- 2023/02/16
- ランサムウェア
リモートアクセス環境の脆弱性を狙ったランサムウェア攻撃に対処するには?
Post by : Cybereason Japan Marketing Team
ランサムウェア被害の大半が「リモートアクセス環境の脆弱性」に起因
相変わらず世界中でランサムウェアの被害が後を絶ちませんが、その感染の経路はここ数年の間で大きく様変わりしているようです。多くの方は「フィッシングメールを通じた感染」が多数を占めるとお考えかもしれませんが、実際には現在では「リモートアクセス環境を悪用した感染」が最も多い感染経路となっています。
警察庁が公開している「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害に遭った企業の68%が「VPN機器からの侵入」によって感染し、また15%が「リモートデスクトップからの侵入」によって被害に遭っています。この2つを合わせると、ランサムウェア被害の実に83%がリモートアクセス環境の悪用に端を発しています。これらは言うまでもなく、コロナ禍以降にテレワーク用のリモートアクセス環境を急遽導入した企業に狙いを定めた手口です。
実際の事例を見ても、例えば広く知られている米コロニアルパイプライン社の例では、IT部門が把握していないVPN機器に対して成りすまし攻撃が行われた結果ランサムウェアの感染を許してしまいました。また弊社がインシデント対応の支援を行ったとある企業の例では、テレワーク環境で使われていたPC端末にグローバルIPが割り振られており、かつリモートデスクトップ接続が可能な状態になっていたため、ここを踏み台にして社内環境に侵入されてランサムウェア被害に遭ってしまいました。
これらのケースでは、インシデントが発生して初めて脆弱性のあるデバイスの存在が明るみに出ました。従って被害を未然に防ぐためには、常日頃から脆弱性のある機器や運用事項がないかどうかに目を光らせ、攻撃者に悪用される前に確実に対処しておくことが重要です。
企業の環境内の脆弱性をくまなく可視化する「CPA」サービス
ただし社内に存在する脆弱性をくまなくチェックするのは、そう簡単なことではありません。たとえ普段からセキュリティ対策やIT資産管理に万全を期していると思っていても、よくよく調べてみるとOSのセキュリティパッチを適用していないPC端末が多数あったり、把握していないVPN機器が使われていたりすることは珍しくありません。ましてやコロナ禍以降にリモートワーク環境が急速に普及した現在、リモートワーク先で使われている端末の設定内容を厳密に管理するのは、以前にも増して困難になっています。
そこで弊社では、企業のICT環境内のサイバー攻撃リスクをくまなく可視化できるアセスメントサービス「CPA(Cyber Posture Assessment:セキュリティ・ヘルスチェック・サービス)」を提供しています。このサービスは、企業の環境内に存在する「危険なポートが開放されている」「グローバルIPが割り振られている」「未更新のOSが利用されている」「管理外のVPNが利用されている」といった潜在的な脆弱性を洗い出し、報告書にまとめて提供するというものです。
具体的には、まず弊社のEDR製品「Cybereason EDR」のセンサー(クライアントソフトウェア)をインストールしていただき、その後2週間かけて環境内のデータを収集・調査、さらにその1週間後に調査結果を報告書にまとめて提出します。報告書にはエグゼクティブサマリーや詳細な調査内容、検知されたリスク、推奨される対処方法などが含まれるほか、その環境全体の安全度を「セキュリティヘルスチェックスコア」としてスコア化します。また調査の結果見付かった要確認事項については、別途Excelシートの形で詳細情報を提供します。
EDR未導入の企業でも手軽に利用可能
既に多くの企業が、このCPAサービスを利用して自社の環境内に存在する潜在的な脆弱性をあぶり出し、対処することに成功しています。例えばとある企業では、もともとマルウェアの侵入を防ぐための「侵入前対策」には力を入れていたものの、万が一感染してしまった場合を想定した「侵入後対策」には不安があり、そのためにEDR製品の導入を検討していました。
そこでまずはCPAサービスを利用して自社のセキュリティ対策の現状を調査したところ、セキュリティパッチの適用漏れやグローバルIPが割り振られた端末といった想定外の脆弱性が確認され、侵入後対策強化の必要性をあらためて認識できた結果、その後すぐにEDR導入の意思決定を下しました。
また既に「Cybereason EDR」を導入して侵入後対策を実施していた別の企業では、逆に侵入前対策の継続的な評価と改善を目的に毎年CPAを実施し、その結果を踏まえた年度計画に基づいて改善活動を進めています。こうした取り組みを続けた結果、調査を重ねるごとに発見される脆弱性は減少しており、脆弱性を狙ったサイバー攻撃への対策は着実に強化されています。
このように、既に「Cybereason EDR」を導入していただいているお客様はもちろんのこと、導入していない企業でもCPAサービスを利用することでその時点での脆弱性の有無を可視化し、対処の足掛かりとすることができます。調査作業はすべて弊社で実施する上、調査期間も3週間程度と比較的短く済むため、最小限の負担で気軽に利用できるサービスとなっています。興味をお持ちの方は、ぜひ弊社までお問い合わせいただければと思います。
【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~
近年、世界中で深刻な問題となっているランサムウェア。
このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/
