました。開会式の前には、ロシアのハッカーによる Olympic ネットワークへの攻撃が行われました。6

脅威ハンティング チームは、多層防御の思想に基づくオペレーションによって顧客のデバイスとネットワークを検査し、保護しました。また、ID、ログイン、ファイル アクセスの行動監視にも力を入れ、輸送、電気通信、医療などの重要機能を担う顧客を含め、さまざまな分野の関係者を幅広くチェックしました。

全体として、エンドポイントの数が 10 万以上、ID が 14 万 4,000 件以上、電子メール フローが 1,460 万件以上、認証が 6 億 3,460 万件以上、ネットワーク接続数が数十億件以上という膨大な数のエンティティとシステムが、人間主導の脅威ハンティング活動と問題対応サポート活動を含めた 24 時間無休監視体制の対象となりました。

たとえば、このイベントの緊急医療対応施設として指定されたいくつかの病院や医療サービスは、ファンと選手に重要なサポートや医療サービスを提供する機能を担いました。そうした医療施設は医療データを保有しているため、攻撃の標的として大きな価値があります。Microsoft の脅威ハンティングでは、マシンによる活動と人間による活動の両方において、シグナルのスキャン、汚染されたアセットの分離、ネットワークに対する攻撃の阻止に脅威インテリジェンスを活用しました。担当チームは各種の Microsoft Security テクノロジを組み合わせて利用して、医療ネットワークを標的とするランサムウェア準備アクティビティを検出し、隔離しました。また、サインインの試行失敗が繰り返し発生した場合については記録を残し、以降のアクティビティをブロックしました。

医療サービスには緊急性が求められるため、デバイスやシステムについては常に最高レベルの性能を発揮できるようにしておく必要があります。病院や医療施設の役割は、すぐにサービスを提供できる備えと、サイバーセキュリティ体制の健全性を常に両立させなくてはならない難しいものです。攻撃が成功した場合、短期的な影響としては、医療施設がデータと IT を利用できなくなることが考えられます。医療従事者が患者データを更新する際に使えるツールは紙とペンだけになり、緊急事態や集団トリアージが必要な状況における救命医療の提供能力は低下する可能性があります。長期的な影響としては、悪意あるコードで設置されたスパイの仕組みによってネットワーク内部の状況が知られ、さらに広範なランサムウェア イベントで深刻なサービス障害が発生することが考えられます。また、このようなケースからデータ盗難や恐喝への可能性が開かれることもあり得ます。

大規模な国際的イベントは、いつも脅威アクターにとって格好の標的ですが、そうした活動の動機はさまざまです。脅威アクターの活動を支援している国家権力は、攻撃によって大きな地政学的利益を得るためなら多少の巻き添えを食うことも仕方ないと考えているように見えます。また、スポーツや会場関連の IT 環境を巨大な金銭的利益獲得のチャンスと見なしているサイバー犯罪グループにとっては、大規模イベントは今後も魅力的な標的であり続けるでしょう。

推奨事項

  • SOC チームを増強する: より多くの監視者に、24 時間無休体制でイベントを見守らせ、脅威をプロアクティブに検知して通知を発信させましょう。いっそう豊富なハンティング データを関連付け、早い時期に侵入の兆候を発見するのに役立ちます。そのためには、たとえば ID 侵害や、デバイスからクラウドへの情報伝達など、エンドポイントを超えたところにある脅威まで含めて監視することが重要です。
  • 対象を絞り込んだサイバーリスク評価を実施する: 具体的なイベント自体や、会場、またはイベント開催地がある国に特有の潜在的な脅威を見極めましょう。ベンダーや、チームと会場の IT プロフェッショナル、スポンサー、および主要なイベント関係者まで評価対象に含めてください。
  • 最低特権アクセスをベスト プラクティスと見なす: システムやサービスへのアクセス許可は、本当に必要な人だけに限って与えるようにしましょう。また、スタッフにトレーニングを施してアクセス レイヤーの概念を理解させましょう。

