標的型サイバー攻撃、ランサムウェアなど
サイバー攻撃によるマルウエア感染の被害を食い止めるための対策とは?
標的型サイバー攻撃、ランサムウェアなどは日々高度化・巧妙化しており、今や攻撃されるのを前提として防御する時代になってきています。甚大な被害を受けないためには、万が一マルウェアに感染した時に、迅速に検知して感染範囲を局所化することが求められます。感染拡大を防ぐために、どのような対策を取ればよいのでしょうか。
目次
2020年も続いている標的型サイバー攻撃やランサムウェアなどのサイバー攻撃
特定の企業や組織を狙う「標的型サイバー攻撃」や、端末やサーバーを使用できないようにして復旧のための金銭を要求する「ランサムウェア」などサイバー攻撃の被害が相次いで発生しています。こうしたサイバー攻撃の被害は2020年に入ってからも引き続き発生しており、完全な防御ができていない状況です。
社内ネットワークへ侵入するサイバー攻撃の手口としては、下記などがあげられます。
- メールを送り付けて、マルウェアが寄生する添付ファイルを開かせる
- Webサイトを改ざんし、サイト閲覧者の端末にマルウェアをダウンロードする
- 脆弱性の残るVPNを攻撃し、不正に摂取した認証情報でログインする
標的型サイバー攻撃もランサムウェアもこのような手口で侵入し、端末にマルウェアを感染させて被害を広げていきます。
セキュリティ10大脅威で1位となった「標的型攻撃」
独立行政法人 情報処理推進機構(IPA)は、前年に発生した社会的影響の大きい情報セキュリティの事案をもとに「情報セキュリティ10大脅威」を発表しています。
2020年に第1位となったのは前年に引き続き「標的型攻撃」でした。標的型サイバー攻撃は、特定の企業や組織に狙いを定め、端末をマルウェアに感染させることで、内部へ潜入します。そして、感染した端末を起点として組織内部のネットワークやサーバーを探索し、侵害範囲を拡大していきます。
標的型サイバー攻撃で標的とされるのは大手企業や政府系機関が多いのですが、比較的小規模な関連企業に侵入し、より大きな組織を狙うための踏み台にする場合もあるため、企業・組織規模の大小を問わず攻撃対象となります。
標的型サイバー攻撃は、特定の企業について事前調査を行い、集めた情報をもとに攻撃を仕掛けます。日本で初めて発見されたのが2003年とされ、様々な対策が講じられてきましたが、今でも標的型サイバー攻撃を完全に封じることができずにいます。
まだまだ上位に食い込んでいる「ランサムウェア」
一方の「ランサムウェア」は情報セキュリティ10大脅威の5位にランクインしています。前年(3位)と比べてランクダウンしていますが、依然として脅威となっているサイバー攻撃であることは間違いありません。
従来のランサムウェアの攻撃は、明確な標的を定めずに感染を試み、運悪く感染した被害者から身代金を引き出そうとしていました。しかし最近では標的型サイバー攻撃と同様に、特定の企業や組織を狙う攻撃も増えています。
様々な攻撃手法を駆使して内部に侵入し、事業継続に関わるシステムや機密情報を格納している端末・サーバー等を探し出して使用不能にする、あるいはドメインコントローラーを乗っ取って、一斉にマルウェアに感染させ、使用できないようにするといった被害の例もあります。また、身代金の支払いに応じない場合にはデータを公開するという二重の脅迫も確認されています。
ランサムウェアの事例としては、オランダの大学での被害が挙げられます。攻撃者はメールを起点としてネットワークに侵入し、脆弱性を悪用して管理者権限を奪うことで267台ものサーバーをランサムウェアに感染させました。この時大学側は、感染したシステムを復旧させるために身代金を支払うという選択をせざるをえませんでした。攻撃者が利益を上げると新たな被害が広がる要因となるため、本来は身代金を支払うべきではないとされていますが、今までのデータをすべて失い、研究者への給与支払いが遅延することから、システムを再構築することが困難だと判断されたということですが、常日頃からバックアップを取得する運用を行っていれば、こうした最悪の事態は避けられます。
サイバー攻撃の中でも、自己拡散型の「マルウェア」には要注意
