- 2023/12/05
- ランサムウェア
名古屋港のインシデントから学ぶ「ランサムウェア対策のポイント」とは
Post by : Tomonori Sawamura
名古屋港のランサムウェア被害に関する調査レポート
2023年7月、名古屋港のコンテナターミナルのシステムがランサムウェアによる攻撃を受け、約3日間に及びコンテナ搬出・搬入業務が停止するという事態に陥りました。これによって港湾業務が多大な損失を被っただけでなく、国内の物流にも少なからぬ影響を及ぼしたインシデントであり、あらためて重要なインフラにおけるサイバーセキュリティ対策の重要性がクローズアップされることとなりました。
この事態を踏まえて国土交通省はすぐさま「コンテナターミナルにおける情報セキュリティ対策等検討委員会」を立ち上げ、調査に乗り出しました。そして早くも2023年9月には「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」、11月には「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について」というレポートで調査結果を公表しました。
このレポートによれば、今回のランサムウェア被害ではログも暗号化されてしまっているため、マルウェアの侵入経路を厳密に特定するのは困難だとのことです。しかし、複数の物理サーバが全て暗号化されていることからサーバ部への直接的な攻撃が行われた可能性が高く、VPN機器からの侵入が行われたものと見ることが適切としています。このV P N機器については、接続元を制限していなかったことや公表されている脆弱性への対応が未対応だったことも確認されています。
弊社のアナリストの見解も同様で、今回の攻撃で使われたランサムウェア「LockBit」に関連する過去の事例を鑑みても、やはりVPN機器経由で侵入した可能性が高いと考えられます。
外部との接続やバックアップの運用に不備が
なお同レポートでは、今回名古屋港のシステムがマルウェア感染を許してしまった原因や問題点を幾つか挙げています。その内容は極めて示唆に富んでおり、他の企業・団体がランサムウェア対策を行う上で極めて有用だと思われます。
まず真っ先に挙げられているのが、保守作業に利用される外部接続部分のセキュリティ対策が見落とされていた点と、VPN機器のログが取得されていなかった点です。また、ウイルス対策として最低限の機能を有するセキュリティ対策ソフトしか利用されておらず、「より信頼性の高いセキュリティ対策ソフトを用いるべき」とレポートでは指摘しています。
さらにバックアップに関して、極めて興味深い指摘がなされています。名古屋港ではシステムのバックアップを定期的にとっていたものの、ランサムウェア感染が発覚した後にこれをリストアしてシステムを復旧しようとしたところ、バックアップデータの中からもマルウェアが見付かっています。
その上、名古屋港では過去3日分のバックアップしか保持していなかったため、バックアップデータからのウイルス駆除などの対応を行なっており、このことがシステムの復旧を遅らせた原因の1つになっています。
さらには、インシデント発生時の対応手順がきちんと確立されていなかった点や、初動対応時にサイバーセキュリティ専門家の支援を仰ぐ場面がなかったことも問題点として挙げられています。
平時からインシデント対応のプロセスや体制を整備しておく
これらの問題点は今回のインシデントに限らず、あらゆる企業・団体がランサムウェア対策を行う上で考慮すべきポイントだと言えそうです。ランサムウェア対策には「バックアップを取ることが大事」とはよく言われますが、単にバックアップを取っただけで安心していると今回のケースのように足元をすくわれてしまう可能性があります。
バックアップデータの中にマルウェアが混入してしまうリスクを考慮し、更新頻度が低く必要性が高いシステムデータなどはある程度長期間に渡ってバックアップデータを保持しておく必要があります。またログが暗号化されてしまう事態も考慮に入れ、ログを含めたバックアップデータをオフライン環境に保持しておく「オフラインバックアップ」を定期的に実行しておくことも大事です。
さらには今回のようなインシデントがいざ発生した際に速やかに対応できるように、インシデント対応の手順や体制をあらかじめ整備しておくとともに、外部のセキュリティ専門家の支援を仰げるよう平時からきちんと手配しておくことをお勧めします。
弊社でもお客様の環境でインシデントが発生した際、その初期対応からシステム復旧までをワンストップで支援する「IR(インシデント対応)サービス」を提供しているほか、お客様のセキュリティ対策状況を診断して今後の対策強化に向けたロードマップ策定を支援する「CSPA(サイバーセキュリティプログラム評価)サービス」も用意しています。
もちろん、弊社が提供するEDR製品「Cybereason EDR」や次世代アンチウイルス製品「Cybereason NGAV」のように高度な機能を持つエンドポイントセキュリティ製品を導入し、脅威を高い精度で検知・除去できる仕組みを導入しておくことも極めて重要です。特に今回被害を受けたコンテナターミナルシステムのような業務に必要不可欠なシステムを守るためには、通常よりも高いレベルのセキュリティ対策を実施する必要があります。ぜひこれを機に、自社のエンドポイントセキュリティ対策を根本から見直してみることをお勧めします。
【ホワイトペーパー】ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略
緊迫する国際情勢に伴い日本においても急増しているサイバー攻撃、事業停止など甚大な影響を及ぼすランサムウェア攻撃など、企業・組織におけるサイバーセキュリティへの取り組みは、もはやIT/セキュリティ担当者だけの課題ではなく、事業の継続性を担保する上で組織全体で取り組むべき最重要の課題となりました。
今回のテーマは「ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略」で、ランサムウェア攻撃者自体や攻撃手法だけでなく、米国を始めとする国家のサイバー政策による影響を踏まえつつ、彼らを取り巻く環境にも注目し、その実態に迫ります。
本ホワイトペーパーでは、そのテーマに沿って講演したセッションの中から厳選した3つのセッションをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/9248/
