1位ランサムウェアによる被害9年連続9回目
IT機器の見える化&パッチ適応で
脆弱性の穴を早期に塞ぐべし!
ランサムウェアとは「Ransom(身代金)」と「Software(ソフトウエア)」を組み合わせた造語で、身代金(金銭や暗号資産)を要求することを目的としたマルウエアの一種。OSやアプリケーションなどソフトウエアの脆弱性を悪用し、インターネット経由でPCやサーバーに侵入した後、端末のファイルやバックアップデータを暗号化し、復号のために金銭を要求する。ランサムウェアは規模に関係なくあらゆる組織を攻撃するが、特に重要な情報を利用・保存している企業は注意が必要だ。
近年は攻撃者がデータなどを復号するための金銭と、窃取したデータを暴露させないための金銭という2つの身代金を要求する「二重脅迫型」や、その進化形の「三重脅迫型」「四重脅迫型」も確認されている。
「ランサムウェアによる犯罪が一向に減らないのは、それがビジネスとして成立してしまっているからです。その一例がRaaS(Ransomware as a Service)です。具体的には、ランサムウェアの開発者が、攻撃を実行するために必要なものをまとめて提供するサービスをダークウェブと呼ばれる闇市場で販売し、脅迫をたくらむ犯罪者がそのサービスを利用したり、成果報酬として身代金の利益を分配したりしています。RaaSによって誰でも簡単にランサムウェア攻撃を開始できるようになったのです」と、金井氏は説明する。
ランサムウェアに感染すると、身代金に加え、その調査や復旧に多くの費用と時間がかかり、被害企業の3割で1億円超の損失が発生しているという調査結果もある。また中小企業では、業務やサービス提供の停止による損失、取引先からの信頼失墜など事業継続上の危機につながる恐れもある。
「ランサムウェアではメールの添付ファイルによる侵入も多いのですが、ここ最近において注意すべきはUTMの装置です。これらの脆弱性を狙った攻撃による被害が発生し続けているのは、企業側が適切なパッチ(修正プログラム)を適用していないのが主な原因です」(金井氏)

Sky株式会社
ICTソリューション事業部
執行役員
金井 孝三氏
だがUTMへのパッチの適用はネットワークを中断して作業を行う必要がある。ベンダーなどから注意喚起やアップデート情報を得ても、ついつい適用を先延ばしにして重要データの窃取や損失を招いてしまうことが少なくない。そして、それらの情報を入手できていないユーザーが知らない間に被害を受けてしまうことが多い。
もう1つ注意すべきなのが、社内に誰が管理者か分からない装置がある企業だ。例えば、業者が保守契約に基づいてリモートメンテナンス用に設置したVPN装置として使っているUTMなどは、ユーザー企業のIT資産台帳に載らないことも多いため(保守契約に基づいて保守業者が所有している機材を取り付けられる場合など、ユーザー企業の資産ではないため)、社内の担当者はパッチを当てることができない。業者も、リモートメンテナンス用と思っているので一度設置した後はその装置にパッチを当てる必要があることすら意識されていないケースも存在する。
「このように自社のネットワークにつながっていながら、誰が管理しているのかが分からない装置もランサムウェアの被害に合う可能性があることを考慮しておかなければなりません」と金井氏は指摘する。
それでは、ランサムウェアの被害を最小化するための対策とは何か。「管理者が把握していないIT機器が1台でもあると脆弱性が放置された状態となり、感染につながるリスクとなります」と金井氏は話す。
例えば、クライアント運用管理ソフトウエア「SKYSEA Client View」(以下、SKYSEA)は、組織内のクライアントPCやサーバーのハードウエア情報、ソフトウエア情報、プリンターやルーターなどのネットワーク機器情報などを自動収集し、1つの台帳で管理することが可能だ(図1)。

