ランサムウエアによる攻撃を発生前に阻止する
対処優先型のセキュリティ対策の進め方

　DXやテレワークの普及に伴い、企業をねらうサイバー攻撃の対象領域が拡大。その攻撃は巧妙化するとともに、手段も多様化している。「ランサムウエアの侵入手段1つをとっても、大きく3つのタイプに分かれます」と語るのは、サイバーリーズン・ジャパンの菊川 悠一氏だ。

　1つ目は、Windows端末のリモートアクセス機能の脆弱性を突いたRDP（リモートデスクトッププロトコル）攻撃。テレワークなどのリモート端末を攻撃して、組織内ネットワークへの侵入を試みるという。

　2つ目はフィッシングメールによる攻撃だ。添付ファイルを開封させてマクロ機能などを悪用して感染させる攻撃で、一時期活動が収まっていたが、最近になって再度感染が拡大している「Emotet（エモテット）」は、フィッシングメールによる手法を用いている。そして3つ目が、VPN機器や公開しているサーバーなどの脆弱性を悪用して侵入する手法だ。

　ひと昔前のランサムウエア攻撃は不特定多数にばらまき、ファイルの暗号化だけをして金銭を要求するものだった。しかし、進化した現在のランサムウエアは単発の攻撃ではなく、多段階の攻撃を仕掛けてくる。

　「金銭の要求もエスカレートしており、身代金の要求やデータ暴露の脅迫に加え、DDoS攻撃の脅迫、メール、電話による脅迫など三重脅迫、四重脅迫の事例も報告されています。いわば数々のマルウエアを駆使した『攻撃ストーリー』を展開し、より大きな成果を目指すわけです。これに対抗するには、一連の攻撃ストーリーの全体像をしっかりと把握して総合的に対処するのが、何よりも重要なポイントとなります」（菊川氏）

　さらにランサムウエア以外にも注意すべき攻撃がある。その代表格といえるのが、「ワイパー型マルウエア」だ。これは、OSの起動に必要な情報（MBR：マスターブートレコード）を上書きして起動を妨げると同時に、端末内のファイルをすべて削除・破壊するマルウエアである。

　2017年にロシアがウクライナの企業を攻撃するのに用いたとされており、その後、世界中で流行が拡大した。菊川氏は、現在のウクライナとロシアの状況を鑑み、「2022年、ワイパー型マルウエアが再度世界へ拡散する恐れがあります」と注意を促す。

　それではこうした最新の脅威に対して、どのような対抗すべきなのか。菊川氏は、最新の攻撃シナリオを見据えた上で、3つのポイントを挙げる。

　1つ目は「リスクアセスメントの実施」だ。情報資産の洗い出しを行い「どのような情報資産が攻撃者の対象となるのか」「もしそれを失った場合、どれくらいの被害が発生するのか」を事前に確認。洗い出しができたら、「重要な情報資産が保管されている端末やサーバーに脅威や脆弱性が潜んでいないか」「脆弱性やアプリケーションなどの不正利用によって侵入される可能性がかないか」を検証するわけだ。

　2つ目が「セキュリティの見直しと強化」である。今後は、UTM（Unified Threat Management、統合脅威管理）やアンチウイルスを導入しておけば安全という楽観的な考え方は通用しない。最新の攻撃に現状の対策で対処できるかどうかの見直しを図るべきだろう。

　3つ目は「すり抜けた脅威の見える化」だ。「そのためには“複数端末の相関解析”、最先端の攻撃を検知する“振る舞い分析”、脅威を瞬時に高速解析する“リアルタイム検知”などによって、いつ・どこで・何が起こったかの全体像を可視化することが重要です。これにより被害を最小化しながらセキュリティ運用の負荷を低減することができます」と菊川氏は説明する。

