高度化するランサムウェア脅威に対する
多層防御の必要性

今、サイバーセキュリティの優先事項はランサムウェア対策であろう。ランサムウェアは、「システムの停止」「機密情報の漏えい」の両面でリスクがあり、ひとたび被害に遭えば事業継続への影響が大きい。2021年ごろからEDRが普及してきているが、皮肉にもランサムウェア被害も増加している。その主な理由は、攻撃手法の高度化だ。こうした背景から、多層防御の必要性が高まっている。今回は、IT環境における多層防御の在り方について解説する。

ランサムウェアの主な侵入口

 ランサムウェアの攻撃手法は高度化し、対策も進む一方で、その侵入傾向は大きくは変わっていない。

 VPN機器を含むリモートアクセス基盤の脆弱性放置や多要素認証の未導入など、設定や運用の不備が依然として多い。そのほか、メールやWeb経由での感染やフィッシング、クラウドや外部公開サーバーの設定ミス、USBデバイスによる感染などがある。さらに、サプライチェーンの弱点を突く事例も続いている。

 特にメールに関しては、攻撃者側の生成AI活用により攻撃のハードルが下がっている。不審な添付ファイルを開かせる手口だけでなく、怪しいURLへの誘導によるマルウェアのダウンロードや、偽造したログイン画面に誘導した認証情報の窃取(フィッシング)も横行している。

 このように、ランサムウェアに侵入される経路は多岐にわたるため、これを導入すれば大丈夫というものはなく、各経路に対する防御策が必要になってくる。また、初期侵入を行うための諜報活動を阻止することもリスク低減として重要だ。

ランサムウェアの攻撃ステップ

 ランサムウェアは、初期侵入に成功した後、直ちに破壊活動を行うわけではない。侵入後はまず内部活動を行う。初期侵入時に確立した遠隔操作の仕組みを用いつつ、ネットワーク内を探索し、認証情報を窃取しながらEDRなどの検知機能の回避や無効化を進める。

 ドメインコントローラーにたどり着けば、その権限を奪取し、各種セキュリティ機能の停止に加え、ランサムウェアの配布や実行、重要データの窃取を行う。その後、破壊活動に移る。復旧を妨げるためのバックアップの無効化やバックアップデータの削除、活動の痕跡(ログ)を削除した上で、最後にデータの暗号化を実行する。そして、窃取した重要データと暗号化したデータを利用して脅迫を行うわけだ(図)。

各段階における多層防御

 それでは、攻撃ステップの各段階における対策の一例をリストアップする。

【諜報活動】
・EASM:公開資産の脆弱性診断を行い、シャドーITや脆弱性対策漏れ、設定不備を洗い出す。
・SAM/ITAM:ソフトウェア資産とIT資産を管理し、脆弱性対策漏れ、設定不備が起こらないよう管理する。
・リスク評価:予測力、抵抗力、回復力、適応力の観点から弱点を洗い出す。
・体制構築:ツールやシステムに加え、プロセスなどインシデント対応の体制面を強化し、リスクを低減できる仕組みを整える。

【初期侵入】
・FW/UTM:外部からの不審な通信や攻撃トラフィックを検知・遮断し、ネットワークの入口対策を行う。
・IAM/MFA:多要素認証で認証が突破されないようにする。
・メールセキュリティ:不審なメール、添付ファイル、URLの検知と排除を行う。
・ITハイジーン:シャドーITの検出や潜在リスクの検知を行う。
・CSPM:パブリッククラウド上の公開サーバーの脆弱性や設定不備の検出や是正を行う。
・SWG/SDP(ZTNA):不審なインターネットサイトへのアクセスを抑止するとともに、VPNを利用しない安全なリモートアクセス環境を設ける。また、ユーザーや端末の信頼性を確認し、アクセスを制御する。

【内部活動】
・EPP/EDR:ランサムウェアやキーロガー、権限昇格ツールなどを含むマルウェアの検知、駆除を行う。
・SIEM/XDR/NDR:端末だけでなくアカウントやネットワークも含めリスク分析および脅威検知を行う。
・MDR/SOC:脅威が検出された場合の対処を行う。
・特権ID管理:申請・承認による特権IDの一時貸し出しやアクセス制限・操作記録などを行う。

【データ流出】
・DXP:外部へのデータ流出を阻止する。
・SWG/CASB:クラウドサービス利用時の不審なアクセスを制御し、データ流出を阻止する。
・ファイル暗号化:ファイルを暗号化して窃取されても見られない状態にする。
・マイクロセグメンテーション:ランサムウェアの横展開による被害を食い止める。

【破壊活動】
・RDR※:ランサムウェアに特化した検知から、被害拡大防止、暗号化に対する復旧を支援する。
・イミュータブルバックアップ:データのバックアップ機能だけでなく、バックアップ環境へのランサムウェア感染やデータの破壊を阻止する。

【脅迫活動】
・CSIRT:インシデントが発生した場合、対策本部を設置して対応を行う。
・ダークウェブ監視:窃取されたデータが公開されないかを確認する。

リスクマネジメントとしての多層防御

 上記に示した対策は、ランサムウェアに対するIT環境の多層防御に必要な対策の一例に過ぎない。OT環境を保有している組織は、レガシー端末や特殊端末などOT環境の特徴を理解した上での対策が必要だ。

 現在、自組織がどこまで対策できているか、対策できていないのであれば、代替手段は存在するのか、「回避」「転嫁」「軽減」「受容」というリスクマネジメントの観点で改めて確認する必要がある。実施できていない対策がある場合、リスクへの向き合い方には複数の選択肢がある。例えば、対策によるリスクの「軽減」、サイバー保険によるリスクの「転嫁」、重要度が低いシステムについてはリスクの「受容」、事業自体を停止してリスクを「回避」するなどだ。こうした選択肢の中から、自組織が採るべき対応を整理し、最終的には経営として判断する必要がある。

※ Ransomware Detection and Recovery:ランサムウェア攻撃によるダウンタイムを最小限に抑える新しいアプローチ。