図1 日々変動するIT資産の情報を自動で収集し、見える化する
クライアントPCやサーバーのハードウエア情報、ソフトウエア情報、プリンターやルーターなどのネットワーク機器情報などを自動収集、1つの台帳で管理する。このように組織内のIT資産をきめ細かく把握することが、ランサムウェアに対抗する第一歩となる
「基幹業務に使われているPCやソフトウエアだから止めることはできない、といった場合も、SKYSEAならパッチを当てる重要度で端末をグルーピングして、まずは予備機に当てて問題なく動くかどうか確かめることができます。問題がなければ予備機に切り替え後、本番機にパッチを当てるといった運用が行えます。セキュリティパッチが公表されると攻撃側は数時間でその脆弱性を狙った攻撃をスタートすることもあるので、こうしたツールをうまく活用し、いち早く穴を塞ぐことが脅威を食い止める対策につながります」(金井氏)
2位サプライチェーンの弱点を悪用した攻撃6年連続6回目
業界/取引先のガイドラインに合わせた
セキュリティ管理・運用がポイントに!
サプライチェーン攻撃とは、ターゲット企業に直接サイバー攻撃を行うのではなく、セキュリティ対策に弱点がある関連企業や取引先・委託先企業に攻撃を仕掛け、この企業を踏み台としてターゲット企業に不正侵入を行うサイバー攻撃である。攻撃するターゲットを企業や組織ではなく、サプライチェーンで捉えるのが特長だ。
自動車業界では、大手から中堅・中小の部品・素材メーカーまで、数千社ともいわれるサプライヤーが複雑なサプライチェーンを形成しているため、狙われた1社の業務が停止するだけで、自動車の製造全体が止まってしまう事例も公表されている。
「企業や組織は規模に関係なく、取引先や委託先、ビジネスパートナーといった何らかの形でサプライチェーンとつながった活動をしています。サプライチェーン攻撃を受けた際、迅速かつ適切な対応ができなければ被害はどんどん拡大し、企業の信用や事業継続に深刻な影響を与えます。日本でサプライチェーンに関わる企業には中小企業も多く、コストや人的要因で十分なセキュリティ対策を実施できていないケースが多い」と金井氏は指摘する。
サプライチェーン攻撃に対抗するため、自動車業界や流通・サービス業界などの業界団体もセキュリティガイドラインを公開したり、取引先などへのセキュリティ強化策を実施したりしている。だが、それらのガイドラインがない場合には、どうしても、セキュリティ対策にかかる費用負担や人員の壁があるため、どうしても企業ごとにセキュリティリスクの考え方や対策の水準も異なってしまう実情がある。
「よく“セキュリティはコストでなく投資”だという言い方をされますが、セキュリティ対策の難しいところは、コストに上限がないこと。大きな投資が難しい中堅・中小企業が費用対効果を考えてしまうのは、無理もないと思います。そこで優先順位を付けてセキュリティ対策を行うことになりますが、まず行うべきなのが、ランサムウェア対策の時と同様、IT資産の把握です。UTMやVPNなど、インターネットとの接続を制御する装置の脆弱性は攻撃に悪用されると、まだまだ多い境界型防御では被害が大きくなることも多いので、セキュリティパッチや最新ファームウエア、更新プログラム等を迅速に適用することが重要です。特に見落としがちなのがネットワークに接続されているデジタル複合機やスマートテレビ、Webカメラ、スマートフォン、タブレットなどです。これらも各種OSを搭載しネットワークにつながっていますので、漏らさず管理する必要があります」(金井氏)
こうしたニーズに応えるため、SKYSEAではSNMP(Simple Network Management Protocol)を利用して多様なネットワーク機器情報を収集し、IT資産管理台帳を作成できるという。また、SNMPが機能していない機器であっても、何らかの機器がネットワークに接続されていることを検出する機能も有している。また、各業界のセキュリティガイドラインで求められる要求事項に対応できる管理項目も多く、適切に設定すれば、低コストで効果的なセキュリティ対策の運用が行えるように配慮されている。
例えば、接続が許可されていないPCが社内ネットワークに接続されると接続を自動的に検知し、管理者へメール通知してログを出力、自動的に接続を遮断(オプションにて提供)することも可能だ。スマートフォンやタブレットなどのモバイル機器管理(MDM)機能(同じくオプションにて提供)も用意されており、組織での使用ルールを考慮して、日々の業務で必要のない機能、情報漏えいのリスクがある機能などを、あらかじめ使用禁止に設定できる。