広大な攻撃面を守るには追加の計画と監視が必須

World Cup™、Olympics、その他スポーツ イベント全般においては、既知のサイバー リスクによる問題の出方が通常とは異なります。一般的なエンタープライズ環境と比べ、目につきにくい形で発生する場合が多いのです。こうしたイベントは、場合によっては新しいパートナーやベンダーが集まって短期間で実現され、関係者は特定の期間内に限りエンタープライズ ネットワークや共有ネットワークのアクセス権を与えられます。仮設的なネットワーク接続が使われるようなイベントでは、デバイスやデータフローの可視性とコントロール性を確保することが難しい場合があります。さらに、"その場限りの接続だからリスクは小さい" という間違った安心感を持たれやすい傾向もあります。

イベント システムには、チームや会場の Web とソーシャル メディア、登録やチケット発券のプラットフォーム、試合のタイム計測やスコアリングを行うシステム、ロジスティクス、医療マネジメントや患者の追跡管理、インシデント追跡管理、大量通知システム、電子サイネージなどが含まれる場合があります。

スポーツ組織、スポンサー、ホスト、会場は、以上のようなシステム上で共同作業を進め、充実した楽しいサイバー体験を築き上げなくてはなりません。その上、大量に押し寄せる参加者やスタッフは、それぞれ自分のデータや情報を載せたデバイスを持ち歩いています。これらも攻撃面の拡大要因となります。

大規模イベントにおける 4 つのサイバー リスク

  • 不要なポートはすべて無効化すること、その場限りや未知のワイヤレス アクセスポイントを適切なネットワーク スキャンで確実に発見すること、最新の修正プログラムを適用すること、暗号化レイヤー経由であらゆるデータを扱うようなアプリケーションを選んで採用することが重要です。
  • 参加者への推奨事項として、(1) 最新の更新プログラムや修正プログラムでアプリとデバイスを保護すること、(2) パブリック Wi-Fi を使って機密情報にアクセスしないこと、(3) 公式以外の情報源から入手したリンク、添付ファイル、QR コードを使わないことを周知しましょう。
  • POS デバイスが修正プログラム適用済みで最新の状態になっていること、分離されたネットワークに接続していることを確認しましょう。また、見慣れないキオスクや ATM に注意すること、イベント主催者が公式に承認したエリア以外でトランザクションを実行しないことを参加者に周知しましょう。
  • サイバー攻撃の影響を軽減するために、論理ネットワーク セグメンテーションを構築して IT システムと OT システムを分離し、デバイスやデータへのクロス アクセスを制限しましょう。

セキュリティ チームは、必要な情報 (イベント期間を通じて運用可能な状態を保つ必要がある重要サービスなど) が最初から提供されていると、対応計画をより的確に把握できます。このことは、会場のインフラストラクチャをサポートする IT 環境と OT 環境のためにも、また、来場者の物理的な安全を保つためにも不可欠です。可能であれば、各種組織とセキュリティ チームがそれぞれの利用するシステムをイベント開催前に構成し、テストを完了してからシステムとデバイスのスナップショットを作成し、IT チームからアクセスできる場所にスナップショットを置いて、必要が生じたら即座に再デプロイ可能な状態にしておくのが理想的です。このような手間をかけることは、攻撃の予防策として非常に効果的です。敵対者にとって好都合な、標的がふんだんに存在する大規模スポーツ イベント環境の中で、構成が甘い臨時ネットワークを利用した活動をすることが難しくなるからです。

加えて、検討の場には、プライバシー リスクの観点から問題を見つけられる人の存在も必要です。そのようなメンバーがいると、参加者の個人情報やチームの非公開データを新たなリスクや脆弱性にさらすような構成が入り込む可能性を排除しやすくなります。また、ファン向けのシンプルなサイバー スマート実践方法のアイデアも生まれやすくなるでしょう。たとえば、公式ロゴの入った QR コード以外はスキャンしない、購読者登録していない SMS やテキスト メッセージの誘いを信用しない、無料のパブリック Wi-Fi を使わない、などといったアドバイスを発信すると効果が期待できます。

こうしたポリシーやその他のポリシーは、大規模イベントにまつわるサイバー リスクを一般の人々に知らせ、特に、データ収集や盗難の危険にさらされていることを認識してもらうために役立ちます。安全な行動のしかたをファンや参加者に広めると、ソーシャル エンジニアリング攻撃の被害者になりかねない行動を回避してもらうことができます。これには、会場やイベント ネットワークにサイバー犯罪者の足掛かりを仕込まれるのを防ぎ、事後の犯罪行為を防ぐ効果があります。

