「サイバーセキュリティリスクをめぐる脅威動向と管理策」

＜はじめに＞

本日はサイバーセキュリティリスクをめぐる脅威動向と管理策ということで、社内環境への侵入を狙うサイバー攻撃の脅威と対策のポイントについてお話しできればと思っている。前半で脅威シナリオと攻撃手法について俯瞰した上で、後半では実際のインシデント事例を見ながら考えられる対策について説明する。

＜サイバーセキュリティリスクに関わる脅威シナリオの外観＞

まず、脅威シナリオの概観について概要をお話ししたい。さまざまな攻撃者が、それぞれの目的を使い、多彩な攻撃を仕掛けてくる。

具体的な攻撃手法の例としては、Webやメールを通じてマルウェアをダウンロードさせるといった内部の社員を狙った攻撃、外部に公開しているサーバーへの直接の攻撃がある。これらの事態に対応するためには、考えられる脅威シナリオ、および攻撃によって何が起きるのかという結果事象を踏まえたリスク軽減、非常時に対応した危機管理体制を構築することが重要だ。

＜サイバー攻撃の分類＞

サイバー攻撃には大きく分けて、インターネット公開サービスへの攻撃、社内環境への侵入の2種類がある。そのうちインターネット公開サービスへの攻撃については、情報システムを直接狙ってくるパターンと、サービスの利用者側を狙うパターンとがある。

直接攻撃するパターンについては、プラットフォームやWebアプリケーションの脆弱性、認証強度不足、クラウドの設定不備といったセキュリティの抜け穴をついた攻撃を受ける、あるいはDDoS攻撃によってサービスが停止させられるといった被害事例がある。また、利用者側を狙ったパターンでは、フィッシング、スマートフォンの偽アプリを使ったマルウェアのダウンロード、リスト型アカウント攻撃といった攻撃が見受けられる。

一方、社内環境への侵入については、直接的に社内を狙ってくる標的型メール、脆弱性や認証強度不足を突いた攻撃、リモート端末の認証強度不足によるなりすましといった攻撃手口が見られる。

さらに、最近では間接型の攻撃、いわゆるサプライチェーン攻撃による被害も散見される状況だ。こういった手段によって社内環境に侵入した攻撃者は、情報の窃取や改ざん・破壊、あるいは資金の不正移動を行ったりする。近年被害が拡大している二重脅迫型ランサムウェアの場合はデータを暗号化して窃取する、さらに脅迫して身代金を払わせる、といった形で、一度攻撃を受けると深刻な被害を受けることになる。特に、最近はプラットフォームの脆弱性が狙われるケースが多いので、注意が必要だ。

＜「攻撃手口」のバリエーションと考えるべき対策＞

社内環境への侵入を狙った攻撃については、標的型攻撃、脆弱性の悪用などの手口が考えられるが、いずれの場合も特定・防御・検知・対応・復旧というNISTのフレームワークに沿って、対策を徹底することが被害の予防・軽減につながる。海外拠点や子会社も含めて資産管理や脆弱性管理といった基本的な対策を徹底することが重要だ。

また、堅牢性を高めるという意味では、既に侵入されているという前提に立って、EDRをはじめとする監視・検知系のツールによる監視体制を整えることもポイントとなる。さらに、万が一の対応・復旧に備えた訓練も必要になってくるだろう。

＜サプライチェーン攻撃について＞

近年、社内環境への侵入を目的とした攻撃の中でも、被害が増えているのがサプライチェーン攻撃である。トレンドマイクロ社によるとサプライチェーン攻撃には大きく分けて3つのタイプがある。

1つ目はソフトウェアサプライチェーン攻撃である。これは調達する部品やソフトウェアにバックドアを仕込むパターンである。この場合、感染最初期に侵入を完全に防止するのは難しいので、検知と迅速な対応が重要となる。既知のマルウェアが使われるケースもあるので、従来型のソリューションがすべて無効になるというわけではないが、プラスアルファの対策が求められるだろう。

2つ目は、サービスサプライチェーン攻撃である。これは外部接続先から攻撃者が侵入するパターンになる。

3つ目はビジネスサプライチェーン攻撃である。これは子会社、海外拠点、取引先を踏み台にして侵入してくるパターンになる。

上記のサービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の対策については、外部依存の把握や資産管理を通じてリスクの所在を知ることが、まず求められる。外部委託先の管理、狙われやすい場所の把握などを行い、内部環境を固めていくことが重要だ。また、ソフトウェアサプライチェーン攻撃と同様に、素早い検知と対応も必要になるだろう。

＜クラウド設定不備＞

クラウド設定不備が原因で、社内環境への侵入を許すケースも多い。実際にあったインシデント事例としては、認証強度不足によって不正アクセスを招いた事案や外部公開サービスのアクセス権限設定の不備によって情報漏えいが起きた事案といったものがある。クラウドはインターネット上にあるため、設定に不備があるとすぐに攻撃を受けてしまうという特性がある。

クラウドの設定不備によるサイバー攻撃を防ぐためには、IDアクセス管理、多要素認証、クラウドの設定管理についての監視といった基本的な対策を徹底することが重要だ。加えて、日々行われるクラウドサービスの仕様変更に対応し、その都度適切に対処することも求められる。仕様がどんどん変わっていくことということも念頭に置きつつ、適切に設定管理や権限管理を行っていかなければならない。

＜「結果事象」のバリエーションと考えるべき対策＞

攻撃者は金銭、機密情報の窃取といった目的のために、攻撃を仕掛けてくる。そして攻撃者の狙いによって、攻撃によって引き起こされる結果事象は異なる。実際にセキュリティ対策を行う上では、攻撃の結果何が起きるのかという「結果事象」にも注目する必要がある。

たとえば、近年猛威を振るっている二重脅迫型ランサムウェアは、金銭目的の犯行だ。「取れるところから高額の金銭を取る」というスタンスで犯行が行われているため、ひとたび発生すると被害が顕在化しやすい一方、1つの企業を執拗に狙うという性質は薄いという特徴がある。そのため、対策としてはしっかりと戸締まりをして侵入を防ぎ、また不審な動きがないかを監視するというのが有効だ。

ランサムウェアの侵入手口には脆弱性や設定不備が原因で侵入されるパターン、サプライチェーン攻撃が行われるパターンといくつかのパターンがある。いずれの場合も穴をきちんと見つけてふさいでおく必要がある。加えて、万が一に備えてバックアップ、関係する業務部門間連携といった、インシデント発生時の対応・復旧に求められる対策について日頃からプロセスを整備し、訓練しておくことも重要だ。

＜まとめ＞

本日は脅威シナリオと攻撃手法のうち、特に近年被害が目立つプラットフォーム脆弱性をついた攻撃、サプライチェーン攻撃、ランサムウェア攻撃については特に詳しく特徴と対策を説明させていただいた。

ここで改めて強調したいのは、緊急対応と業務継続、復旧というオペレーショナルレジリエンスを頭に置き、各部門、経営層とコミュニケーションをとる重要性だ。いわゆるリスクコミュニケーションである。サイバー脅威に適切に対応するためにも、IT部門の人間だけでなく、関係するすべての人間がリスクについてよく理解し、一緒に考え、協働していくことが望まれる。