急いで対策することがオススメ
マルウェアには自己拡散型(ワーム型)の機能を持つものがあります。自己拡散型はファイルに寄生する必要がなく単独で存在し、自身を複製して他のデバイスに増殖していきます。世界中で猛威を振るったマルウェア「WannaCry(ワナクライ)」もランサムウェアと自己拡散の機能を併せ持っています。
自己拡散型の場合は、「内部拡散を検知できない」、「検知しても拡散が速い」、「影響範囲を特定することができない」など、拡大を止めることが困難です。ランサムウェアは2020年も急増しており、ある調査によると2019年に比べてその数は7倍ともいわれているため、今後も注意して対策を立てる必要があります。
インターネットに接続されていないクローズドネットワークでも持ち込み端末やUSBメモリによる感染のリスクがあるということに注意しなければなりません。クローズドネットワークでは「使用するアプリケーションに対応するOSのバージョンのサポートが終了していて、セキュリティパッチが公開されていない」、「クローズドネットワークでパターンファイルを更新しづらい」といった理由で脆弱な端末が存在している場合が多く、対策が難しい場合があります。
サイバー攻撃は感染後の対策も重要、
社内の感染端末は、素早く検知してネットワークから遮断する
多様なサイバー攻撃が巧妙に行われている現在の状況では、感染のリスクはゼロにはなりません。そのため重要な対策は、感染被害にあったら一秒でも早く局所化することです。
過去の教訓としては、数年前に発生した国内の大規模な個人情報流出の事件があります。これは不審なメールに添付されたファイルを職員が開いたという典型的な標的型サイバー攻撃でした。複数の端末を感染させ、遠隔操作下に置くことで、100万件以上の個人情報が流出しました。
メールによる攻撃は複数回行われており、4回目の攻撃メールで端末1台を感染させることに成功しています。その約30分後には遠隔操作によりその端末のローカル管理者権限を奪取しました。その後、2時間以内に6台の端末を感染させ、そのうち3台を遠隔操作下に置きました。
こうしてみると、いかに短時間で感染が広がったかがわかります。これを防ぐには感染した端末を迅速に検知して、社内ネットワークから遮断することが求められます。感染した端末の利用者は速やかにネットワークからLANケーブルを抜くなどして切断する必要がありますが、感染を利用者がすぐに気づくとは限りません。この例でいうと、夜間に稼働していた端末に感染を繰り返していたという事実もあります。特に自己拡散型のマルウェアは瞬く間に拡散するため、自動で検知して問題のある端末を遮断する仕組み・対策が必要です。
標的型サイバー攻撃、ランサムウェアなどのサイバー攻撃対策にも有効な「iNetSec SF」
「iNetSec SF」は、ネットワーク通信から機器を検出し、エージェントレスで不審な端末の遮断を行う不正接続防止ツールです。端末の「検知・遮断・管理」が基本機能ですが、オプション機能「標的型サイバー攻撃振る舞い検知セグメントライセンス」を利用すれば、サイバー攻撃対策にも有効です。この標的型サイバー攻撃振る舞い検知機能によって遠隔操作型マルウェアや自己拡散型マルウェアに感染した端末をすぐに遮断することで被害の局所化を実現します。
こうした対策はエンドポイントセキュリティ製品でも可能ですが、「iNetSec SF」ではエージェントレスで運用ができるというのが大きな特長です。もしかしたら会社で把握していない多数の端末が社内ネットワークに接続されており、その端末から自己拡散型のマルウェアに感染するかもしれません。その場合にも端末をもれなく把握し、端末の不審なふるまいを検知して即時遮断して、内部拡散を局所化します。
また、クローズドネットワークでセキュリティソフトのパターンファイルがアップデートできない端末がある場合でも導入・対策できます。
「標的型サイバー攻撃やランサムウェアなどのサイバー攻撃へ何らかの対策が必要」、「社内ネットワークに接続されている端末が把握できていない」という不安を持つ企業にとって、「iNetSec SF」は最良の選択肢と言えるでしょう。
