最新のインシデント事例から対策のポイントを学ぶ

サイバー攻撃対策は、一度実施すればおしまいというわけにはいきません。攻撃者は常に脆弱性に関する最新の情報を収集し、それらを悪用する新たな手法や手口を絶えず編み出しています。そのため防御する側としても、常に最新の脆弱性やインシデント事例に関する情報を集め、攻撃側の最新の手口を理解し、自分たちの現在の対策がそれに対応できているのかどうか絶えず見直す必要があります。

そこで本稿では、特に近年国内において被害が数多く報告されている「ランサムウェア」「Emotet」「標的型攻撃」の事例を参考にしながら、これらの攻撃に対して自組織の対策が有効であるかどうかをチェックする方法を紹介したいと思います。

■ランサムウェア
2021年10月、徳島県つるぎ町立半田病院がランサムウェア攻撃を受けて電子カルテシステムが使用不能になり、約2カ月間に渡って通常診療が停止する事態に追い込まれました。翌年6月にこのインシデントに関する報告書が公開されましたが、その内容によれば攻撃者はまずVPN装置の脆弱性を悪用して認証情報を盗んで院内ネットワークに侵入した可能性が極めて高いとされており、その後総当たり攻撃等で端末に不正ログインした上でサーバーにランサムウェアを送り込んでいます。

こうした手口は半田病院に限らず、コロナ禍以降に多くの企業がリモートワーク用のVPN装置を新たに導入しており、その脆弱性を狙った攻撃が多く確認されています。こうした攻撃による被害を未然に防ぐためには、VPN装置の脆弱性を放置することなく、きちんと脆弱性を管理する体制とプロセスを構築しておくことが重要です。

また近年のランサムウェアは、オンラインバックアップデータも暗号化してしまって、データのリストアを阻止する手口を用います。そのため、定期的にテープ媒体などを用いたオフラインバックアップを実施しておくことも重要です。

■Emotet
マルウェア「Emotet」による被害も、相変わらず後を絶ちません。JPCERT/CCが2022年11月に情報を更新した「マルウェアEmotetの感染再拡大に関する注意喚起」では、最近よく見られるEmotetの典型的な攻撃手法が詳しく紹介されています。

それによると、まず攻撃者はなりすましメールを大量にばらまき、そこに添付されているファイルのマクロを実行したユーザーをEmotetに感染させてアドレス帳や認証情報などを窃取します。こうして盗んだ情報を使って、さらになりすましメールを他の組織に送りつけるほか、Emotetに感染した端末を足掛かりにランサムウェア攻撃などの次の攻撃が仕掛けられることもあります。

こうしたメールを起点とした攻撃を防ぐためには、まず自社の従業員が不用意にメールに記載されたリンクをクリックしたり添付ファイルを実行したりしないよう、繰り返し注意喚起する必要があります。また万が一Emotetの感染が発覚した場合は、いち早く自社の取引先にも連絡して、攻撃者による横展開を未然に防ぐことも大事です。

■標的型攻撃
IPAが運営するサイバー情報共有イニシアティブ(J-CSIP)が2022年11月に公開したレポート「サイバー情報共有イニシアティブ(J-CSIP)[2022年7月~9月]」には、国内組織を狙う標的型攻撃の被害事例に関する詳細な説明があります。

これによると、近年見られた標的型攻撃の事例においては、組織内に侵入・感染したマルウェアが「廃棄予定のプロキシサーバー」を悪用してC&Cサーバーと通信を行っていたことが確認されています。また退職者のアカウントを使って再度侵入した形跡も残っていたそうです。

こうした手口による攻撃を防ぐためには、言うまでもなく組織内のID管理を徹底させて、退職者のアカウントが悪用されないよう確実に削除することが大事です。また管理の目が行き届いていない機器が悪用されないよう、たとえ廃棄予定の機器といえども最後まできちんと監視する、あるいはもし監視できない場合は即座に廃棄する運用を徹底する必要があります。

情報収集とともにアセスメントサービスの活用も検討

ここで紹介したのは、近年よく見られる攻撃例のほんの一端に過ぎません。最新の事例に関する情報はIPAJPCERT/CCフィッシング対策協議会警察庁などから常時公開されていますので、定期的にチェックして自社に同様のリスクが存在しないか見直すことが大事です。

また脆弱性に関する情報もJPCERT/CCやJVN(Japan Vulnerability Notes)のサイトで収集できますので、ここで脆弱性が報告されているソフトウェアが自社内で使われていないか、やはり定期的に確認する習慣をつけておくべきでしょう。特に「特有の呼び名」が付けられている脆弱性は深刻度が高いものが多いで、重点的にチェックすることもお勧めです。

ただしこうした情報収集やチェックを定常的に行っていても、自社の環境内に潜むリスクを漏れなく把握するのは容易ではありません。そこで弊社では、豊富な経験を持つサイバーリーズンのグローバルSOCとインシデントレスポンスチームの知見とグローバル標準のフレームワークであるNIST CSFを基にして、企業のサイバーセキュリティリスク管理体制をアセスメントし、今後のセキュリティ体制強化に向けた計画策定の支援を行う「CSPA(Cyber Security Program Assessment:サイバーセキュリティプログラム評価サービス)」サービスを提供しています。

また、弊社のEDR製品「Cybereason EDR」を用いて環境内に存在するリスクを洗い出して健全性をチェックする「CPA(Cyber Posture Assessment:セキュリティ・ヘルスチェック・サービス)」のサービスも提供しています。自社のセキュリティ対策の見直しを実施する際には、ぜひこうしたサービスの活用も検討してみてはいかがでしょうか。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド