ランサムウェア攻撃されるまでの時間は、1日がかり→4時間以内に　“早期発見”で情報資産を守る、サイバー脅威の5つの対策

サイバー攻撃の主役となっている「ランサムウェア」

菊川悠一氏：みなさん、こんにちは。サイバーリーズンの菊川と申します。弊社はEDR（Endpoint Detection and Response：PCや携帯電話などエンドポイントの端末が不審な動きをした場合、検知し管理者に伝達するシステム）をはじめとする、エンドポイントセキュリティソリューションを提供しています。EDRについては国内シェアナンバーワンを獲得しています。

このセッションでは最新の脅威事例や、弊社の脅威インテリジェンスチームの最新の攻撃の研究成果をご紹介します。そこから浮かび上がる課題を解説し、有事におけるサイバー脅威対策に不可欠な仕組み作りのポイントについてご紹介します。

まず初めに、脅威情報について共有させていただきたいと思います。今年においても、ランサムウェアがサイバー脅威の主役となってしまっています。国内においても毎月多数の企業がランサムウェアの被害に遭っていると報道されています。

特に猛威を振るっている脅威グループの1つとして、LockBitがございます。最近3.0とアップデートをしていますが、右側の表にあるのが国内の被害例です。今年におきましてもさまざまな業種・組織の規模を問わず発生しています。

このLockBitの攻撃事例を1個ご紹介したいと思います。こちらはある県の教育委員会の、校務ネットワークのサーバーに対してランサムウェア攻撃をした事例になっています。

この攻撃を仕掛けたのが日曜日というところがポイントになっています。というのも、ランサムウェア攻撃を実行するタイミングは土日祝日を狙ったものが多いことが、私たちの統計でわかっています。89パーセントと、ほとんどのランサムウェア攻撃が休日を狙っていることがわかるかと思います。

78パーセントの組織が、ランサムウェア攻撃を受けて復元できなかった

さらにこのLockBit、ほかの脅威グループもそうなんですが、二重脅迫をしています。この二重脅迫によるランサムウェア被害も77パーセントと、非常に高い割合を占めていますので、ランサムウェア攻撃を受けたらデータが抜き取られていると考えていただいたほうがよいかと思います。

侵入経路としては、SSL-VPN（暗号化にSSL技術を使用したリモートアクセスVPN）機器からの不正ログインであることがレポートでわかっています。なんらかのかたちで管理者アカウントのIDとパスワードを盗み取ったことが調査でわかっています。こういった「VPN機器からの感染」も、警視庁の調べで半分近くにも上っており、第1位の侵入経路になっています。

さらにこの事例では、データの復元を試みたのですが、困難であると判断し手作業でデータを作り直している状況です。同じく警視庁の事例で申し上げると、78パーセントのランサムウェア攻撃を受けた組織が復元できなかったとわかっています。

残念ながらこういったサイバー攻撃、ランサムウェア攻撃を受けてしまっている組織で、具体的に裏側でどういったことが起きているかというのを、ポイントを押さえてご紹介したいと思います。

サイバー攻撃に遭う組織の、セキュリティの脆弱なポイント

残念ながらサイバー攻撃に遭ってしまっている組織は、脆弱なポイントがそのまま放置されています。パスワードが不正に盗まれやすい状態であったり、ゲートウェイ・ファイアウォールやVPN機器の脆弱性がそのまま放置されています。そういった脆弱なポイントを攻撃して、簡単に社内や校内のネットワークを突破してしまいます。

そのあとは数々の攻撃が展開されるのですが、そういった攻撃が着々と進行している間も気づかない状態になっています。攻撃が進んで情報が盗まれたあと、ランサムウェアを実行した段階で初めてインシデントに気づくような状況になっています。

そこから調査が始まりますので非常に時間がかかってしまい、ビジネスが復旧するまでにも時間がかかってしまうような状態になっています。

中には、盗み取ったデータをダークウェブ上でアップロードして売買するような組織もあります。つまり第三者がダークウェブにアクセスすれば、どの企業・組織が情報を盗み取られたかというのもバレてしまうような状況です。