　サイバーリーズンは、こうした3つのポイントをカバーし、最新脅威に対抗する効果的な対策として、徹底した「対処優先型」のプラットフォームと、多彩なソリューションを提供している（図1）。 　まず、最初の侵入を防ぐのが、次世代アンチウイルス「Cybereason Endpoint Prevention」だ。これは、シグネチャと機械学習によって既知・未知の攻撃をブロックするだけでなく、ファイルレス攻撃やランサムウエアに特化した専用防御層を持つソリューション。特に注目したいのは、ランサムウエアを阻止するために独自の「アンチランサムウエア機能」を採用している点だ（図2）。

　「おとり技術、行動（振る舞い）分析、機械学習、脅威インテリジェンスを組み合わせ、重要なファイルが暗号化される前に検知・阻止することが可能です。実際、ウクライナ侵攻時に使用されたWhisperGate（ワイパー）も防ぐことができました」と菊川氏は説明する。 　一方、次世代アンチウイルスをすり抜けてしまう攻撃もわずかながら存在する。そのために有効なのが、侵入前提の対策を支援する「Cybereason EDR」だ。これは、サイバー攻撃の兆候を、複数端末の相関解析や振る舞い分析などで洗い出し、進行する攻撃を直感的に可視化する画面を提供するもの。これにより瞬時に高度な調査を行い、ダメージの発生を最小化することが可能だ。

　さらに、EDRを監視するマネージドサービスである「Cybereason MDR」もある。サイバーリーズンの高度なスキルを持つ専門家が、顧客に代わって24時間365日、顧客環境をプロアクティブに監視する。緊急性が高いと判断された場合は抑止制御を実施し、サイバー脅威への即時対処を支援する。このため、セキュリティ人材を自社で確保しなくても、高いレベルのセキュリティ対策を実現できるようになるという。

　こうした多彩な機能や効果が評価され、サイバーリーズンのEDRは3年連続で国内シェアNo.1^※1を獲得。EPPやMDRの分野でも複数年連続でシェアNo.1^※2を獲得するなど、不動の地位を確立している。「防御から検知、対応、復旧までのEDRソリューションを1つのエージェントで網羅できる点や、攻撃の全体像をリアルヤイムに可視化できること。さらにはワンクリックで攻撃された複数台の端末を遠隔から一度に対応できる機能など、技術面における優位性が高い評価をいただいています」と菊川氏は話す。

　また、日本の顧客企業に寄り添った製品や体制作りを積極的に展開している点も評価を押し上げている。「私たち日本法人は、監視サービスや攻撃発生時の対応だけではなく、普段の運用にかかわる相談窓口も提供しています。万が一問題が起きた場合には、インシデント対応のサービスによって迅速な調査や復旧作業もサポート。さらに感染の予防から問題が起きたときの復旧まであらゆるサービスをワンストップで提供する体制を整えています」と菊川氏は語る。

　攻撃者はセキュリティの死角を熟知しており、あらゆるポイントにおいて些細な脆弱性やミスを突いて攻撃してくる。もはや、従来の対策だけで阻止するのには限界が見えている。サイバーリーズンが提唱する徹底した「対処優先型」のセキュリティ対策は、企業の安全を守るスタンダードとなっていくかもしれない。

※1 出典：

株式会社富士キメラ総研、2021年9月29日発行「2020～2021 ネットワークセキュリティビジネス調査総覧《市場編》」2019～2020年度実績
株式会社ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望 2021年度【サイバーセキュリティソリューション市場17版目】」

※2 出典：

IDC Japan株式会社、2021年12月発行「国内標的型サイバー攻撃対策ソリューション市場シェア、2020年：マネージドセキュリティサービスの進展」
デロイト トーマツミック経済研究所株式会社「外部脅威対策ソリューション市場の現状と将来展望 2021年度　サイバーセキュリティソリューション市場17版目」
株式会社アイ・ティ・アール、2021年5月発行、「ITR Market View：エンドポイント／無害化／Web分離／CASB／CSPM／SOAR市場2021」
株式会社アイ・ティ・アール、2021年12月発行、「ITR Market View：エンドポイント・セキュリティ対策型/情報漏洩対策型SOCサービス市場2021」