下記の推奨事項に加え、National Center for Spectator Sports Safety and Security から発行されている、大規模会場のネットワーク対応デバイスと統合セキュリティに関する考慮事項もご覧ください。

推奨事項

  • 包括的で多層的なセキュリティ フレームワークの実装を優先的に進める: これには、不正アクセスやデータ侵害に強いネットワークを実現するために、ファイアウォール、侵入検知および防止システム、強力な暗号化プロトコルをデプロイすることが含まれます。
  • ユーザーの意識向上とトレーニングに取り組む: 従業員や関係者に対する啓蒙活動で、サイバーセキュリティのベスト プラクティス (フィッシング メールの見分け方、多要素認証やパスワードレス保護の利用方法、疑わしいリンクやダウンロードの避け方など) を広めましょう。
  • 評判が良いサイバーセキュリティ企業の協力を得る: ネットワーク トラフィックの監視を常に継続し、潜在的な脅威をリアルタイムで検出しながら、セキュリティ インシデントにすばやく対応しましょう。セキュリティ監査と脆弱性評価を定期的に実施し、ネットワーク インフラストラクチャの弱点を見つけて対処しましょう。
Microsoft Security Research のプリンシパル グループ マネージャーである Justin Turner が、よくあるセキュリティ課題の詳細な分析情報をお伝えします。

このスナップショット データは、2022 年 11 月 10 日から 12 月 20 日の期間に 24 時間体制の監視対象となったエンティティとイベントの合計数を表しています。これには、トーナメントのインフラストラクチャに直接関与した組織と、関係した組織が含まれます。活動内容には、人間主導のプロアクティブな脅威ハンティングによる、新たに台頭してきた脅威の特定、注目すべきキャンペーンの追跡把握が含まれます。

主要な分析情報:
 

45 保護した組織の数                                 10 万 保護したエンドポイントの数

 

14 万 4,000 保護した ID の数                               1,460 万 電子メール フローの数

 

6 億 3,460 万 認証の試行数                43 億 5,000 万 ネットワーク接続の数

方法論: スナップショット データについては、Microsoft のプラットフォームとサービス (Microsoft Extended Detections and Response、Microsoft Defender、Defender Experts for Hunting、Azure Active Directory を含む) から、脅威アクティビティに関する匿名化データ (悪意あるメール アカウント、フィッシング メール、ネットワーク内での攻撃者の行動など) を取得しました。また、Microsoft 全体 (クラウド、エンドポイント、インテリジェント エッジと、侵害回復セキュリティ プラクティス チーム、検出と応答チームを含む) で毎日取得される 65 兆件のセキュリティ シグナルから追加の分析情報を取得しました。カバー アートは、実際のサッカーの試合、トーナメント、または個別のスポーツを描いたものではありません。言及されているすべてのスポーツ団体名は、個人が所有する商標です。

関連記事

最も根強い 3 つのサイバーセキュリティ課題に関する専門家のアドバイス

Microsoft Security Research のプリンシパル グループ マネージャーである Justin Turner が、長年サイバーセキュリティを手掛ける中でも常に直面してきた根強い 3 つの課題 (構成管理、修正プログラムの適用、デバイスの可視性) について解説します。
詳細情報

フィッシング攻撃は 61% 増加しています。最新情勢を踏まえて組織の攻撃面を把握しましょう

組織のシステムが攻撃対象となり得る領域はますます複雑になっています。攻撃面の管理には、包括的なセキュリティ体制の構築が必要不可欠です。このレポートでは、防御側が戦局において優位性を高める方法に関して、適切な脅威インテリジェンスを活用することの有効性を、主要な 6 種類の攻撃面についてご説明します。
詳細情報

IT と OT の融合

IoT の広がりに伴って、OT はさまざまな脆弱性のおそれや脅威アクターと直面し、リスクを抱えることになりました。この状況下で皆様の組織を守る方法をご覧ください。
詳細情報

Microsoft Security をフォロー