大規模ランサムウェア感染に備えた対策と事例からの学び【最終回】
情報は漏えいするという前提で備えを
小倉 秀敏
2014年、日本IBMにてEmergency Response Service(現:IBM X-Force IRS)を立ち上げ、APT、複数の大規模ランサムウェア感染、内部不正など多くのインシデント対応をサポートし、侵入経路、被害範囲などを明らかにする。2022年からIR専門会社インターネット・セキュア・サービス株式会社においてサービスの販売とデリバリーの責任者を担当
2024/02/01
サイバーセキュリティ侵害の傾向と対策 セキュリティインシデントの専門家が解説
小倉 秀敏
2014年、日本IBMにてEmergency Response Service(現:IBM X-Force IRS)を立ち上げ、APT、複数の大規模ランサムウェア感染、内部不正など多くのインシデント対応をサポートし、侵入経路、被害範囲などを明らかにする。2022年からIR専門会社インターネット・セキュア・サービス株式会社においてサービスの販売とデリバリーの責任者を担当
前回までは、復旧までの施策を紹介していました。今回は、再発防止策として何ができるのか、この事例から得られた結果をまとめてみました。
これは侵入を防ぐための対策となります。紹介した事例で悪用されていた、退職者のアカウントがどのようにして攻撃者の手に渡ったのか、証拠を持って明らかにすることはできませんでした。しかし何らかの手段で有効なアカウントを入手したことだけは確かです。筆者チームは、本件とは全く無関係の企業でも、退職者のアカウントが悪用されて侵入を許しランサムウェアをばらまかれた事案を扱ったことがあります。まずユーザーアカウントの管理が重要です。使っていないアカウントを放置してはいけません。退職等でアカウントが使用されない状態になったら直ちに無効化します。以前3カ月に1回のアカウント棚卸しの際にアカウントの無効化対応を実施する旨を伝えてきたセキュリティコンサルティングに対して、筆者は退職と同時に直ちに実施しろ、と強く伝えたことがあります。アカウント管理者に退職等のイベントが伝わらず、アカウント無効化がタイムリーに実施できない現状があったようです。人事部と管理者の連携を密にするなどしてタイムリーに伝わるようにすることこそ大切です。
アカウント自体の管理を厳重に実施しても、有効なアカウントの認証情報が外部に漏れてしまっては意味がありません。本来であれば漏れないよう管理を強化する、が正しい施策なのでしょう。しかし残念ながらそれは現状不可能です。現に筆者チームが対応した大規模ランサムウェア感染事例のすべてで、有効なアカウントを悪用されVPNやリモートアクセスから侵入を許してしまっています。
攻撃者は今やさまざまな手段で有効なアカウント情報を取得します。もっとも効率がよいのは、アカウント情報をアンダーグラウンドで販売する「クレデンシャルブローカー」と呼ばれる販売者から入手する方法です。クレデンシャルブローカーは、フィッシング詐欺、マルウェアや不正アクセス、そのほかの手段で不正に入手したアカウント情報をまとめて販売しています。VPNの脆弱性が話題になった際、脆弱性を悪用してVPNから収集した認証情報が販売されていたことはよく知られています。認証情報は盗まれるものと想定し、対応策を策定する必要があります。そこで有効なのはVPN等のリモートアクセス時での多要素認証の利用です。フィッシング詐欺の被害者になる人は必ず存在します。金銭詐欺と異なり、自分が被害に遭ったことさえ認知できないケースも多々あります。アカウント情報は盗まれることを前提とする必要があるのです。
VPNユーザーアカウントでの多要素認証は侵入を阻むための施策ですが、特権アカウントの対応は、侵入を許してしまった後の被害を軽減するための施策となります。たとえ侵入されても特権アカウントの悪用を阻止するとで、それ以上の被害を少なくすることを目的とします。
特にサービスに利用される特権アカウントに問題があることがほとんどです。バックアップにしか使用されないのにシステム管理者権限を有するバックアップサービスアカウント、DBサーバーを動作させるためだけのサービスのはずなのに対話型ログオン権限を有している、など、過剰な権限を有しているアカウントは多数存在します。近年このような理解が進み、サービスアカウントの権限が最少化されることも珍しくなくなってきましたが、古いバージョンのOSやアプリケーションでは、高い権限を有するサービスアカウントが初期値として利用されていることが多々あります。OSやアプリケーションの最新化を検討する必要があります。
検知能力の強化と指摘されると、インターネット接続点での監視強化が一般的な理解です。しかしインターネット接続点の監視強化では、正規アカウントを利用し正々堂々とVPNから侵入してくる攻撃者を発見することはできません。
