日経ビジネス電子版 Special
日経ビジネス電子版 Special 日経ビジネス電子版
経営課題解決シンポジウム ~ セキュリティ編 ~

コロナ禍に付け入るサイバー攻撃が急増
今考えるべき事業継続
セキュリティ対策
Review

マクニカネットワークス
Active Directoryの管理権限を奪って企業データを窃取・人質に取る 最新ランサムウエアへの対応はActive Directoryの管理権限を奪って企業データを窃取・人質に取る 最新ランサムウエアへの対応は
サプライチェーンが多様化する中、脆弱な拠点を標的とした攻撃が多く確認されている。特に国内企業を含めて被害が顕在化しているのがActive Directoryを乗っ取って機密情報を窃取し、公開を止めるためにはお金を払えと身代金を要求する「暴露型ランサムウエア」だ。マクニカネットワークスでは、この新たな脅威から企業を守るためのサービスを用意。事前の対策とインシデント発生後の対応をサポートしている。
マクニカネットワークス株式会社 第2営業統括部 第1営業部 第1課 主幹 村上 雅則氏
マクニカネットワークス株式会社
第2営業統括部 第1営業部
第1課 主幹
村上 雅則

より悪質な手口で企業を攻撃する
「暴露型ランサムウエア」

 年々、悪質化・巧妙化が指摘されるサイバー攻撃だが、最近の課題の1つにサプライチェーン全体が攻撃対象となっていることが挙げられる。複数の企業で構成されるサプライチェーンの中で、最もセキュリティ対策が脆弱な企業を狙って侵入。そこから、メインターゲットとする企業への侵入を試みる。そして、サイバー攻撃によってサプライチェーンの中の1社の活動を停止させ、サプライチェーン全体の活動に被害を与えるのである。

 企業から見れば、自社が侵入を許したばかりに、ほかの企業が被害に遭ったということになってしまう。そのため、セキュリティ対策はサプライチェーンの一員でいるための欠かせない条件となる。「大企業をメインターゲットとしつつ、まずは対策の弱い中堅・中小企業を攻撃するということも起こり得ます。2015年12月に公開され、定期的に改訂が続けられている経済産業省の『サイバーセキュリティ経営ガイドライン』でも、サプライチェーン全体でのセキュリティ対策の強化を企業に要請しています」とマクニカネットワークスの村上 雅則氏は語る。

 攻撃方法では、ランサムウエアの進化が目に付く。

 マクニカネットワークスの顧客である、とある企業はランサムウエアによってファイルサーバーに侵入され、社内のデータを人質に取られてしまった。調査の過程で、ランサムノート(身代金脅迫文)から窃取した復号キーの入手と情報の外部への公開・売却をネタに身代金を要求してくる「暴露型ランサムウエア」だということが判明したが、攻撃過程でActive Directoryが攻撃者の意のままに悪用されていることが分かった。

 「言うまでもなく、Active Directoryは企業システム内でユーザー管理を行うもの。どのユーザーが、どのシステムにアクセスできる権利を持つかなどを司っています。これを乗っ取られ、管理者権限を奪われてしまっていたのです」と村上氏は説明する。その結果、前述したとおり、ファイルサーバーからの情報流出につながってしまったのである。

Active Directoryを狙う攻撃から
企業を守るためのサービス

 Active Directoryを狙う攻撃は現在、急増している。理由は、多くの企業が十分な対策を行っていないことといざ対策を行うとしても必要十分な情報を取得する設定がされていないことにある。

 「例えば、Active Directoryは膨大なログを吐き出すため、人手で監視し、そこから攻撃の兆候を見つけることは非常に困難なのです」(村上氏)。ひとたび乗っ取られ、アクセス権限を書き換えられてしまうと、攻撃自体がシステム的には不正でなくなるため、検知はさらに困難となる。

 この保護の難しさから、Active Directory自体の保護をうたう製品やサービスが少ないのが実態だが、マクニカネットワークスはこの課題に対応している。

 「当社は、これまでの事案対応の知見を生かして、Active Directoryが侵害された際に調査可能な状態で運用されているかをチェックする『Active Directoryスポット診断サービス』、お客様のActive Directoryを弊社で監視して、侵害が検知された際に通知する、あるいは緊急時に臨んで、あらかじめお客様との間で取り決めておいた手続きに従ってリモートから対処する『Active Directory監視サービス』といったサービスを提供しています」と村上氏は紹介する。

 当然、いずれもActive Directoryの機能を前提としたサービスとして開発されておりActive Directory特有の難しさをクリアしている。

 また、できれば避けたいことではあるが、実際に攻撃を受け、被害に遭ってしまった際に対策を相談する専門家として同社にサポートを依頼することもできる。

 既に述べてきたようにサイバー攻撃は悪質化・巧妙化が絶えず進んでおり、自分たちだけで何が起こっているのかを把握することは困難だ。従って、インシデント発生時、速やかに、かつ適正に対応するには専門家の助言が不可欠となる。

 マクニカネットワークスは「セキュリティ経営アドバイザリーサービス」というメニューを用意しており、例えば、先ほどの企業のケースでは、インシデント発生以降の一連の調査、および被害の評価と対応に関するアドバイス、そして、経営会議における収束宣言と今後起こり得るシナリオとその対応の説明をブレインとして支援した。 

 新型コロナウイルスの感染拡大によってテレワークが広く浸透したことが、サイバー攻撃を活性化させているという指摘もある。安全にアフターコロナへの対応を進める意味でも、いま一度、自社のセキュリティ対策をチェックしてみてはどうだろうか。

お問い合わせ
マクニカネットワークス株式会社 セキュリティサービス担当 TEL:045-476-2010
E-mail:sec-service@cs.macnica.net
URL:https://www.macnica.net/sandj/