図2 スマートフォン、タブレット端末などの管理イメージ(MDM)
スマートフォンやタブレット端末を安全に運用管理するために、モバイルデバイスマネジメント(MDM)機能を用意。業務に不要な機能を使用禁止にできる
3位内部不正による情報漏えい等の被害9年連続9回目
6位不注意による情報漏えい等の被害 6年連続7回目
PCの挙動をログで管理・把握し、
異常な動作を特定せよ
内部不正による情報漏えい事故も多発している。理由の1つに、働き方の潮流が大きく変化し、従来のように1つの企業に入社してから定年まで働くような終身雇用が減少していることが挙げられる。働き方として、転職や派遣、契約、フリーランスといった選択肢が広がったことは、働き手に新たなチャレンジの機会を提供する一方、企業にとっては内部情報が容易に流出するリスクにもなり得る。転職の際に“手土産”として社内情報を持ち出すケースもあり、アクセス権限を持つ社員が退職する際に内部情報を持ち出しする例では、企業のダメージが大きくなってしまうことが少なくない。
「権限さえあれば、PCにUSBメモリを刺すだけで数百万人もの顧客情報がいともたやすく持ち出せてしまう。デジタルツールの活用で罪悪感のハードルが下がったという見方もできます。またリモートワークの普及によって監視の目が届きにくい環境も不正行為を助長しています。セキュリティ対策担当者は普段から想定できる課題を整理し、内部からの情報漏えいを未然に防ぐ方法を検討しておく必要があります」と金井氏は言う。
もちろん、情報漏えいの要因は内部不正だけではない。6位にランキングされたように不注意による情報漏えいの被害も増加傾向にある。その大きな要因として、金井氏は「クラウドサービスの普及とユーザーのリテラシー不足」を挙げる。
「SaaSが普及してきたことで、あらゆる企業がクラウドサービスを活用できる時代になりました。しかし企業側の担当者が全てクラウド活用に関する知識や高いスキルを備えているとは限りません。クラウドサービスに保管したデータへの閲覧範囲の設定を誤り、ファイルが公に閲覧できる状態になってしまうといった事故は後を絶ちません。最近では、外部の生成AIサービスに悪意なく会社の機密情報を入力してしまい、それが学習されて一般の目に触れてしまうケースも報道されています」(金井氏)
こうした事故を防ぐため、まず企業が取り組むべき施策としては、情報セキュリティ研修などで従業員のセキュリティ意識と知識を向上することが挙げられる。また、クラウドサービスを使う側としては、担当者のスキルアップ、作業規則やマニュアルの整備、設定項目のチェックシートなどを用意することも重要だ。
とはいえ、いつ起こるかわからない情報漏えいに24時間365日、人海戦術で対処することは現実的ではない。やはり、デジタルツールをうまく活用していく視点が欠かせない。
「SKYSEAにはUSBデバイスやメディアの使用制限機能があります。デバイスやメディア1つずつに使用制限を設定できるので、従業員に不正をさせないセキュリティ強化に役立ちます。また、内部不正や情報漏えいなどのインシデントが発生した場合には、ログの取得と保管が重要です。パソコンが、どのように使われていたのか、情報システム内で何が起こっていたかなどを後から追跡調査する際に役立ちます。SKYSEAは、いつ・誰が・何をしたのかを最大10年間記録するログ管理機能を備えているため、多くのお客様がインシデント発生時の迅速な対応や発生源の特定に役立てていらっしゃいます」(金井氏)

図3 デバイスやメディアの適正管理が情報漏えい防止のカギ
USBメモリなどの記憶媒体は大量のデータを手軽に持ち運べる反面、紛失などによって重要情報が漏えいし、企業の信用を失う危険性もはらんでいる。USBデバイスやメディアを1台ずつ適切に管理し、使用制限を設定することで情報漏えいを防止する
常にログを取得していることを社内に周知することは、不正行為の抑止にもつながる。またログは、リモートワークで離れた場所にいる従業員の勤務実態を把握したり、ポリシーに違反した操作や不正アクセスがないかを確認したりする際にも有効だ。PCの操作ログから不正行為を早期に検出できるだけでなく、PCの操作時間や残業時間、各アプリケーションの操作時間などをダッシュボード表示やグラフ化して表示できるため、従業員が適切に業務を実施していることを会社側で確認することができるためモチベーションアップにつながるツールとしても活用できる。

図4 情報漏えいリスクの早期発見や解析に役立つPCのログ管理
クライアントPC上でのユーザーの操作や、外部との通信、ファイルへのアクセス状況など、PCの様々な挙動をログとして記録。膨大なデータから必要な情報を抽出することで、「いつ」「誰が」「何をしたのか」を正確に把握し、情報漏えいリスクの素早い発見を支援する
「リモートワークでのセキュリティという観点から言えば、従業員が自宅から直接インターネットにアクセスしてマルウエアに感染してしまうリスクもあります。そういう場合はSKYSEAのオプションに、組織内ネットワークへのVPN接続を強制する機能がありますので、まだまだ多い境界型防御の企業様であっても、UTMなどによって安全が確保されている組織内ネットワークにアクセスさせて、リモートワーク中のセキュリティを強化することも可能です」(金井氏)
ランサムウェアなどのサイバー攻撃、クラウドサービスの誤操作といった人為的なミスなど、組織は常に情報漏えいリスクと隣り合わせの状態にいる。重要なデータを守り、事業継続を図るためには、情報セキュリティ対策とIT資産の安全な運用管理を強化するソリューションの導入を検討しておきたい。
Sky株式会社
ICTソリューション事業部 執行役員
金井 孝三氏
Sky株式会社の情報システム部門にてシステムの構築・運用を担当するなかで得たセキュリティ分野での経験を生かし、営業支援 名刺管理サービス「SKYPCE」や、情報セキュリティ対策ソフトウェア「SKYSEA Client View」などの自社製品の企画に従事。現在はICTソリューション事業全体をリードする役割を担っている。











