ランサムウェアから企業を守るためには
近年、大手企業でのEKANS(SNAKE)、MAZEなどと呼ばれるランサムウェア感染の報道によって、ランサムウェアが注目を集めています。
その中で、ニューノーマル時代を迎え、テレワークの実施や浸透によってITやサイバーセキュリティの重要性が高まり、企業は新しい姿勢での対策を求められています。
今、企業や組織は、サイバー攻撃からどのように自分の身を守るべきか、解説いたします。
ランサムウェアとはRansom(身代金)とSoftware(ソフトウェア)を組み合わせて作られた造語です。
端末(のデータ)を暗号化して、復元のために身代金を要求する「身代金要求型ウイルス」と呼ばれています。
IPA(情報処理推進機構)が毎年公開している「情報セキュリティ10大脅威」においても、ここ数年上位の脅威として取り上げられています。
上記の説明のように、ランサムウェアを「身代金要求型ウイルス」と認知すると、単純に暗号化して身代金を要求するマルウェアだけに思われてしまうかもしれません。
しかし、ランサムウェアは端末で動作しているプロセスを確認してそのプロセスを終了させたり、自身を自動的に複製してネットワークでつながった端末に感染を拡大したりするなど、攻撃者によってその作りこみは様々です。
特に、最近話題になったEKANS(SNAKE)は、産業制御システム関連のプロセスを停止するということから、大きな話題となりました。
このEKANS(SNAKE)は、不特定多数にばらまかれるランサムウェアとは異なり、組織を限定したサイバー攻撃を行っています。
その動作として、特定組織のドメインの名前解決を求めるDNSクエリを実行し、攻撃対象となる企業のIPアドレスリストを参照した上で、名前解決できない場合やIPが異なる場合には動作を停止するといった機能も有しており、特定の環境でしか動作しないように作りこまれていました。
このように、ランサムウェアも広域に行われるサイバー攻撃に用いられるだけはなく、特定の組織を狙った標的型攻撃にも用いられています。
このランサムウェアの他にもサイバー攻撃には様々なマルウェアが使用されています。
情報収集を主な目的とした「スパイウェア」、攻撃者が攻撃しやすいような環境づくりとして裏口を開ける「バックドア」、コンピュータを自由に操作可能にする「ボット」など、使用されるマルウェアは攻撃によって様々です。
サイバー攻撃を行う攻撃者は、ソーシャルエンジニアリングをはじめ、事前に組織を調査した上で攻撃を行っています。
例えば、MITREが公開している「ATT&CK」には「Initial Access(初期アクセス)」から「Impact(影響)」までのそれぞれのフェーズごとに、どのような攻撃手法があるのか、またその緩和策もまとめて公開しています。
MITREはアメリカの政府から支援を受けた非営利の団体で、特に脆弱性の識別子である「CVE」を採番していることでも有名です。
言わば、この脆弱性情報の収集が大きなカギでもあり、世界の脆弱性を理解しているからこそ、ATT&CKのようなフレームワークをまとめることができているのです。
当該フレームワークに記載してある攻撃手法や緩和策などを理解しておくことは、サイバーセキュリティ対策の大きなヒントになります。
100%防御することは難しいと言われるサイバー攻撃ですが、サイバー攻撃のフェーズやテクニックを理解し、セキュリティ対策を施し、より早いフェーズで攻撃に気づくことができる体制構築をつくることが重要です。
それができれば、万が一のインシデント発生時にも、EKANS(SNAKE)、MAZEなどのランサムウェアから組織の被害を最小限に抑えることができ、重大なインシデントに繋がりにくくなるでしょう。
また、攻撃者がサイバー攻撃を行う際には、最新のセキュリティ製品で検知しないことを確認したり、導入しているセキュリティ製品を無効化したりして、様々な手法を組み合わせてサイバー攻撃を行っています。
セキュリティ製品を無効化されてしまったら防ぐすべがないと思うかもしれませんが、攻撃者側も最初から組織で導入しているセキュリティ製品やネットワーク、環境そのものを理解しているわけではなく、サイバー攻撃の最初の段階からセキュリティ製品を無効化できるわけではありません。
そのような攻撃は攻撃者側の技術力の高さも伺えますが、一方で、セキュリティ製品をはじめ導入している機器を利用しきれていない私たちにもサイバー攻撃を許してしまっている要因があるかもしれません。
組織の利用状況によっては脆弱性を修正する新たなパッチが配信されてもすぐに適用できない組織もあります。
また、導入しているサイバーセキュリティ製品も、往々にして、
「システムインテグレーター(SI)が導入したからわからない」
「デフォルト(初期設定)のまま使用している」
「最新のバージョンを利用していない」
などといった状況が散見されます。
このような利用方法は、攻撃者の思う壺と言っても過言ではないでしょう。
しかしながら、システムによってはコストや仕様などの理由からすぐに更新できないということがあるのも事実です。
そのような場合で大切なポイントは、このリスクを現場だけではなく経営者も認識しておくということです。
もし適切に報告せず、インシデントが発生してしまったら現場が良かれと思っていて更新していなかったことも、現場に責任が問われてしまうかもしれません。
責任は責任の取れる役割の人(=経営者)に任せることも現場としての役割であり、些細なことでも報告を入れておくことがとても大切です。
「導入したらおしまい」のセキュリティではなく、組織はより導入している機器やセキュリティ製品に興味を持ち、定期的なバージョンアップやチューニングを継続して行う必要があります。
私たちは自転車や自動車などに乗る前に、タイヤにちゃんと空気が入っているか、エンジン音に異常がないかなどを確認した上で乗車します。
どのような製品でも定期的に確認をし、整備をしておかないと、著しい劣化や故障に繋がる可能性があることは、どの業界、どの製品でも共通です。
