「脆弱性は必ずある」と考えるべき　サイバーセキュリティの専門家が説く、事後対策のノウハウ

標的型ランサムウェアの“3重の脅迫”

植松智和氏：そして、標的型ランサムウェアの攻撃はまた新たな戦術が出てきております。1番から5番は、今申し上げたような例になります。

まず1番目は、侵入してデータを盗むこと。そして、その上でデータを暗号化するというのが2番目ですね。そして3番目、「暗号化したデータを復号したければ身代金を支払え」と脅迫をするということですね。

それにも応じない場合には、4番目の「盗んだデータを公開するぞ」という次の脅しをかけることになります。

それでも身代金の支払いに応じない場合には、5番目の盗んだデータをダークウェブの中のオークションサイト等で公開するといったアプローチをしてくるのが、2重の脅迫というものになります。

これに加えて、10月の頭ぐらいに報じられた新しい動きとして、SunCryptと呼ばれるランサムウェアの例があります。こちらは先ほどの1～5番の攻撃に加えて、それにも応じない場合には、被害者のWebサイトに対して、応じるまでDDoS攻撃を仕掛け続けるというものになります。

まさに3重の脅迫事例とも言え、支払いへの圧力が非常に高まっている状況になっております。

以前ですと、バックアップをすることによって、そこからデータを復元していきましょう、通常の状態に戻していきましょうということがランサムウェアへの備えとしてよく言われていましたが、このように新たな脅迫や攻撃に変わっていることを踏まえるとそれだけでは十分とは言えません。

攻撃者からすれば、少しでも成功率を高めようとする動きがある中で、より注意をしていかなければならない。そんな状況になっています。

大手企業でもサイバーセキュリティ攻撃を完全に防ぐことは困難

そして標的型攻撃ですね。今年国内でさまざまな企業が被害にあったことが、ニュースなどでも大きく取り上げられております。こちらに載せておりますのは、国内の大手製造業における被害に関するニュースリリースの抜粋で、この企業の場合は中国拠点でのウイルス対策サーバーにゼロデイ脆弱性があって、そこを突かれて侵害されてしまったというものです。これもニュースなどで大きく取り上げられました。

ニュースリリースにも書かれているとおり、「残念ながら攻撃を完全に防御することはできませんでした」「当社を狙った標的型サイバー攻撃である」と言及されているとおり、大手企業で相応の対策をされていらっしゃったかと思われるんですが、それでも侵害が発生してしまう。

当然この企業だけではなくて、他にも侵害があった企業が多く発生していることからすると、標的型攻撃を完全に防ぐことは難しい。そういう意味では、もちろん防御するということも大切なんですが、加えて防御偏重だけでなく侵害されることを前提にした対策を取っていくことが重要になっています。

攻撃への防御だけでなく、侵害への対策が重要

ここまでの内容をまとめます。クラウドファースト、デジタルファーストが進む中で、攻撃者はクラウドを悪用する攻撃をしてくるということ。それに対しては、こちらでも同じようにクラウドのテクノロジーを使って守っていくといったアプローチが重要になってきます。

そして、脆弱性を突く攻撃や標的型の攻撃には、防御とともに侵害されてしまうことを前提にした対策をしていくことが重要になってまいります。

それではいくつか具体的な対策をご紹介したいと思います。

攻撃者がクラウドを活用していくということに対しては、我々防御する側もクラウドのテクノロジーをもって守っていくことが有効です。

クラウドのセキュリティソリューションは、今、いろいろなセキュリティベンダーが非常に注力をしている領域になります。利点は、早期の展開が可能であるとか拡大が容易であるといったところになります。

世界中のいろいろな脅威の情報を集めた、いわゆる“脅威インテリジェンス”と呼ばれるものとの連携がしやすいということで、最新の脅威の情報を元にして対策を打てるところも、クラウド型のセキュリティソリューションの利点になります。

そして、高度な新しい攻撃に対しては検出や解析にもそれなりのリソースが必要になってきますが、それを我々ユーザー側のほうで行うことになると、負担が大きくなりますので、クラウドのテクノロジー、リソースを使うことで、負担が軽減するというのも利点になります。

また、今は働き方も変わっています。会社に出社してファイアウォールやIPS（不正侵入防御システム）、IDS（侵入検知システム）などのさまざまな境界型のテクノロジーをもって防御されていた環境ではなくて、自宅やカフェのような作業環境も増えてきています。

今はワーケーションなども取り上げられていますが、いわゆる境界型の防御がない環境で直接インターネットにつないでいくような変化がある中では、我々が利用するPCなどのエンドポイント単体で守っていくことがより重要性を増していると言えます。こういった場合でも、クラウドのテクノロジーが活用されると、エンドポイントの負荷が少なく守れることが、クラウドによるセキュリティのポイントになってきます。

