激化するランサムウエア攻撃への対策は
改めて入口対策を強化すべし

　「ランサムウエアの被害は企業経営そのものに多大なインパクトを与える状況になっています」とNetskope Japanの大元 隆志氏は語る。同社は、SSE（Security Service Edge）やSASE（Secure Access Service Edge）の領域のリーダー的存在である米Netskopeの日本法人だ。

　大元氏は、ランサムウエア攻撃にあった企業が開示した決算報告書を独自に調査したという^※1。そうしたところ、最も被害額が大きかった企業はシステム障害対応費用として19億8700万円を特別損失として計上。2番目の企業は2億7600万円を計上していた。「営業活動などに影響が出たとして、決算報告書に約29億円の機会損失を記載していた企業もありました」と大元氏は続ける。

　また警察庁が公表した資料^※2によると、2023年に発生したランサムウエア攻撃の侵入経路はVPNが63％を占めていた。PC経由だけでなく、管理者が把握できていないIT資産や脆弱性が放置された機器が侵入口になるケースが増えていることが分かるだろう。

　米国土安全保障省のCISA（サイバーセキュリティ・インフラストラクチャ・セキュリティ庁）は2024年6月に、FBI（連邦捜査局）およびカナダ、ニュージーランドの政府機関を共同で、セキュリティー対策を従来のVPNから SSE／SASEへ移行することを推奨するガイダンスを発表している。これによって今後、脆弱なVPN機器が原因でサイバー攻撃を受けた組織には、関係者への説明責任が問われる可能性があるという。

※1

2024年1月1日～8月31日に開示された決算報告書を対象としてGoogle検索で調査

※2

「令和5年におけるサイバー空間をめぐる脅威の情勢等について」

　それでは具体的に、現在のランサムウエア攻撃はどのように行われるのか、実際の事例を基に見ていこう。

　あるケースでは、はじめに攻撃者がVPNの脆弱性を起点にして一部のサーバーとPC端末に侵入した。そこから徐々に侵害を広げてアカウント情報などを窃取。上位権限を用いて、全社で利用しているクラウドサービス「Microsoft 365」に不正アクセスし、大量の重要情報を盗み出したという。

　「この事例では攻撃者に狙われるポイントが大きく3つありました」と大元氏は言う。1つ目は、外部と組織内の出入り口に当たるVPNゲートウエイだ。本来は外部からの侵入を防ぐはずのVPNだが、脆弱性が残っていると攻撃者に悪用されてしまう。

　このリスクは、「Netskope ZTNA NEXT L7」（以下、ZTNA NEXT）をはじめとするNetskopeソリューションを利用することで回避できるという。ZTNA NEXTは、ゼロトラストモデルのセキュリティー対策をクラウドサービスとして提供するソリューション。従来のVPN機器の代替として導入すれば、セキュアなゼロトラストネットワークを構築できる。

　「ZTNA NEXTは、外部から組織内へアクセスする通信をすべて拒否することが可能です。脆弱性が発見された場合も自動的にバージョンアップするため放置されることはありません」と大元氏は紹介する。

　狙われるポイントの2つ目が、ADサーバーにおいて侵害検知に必要なログが取得されていないことだ。サーバーの増強が必要になるため、十分なログを取得していない企業は多い。その点ZTNA NEXTを使えば、ADに依存しない認証形式にすることが可能だ。万一、脅威の組織内への侵入を許しても、認証形式を切り替えることで被害を極小化できるという。

　そして3つ目は、Microsoft 365の特性によるものだ。ログインURLが世界共通なため不正アクセスのターゲットになりやすい。また、組織の情報が大量に蓄積されていることも狙われる理由になる。

　この点については、脅威の遠隔操作に用いられるC2通信をブロックする方法を用意している。脅威の侵入を許し、認証情報が窃取されてダークウェブに公開されてしまった場合も、それを検知する。ダークウェブ上のID・パスワードとNetskope上のIDを突合することで、速やかに該当者をリストアップできるという。

「侵入される前提の対策ももちろん重要ですが、コスト効率を考えると、改めて入口対策を強化することが先決です。対策が手薄になりがちなクラウド領域を含めて、脅威に水際で防ぐ仕組みを確立することが、現在のランサムウエア対策における最優先事項です」と大元氏は強調する（図1）。

　Netskopeのソリューションを含めて、ゼロトラストモデルの構築をサポートするのがマクニカだ。半導体やネットワークを中心として最先端のテクノロジーを提供する同社は、2つのゼロトラスト構想を提唱している。

　「信頼性を厳しく検証するネットワークである『ゼロトラストネットワークアクセス』と、侵入を想定したネットワークである『マイクロセグメンテーション』の2つです」と同社の梶 真葵穂氏は説明する。マクニカは、前者をタテの通信のゼロトラスト化、後者をヨコの通信のゼロトラスト化と位置付けている。

　具体的に、タテの通信ではID、デバイス、ネットワークの3点を軸に厳格なアクセス制御を行う。利用する技術はIDaaS、UEM／EDR、SASEなどだ。ヨコの通信は脅威の侵入後を想定したもので、社内の各サーバーやデータに関するリソースをセグメント分割し、リソース間のワークロードの脅威を能動的に封じ込め、ランサムウエア被害を最小化する。ここではマイクロセグメンテーションの技術を中心に位置付けている（図2）。 　「タテの通信ではZTNA NEXTでSASEを実現するとともに、IDaaSの『Okta』による多要素認証も行います。さらに組織内のヨコの通信では、システムに侵入後の脅威のラテラルムーブメント（水平移動）を最小化させ、健全なデバイス／ユーザーのみがアクセスできるようにします」と梶氏は説明する。

　また、ヨコの通信ではネットワークを小さなセグメントに分割する「Illumio」でサーバーごとにラベルを付与し、APIを通じてNetskopeと連携させる。これにより、サーバー単位でユーザーごとのアクセス可否を決めるといったことも実現できるという。

　加えてマクニカでは、脅威を監視する統合SOCサービスも提供している。専門のアナリストが24時間365日体制で監視し、アラートをトリガーにした相関分析によってリスクの影響範囲を特定し、推奨される対応策などを提示してくれるという。

　「私たちは課題定義から運用・改善まで、一気通貫でお客様をご支援することが可能です」と梶氏。ビジネスリスクの低減に向け、高度なゼロトラスト環境を具現化したい組織にとって、Netskope、マクニカ両社の提案は大いに参考になるだろう。