2020/08/18
海外のレジリエンス調査研究ナナメ読み!
増えるクラウドを利用した攻撃
本報告書では、クラウドサービスがDDoS攻撃に利用されるケースが増えてきたことにも注目している。図3はDDoSに利用されたクラウドサービスの状況をまとめたものであるが、図の上側を見れば分かる通り、DDoS攻撃の中でクラウドサービスが利用された割合は、2019年の上半期に39%だったものが、2020年の上半期には47%に伸びている。
図3の下側はDDo攻撃に利用されたクラウドサービスを示している(AWSはAmazon Web Servicesの略)。対象期間が異なるため単純比較はできないが、2019年は1位がAWSで30.1%、2位がMicrosoft Azureで28.3%であった。
![](https://risk.ismcdn.jp/mwimgs/5/f/670m/img_5f4854200d53c75e8d76020f6dae3857133538.png)
本報告書では、クラウドサービスを踏み台に使う場合の手口についても解説されている。典型的な手口の一つは、盗んだクレジットカード情報を使ってクラウドサービスにアカウントを開設し、攻撃に必要な数のサーバーを含むプライベートクラウドを設置し、攻撃が終わったらこれら全てを消去するというものである。また、企業が運営するプライベートクラウドの管理者アカウントに侵入できれば、その企業のアカウントで攻撃用のサーバーを設置することもできる。いずれも攻撃が終わったらサーバーなどを全て消去されるため、攻撃者の痕跡が残らないことが多いという。
一般に、企業がクラウドサービスの利用を検討する場合、恐らくセキュリティー面で最も懸念されるのは、外部からの不正侵入や情報漏えいなどではないかと思われる。しかしながら本報告書で示されているデータを見ると、これらに加えて自社が契約したクラウドがDDoS攻撃の踏み台に使われるリスクも検討対象に加え、必要に応じて対策を講じるべきであろう。
■ 報告書本文の入手先(PDF 14ページ/約3.4MB)
https://www.link11.com/en/downloads/ddos-report-1st-half-year-2020/
注1)DDoSとは、本報告書のタイトルにも書かれているDistributed Denial of Serviceの略で、インターネット上に接続されている多数のコンピューターから特定のサイトやWebサービスに対して集中的に多量のアクセスを発生させて、そのサイトやWebサービスをパンクさせる攻撃行為をいう。
注2)第72回:DDoS攻撃の発生状況とその実態(2019年6月25日掲載)
Link11 / Distributed Denial of Service Report for the year 2018
https://www.risktaisaku.com/articles/-/18104
注3)2019年版も1年分の報告書であったので、半年分で報告書が作成されるようになったのは今年からである。
注4)リフレクション攻撃および増幅攻撃については下記サイト(一般社団法人日本ネットワークインフォメーションセンター)に詳しく説明されているので、必要に応じてご参照いただければと思う。
https://www.nic.ad.jp/ja/basics/terms/dns-dos.html
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
-
-
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
-
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
-
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
-
-
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
-
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
-
-
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方