「脆弱性は必ずある」と考えるべき

そして、脆弱性についてもいくつかトピックとして取り上げましたが、「脆弱性は必ずある」という観点に立って、それを早期に発見してつぶしていく、ということでは脆弱性の診断も有効です。

いわゆるシステムの中における不備を、まさに健康診断のような感じで、網羅的に、徹底的に調査する。見つかった脆弱性に対しては重要度、リスクを評価したうえで、その結果に基づいて、パッチの適用やツールを導入するといった次の対策を打っていく。そうした判断をするためにも（脆弱性診断は）必要な材料になってきます。

この脆弱性診断、セキュリティスキャンが非常に有効であるという例を取り上げさせていただきたいと思います。

こちらは、ボストンのサイバー保険会社CORVUSさんが出されているリリース文になります。いわゆるサイバー保険をやっていらっしゃるんですが、その保険の請求のうち24パーセント、およそ4分の1ぐらいがランサムウェアに関連した被害であったそうです。

しかも、そのうちの半数以上がRDPを起点にした攻撃だったそうです。そこで、この4月からサイバー保険の引き受けの前に、契約者にセキュリティスキャンを実施すると。

例えば公開されているRDPサーバーがないか、ゲートウェイ機器やサーバーに脆弱性が残っていないかといったものをきちんとチェックして、対処すべきポイントを契約者に案内をする。その上で契約をするというプロセスを始められたそうです。

その結果、ランサムウェアに関連した保険の請求を65パーセント下げることができたということと、新規の顧客においてはRDPを起点とするランサムウェアの請求はゼロに抑えられたという効果があったそうです。

侵害が発生した時に、できる限り被害を抑制する方法

そしてもう1つは、侵害を想定して対策をしていくこと。実際の攻撃を想定したペネトレーションテストとか侵入テストと呼ばれるものが有効になっていきます。

例えば、情報漏洩やシステムの破壊といった、意図した攻撃が達成できてしまうかどうかを検証する。ホワイトハッカーが実際に攻撃を仕掛けてみるという、非常に実運用に則したテストになっています。

そうした攻撃が成功するかどうか。あるいは現在備えているセキュリティ対策が攻撃に有効であるかどうかを確認したり、仮に攻撃が成功してしまうということであれば、何が問題だったのか、運用に不備がなかったかを洗い出すことで、総合的な検証ができるのがこのペネトレーションテストです。この結果を踏まえて、次の策を打っていくことが重要になってまいります。

そうした侵害を想定していくことに加えて、実際の運用の場面においてもし侵害が発生した場合には、いち早く気づいて被害を抑制していくということでは、EDR（Endpoint Detection and Response：事後対策）が有効になってきます。

ご承知のとおりEDRは、端末の中における不審な挙動や、感染の状況を見つけ出すツールになります。どちらかというと今までのセキュリティ対策は事前対策、侵入されてしまうこと自体を防ぐ目的が多かったかと思いますが、そうではなくて、例え侵入されたとしても実被害が発生する前に素早く発見して被害を抑えていくことができる。それが事後対策ということになりまして、そのためのツールとしてEDRは非常に有効になってまいります。

ただEDRを使いこなすには、スキルや体制、リソースといった、いろいろなものが必要になってくるので、自社運用がなかなか難しいと言われたりします。

特に働き方が変わっているということで、週休3日制や4日制などを標榜されている企業もあったり。あとは完全フレックスで働く時間を自由に決められるということが進むと、いつでも必ず誰かが働いているような環境が生まれてきます。

そうなりますと、24時間体制で監視をしたり、何か問題が発生した場合にはそれに対応していくことが運用側には求められていく。対応しなければいけない時間が増えていくので、それがなかなか自社でできないといった場合には、運用監視をアウトソースして専門家に委ねて体制をとっていくことも有益だと思います。

特にこうした監視系のサービスは、例えば感染した端末を隔離するといった、最初の対応をしてくれることもありますので、万一の被害が発生した場合にも実害を抑制していくための速やかな対応ができるようになります。

ビジネスチャンスとリスクは表裏一体

まとめさせていただきますと、2020年に非常に大きな変化が起きました。ただ2021年に関して言うと、今年以上に大きな変化が起きることが想像されます。そうした変化をビジネスチャンスとして捉えていくこともできるんですが、一方で攻撃者にとってもチャンスになり得ることになります。

その中では、クラウドのテクノロジーを使って守っていくことが重要だったり、あるいは防御だけではなくて侵害されてしまうことを前提にした対策を取っていくことが、重要になってきます。

そして、いろいろな対策を考えていくことにおいては、何よりも情報収集が非常に大切になってきます。最新の情報をキャッチアップしていくことの中には、情報源をいくつか持っておくことが大事になります。

弊社では「マルウェア情報局」という情報サイトを運営しており、国内外の脅威の情報やトレンド、レポートを掲載していますので、ぜひふだんの情報収集の中で情報源の１つとして扱っていただければと思います。

