ウィズコロナ時代のサイバー攻撃対策
注目すべき「3K」とその守り方

　警察庁の資料^※によれば、2021年上半期の国内のランサムウエア被害件数は61件と、2020年下半期の21件から急増した。また全61件のうち、大企業が17件なのに対して中小企業は40件と、規模を問わず被害にあっていることも見えてきたという。もはや中小企業も、ランサムウエア被害は他人事と言えない時代になっている。

　感染経路も変化していることが分かった。リモートワークで使われるVPN機器や、リモートデスクトップ（RDP）を経由した侵入が全体の78％を占めていたのだ。「これは、まさしくウィズコロナ時代のビジネス環境を狙った攻撃といえるでしょう」とネットワークバリューコンポネンツ（以下、NVC）の笹尾 要介氏は話す。

　また当然ながら、次々登場する新たな手口にも常に意識を向ける必要がある。一例が、企業のWebサイトを攻撃対象とした「ランサムDDoS」だ。

　攻撃者は、まずDDoS対策がなされていないWebサイトを見つけ出し、「DDoS攻撃を行う」という犯行予告をする。その際、ボットネットを利用して実際にDDoS攻撃を行うことが多いという。「いったん攻撃の実力を見せつけてから攻撃を停止し、『2万ドルを支払わなければDDoS攻撃を再開する。期限は12時間』といった具合で身代金を要求するのです」と笹尾氏は説明する。

　ランサムDDoSがやっかいな理由は大きく3つある。1つ目は、公開済みのWebサイトを狙う攻撃のため、攻撃者のターゲット調査期間が短く、企業側が対策や準備の期間を十分取れないことだ。2つ目は、ボットネットの利用料が低価格化したことで、誰でも攻撃を素早く仕掛けられるようになっていること。そして3つ目は、攻撃が断続的に続く可能性があることである。たとえ企業が身代金を払っても、脆弱な状況を改善しなければ、攻撃者は何度も同じ攻撃を仕掛けることができるからだ。

　このような攻撃から企業・組織を守るには、どのような対策を講じればよいのか。大部分の企業が何らかのサイバー攻撃対策を講じている現在、攻撃者が狙いを付けるのは新たな脆弱性である。「人が作ったシステムである以上、脆弱性は必ず存在します。脅威に侵入されることを前提として対策を検討することが必要です」と笹尾氏は強調する。具体的に、ネットワークバリューコンポネンツでは「3K」を守ることを提案している。

　3Kとは「看板（Kanban）」「客間（Kyakuma）」「金庫（Kinko）」の3つの頭文字をとったもの（図1）。まず看板は、企業の顔であるWebサイトのことを指す。先に紹介したようなランサムDDoS攻撃や、脆弱性を突いた攻撃などによって閲覧できなくなってしまう、あるいはここを経由して社内ネットワークへの侵入を許してしまうといったリスクに適切に備えることが肝心だ。広く外部に開かれた領域だからこそ、手厚い防御が必要になる。 　客間は、インターネット上で顧客に提供するサービスのポータルや会員向けページなどを指す。ここはオープンでありながら、顧客ごとの個人情報なども多く存在している領域といえる。そのため不正ログインによって重要情報が盗み出されたり、顧客がためたポイントの不正利用が行われたりする恐れがあるという。「マネタイズしやすい領域のため、多くの攻撃者がここを狙っています」と笹尾氏は警鐘を鳴らす。

　そして最後の金庫は、データが格納されたデータベース（DB）などを指している。攻撃者にとって、守りの手薄なDBは宝の山といえるだろう。ひとたび侵入を許してしまえば、非常に大きな損害につながることが容易に想定される。

　この3Kの守りを強化するために有効なのが、NVCが提供する米Imperva, Inc.のソリューションである。Impervaは、2002年にWAF（Web Application Firewall）の専門メーカーとして創業された企業で、現在は広範なネットワークセキュリティソリューションを市場に提供している。「その特長は、すべてが『データを守る』ことに特化してつくられている点です」と笹尾氏は紹介する。

　まず看板であるWebサイトを守るのがWAFだ。「Imperva Cloud WAF」は、Webサイトへの様々なアクセスの中から悪意のあるものを排除し、正規の通信だけをサーバーに届ける。これにより、サイトの脆弱性を狙う攻撃やボットネットによる攻撃、DDoS攻撃などからWebサイトを守ることが可能だ（図2）。「また、そもそもWAF導入済みのWebサイトは、手間がかかるため攻撃対象から外される傾向があります。『狙われない』状態にできることも、WAFの重要な効果といえるでしょう」（笹尾氏）。 　客間も、Imperva Cloud WAFの追加機能で防御できる。具体的には、昨今、被害が急増している「ATO（アカウント乗っ取り）攻撃」への対応機能である。ATOとは、ログイン試行を膨大な回数繰り返すことでアカウントを乗っ取る攻撃のこと。世界中に分散した攻撃者やBotが、時間を空けてログイン試行を繰り返すため、回数・時間などの閾値に基づく一般的な不正ログイン防止機能では防ぎにくい。

　「Imperva Cloud WAFのATO対策機能は、これら最新の攻撃への防御策を提供します。長年の研究に基づく高度なBot判別技術や、閾値をかいくぐろうとする挙動の検出技術を有しており、巧妙な攻撃も未然に防ぐことが可能です。また、ユーザーのIDとパスワードが、ダークウェブ上で出回っていないかをチェックする機能も備えています」と笹尾氏は解説する。

　そして金庫に当たるDBのセキュリティ強化を実現するのが「Imperva SecureSphere Database Firewall」だ。DBが狙われる状態は、既に脅威の侵入を許してしまった後となる。そのため、看板や客間とはやや守り方が異なるという。

　「すべてを守り切れない可能性を考慮し、被害状況の把握や、ログ分析による原因究明なども視野に入れた対策を講じることが不可欠です」と笹尾氏は言う。具体的には、①重要データとリスクの特定 ②コンプライアンスに準拠した行動 ③監査 ④セキュリティ ⑤対応・修正というプロセスをしっかり回すことがカギになるという。

　Imperva SecureSphere Database Firewallでは、これらのプロセスを一元的に管理・実行できる。「いつ・誰が・何を・どこで」行ったのか、その内容に問題があるかどうかを可視化し、速やかな対応と原因究明を支援するという。

　またNVCは、既に15年以上、Imperva製品を一次代理店として販売・サポートしてきた実績を持っている。導入アセスメントやコンサルティングなどのサービスも提供。「最適な仕組みの提案から設計、構築、保守までワンストップでご支援することが可能です」と笹尾氏は言う。

　今この瞬間もサイバー攻撃は進化を続けている。看板・客間・金庫を網羅的に守るNVCの提案は、ウィズコロナ時代のセキュリティ対策における重要な方法論となるだろう。