SamSamとWannaCry:ランサムウェア対策と、より広範なセキュリティ対策

インターネットで伝えられるニュースをご覧になっている方であれば、最近多くの有名企業がランサムウェアの標的になっていることをご存知だと思います。この傾向は高まっており、多くのユーザーに壊滅的な影響を及ぼす可能性があります。

悪名高いWannaCryウイルスは、1年近くにわたり脆弱性のある同じシステムを標的にしており、2017年3月28日には大規模な生産工場を攻撃しています。また、米国最大規模のとある市では、この数日間SamSamランサムウェアとの戦いを続けており、市長はこの状況を「人質事件」と呼んでいます。幸運なことに、影響を受けたのはメーカーのほんの一握りのサーバーであったため、生産ラインへの影響は一切なかったようです。今回のSamSam攻撃が標的にしたのは、オンラインの請求書支払いサービスと裁判スケジュール管理サービスに限られていましたが、それよりはるかに深刻な事態になっていた可能性があります。

WannaCry攻撃の場合、エンドユーザーは通常、リンクをクリックするか、フィッシング(無作為型)攻撃またはスピアフィッシング(標的型)攻撃の一部である悪意のある電子メールに添付されたファイルを開きます。あるいは、(本来アクセスすべきではない)感染したWebサイトにアクセスしたために、目的のコンテンツを閲覧したりダウンロードしたりした際にマルウェアも受け取ってしまいます。いずれの場合も、オープンネットワークに接続している脆弱なエンドポイントデバイスに悪意のあるファイルがロードされ、そこからペイロードが拡散して、他の脆弱なシステムの特定とデータの暗号化が行われます。

SamSamによる攻撃はもう少し複雑です。SamSamの主な標的はインターネットからアクセス可能な状態になっている脆弱なサーバーで、RDP(リモートデスクトッププロトコル)ブルートフォース攻撃が実行されるか、特定の既知の脆弱性が悪用されます。SamSamの攻撃は指向性と計画性が非常に高い傾向にあります。

SamSamが最初に検出されたのは2015年後半のことで、当初は知名度の低い標的を対象にしていました。しかし、この数ヶ月間は医療機関や教育機関から地方自治体にいたるまで幅広い組織が攻撃を受けています。年初から4つの大きな自治体が標的となっており、うち1つの自治体は1週間に2度攻撃を受けたために、2,000人近くの職員が紙と鉛筆を使って業務を行わなければなりませんでした。SamSam攻撃の実行グループは現在までに、被害者から約100万ドルの身代金を受け取ったと推定されています。


基本に立ち返る

SamSamとWannaCryは種類の異なるランサムウェア攻撃であり、使用される攻撃ベクトルが異なりますが、共通点が1つあります。それは、パッチを適用して修正されているべき既知の脆弱性を標的としている点です。

問題の一部は、ネットワークが複雑化していることと、ネットワーク機能(クラウド/アプリケーションプロジェクトの管理など)の拡張が重視された結果、ITリソースが拡散し厚みがなくなったことにあります。これにより、ITチームは基本的な予防策などの基本的なセキュリティ対策に集中できなくなっています。現在SamSamの感染と戦っている市のIT管理者は、今回の出来事は「物理的インフラストラクチャと同じくらいデジタルインフラストラクチャのセキュリティが重要であるということを示しています。これは私たちにとって未知の領域です」と述べています。


今すべき対策

サイバー犯罪者は、特に高い効果を上げている「全面攻撃」の戦略をとり続けています。デジタルトランスフォーメーションによって誕生し、拡大している攻撃対象領域に有効な攻撃ベクトルを開発するだけでなく、時間に余裕がなくてITチームが対処できていなかった既知の脆弱性を標的にするという確実な方法も用いています。

最善の防御策は、実行される可能性のある攻撃方法を減らすための系統立ったプロセスを構築することです。そのためには、以下のような基本を押さえておく必要があります。

すべてのデバイスの一覧を能動的に作成する: ネットワーク上に存在しているデバイスを常に把握しておく必要があります。言うまでも無く、セキュリティデバイスとアクセスポイントが通信していない場合、容易なことではありません。

脅威を追跡する: また、脅威データをリアルタイムで提供するサービスに登録して、最新の脅威状況に対応できるようセキュリティシステムを更新しておく必要があります。

IOC(Indicators of Compromise:侵害指標)を監視する: 所有しているデバイスと脅威との関連が明らかになれば、最もリスクの大きいデバイスを迅速に特定し、強化、パッチ適用、隔離または交換を優先的に実行できます。

パッチの適用を自動化する: パッチの適用は好き嫌いの問題ではありません。最近のWannaCry攻撃でも明らかなように、パッチが適用されていないマシンが攻撃やマルウェアにとって主要な経路となっています。だからこそ、可能な限りパッチを適用する作業を自動化するプロセスを開発する必要があります。

ネットワークをセグメント化する: どの組織でもセキュリティ侵害は起こり得ます。その時には、セキュリティ侵害の影響をできる限り小さくする必要があります。最善の防御策は、ネットワークの分割です。セグメンテーションが適切でない場合、WannaCryなどのランサムウェアはバックアップストアにまで容易に拡散できるため、インシデント対応(IR)プランの他の部分の実装が極めて困難になります。仮想環境におけるマイクロセグメンテーションや物理ネットワークと仮想ネットワーク間のマクロセグメンテーションなど、セグメンテーション戦略が確立していれば、攻撃をプロアクティブに、また動的に隔離することができ、拡散を抑制できます。

セキュリティ制御を適用する: シグネチャベースおよびビヘイビアベースのソリューションを実装して、エッジで、さらにはネットワークへの侵入後に攻撃を検出して阻止します。

重要なシステムをバックアップする: ランサムウェア対策で最も重要なのは、できるだけ早く業務を再開できるように、重要なデータとリソースのコピーをネットワーク以外の場所に保管しておくことです。

エンドポイントとアクセスポイントを強化する: ネットワークに接続されるすべてのデバイスが基本的なセキュリティ要件を満たしていることを確認するとともに、感染したデバイスやトラフィックを検出するスキャンを積極的に実行します。

自動化を導入する: 制御対象の領域をロックダウンした後は、できるだけ多くの基本的なセキュリティプロセスに自動化を適用する必要があります。これにより、ITリソースが解放されるため、自社を標的にしている高度な脅威を阻止するのに役立つ、より高次な脅威分析と対応タスクに集中することができます。

セキュリティファブリックを導入する: こうしたセキュリティ対策を、新たに追加されたすべてのネットワークエコシステムにまでシームレスに行き渡らせるためには、統合型のセキュリティソリューションを導入し、オーケストレーションと分析を一元化する必要があります。セキュリティ戦略を複雑化、細分化するのではなく、動的に変化するネットワークに適応するように設計された単一のセキュリティファブリックを導入することで、セキュリティ運用に必要な幅広い可視性ときめ細かな制御が実現します。