ニュース
ランサムウェア被害を回避するためには包括的な防御を、アカマイ・テクノロジーズが脅威動向と企業向けの対策について解説
2022年2月10日 17:59
情報セキュリティ10大脅威の1位は「ランサムウェアによる被害」だが……
アカマイ・テクノロジーズ合同会社は2月8日、企業内セキュリティ担当者を対象とした「脅威分析ウェビナー 継続する標的型ランサムウェア攻撃のアップデート」を行い、主に現在の脅威動向と対策について解説を行った。
同社シニアプロダクトマーケティングマネージャーの金子氏は、ランサムウェア攻撃の悪質化について触れた。昨年、徳島県の半田病院の電子カルテシステムがランサムウェア「LockBit 2.0」によって攻撃され、8万5000人の電子カルテ情報にアクセスできなくなる事件があった。このような事件は日本だけではなく欧州や米国でも複数の病院/ヘルスケア組織が被害を受けている。
このように、システムの早期復旧のために脅迫金を支払わざるを得ない相手を狙う非常に悪質なケースが多数見受けられる。金子氏はJPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」を紹介し、一読を勧めた。
ランサムウェアによる脅威は、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」において、組織を標的とした攻撃のランキングでは1位になっている。
以前のランサムウェアは、単にファイルを暗号化し身代金と引き換えに復号化キーを渡すスタイルだったが、現在はファイルそのものを事前に犯罪者側に転送し、機密情報の暴露を行うと脅迫行為を行う二重脅迫になるという。
一方、金子氏は「ランサムウェアは最終的な収益の手段」と指摘する。先のIPAの情報セキュリティ10大脅威の2位は「標的型攻撃による機密情報の窃取」だ。かつての攻撃はランサムウェアを無差別にばら撒いて引っ掛かった人からお金を取るというスタイルだったが、現在は事前に周到に情報収集をしたうえで多額のお金を要求する(Big Game Hunting:大物狙い)標的型ランサムウェアに変化している。
また、3位のサプライチェーンの弱点を悪用した攻撃に対して、米IT管理サービス企業のKaseyaが標的になった事件を挙げた。Kaseyaはリモートでシステムの管理を行うソフトを開発しており、このソフトを利用していたMSP事業者に認証バイパスの脆弱性を突いた攻撃を行った。結果として信頼しているMSP事業者からの通信によってエンドユーザーに不正なスクリプト経由でランサムウェアを感染させ、Kaseyaに対して解除コードと引き換えに身代金を要求している。
4位の「テレワーク等のニューノーマルな働き方を狙った攻撃」も警視庁のレポートによれば、VPN機器とRDPに関する攻撃を足掛かりにしてシステムに侵入するという。
6位の「脆弱性対策情報の公開に伴う攻撃」に関しては、昨年のランサムウェア動向レポートから既知の脆弱性が繰り返し使われていることが分かる。7位の「修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)」に関しては、「Log4j」の脆弱性を悪用したランサムウェアが複数確認されている。
ランサムウェア被害に至る裏では、既知の脆弱性やリモート接続、サプライチェーン攻撃を足掛かりにシステムに侵入していることが分かる。ランサムウェア被害に繋がる脅威はIPAのセキュリティ10大脅威の中で5つリストアップされており、これらを包括的に対処しなければランサムウェア被害という結果を生み出すことになる。
ランサムウェア対策にはゼロトラストセキュリティとサイバーハイジーンが有効Guardicoreの買収によってプロセスレベルの制御も可能に
金子氏はランサムウェア対策として、ホワイトハウスが米政府機関向けのゼロトラスト戦略を今年発表しており、ゼロトラストセキュリティの流れが加速していると紹介した。
ランサムウェア対策には優先付けが必要となり、例えばゼロデイ攻撃やサプライチェーン攻撃を直接的に対策する事は難しいため、インフラ側でアクセス制御をおこなうゼロトラストセキュリティ、脆弱性対策としてはサイバーハイジーンが有効になるという。
アカマイ・テクノロジーズは入口対策にEAA(Enterprise Application Access)とAMFA(Akamai MFA)、出口対策としてETP(Enterprise Threat Protector)というソリューションを持つほか、昨年、Guardicoreを買収してプロセスレベルでの制御が可能になる次世代のネットワーク制御が可能になったという。
続いて、アカマイ・テクノロジーズの安藤俊也氏(シニアソリューションエンジニア)は、同社のランサムウェア対策製品の説明を行った。
従来のマイクロセグメンテーションは、IPアドレスとポート番号だけ管理しており、不正なプロセスによるラテラルムーブメントを防ぐのは難しい。そこで、昨年買収したGuardicoreの次世代マイクロセグメンテーションソリューション「Akamai Guardicore」を使う事でプロセス単位での管理と高い可視性が得られるという。
EAAはゼロトラストでは必須ともいえる機能で、ユーザーは指定アプリしか接続できず、またリソースに直接接続できないので、ラテラルムーブメントによる偵察を阻止する。EAAはクライアントありとクライアントレスの2種類で提供される。
また、不正なプロセスを含め、外部への通信の多くはDNS参照を行う。そこに注目してDNS参照の時点から対処するのがETPだ。従来ならばファイアウォールやIPSでデータの流れを止めるのに対し、通信をさせないことで以降の負荷を下げて効率性を上げられるとした。