この検知能力強化とは内部サーバーのログを監視し、侵入後の攻撃者の振る舞いを早期に検知し、迅速な対応につなげることで被害を軽減することを目的とした施策となります。
検知能力の強化には大きく分けて2つの施策があります。1つはEDR : Endpoint Detection and Responseソフトウェアを導入する方法。2つめはサーバー等のログを集約し監視する方法です。
EDRは権限昇格行為の防御もしくは検知、不審なプログラムの実行の検知など、攻撃者が内部侵害の際に行う行為の多くを検知することができます。不審なプログラムがよく実施する多段もしくは複数のプロセスの生成などの振る舞いをベースに検知するため、過検知などが生じることもよく見られます。正規アプリケーションであっても多数のプロセスを生成するインストーラーなどが検知されることはよくあります。
サーバーのログを集約して監視するために、SIEM : Security Information and Event Managementと呼ばれるシステムがよく利用されます。複数のログを取り込み、検知ルールに従って相関分析させることで、単独のログからは判断できない攻撃行為などを検知できるようにします。ただし、SIEMによる検知能力の強化では、適切な検知ルールの開発に能力が左右されることに注意が必要です。ログをフィードしただけではSIEMは単なるログ保管庫に過ぎません。
VPN等のネットワーク機器の脆弱性管理
筆者チームが対応したランサムウェア感染事例ではいずれも、正規アカウントを悪用し、いわば正面から正々堂々と侵入してきていました。VPN機器の脆弱性の有無など全く関係ありませんでした。しかし、だからと言って脆弱性は無関係である、というわけではありません。報道等によれば、先に挙げたクレデンシャルブローカーは、VPN機器の脆弱性を悪用して盗み出されたアカウント情報を取り扱っているケースもあったようです。アカウント情報を不正に入手する方法の一つとして脆弱性への攻撃があった、と理解できます。攻撃者の機会を奪う意味でも脆弱性への対応は重要です。
内部のサーバーへの脆弱性対応
インターネットから直接アクセスできないことを理由に、内部サーバーへの脆弱性対応(パッチ適用)が後回しにされる事例を筆者チームもよく目にしています。しかし、いったん侵入を許してしまうと非常に危険な状況と言えます。攻撃者にとって容易に攻撃できる対象となるでしょう。やはり適切な脆弱性対応が重要となります。
ランサムウェアなどの破壊を伴う不正アクセスへの対応としては、バックアップが非常に重要です。万が一のことを考慮に入れ、バックアップの詳細な戦略を立案し、実施する必要があります。バックアッププールへのアクセスにも注意が必要です。多くのランサムウェアは、ネットワーク経由でアクセス可能な全てのSMB共有を探し出し、暗号化を試みます。バックアップと称してSMBファイルサーバーにファイルの複製を作成することは、ランラムウェア対策としては何の意味もありません。理想としては専用通信を利用するバックアップエージェントとバックアップサーバー、さらにバックアップサーバーはSMB以外の通信で専用ストレージを接続する、といった形態を検討する必要があります。専用ストレージとしてテープドライブなどを検討してもよいでしょう。
サイバーセキュリティ侵害の傾向と対策 セキュリティインシデントの専門家が解説 の他の記事
おすすめ記事
製品供給は継続もたった1つの部品が再開を左右危機に備えたリソースの見直し
2022年3月、素材メーカーのADEKAの福島・相馬工場が震度6強の福島県沖地震で製品の生産が停止した。2009年からBCMに取り組んできた同工場にとって、東日本大震災以来の被害。復旧までの期間を左右したのは、たった1つの部品だ。BCPによる備えで製品の供給は滞りなく続けられたが、新たな課題も明らかになった。
2024/12/20
企業には社会的不正を発生させる素地がある
2024年も残すところわずか10日。産業界に最大の衝撃を与えたのはトヨタの認証不正だろう。グループ会社のダイハツや日野自動車での不正発覚に続き、後を追うかたちとなった。明治大学商学部専任講師の會澤綾子氏によれば企業不正には3つの特徴があり、その一つである社会的不正が注目されているという。會澤氏に、なぜ企業不正は止まないのかを聞いた。
2024/12/20
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/17
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/12/05
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方