セキュリティインシデントへの備えは

ランサムウェア攻撃からの被害の頻発やそれに伴うインシデントに対応した現場では、企業・組織がこうした事態に備え準備体制の構築の重要性がようやく認識され始めました。そうしたインシデント発生から得た数々の知見、失敗を通して企業・組織にとってのセキュリティ強化策のあり方を改めて考えてみたいと思います。

進化する攻撃

ランサムウェア攻撃手法は急速な進化を遂げています。以前はフィッシングメールを用いて感染を狙ったり、「WannaCry」といったワームタイプによる攻撃。また流行りのAIを駆使したものも登場しています。主流としては標的型ランサムウェアや多重脅迫などの手法が多くなりました。データ暗号化により身代金を要求する手口とサイバースパイで使われる標的型攻撃の手法をミックスしたものもあります。

直接攻撃による「Active Directoryドメイン」や仮想化ハイパーバイザーの掌握から業務に重大な悪影響をもたらすデータ暗号化により、身代金が支払われる確率を上げようと試みる手法。こうしたサイバー攻撃手法を用いたランサムウェア実行に先立ちデータ窃取も横行しています。個人情報といった機微データを窃取して身代金が支払わなければ全面的に公開して第三者に販売するぞと脅迫する多重脅迫が企業・組織を悩ませているのです。

被害事例

発生後は業務継続の観点から早い「復旧」が求められるのがセオリーですが、復旧のみが注目され発生原因調査をおろそかにしてしまい、事後に好ましくない影響をもたらすことは実は珍しくありません。原因調査をおろそかにした組織の事例をご紹介します。

データが暗号化され業務に必要な主要システムが停止、懸命の復旧に努め、事態の解消には成功しましたが、復旧のみに注力して原因調査はろくに実施しなかった組織。

復旧作業の中身は暗号化の被害を受けたエンドポイントやシステムの再構築にとどまります。ところが、約1カ月後に再びランサムウェア攻撃を受け、主要システムが停止、データ窃取および脅迫が繰りかえされたのです。専門家による調査でネットワーク機器の脆弱（ぜいじゃく）性が悪用され侵入されたことが判明。こうしたインシデントでは機器の脆弱性が悪用されており、暗号化されたエンドポイントの復旧対応のみに傾倒したことで攻撃者の侵入経路を特定・対処できておらず、再被害を防ぐに至らなかったことが報告されています。

対策のあり方

「調査完了まで全面的な操業停止を経営者が決断」では長期にわたって業務が滞ってしまい、莫大な損失を考慮すればこの判断をする企業は少ない。実際には、復旧と調査のバランスを取り差配して管理できるプロフェッショナルやエキスパートによるインシデント対応が望ましいのですが、費用対効果を考えると躊躇する経営者も多いのではないでしょうか。

攻撃を受けたらネットワーク切断や業務環境のインターネット接続遮断といった対策が必要ですが、業務要件にインターネット接続が必須条件となっていることも多いのが現状、完全なインターネット接続遮断ではなく、ファイアウォールを用いた通信制御で最低限業務用に確保した通信とすることが戦術として考えられます。

ビジネス観点から言えば早期復旧できる業務が多い方が好ましいもの。しかしセキュリティリスクを把握してリスクの許容範囲を決めておくことも経営者の仕事の一環。インシデント対応は常にリスク許容の判断となりランサムウェアもその例外ではありません。

そのなかでインシデント原因調査もまたリスク軽減策の一つ。調査に基づき、攻撃側がどうアクセスしたか、侵入に至った経路や手順を知り、発生可能性の高いサイバー攻撃からの侵入攻撃を防いで検知するうえでのインプットとしてとても重要です。またシステム堅牢化への取り組みも必須。ランサムウェア等のサイバー攻撃による典型的手法は研究が進んでおり、たとえ再侵入を許したとしてもデータ暗号化から時間を稼ぎ、対策されたならば被害の拡大を軽減できるメリットが高いのです。