ましてや、サイバー空間は技術革新が激しく日々変化しています。
整備を行わなければ行わないほど、EKANS(SNAKE)、MAZEなどのランサムウェアからの脅威や、最新のサイバー攻撃に対応することは難しくなることは言うまでもないでしょう。
まだマルウェアが数えるほどしかなく、愉快犯的なものであった約30年前は、杜撰なチューニングでもよかったかもしれません。
ですが、今では、次から次へと新たなマルウェアが生み出されています。
そのような現状においては、一層の危機意識をもってサイバーセキュリティ対策を行う必要があります。
その一方で理解しておく必要があるのが、攻撃者が毎回より高度な攻撃手法を用いてサイバー攻撃を行っているわけではないということです。
ゼロデイ脆弱性を利用せずとも広く知れ渡った既知の脆弱性を利用したり、人の脆弱性などを用いたりすれば攻撃を行うことができます。
裏を返せば、高度な技術力を有していなくてもサイバー攻撃が成功してしまう現実があるということです。
そもそもサイバーセキュリティの意識や知識が低ければ、端末やメール、インターネットを利用することに対して、リスクのある状況で利用しているとは考えていないでしょう。
そのため、よりマルウェア感染や詐欺などの被害に合う可能性が高くなります。
この意識こそ根本的に変えなければならず、サイバーセキュリティ教育が大切になります。
この教育はサイバー空間を使う全ての世代、役職、関係なく必要です。
また、私たちの仕事の仕方もWordやExcelを使用して文書ファイルを作成したり、メールで送受信を行ったりするなど、大きく業務方法は変わっていません。
言い換えると、攻撃者は調べるまでもなく、利用しているアプリケーションが簡単に想像できるわけです。
そのため、サイバー攻撃の初期の段階では「メール」がよく用いられています。
標的型メールと言われる特定組織を狙ったメールだけではなく、情報や金銭の取得などを目的としたフィッシングメール、企業の取引を装い金銭を得るビジネスメール詐欺など、サイバー攻撃の多くにはメールが用いられています。さらに送られてくるメールも翻訳技術の向上や攻撃者の内偵からも精度が増し、セキュリティの知識がある人でも、メールを開封し、マルウェアに感染してしまう可能性がある状況になっています。
なお、メールに限らず、昨今のセキュリティ製品の脆弱性の悪用や、Web会議ツールの脆弱性など、利用者が多ければ多いほど対象のサービスは狙われやすくなります。
理由は極めてシンプルです。
攻撃者からしてみれば攻撃対象が増えるからです。
利用者が多いということはそれだけサイバー攻撃のリスクがあるということも理解しながら、使用する必要があります。
ところで、メールについてはここ数十年変わることのないコミュニケーションツールとして使用されてきましたが、現在ではメール以外にも様々なコミュニケーションツールが開発・提供されています。
特に、メールに関して言えば、根本的に利用を見直すということも、ニューノーマル時代においては必要なのかもしれません。
さてサイバーセキュリティ対策の議論は製品やサービスなどの技術的な話に寄りがちですが、セキュリティ対策の本質は「事業を安定的に継続させるために、組織の資産・価値を守ること」です。
たとえ複雑な攻撃手法を用いられたとしても、新しい脆弱性やマルウェアが利用されたとしても、組織が守られるべき情報が守ることができていれば、組織としてはセキュリティ対策に成功しているとも言えるかもしれません。
(勿論、あまりにもサイバー攻撃がある場合には違う要因がある場合もあります)
しかしながら、この「組織が守らなければならない情報」が多くの組織でわかっていないのが実情です。
「うちには重要な情報はないから」という経営者の方もいますが、情報が重要か重要でないかは(人の評判のように)内部で決められるものではなく、外部から決められるものであり、見る人によってその価値は異なります。
また、守るべき情報が沢山あって、分類や格付け(クラシフィケーション)が出来ていない組織もあります。
これは、増え続けるデータに対して、
「どれが重要かわからない」
「判断基準がわからない」
「全部重要」
などと、データを扱う側がマネジメントを怠ったから、ということが多くなっています。
言わば、組織のデータマネジメントをしてこなかった負の遺産ともいえます。
冒頭で触れたEKANS(SNAKE)、MAZEを始めとしたランサムウェア対策の基本は、どのセキュリティ対策よりもまず、「バックアップ」を考えることで、情報を守ることです。
(最近ではそのバックアップの有無も攻撃者は確認しようとしていますが)
常時バックアップをとれる仕組みが整っていれば、万が一の際にも、被害を最小限で食い止めることが可能になります。
逆に、バックアップがない場合は、被害が拡大したり、復旧コストが増えてしまったりすることもありえます。
高度なセキュリティ対策の検討も必要ですが、まずはどのような情報を守るのかを考えることが本来は先決です。
新しい時代において大切なことは情報(データ)を守ることであり、その管理をすることです。
これまで実施してこなかった組織も今一度見直す必要があります。
そして、その取り組み(データマネジメント・セキュリティを考えること)こそ、サイバーセキュリティ対策の本質に繋がり、最近のキーワードでもある「ゼロトラスト」に繋がっていきます。
今、社会の混乱からニューノーマル時代とも言われ、新しい時代に突入しています。
テレワークの実施や浸透によって、ITやサイバーセキュリティの重要性に気付き始めた人や組織も多いことでしょう。
皆さんは新しい時代の新しい備えをどのように行いますか。
何事も起きてからでは遅いのです。
EKANS(SNAKE)、MAZEなどのランサムウェアを含め、あらゆるサイバー攻撃に対して事前準備が非常に大切になってきます。
事業の状況や体制を踏まえた上で、そのような準備を綿密に行った組織こそ、未来の勝ち組になるのかもしれません。
本記事のシェアはこちらから