- 2024/03/22
- サイバー攻撃
エネルギー業界のインシデント事例から学ぶ「インシデント対応の3つのポイント」
Post by : Hajime Endo
国内外のエネルギー企業がサイバー攻撃のターゲットに
電力会社やガス会社などのエネルギー関連企業は重要社会インフラの運営を担っているため、ひとたびサイバー攻撃によって業務停止に追い込まれてしまうと、その影響範囲は広範に及んでしまいます。
またエネルギー業界は裾野が広く、電力会社やガス会社のサプライチェーンには膨大な数の関連企業が連なっているため、そうした企業が1社でもサイバー攻撃の影響を被ってしまうと電力やガスの供給体制全体に大きな影響が及ぶ可能性があります。
そのためエネルギー業界では多くの企業がサイバーセキュリティ対策に力を入れていますが、そうした取り組みにもかかわらず他業界と同じくたびたびインシデントに見舞われています。2023年6月にはエネルギー事業者向けサービスを展開する企業がサイバー攻撃を受け、全国1000社以上のLPガス会社に提供している検針システムのサービスが10日間に渡って停止する被害がありました。
このインシデントでは、攻撃者が正規のID/パスワードを悪用して同社のシステムに侵入し、クラウド環境上のサーバの停止や破壊行為に及びました。同社は当初、比較的早期にシステムを復旧できると見込んでいましたが、復旧作業中にシステム基盤の損傷を発見し、最終的に基盤の再構築を余儀なくされたために復旧が長期化してしまいました。
またちょうど同じ時期に、米国のエネルギーサービス会社がランサムウェア攻撃を受け、Active Directoryのデータベースを含む76万7000ものファイルを窃取された挙句にデータを暗号化されてしまうというインシデントが発生しました。このインシデントでも先ほどのエネルギー事業者向けサービス企業の事案と同様、正規のID/パスワードを使って侵入されたために攻撃の検知が遅れてしまい、データが暗号化されてシステム障害が発生して初めて攻撃を受けていることに気付いたと報告されています。
正規アカウントを悪用する手口は攻撃の発覚が遅れてしまう
この2つのインシデントに共通しているのは、攻撃者が不正に入手した正規ID/パスワードを使ってシステムに侵入しているという点です。攻撃を受けた側から見ると、正規アカウントを悪用した挙動は一見しただけでは従業員の日々の業務によるものと見分けが付かないため、どうしても攻撃の発覚が遅れてしまいます。
その結果、攻撃者による足場の確立や認証情報の窃取、他の端末への横展開、情報の窃取といった各種の活動をみすみす見逃してしまい、最終的にランサムウェアのダウンロードと実行という取り返しの付かない事態に至ってしまった時点でようやく侵入されていたことに気付くわけです。
さらに近年のランサムウェア攻撃は、初期侵入からランサムウェア実行までに至るまでの攻撃の進行スピードが、かつてのものと比べかなり速くなっています。弊社が最近ランサムウェア被害の調査を行った際にも、攻撃者が初期侵入に成功してからわずか5時間で、情報の窃取を完了し、ランサムウェアの展開にまで至っています。そのためランサムウェアの実行を防ぎ、被害を最小限に抑えるためには、できるだけ早く脅威の侵入を検知して即座に対処することが何よりも重要です。
脅威の迅速な検知と対処を実現するために必要なこととは
迅速な検知と対処を実現する上では、以下に挙げる3つの措置が特に重要になってきます。
1. 平時における“体制”
たとえマルウェアの侵入を許してしまったとしても、普段から検知・封じ込めの体制をしっかり構築・運用できていれば、攻撃の範囲が広がる前にいち早く脅威を検知・排除できます。具体的な方策としては、内部に侵入した脅威をいち早く検知できる「EDR(Endpoint Detection and Response)」の導入が極めて有効だと言われています。
ちなみに弊社が提供するEDR製品「Cybereason EDR」は国内で長らくトップシェアを保持しており、多くのお客様に導入していただいていますが、その運用を弊社が代行するマネージドサービス「Cybereason MDR」と併用することで24時間365日体制の検知・封じ込め体制を実現できます。
2. 有事における“態勢”
もし不幸にもインシデントの発生に至ってしまったとしても、その後迅速に対処・復旧にあたることで早期に事業を回復できます。ここでもやはりインシデント対応の「スピード」が極めて重要になりますが、そのための態勢を自社だけで構築できない場合は、外部の支援を受けることでスピード感のある対応が可能になります。弊社でもインシデント対応の専門チームが、お客様の態勢の一部として有事の調査、報告、復旧を支援する「インシデント・レスポンス・サービス」を提供しています。
3. 体制と態勢の“評価”
平時の“体制”と有事の“態勢”をいったん構築できたとしても、それがいざというときに有効に機能しなければ意味がありません。従って確立した体制と態勢の実効性をきちんと評価し、そこで発覚した課題点を改善していく取り組みも非常に重要です。弊社でも「インシデント対応演習サービスや」「インシデント対応態勢評価」などのサービスを通じて、お客様の体制・態勢の改善プロセスを支援しています。
このように弊社では、単にセキュリティ製品を提供するだけでなく、お客様のセキュリティ対策の活動全般を支援するさまざまなサービスをワンストップで提供しています。これらに興味を持たれた方は、ぜひ弊社サイトのサービス紹介ページにて詳細をご参照いただければと思います。
【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、1,008名の企業のIT担当者を対象に、2024年度のランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、詳細な調査結果を紹介するとともに、企業がとるべき対策として6つの核となる課題を取り上げて、それぞれの課題に対する推奨対策について紹介しています。
https://www.cybereason.co.jp/product-documents/survey-report/11873/
