インターネットイニシアティブ

ランサムウエアからEmotetまで
変化する攻撃手法と求められる備えは

コロナ禍を背景にテレワークが浸透し、クラウド利用が活性化するなど、企業のIT環境は大きく変わった。だが、変わったのはそれだけではない。新環境への移行直後、まだ十分な対策が整っていない隙間を狙うように、サイバー攻撃手法も変化している。企業は、自らの変化と攻撃の変化を見定め、適切な対策を適材適所に講じていかなくてはならない。IIJは長年培ったノウハウを生かし、多様なソリューションでそれを支援している。

より悪質化しているランサムウエア

株式会社インターネットイニシアティブ セキュリティ本部 セキュリティビジネス推進部 部長 山口 将則氏
株式会社インターネットイニシアティブ
セキュリティ本部
セキュリティビジネス推進部
部長
山口 将則
 IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」。2022年の1位は「ランサムウェアによる被害」である。前年に続いて1位の選出だが、攻撃対象にはここ数年変化が見られる。「かつては個人を狙ったものが主流でしたが、最近は企業や組織の被害が拡大しています。攻撃対象もあらゆる業種や規模の企業に及んでおり、すべての企業に被害の可能性がある状況です」とインターネットイニシアティブ(以下、IIJ)の山口 将則氏は指摘する。

 攻撃手法もより巧妙化、悪質化している。人の手によってシステムに侵入して、そこにあるデータを暗号化して「人質」とする攻撃や、要求に応じなければデータがリークサイトなどで段階的に公開される「暴露型」の攻撃が増えている。

 このようなランサムウエアによる被害を抑止するための基本的な対策としては、インターネットにつながっているサービスや機器の保護、侵入経路に利用されやすいメールのフィルタリングや無害化といった対策、そして、万が一、データが人質に取られてしまった際の備え、つまりバックアップなどがあげられる。また、影響範囲を把握して、速やかに対処するためのログ管理の仕組みや外部専門家との連携体制なども重要となる。

 加えて、コロナ禍によって大きく変わったワークスタイルへの配慮も必要だ。「テレワーク環境を整えるために、急遽、社内リソースへの接続環境を構築した企業は少なくないと思います。中にはVPN装置の管理が十分ではなく、それを狙った攻撃を受けるケースが見受けられます」と山口氏は言う。

VPN装置やクラウドの脆弱性を見逃さない

 IIJは、これらのランサムウエア対策をトータルにサポートしている。

 例えば、先ほど紹介したVPN装置を狙う攻撃に対応するには、メーカーのアップデート情報をキャッチアップして、必要に応じてパッチを適用する必要がある。これに対してIIJは「IIJ脆弱性管理ソリューション with tenable.io」を提供。クラウドサービスであるtenable.ioを活用し、定期的な自動セキュリティ診断と脆弱性状況の可視化、一元管理を実現し、脆弱性対応の漏れや設定不備の早期発見を支援する。

 また、テレワークの推進によって利用が拡大しているクラウドのためのソリューションもある。

 まずIaaSやPaaSの設定ミスを防止し、安全な利用をサポートするのが「IIJ CSPM(Cloud Security Posture Management)ソリューション」である。単一のクラウドだけでなく、管理が複雑化しやすいマルチクラウド環境においても脆弱な設定の有無を監視。潜在的なリスクを洗い出すことができる。

 一方、ユーザーによるクラウドサービスの利用状況の監視と制御を行い、ポリシー違反検知などを行うのが「IIJ CASB(Cloud Access Security Broker)ソリューション」だ。ユーザーが独自に利用しているクラウドサービス、つまりシャドーITも含めてクラウドの利用状況を可視化して、リスク評価や異常行動の検知などを行い、リスクにつながるユーザーの行動や攻撃そのものをあぶり出す。

境界の外に出るエンドポイントを いかに守るか

 テレワーク環境では、ユーザーの自宅や外出先など、境界型セキュリティの外でPCなどの端末が利用されることになる。それを前提とした端末保護も必要となる。例えば、境界の外であってもユーザーの利用する端末の存在を把握し、OSのバージョンアップやパッチの適用が適正に行なわれているかを管理しなければならないし、許可のないソフトウエアのインストールやUSBデバイスの利用などの監視、状況に応じた制限を実現していく必要がある。

 「マルウエア対策についてはEPP(Endpoint Protection Platform)のみならず、EDR(Endpoint Detection and Response)も導入して、高度な攻撃の早期発見と、万一の感染に臨んでの遠隔操作による端末隔離などの対処を速やかに行える体制を整えておくことも重要でしょう」と山口氏は続ける。

 さらに、テレワークという新しい環境に対応したセキュリティリテラシー向上のための教育や問題発生時の相談窓口などを整えておくことも重要である。

 こうしたエンドポイントの保護についてもIIJでは豊富なラインアップを用意している。例えば、マルウエアの検知・隔離や流入経路の追跡を複数のアンチウイルスとIT資産管理の機能を用いて実現する「IIJセキュアエンドポイントサービス」、セキュリティログの収集・分析に基づき、24時間365日体制によるインシデントの発見から対処、対策の提案などを行う「IIJ C-SOCサービス」に加え、C-SOCサービスにEDRの運用を組み込んだ「EDR運用オプション」などだ。「テレワーク環境に不安を感じているというお客様に向けては、『IIJテレワーク環境セキュリティアセスメントプログラム』も提供。IIJの長年にわたるセキュリティサービスの運用に基づく知見を基に開発した独自のアセスメントシートを利用して、お客様のテレワーク環境に対するリスクアセスメントを実施。診断から報告までを1カ月で完結できる点がその大きな特徴となっています」と山口氏は紹介する。

再び活性化する Emotetへの対策

 注意が必要な脅威の代表としてランサムウエアを取り上げ、具体的な対策方法などを紹介したが、もちろん脅威はそれだけでなない。例えば、2021年の1月に活動が根絶されたと伝えられていたEmotetによる攻撃がここにきて再び活発化しているという報告がある。

 Emotetとは、感染した端末からの情報窃取やメール送信、ほかマルウエアのダウンロードおよび実行、ボットネット通信などの機能を持つマルウエアだ。「パスワード付きZIPの利用禁止、マクロ機能の安易な有効化を行わないといった対策が求められます」と山口氏は言う。

 このEmotetについても、IIJは対策のためのソリューションを提供している。具体的には、6社のエンジンを実装した独自フィルタにより多層的に脅威メールをブロックし「入口対策」を強化する「IIJセキュアMXサービス」、マルウエアに感染したPCから悪意あるWebサイトへの通信を検知・遮断する「出口対策」の機能を持つ「IIJセキュアWebゲートウェイサービス」などが代表例だ(図2)。  攻撃者は、攻撃を成功させるために常にユーザーの動向をチェックし、それに合わせた方法で攻撃を仕掛けてくる。ワークスタイルの大きな変化は、まさに格好のターゲット。いち早く対応し、安全性を高めることが新しいワークスタイルによるメリットを最大化するカギといえよう。
TOPへ
関連リンク
お問い合わせ
株式会社インターネットイニシアティブ URL:https://www.iij.ad.jp/
E-mail:info@iij.ad.jp