チャンスとリスクは表裏一体。チャンスの裏側にはそれを狙った攻撃が起こり得るという中で、デジタル革新を進めていくために適切なセキュリティ対策を取っていきましょう、ということでまとめさせていただきたいと思います。

私どもは、デジタルセキュリティでお客様のビジネス変革を支えることをメッセージとして掲げておりますので、ご相談があれば、ぜひお声を掛けていただければと思います。それではありがとうございました。

攻撃者は1つでもほころびがあれば侵入可能

司会者：植松さま、ありがとうございました。デジタルの進化は本当に今まさに良いかたちで進んでいる一方で、リスクの大きさも拡大しているんだなと感じました。ここで視聴者の方からいくつか質問をいただきましたので、私から代表して質問させていただきます。

まず1つ目です。「さまざまな種類のサイバー攻撃や対策などのお話がありましたが、企業としては何から対応するのがよいのでしょうか？」という質問ですが、いかがでしょう。

植松：攻撃者は1つでもほころびがあれば、そこから侵入することができる一方で、我々守る側はそうしたほころびが1つでもあると侵入されてしまうのは、ある意味、攻撃者が圧倒的に有利な環境で対策をしていかなければならないということです。

そういう意味では、考え得る、できる対策はすべてやってくださいということになってくるかと思うんですが、コストや体制などのさまざまな問題がある中で、ある程度優先度を考える必要があると思います。

その中では、脆弱性をつぶすことがいろいろな対策において効果を発揮します。脆弱性はさまざまな攻撃の糸口になるため、ここを徹底的にやっていくことは重要ですね。

例えば、部外に公開している機器の中で初期パスワードや簡単なパスワードを使っているものがないか。それから不要なサービスが使われていないか。こういったものを洗い出してつぶしたり、あるいは使っているシステムが常に最新の状態になっているかどうか。

よくあるのがセキュリティソリューションなどが導入されていても、最新の状態にアップデートしていなかったことが原因で、侵害を許してしまうこともあります。そういったものもきっちりと対応していくことが重要になってくると思います。

ただ自社のどこがウィークポイントなのか、何が脆弱なのかを探そうとすると、自力ではなかなか対処ができない場合もあるかと思いますので、今回ご紹介したように、よその力を借りてウィークポイントを見つけていくことも必要だと思います。

脆弱性診断と侵入テストの使い分け

司会者：やはりセキュリティに関するプロの知識を得たほうがいいということですね。次の質問にもつながるんですけれども、脆弱性診断とペネトレーションテストの具体的な違いはどういうところにあるんでしょうか？　

植松：そうですね。目的と範囲が違うと言ったらいいんですかね。網羅性が違うと言ったらいいかと思います。脆弱性診断は文字通り、脆弱性を徹底的に洗い出すことですね。非常に網羅性があるテストになるかと思います。

そのためのガイドラインなどもセキュリティの団体から開示されていまして、例えばWebアプリケーションに関する脆弱性診断のガイドライン、あるいはスマートフォンのアプリケーションに関する脆弱性診断のガイドラインに沿ってチェックをしていくというアプローチになってきます。

ツールを使ってばーっと洗い出すようなものもあるので、どちらかというとやっぱり面で広く取っていく、1つも漏らさずチェックしていくアプローチが脆弱性診断ということですね。攻撃の入り口にされないように脆弱性、リスクをつぶしていくのが、脆弱性診断の使い方になります。

一方、ペネトレーションテストは、本当のサイバー攻撃さながらのことを行って対策を考えていくという目的で使われるという違いがあります。1つでもほころびがあって、1つでも脆弱性があって、それが原因で侵入できてしまうのであれば、それ自体でテストの目的が達成されるので網羅性はないと。そうした実地に立った非常に現実的な対応ができることが違いになりますね。

司会者：なるほど。始めるとしたら脆弱性診断から進めていったほうがいい感じですか？　

植松：目的によりけりかと思うんですが。そうですね、脆弱性がいろいろな攻撃の入り口になることからすると、これ自体はやっておいたほうがいいかと思います。

ただ「健康診断のように」と申し上げたとおりで、この脆弱性診断はその時点での既知の脆弱性に自社が対応できているかどうかをチェックする仕組みなので、当然1年後にはまた違う脆弱性が見つかることもあります。

そういう意味では、例えば1年に1回やっていくとか、定期的に健康診断のようなかたちでやっていくことが重要かなと思います。そういったチェックをされたうえで、どちらかというと今のセキュリティ対策、ツールが十分かどうかを検証していくには、より実地に立ったペネトレーションテストのほうが望ましいこともあるので、本当に目的に応じて使い分けていくことがよいと思います。

司会者：わかりました。常に対策をしていくことが大事ですね。

植松：そうですね。

司会者：本セッションはこちらで終了とさせていただきます。改めましてこのセッションでお話しいただいたのは、キヤノンマーケティングジャパン株式会社、植松智和さまでした。どうもありがとうございました。