情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

サイバーリーズン・ジャパン

No.1エンドポイント・セキュリティベンダーが語る
「攻撃者から見る日本の実情」

※次世代エンドポイントプロテクションプラットフォーム出荷金額(メーカー出荷)2018年
2018 EPP No.1 (出所:株式会社ミック経済研究所「エンドポイント型脅威対策編 2019年度版サイバーセキュリティソリューション市場の現状と将来展望」)

サイバー攻撃を100%防ぐことは、ますます困難になっている───現在行われている攻撃の実態を紹介したうえで、その理由と今後、企業が講じるべき対策を解説した注目のセッション。その内容は、欧米に比べるとセキュリティ対策が手薄なため攻撃者の恰好の標的になっているすべての日本企業、必見である。

サイバーリーズン・ジャパン エバンジェリスト 増田 幸美(ソウタ ユキミ) 氏 サイバーリーズン・ジャパン エバンジェリスト 増田 幸美(ソウタ ユキミ) 氏

サイバーリーズン・ジャパン

エバンジェリスト

増田 幸美(ソウタ ユキミ)

攻撃者の侵入が防げなくなってしまった3つの理由

 サイバーセキュリティの重要性を認識し、セキュリティ向上の取り組みに力を入れる企業が増えている一方で、残念ながらサイバー攻撃の被害がなくなる気配はない。それはなぜなのだろうか?

 この問いに対して、本セッションの登壇者であるサイバーリーズンの増田氏は、3つの要因があると話す。

 1つ目の要因は、攻撃対象のビジネススタイルや慣習に合わせた「テーラーメイド型」の攻撃が増えていることだ。たとえば取引相手からの返信を装った攻撃メールなどが送られてくるのだが、これでは受信者が攻撃メールであることを見抜くのは困難である。

 また、日本のビジネスシーンでは、添付ファイルに設定した解凍用のパスワードを別メールで送るということが、しばしば行われるが、攻撃者はこの慣習を利用して攻撃を仕掛けてくる。このような慣習がない米国生まれの一般的なサンドボックス製品では、パスワードが設定された添付ファイルの脅威を検知できないことが多い。それ故、マルウエアにパスワードを設定することで、サンドボックスをすり抜けられるのだ。

 攻撃者の侵入を100%防げない2つ目の要因は、攻撃者が出入口対策を回避するテクニックを持っているということ。これは、攻撃者向けサービスの充実が背景にある。

 増田氏によれば、一般企業と同様、攻撃者のIT環境もクラウドへ移行しているのだという。マルウエアをクラウドで提供する「MaaS(Malware as a Service)」のようなサービスもあり、企業が講じているセキュリティ対策をすり抜ける新しい攻撃手法が次々と提供されている。

 さらにこのようなサービスでは「Google Cloud Platform」や「Amazon Web Services」などのサーバが使われていることもあり、ブラックリストやホワイトリストに設定することは難しく、従来型のセキュリティ製品の守りをいとも簡単にすり抜けてしまうことも対策を難しくしているようだ。

 そして、3つ目の要因が、ファイルレスマルウエアが数多く使われるようになったこと。ファイルレスマルウエアとは、従来のようにマルウエアを端末にインストールさせて攻撃のきっかけをつくるのではなく、OSの正規のプロセスを使う攻撃手法である。

なぜ侵入は100%防げないのか?

増田氏が考える「侵入が100%防げない3つの理由」。なかでも、昨今急増しているファイルレスマルウエアの存在は、対策を一層困難にしているようだ

画像を拡大する

 増田氏曰く「ファイルレスマルウエアを使うと攻撃の成功率が約10倍高くなると言われている」。「変なプロセスが動くわけではなく、Windows にとっては正規のプロセスが動いているようにしか見えない。その正規のプロセスに攻撃者がコマンドを投げかけることによって攻撃が進んでいくため、攻撃自体はユーザーに気づかれないように実行されてしまう」(増田氏)。さらに、端末をシャットダウンすればメモリ上の痕跡は消えてしまうため、マルウエアの検知はもちろん、フォレンジックを行うことも困難なのだ。現在日本で感染が広がっている「Emotet(エモテット)」もその動きの中でファイルレスの手法を一部使っている。

