ニュース

ランサムウェア被害を回避するためには包括的な防御を、アカマイ・テクノロジーズが脅威動向と企業向けの対策について解説

情報セキュリティ10大脅威の1位は「ランサムウェアによる被害」だが……

 アカマイ・テクノロジーズ合同会社は2月8日、企業内セキュリティ担当者を対象とした「脅威分析ウェビナー 継続する標的型ランサムウェア攻撃のアップデート」を行い、主に現在の脅威動向と対策について解説を行った。

アカマイ・テクノロジーズ合同会社シニアプロダクトマーケティングマネージャーの金子春信氏

 同社シニアプロダクトマーケティングマネージャーの金子氏は、ランサムウェア攻撃の悪質化について触れた。昨年、徳島県の半田病院の電子カルテシステムがランサムウェア「LockBit 2.0」によって攻撃され、8万5000人の電子カルテ情報にアクセスできなくなる事件があった。このような事件は日本だけではなく欧州や米国でも複数の病院/ヘルスケア組織が被害を受けている。

 このように、システムの早期復旧のために脅迫金を支払わざるを得ない相手を狙う非常に悪質なケースが多数見受けられる。金子氏はJPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」を紹介し、一読を勧めた。

 ランサムウェアによる脅威は、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」において、組織を標的とした攻撃のランキングでは1位になっている。

 以前のランサムウェアは、単にファイルを暗号化し身代金と引き換えに復号化キーを渡すスタイルだったが、現在はファイルそのものを事前に犯罪者側に転送し、機密情報の暴露を行うと脅迫行為を行う二重脅迫になるという。

現在のランサムウェア攻撃は標的型に加え、多額の脅迫金を得るために手を変え品を変えて脅迫行為を行う

 一方、金子氏は「ランサムウェアは最終的な収益の手段」と指摘する。先のIPAの情報セキュリティ10大脅威の2位は「標的型攻撃による機密情報の窃取」だ。かつての攻撃はランサムウェアを無差別にばら撒いて引っ掛かった人からお金を取るというスタイルだったが、現在は事前に周到に情報収集をしたうえで多額のお金を要求する(Big Game Hunting:大物狙い)標的型ランサムウェアに変化している。

 また、3位のサプライチェーンの弱点を悪用した攻撃に対して、米IT管理サービス企業のKaseyaが標的になった事件を挙げた。Kaseyaはリモートでシステムの管理を行うソフトを開発しており、このソフトを利用していたMSP事業者に認証バイパスの脆弱性を突いた攻撃を行った。結果として信頼しているMSP事業者からの通信によってエンドユーザーに不正なスクリプト経由でランサムウェアを感染させ、Kaseyaに対して解除コードと引き換えに身代金を要求している。

サプライチェーン攻撃はエンドユーザー側からは防御しにくい。Kaseyaのケースでは1つの脆弱性で1500社に上る被害が発生した

 4位の「テレワーク等のニューノーマルな働き方を狙った攻撃」も警視庁のレポートによれば、VPN機器とRDPに関する攻撃を足掛かりにしてシステムに侵入するという。

 6位の「脆弱性対策情報の公開に伴う攻撃」に関しては、昨年のランサムウェア動向レポートから既知の脆弱性が繰り返し使われていることが分かる。7位の「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」に関しては、「Log4j」の脆弱性を悪用したランサムウェアが複数確認されている。

 ランサムウェア被害に至る裏では、既知の脆弱性やリモート接続、サプライチェーン攻撃を足掛かりにシステムに侵入していることが分かる。ランサムウェア被害に繋がる脅威はIPAのセキュリティ10大脅威の中で5つリストアップされており、これらを包括的に対処しなければランサムウェア被害という結果を生み出すことになる。

