事業内容や規模を問わず、さまざまな企業が攻撃の対象になっている中、攻撃リスクを前提に「侵入を水際で止める」ための取り組みが重要だ。海外事例から具体策を学ぼう。
アサヒグループホールディングス(アサヒGHD)、アスクル――。最近、ランサムウェア(身代金要求型マルウェア)によるシステムの暗号化やデータ流出といった被害が後を絶たない。これらの被害は対岸の火事ではなく、大手のみならず中堅企業でも「侵入されてからの対処」に追われる場面が目立っている。一方で、攻撃を水際で食い止め、被害を防ぐことができた事例もある。
攻撃にうまく対抗できている企業は、何が違うのか。
ポイントは、特別な設備を用意し、大規模なセキュリティシステムを構築することではない。本稿は米Informa TechTargetや英ComputerWeeklyの攻撃事例記事を分析し、「少人数の情シスが現実的に再現できる水際対策」をまとめている。
2022年、空港支援事業を手掛けるスイスのSwissport Internationalはランサムウェア攻撃を受けたが、ランサムウェアによる暗号化が始まる前に、ネットワークの遮断を決断した。この行動によって、被害範囲が拡大することを防ぎ、ビジネス被害を減らすことができた(参照:Airport services firm thwarts attempted ransomware heist)。
同社が取ったのは、感染の兆候が出た端末やサーバを即座に切り離し、バックアップデータを用いて業務を再開するという手順だ。ランサムウェアは侵入直後に動くとは限らず、偵察や横展開の段階を経て暗号化に至る場合がある。Swissport Internationalは、その“間”を捉えた。
中堅・中小企業(SMB)でも同じ構造の攻撃がある。侵入の初動はわずかでも、暗号化開始まで時間があるので、ここを捉えられるかが水際防御の分岐点になる。
セキュリティベンダーCybereasonの研究者は、攻撃者が近年「データ流出→暗号化」という二段構えを使い、侵害行為を実行するために、より長く内部に潜伏する傾向を指摘する。つまり、暗号化の兆候が見えた瞬間には、すでに横展開(lateral movement)が始まっている可能性が高い。だからこそ、暗号化以前の初期挙動を捉える「EDR」(Endpoint Detection and Response)の役割が大きくなっていると同社は説明する。
情シスの現場でも「暗号化前にランサムウェアを検知したい」という声は強い。だがそのためには、侵入の兆候を押さえる必要がある。
攻撃者が最初にするのは情報収集だ。情報収集には、「Windows」のコマンド実行ツール「PowerShell」といったOS標準機能を使うケースは少なくない。これらは単体では正規動作に見えるが、権限昇格要求と組み合わさると攻撃の兆候となる。
ある企業では、EDRがPowerShellと認証関連プロセスの短時間連続実行を検知し、管理者権限への不正昇格を試みる動きをとらえた。そのおかげで、暗号化開始前に端末を隔離できた。同社の情シスの担当者は「普段は見分けにくいが、権限変化のログと組み合わせて見ると急に攻撃の形が分かる」と述べる。
マルウェアがすぐに動かず、実行のディレイ(遅れ)を設ける手口の攻撃もある。EDRを使えば、深夜帯に生じる想定外の通信が特定しやすくなる。
近年のランサムウェア攻撃は標的システムにファイルを保存せず、メモリなどを悪用して攻撃を実行する「ファイルレス」の手口が広がっており、従来型アンチウイルスソフトウェアでは検出が難しい。EDRはメモリでの異常な命令実行を発見し、暗号化に移る前にプロセスを強制終了することを可能にする。
標的システムをランサムウェアに感染させる経路として、メール経由の手口も依然として健在だ。メールセキュリティのツールは、添付ファイルを自動実行して安全性を評価する「サンドボックス」機能を備え、危険と判断した場合はアラートを発する。
ある企業では、業務メールに紛れた暗号化型マルウェアをサンドボックス機能が検出し、ユーザーの受信トレイに届く前に隔離できた。その企業の担当者は、「不正メールを見極めるためのユーザー教育だけでは限界がある」と語る。サンドボックス機能の自動検出によって、セキュリティ担当者の負荷を減らすとともに、不正メールの特定ができる。
メール内部の URL を一度、別ゲートウェイで実行し、危険判断したものだけブロックする仕組みも効果がある。クリック前に悪意のあるURLを検知できるので、ユーザーの判断能力に依存しない。
サンドボックス機能の役割は万能ではないが、危険度や実行時の挙動分析が情シスへ明確に渡る点が大きい。攻撃を止めるだけではなく、「なぜ危険なのか」という根拠が残るため、後続のパッチ(修正プログラム)適用や設定変更にもつながる。
ランサム攻撃はたいていの場合、VPN(仮想プライベートネットワーク)やRDP(リモートデスクトッププロトコル)の認証突破から始まる。外部から内部に入り込む経路が確立されれば、攻撃者は静かに横展開し、暗号化のタイミングを見計らう。ネックになるのは、ソーシャルエンジニアリング攻撃で流出しやすいパスワードだ。
VPN経由の侵入を防ぐ手段の一つとして、多要素認証(MFA)の実装がある。MFAは、仮にパスワードが流出してもさらなる認証を求めることで、システム侵入のハードルを高くする。企業はMFAとID管理ツールを組み合わせると、「普段と違うログイン」の試みを特定し、アクセスをブロックできる。ID管理ツールはクラウドサービスとしても提供されるので、導入ハードルは以前より低い。
不正アクセスの防御策として、社内外を問わず全ての通信に対して認証を要求する「ゼロトラストセキュリティ」が広がりつつあるが、導入に必要な費用や作業を考えると、SMBが全面導入するのは難しい。しかし、ゼロトラストを導入しなくても、「認証」「接続元」「端末状態」の三つを確認する“ミニマム実装”なら、SMBでも取り組みやすい。
実際、VPN接続元IPの急変と端末の未更新状態を基に危険だと判断し、接続をブロックすることで攻撃の侵入口を未然に断てた企業もある。
少人数のセキュリティ運用体制でも、以下のことを徹底すれば、水際での防御力を強化できる。
水際防御が成功する企業は、単一製品ではなく、複数のツールを用いて攻撃のさまざまな入口を同時に監視している。EDRやメールセキュリティ、ID管理ツールは各々のデータを持つが、情シスが見たいのは「普段と違う動きが同時に起きていないか」という横断的なことだ。大半の攻撃では、複数の異常イベントが重なって危険度が上がり、侵害につながっている。
冒頭で取り上げたSwissportの事例が示すように、ネットワークを切断しても、バックアップから業務再開できる体制があれば、遮断判断が早くなる。あらかじめ業務の復元手順が確立されていれば、防御策の判断が迅速化する。
ランサムウェア攻撃対策は「侵入させない」より、「侵入を前提に初期段階で止める」考え方が現実的だ。ここで紹介した事例を見ても、侵入直後の不審挙動、メール経由の添付ファイル、VPN認証の三つの入口で素早く対処した企業は被害を最小限に抑えている。
SMBの情シスでもこの三つを自動監視し、異常が重なった瞬間に端末を隔離できる仕組みが整えば、攻撃の水際で勝負できる。限られたリソースでも実行可能な領域から始めることが、防御全体の底上げにつながる。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