マルウエアの感染が防げないからこそ重要な事後対策

 セッションの後半、ファイルレスマルウエアによる攻撃がどのように展開されるのかが、実際の攻撃プログラムを使ったデモンストレーションによって説明されたが、その手口は実に巧妙だ。

───まず、攻撃者は組織内の1人に侵入の入口をつくるためのリンクが付いたメールを送りつける。メールは業務に関連したものなので、受信者が疑いもなくリンクをクリックすると、端末が感染。そして端末に侵入した攻撃者は、そこで盗み見た個人のIDとパスワードを足掛かりに横展開をし、システム権限を取得したうえで、データを盗んだり、書き換えたりすることができる。目的を果たしたら、ランサムウエアに感染させ破壊を試みる───という具合である。

 この一連のプロセスが目の前で繰り広げられたが、攻撃は先述の通りメモリ上で展開されるため、攻撃中はユーザーが目にしている画面にはこれといった変化がない。これでは攻撃されていることに気づきようがなく、ランサムウエアの身代金要求画面が表示されてはじめて、攻撃されたことに気づくことになる。しかし、その時にはすべてが盗まれた後なのだ。

 従来型のセキュリティ製品では侵入が防げないばかりか、攻撃されていることにも気づけないのならば、一体どのような対策を講じればよいのだろうか?

 増田氏は「侵入を早期に検知して、次の端末に攻撃が拡大しないようにするといったラテラルムーブメントを阻止する対策が求められている」と断言する。

 たとえば、先述したデモンストレーションで、攻撃を受けている側がどのように攻撃されているのかを可視化するためにサイバーリーズンのEDR(エンドポイントにおける侵入後の攻撃の検出と対応を行うプラットフォーム)が使われたが、このソリューションは、まさにそのような要求を満たすもの。

 デモンストレーションでも証明されたように、普通にしていたら気づくことができないファイルレスマルウエアによる侵入や横展開、権限昇格といった攻撃のプロセスが細かく把握できるのはもちろん、感染した端末の隔離、脅威の排除まで、すべてワンクリックで行うことができる。また、組織内の端末が何台あろうが、同じ攻撃に対しては、1つの画面ですべての処理を行えるのも大きな特徴。これにより、スピーディな事後対応が可能になる。つまり、このソリューションで「システムに入られた後の攻撃をあぶりだして、潜伏のメカニズムを断ち切る」(増田氏)ことが可能なのである。

エンドポイントにおける防御力・検知力・対応力の強化

サイバーリーズンのEDRを導入して強化できる対策。攻撃の全体像を即座に把握し、迅速な対処が可能になる

画像を拡大する

 さて、増田氏はセキュリティを万全にするには「サイバーセキュリティとITセキュリティは全く別物であるという認識を持つことが必要」だと指摘する。

 2019年秋に猛威を振るった台風15号が日本に上陸した朝、「Globe Imposter(グローブ インポスター)」というランサムウエアによる攻撃が複数観測されたが、これは情報システム部門が手薄になるタイミングを狙い攻撃を仕掛けてきた可能性が高いのだという。台風が来ると知って、IT担当者は業務を止めないように、リモートワーク環境を整えるなどの対策を講じたが、それはITセキュリティに関すること。そこにサイバーセキュリティの視点がなければ、対策は不十分なのだ。

 高度化・巧妙化し続けるだけでなく、こちらの弱みにとことんつけ込んでくるサイバー攻撃に対応するためには、高度なサイバーセキュリティのノウハウが必要なことは言うまでもない。

 セッションの最後に「業務をサポートするITセキュリティの皆様、そして我々サイバーセキュリティの専門家がタッグを組んで、攻めの防御を作り出していきたい」と増田氏は話をまとめたが、自社に在籍する数多くの専門家の知見を生かしたサービスを展開するサイバーリーズンのEDRが、サイバーセキュリティ対策に悩む企業の助けになってくれるのは間違いないだろう。

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

PowerShell攻撃を確実に防御 詳細資料はこちらから

お問い合わせ先

サイバーリーズン・ジャパン株式会社

お問い合わせURL

URL ● https://www.cybereason.co.jp/

お問い合わせはこちら

このページのトップに戻る