大規模ランサムウェア感染に備えた対策と事例からの学び【最終回】
情報は漏えいするという前提で備えを
小倉 秀敏
2014年、日本IBMにてEmergency Response Service(現:IBM X-Force IRS)を立ち上げ、APT、複数の大規模ランサムウェア感染、内部不正など多くのインシデント対応をサポートし、侵入経路、被害範囲などを明らかにする。2022年からIR専門会社インターネット・セキュア・サービス株式会社においてサービスの販売とデリバリーの責任者を担当
2024/02/01
サイバーセキュリティ侵害の傾向と対策 セキュリティインシデントの専門家が解説
小倉 秀敏
2014年、日本IBMにてEmergency Response Service(現:IBM X-Force IRS)を立ち上げ、APT、複数の大規模ランサムウェア感染、内部不正など多くのインシデント対応をサポートし、侵入経路、被害範囲などを明らかにする。2022年からIR専門会社インターネット・セキュア・サービス株式会社においてサービスの販売とデリバリーの責任者を担当
前回までは、復旧までの施策を紹介していました。今回は、再発防止策として何ができるのか、この事例から得られた結果をまとめてみました。
これは侵入を防ぐための対策となります。紹介した事例で悪用されていた、退職者のアカウントがどのようにして攻撃者の手に渡ったのか、証拠を持って明らかにすることはできませんでした。しかし何らかの手段で有効なアカウントを入手したことだけは確かです。筆者チームは、本件とは全く無関係の企業でも、退職者のアカウントが悪用されて侵入を許しランサムウェアをばらまかれた事案を扱ったことがあります。まずユーザーアカウントの管理が重要です。使っていないアカウントを放置してはいけません。退職等でアカウントが使用されない状態になったら直ちに無効化します。以前3カ月に1回のアカウント棚卸しの際にアカウントの無効化対応を実施する旨を伝えてきたセキュリティコンサルティングに対して、筆者は退職と同時に直ちに実施しろ、と強く伝えたことがあります。アカウント管理者に退職等のイベントが伝わらず、アカウント無効化がタイムリーに実施できない現状があったようです。人事部と管理者の連携を密にするなどしてタイムリーに伝わるようにすることこそ大切です。
アカウント自体の管理を厳重に実施しても、有効なアカウントの認証情報が外部に漏れてしまっては意味がありません。本来であれば漏れないよう管理を強化する、が正しい施策なのでしょう。しかし残念ながらそれは現状不可能です。現に筆者チームが対応した大規模ランサムウェア感染事例のすべてで、有効なアカウントを悪用されVPNやリモートアクセスから侵入を許してしまっています。
攻撃者は今やさまざまな手段で有効なアカウント情報を取得します。もっとも効率がよいのは、アカウント情報をアンダーグラウンドで販売する「クレデンシャルブローカー」と呼ばれる販売者から入手する方法です。クレデンシャルブローカーは、フィッシング詐欺、マルウェアや不正アクセス、そのほかの手段で不正に入手したアカウント情報をまとめて販売しています。VPNの脆弱性が話題になった際、脆弱性を悪用してVPNから収集した認証情報が販売されていたことはよく知られています。認証情報は盗まれるものと想定し、対応策を策定する必要があります。そこで有効なのはVPN等のリモートアクセス時での多要素認証の利用です。フィッシング詐欺の被害者になる人は必ず存在します。金銭詐欺と異なり、自分が被害に遭ったことさえ認知できないケースも多々あります。アカウント情報は盗まれることを前提とする必要があるのです。
VPNユーザーアカウントでの多要素認証は侵入を阻むための施策ですが、特権アカウントの対応は、侵入を許してしまった後の被害を軽減するための施策となります。たとえ侵入されても特権アカウントの悪用を阻止するとで、それ以上の被害を少なくすることを目的とします。
特にサービスに利用される特権アカウントに問題があることがほとんどです。バックアップにしか使用されないのにシステム管理者権限を有するバックアップサービスアカウント、DBサーバーを動作させるためだけのサービスのはずなのに対話型ログオン権限を有している、など、過剰な権限を有しているアカウントは多数存在します。近年このような理解が進み、サービスアカウントの権限が最少化されることも珍しくなくなってきましたが、古いバージョンのOSやアプリケーションでは、高い権限を有するサービスアカウントが初期値として利用されていることが多々あります。OSやアプリケーションの最新化を検討する必要があります。
検知能力の強化と指摘されると、インターネット接続点での監視強化が一般的な理解です。しかしインターネット接続点の監視強化では、正規アカウントを利用し正々堂々とVPNから侵入してくる攻撃者を発見することはできません。
この検知能力強化とは内部サーバーのログを監視し、侵入後の攻撃者の振る舞いを早期に検知し、迅速な対応につなげることで被害を軽減することを目的とした施策となります。
検知能力の強化には大きく分けて2つの施策があります。1つはEDR : Endpoint Detection and Responseソフトウェアを導入する方法。2つめはサーバー等のログを集約し監視する方法です。
EDRは権限昇格行為の防御もしくは検知、不審なプログラムの実行の検知など、攻撃者が内部侵害の際に行う行為の多くを検知することができます。不審なプログラムがよく実施する多段もしくは複数のプロセスの生成などの振る舞いをベースに検知するため、過検知などが生じることもよく見られます。正規アプリケーションであっても多数のプロセスを生成するインストーラーなどが検知されることはよくあります。
サーバーのログを集約して監視するために、SIEM : Security Information and Event Managementと呼ばれるシステムがよく利用されます。複数のログを取り込み、検知ルールに従って相関分析させることで、単独のログからは判断できない攻撃行為などを検知できるようにします。ただし、SIEMによる検知能力の強化では、適切な検知ルールの開発に能力が左右されることに注意が必要です。ログをフィードしただけではSIEMは単なるログ保管庫に過ぎません。
VPN等のネットワーク機器の脆弱性管理
筆者チームが対応したランサムウェア感染事例ではいずれも、正規アカウントを悪用し、いわば正面から正々堂々と侵入してきていました。VPN機器の脆弱性の有無など全く関係ありませんでした。しかし、だからと言って脆弱性は無関係である、というわけではありません。報道等によれば、先に挙げたクレデンシャルブローカーは、VPN機器の脆弱性を悪用して盗み出されたアカウント情報を取り扱っているケースもあったようです。アカウント情報を不正に入手する方法の一つとして脆弱性への攻撃があった、と理解できます。攻撃者の機会を奪う意味でも脆弱性への対応は重要です。
内部のサーバーへの脆弱性対応
インターネットから直接アクセスできないことを理由に、内部サーバーへの脆弱性対応(パッチ適用)が後回しにされる事例を筆者チームもよく目にしています。しかし、いったん侵入を許してしまうと非常に危険な状況と言えます。攻撃者にとって容易に攻撃できる対象となるでしょう。やはり適切な脆弱性対応が重要となります。
ランサムウェアなどの破壊を伴う不正アクセスへの対応としては、バックアップが非常に重要です。万が一のことを考慮に入れ、バックアップの詳細な戦略を立案し、実施する必要があります。バックアッププールへのアクセスにも注意が必要です。多くのランサムウェアは、ネットワーク経由でアクセス可能な全てのSMB共有を探し出し、暗号化を試みます。バックアップと称してSMBファイルサーバーにファイルの複製を作成することは、ランラムウェア対策としては何の意味もありません。理想としては専用通信を利用するバックアップエージェントとバックアップサーバー、さらにバックアップサーバーはSMB以外の通信で専用ストレージを接続する、といった形態を検討する必要があります。専用ストレージとしてテープドライブなどを検討してもよいでしょう。
サイバーセキュリティ侵害の傾向と対策 セキュリティインシデントの専門家が解説 の他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方