緊急出動の現場から見える、ランサムウェア対応の勘所：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

国内の被害事例に見る3つの教訓

　こうした背景から、国内外でランサムウェアの被害は多発している。

　佐藤氏らが対応したある被害事例では、社員が出社後、ファイルサーバにアクセスできない状況になっていることに気付き、感染が発覚した。管理者がサーバの状況を確認したところ、ランサムウェアによる脅迫文が発見され、「どう対応すればいいか分からない」とラックに電話で相談が届いたという。

　出血を止めつつ調査を進めたところ、このケースでも攻撃の発端はVPN機器だったことが判明した。「ロシアのIPアドレスから、保守用アカウントを利用してVPN機器にログインが行われたことが最初の不正アクセスでした」（佐藤氏）。その後攻撃者は、管理者アカウントを用いて複数のサーバにリモートデスクトップ接続を行って侵入範囲を拡大し、各サーバでランサムウェアが実行され、暗号化されてしまったという。

　同氏は、この被害事例において注目すべきポイントは3つあると指摘した。

　1つ目は、最初の不正アクセスにおいて「保守用アカウント」が用いられたことだった。実はこの企業では、社員が利用する一般アカウントについてはアクセス元を会社の端末に限定し、多要素認証も導入していた。しかし保守用アカウントにはこうした対策が施されておらず、セキュリティ上の盲点となっていた。

　2つ目は、非常に短時間で横展開が行われ、ランサムウェア実行にまで至ってしまったことだ。最初にVPN機器に侵入されてからファイルサーバへアクセスを開始するまではわずか8分足らずで、40分後には他のサーバにも侵入されネットワーク全体が侵害されてしまった。「短時間で横展開が行われてしまった要因の1つとして、VPN機器と他のサーバで同一のパスワードが用いられていたことが挙げられます」と佐藤氏は述べ、1つの認証情報が漏れれば、芋づる式に組織全体が危険にさらされる可能性があると指摘した。

　3つ目は、ランサムウェアが実行されるまでの約1日間、侵害に気付けなかったことだ。この会社ではウイルス対策ソフトを導入していたが、アラートは発せられなかった。攻撃者はマルウェアを利用せず、正規の管理ツールやスクリプトを悪用していたからだ。「ウイルス対策ソフトの導入だけでは十分ではなく、侵入の兆候を検知する仕組みが必要である、ということも教訓です」（佐藤氏）

攻撃防止と検知、復旧、そして「いざ」に備えた体制整備を

　最後に佐藤氏は、「攻撃者の侵入を困難にする対策」と「侵入されてしまった場合でも、速やかに攻撃者の挙動を検知できるようにする対策」、そして「データが暗号化されてしまった場合に備えたバックアップ」の3つに分け、ランサムウェアに備えた対策を紹介した。

侵入を困難にする対策

　まず、攻撃者を容易に侵入させないためには、アタックサーフェイス管理（ASM）とも呼ばれる資産管理と脆弱性の確認が挙げられる。特に狙われやすいVPNやリモートデスクトップでの対応は「最優先」だ。情報システム部門が把握していない「シャドーIT」の洗い出しも必要になる。そして、把握した資産と脆弱性データベースを照らし合わせ、重大な脆弱性がないかを継続的に確認していく。

　もし脆弱性が発覚すれば可能な限り迅速に対応すべきだ。「運用担当者からは、アップデートしたいがサービスを止めることはできないという悩みをよく聞きます」（佐藤氏）というのも実情という。それでも同氏は、万一ランサムウェアの被害に遭って事業継続が困難になった場合、復旧にどれだけの費用や期間がかかるかを確認した上で、もしその脆弱性を放置した場合のリスクについて、経営層も含めて共有しながら意識改革を進めていくべきだとした。

　もう1つのポイントはアカウントの管理だ。例えば、システムを納入する業者がテスト用に作成したアカウントが削除されないまま残っており、それが悪用されたケースもあるため、注意が必要だという。また、同社が緊急対応した事例にもあったとおり、多要素認証の設定漏れも侵入の原因となるため、漏れなく導入すべきだとした。

　ただ、こうして侵入を困難にする手を打ったとしても、100％侵入を防ぐことは難しい。「侵入されてしまった場合でも、速やかに攻撃者の挙動を検知できるよう、端末の監視を強化する必要があります」と佐藤氏は述べ、その手段として、管理ツールなどを用いた不審な挙動も検知できるEDRの導入を挙げた。

　そして万が一データが暗号化されてしまった場合に備え、3つのバックアップを、2種類の媒体に分け、うち1つは遠隔地に保管するというCISAが提唱する「3-2-1ルール」に基づいてバックアップを行い、リスクを分散すべきだとした。

　「警察庁の統計によれば、バックアップまでもが暗号化されてしまい被害直前の状態に戻すことができなかったケースが83％ありました」（佐藤氏）ことから、メディア不良やランサムウェアに備えた形でバックアップを取ることが、業務復旧の鍵になるという。

　そして何より重要な対策が、インシデントに備えた「体制」の整備だという。

インシデント発生時に直面する課題への対応

　「実際にインシデントを経験したお客様からは、セキュリティ製品でアラートが発生した際に、本当の攻撃なのか過検知なのかを判断できるセキュリティ専門家が不足しており、攻撃に対して迅速な対処ができないという声をよく聞いています」（佐藤氏）

　かといって外部に依頼しようにも、被害を認知した後にどのような企業に調査・対応を依頼したらよいか分からず、依頼先を探すのに時間がかかるケースも珍しくない。「依頼しようにも、契約手続きに一週間程度かかり、実際に調査を開始するまでに数週間が経過することもあります」（佐藤氏）というほどだ。

　こうした課題に備え、平時のうちに、インシデントの疑いがある事象が発生した際の「対応方針」を明確にし、また迷ったときにすぐ相談できる「かかりつけ医」のようなセキュリティベンダーをあらかじめ見つけておくべきだとした。可能であれば事前に契約を済ませておくことも1つの手だという。

　こうして、特に侵入口として最も狙われやすいVPN機器を優先しながら管理・対応を行い、端末の監視を強化し、いざというときに備えて適切な方法でバックアップを行い、さらにインシデントに備えた体制を確保することで、ランサムウェアに備えてほしいと佐藤氏はあらためて呼び掛け、講演を締めくくった。