2018年に発見され2019年に修正されているVPN認証情報漏洩事例は3年経過した現在も進行中である。全てのセキュリティパッチを早急に適用している企業は少ない

ランサムウェア対策にはゼロトラストセキュリティとサイバーハイジーンが有効Guardicoreの買収によってプロセスレベルの制御も可能に

 金子氏はランサムウェア対策として、ホワイトハウスが米政府機関向けのゼロトラスト戦略を今年発表しており、ゼロトラストセキュリティの流れが加速していると紹介した。

ゼロトラストセキュリティの基本は信頼されていないゾーンから信頼されているゾーンへの通信を全てPDP(Policy Decision Point)/PEP(Policy Enforcement Point)で評価する
PEPは集中されたコントロールプレーンで一元管理し、さらに外部データを取り込むことで適応型のアクセス制御にしておきたい。黄色はアカマイ・テクノロジーズが注力しているポイント

 ランサムウェア対策には優先付けが必要となり、例えばゼロデイ攻撃やサプライチェーン攻撃を直接的に対策する事は難しいため、インフラ側でアクセス制御をおこなうゼロトラストセキュリティ、脆弱性対策としてはサイバーハイジーンが有効になるという。

 アカマイ・テクノロジーズは入口対策にEAA(Enterprise Application Access)とAMFA(Akamai MFA)、出口対策としてETP(Enterprise Threat Protector)というソリューションを持つほか、昨年、Guardicoreを買収してプロセスレベルでの制御が可能になる次世代のネットワーク制御が可能になったという。

入口対策としてEAA+AMFA、出口対策としてETPを使う事を推奨
侵入されてからの対策として、プロセスレベルで制御できるGuardicoreの次世代マイクロセグメンテーションソリューションを用意した
EAAとGuardicore、ETPがどのようなところで使われるかを示したチャート
Guardicoreはサイバーハイジーンにも適用できるという

 続いて、アカマイ・テクノロジーズの安藤俊也氏(シニアソリューションエンジニア)は、同社のランサムウェア対策製品の説明を行った。

 従来のマイクロセグメンテーションは、IPアドレスとポート番号だけ管理しており、不正なプロセスによるラテラルムーブメントを防ぐのは難しい。そこで、昨年買収したGuardicoreの次世代マイクロセグメンテーションソリューション「Akamai Guardicore」を使う事でプロセス単位での管理と高い可視性が得られるという。

リモート接続を足掛かりにした侵入とランサムウェア攻撃の流れ。VPNやRDPの脆弱性やなりすましによりネットワーク内に侵入し、社内システムに感染。その後はラテラルムーブメントで権限アカウントや目的サーバーを探して情報窃取、暗号化、脅迫という流れになる
従来型のマイクロセグメンテーションはIPアドレスとポート番号のみ。この場合、正規のソフトだけでなく、悪意のあるプログラムのアクセスを許してしまう。プロセスまで管理できればこのような問題は発生しない
「Akamai Guardicore」を使うとプロセスの可視化が容易に行え、ポリシー作成が容易に行える

 EAAはゼロトラストでは必須ともいえる機能で、ユーザーは指定アプリしか接続できず、またリソースに直接接続できないので、ラテラルムーブメントによる偵察を阻止する。EAAはクライアントありとクライアントレスの2種類で提供される。

 また、不正なプロセスを含め、外部への通信の多くはDNS参照を行う。そこに注目してDNS参照の時点から対処するのがETPだ。従来ならばファイアウォールやIPSでデータの流れを止めるのに対し、通信をさせないことで以降の負荷を下げて効率性を上げられるとした。

EAAはリバースプロキシとして動作することで、許可されたプロセス以外は通信が行われず、かつ外部からは目的サーバーのIPアドレスもわからずラテラルムーブメントを阻止する
より安全な利用のためにはEAAクライアントを介した利用が望ましいが、利用リソースの洗い出しが必要だ。そこでDiscovered Appが用意されている
出口対策としてETPがあり、悪意のあるドメインへの接続を止めることで、その先の検査リソースを減らす
アカマイが考える安全なネットワーク環境としてAMFA、EAA、ETPとGuardicoreを挙げていた