セキュリティ事故で起きていることを数字で表すとこうなっています。

ランサムウェアの感染経路第1位にVPN機器があると申し上げましたが、ほかはリモートデスクトッププロトコルや不審メール、いわゆるフィッシングメールからの感染経路。さらに侵入したあと、ウイルス対策ソフトを導入しているにも関わらず検出されずに、どんどん攻撃が進行し被害が拡大してしまったということが、データでもわかっています。

ランサムウェア攻撃を実行するまでの時間は短縮傾向に

もう1つ、攻撃の事例をご紹介いたします。こちらは弊社の脅威インテリジェンスチームが調査した結果になりますが、ランサムウェア攻撃を実行するまでの時間が非常に短縮されていることがわかっています。

同じ脅威グループが2つございます。前身となる脅威グループがXingLockerと呼ばれますが、初期侵入からランサムウェア実行までにだいたい1日ぐらい時間をかけている状況です。しかし、そこから派生したQuamtum Lockerと呼ばれる脅威グループは、初期侵入から4時間以内でランサムウェアを実行しているということが、私たちの調査でわかっています。

どんどん攻撃の時間が短縮されている状況から申し上げましても、万が一攻撃がすり抜けて社内・組織の中に侵入した場合、リアルタイムにすり抜けた攻撃を検知して対処する必要性が出てきています。

もう1つの対策のポイントとしては、攻撃の痕跡をすべて見つけて根絶しなければならないこと。逆に申し上げますと、これを放置していると2回も3回もランサムウェア攻撃を受けてしまうとわかっています。

弊社調べなんですが、アンケートを取った組織のうち「1回以上ランサムウェア攻撃を受けた組織」が全体の73パーセント。さらに「2回目のランサムウェア攻撃を受けた組織」が80パーセント。「3回以上のランサムウェア攻撃を受けて、身代金を払った組織」が9パーセントにも上っています。

こういった組織はやはり場当たり的な対策で、ランサムウェアを受けたサーバー・システムだけを復旧して、侵入経路やバックドアをそのまま放置していたため、再発してしまったという状況が推察されます。

攻撃をいち早く見つけて被害を最小限に抑えるためには

私たちの調査や最近のランサムウェア攻撃の事例から、万が一攻撃がみなさまのネットワークの中に入り込んだ時、いち早く見つけて被害を最小限に抑えるためにはどのようにしたらよいかお話しします。

やはりランサムウェア対策だけにフォーカスしても、二重脅迫によってデータを盗み取られている可能性が非常に高い。つまり情報窃取の前段階の攻撃で、すり抜けてしまった攻撃を検知する必要性が出てきています。

そのためにはパソコン・サーバーを可視化する必要があります。可視化して、攻撃ストーリーや攻撃の全体像を把握しなければなりません。そうすることによって情報窃取の前段階で対応することができます。例えば水平横展開の段階であれば複数端末が感染していることが考えられますので、その対象の端末だけを対処すればよい。さらに初期侵入ですぐインシデントが発覚した場合は、感染した端末1台だけ対処すればよい。つまり早い攻撃の段階で検知できればできるほど、インシデント対応が素早く進んで、被害も最小限に抑えることができます。

セキュリティ事故の裏側で起きている5点についておさらいすると、今後の対策は、この逆のことをすればよいことになります。

情報資産を守るための、5つの取り組むべき対策

脆弱な侵入ポイントを放置するのではなく、リスクがあるかどうかをしっかり把握して改善する。簡単に突破されてしまうような状況であれば、高度な攻撃を防御できる次世代アンチウイルスソフトを導入する。さらに万が一攻撃されてしまったあとも、いち早く検知して対処して、素早く安全宣言を出すような仕組みと体制を確立することが必要になってまいります。

今ご紹介した5点の取り組むべき対策は、NIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークに対応しています。さらにスライド下の青色の四角は、それに対応できるソリューションを配置しています。このソリューションは、すべて弊社のサービス・製品で対応できるようになっています。

現状把握から復旧まで、適切なソリューション対策をすることによって侵害リスクを減らして、被害を最小限に抑えられるようになっています。

このようなソリューションに対応しているのが、サイバーリーズンのサービスと製品です。本日ご紹介したいソリューションは3つ、検知・対応・復旧のソリューションです。つまり製品としてはEDR、それを監視するサービスのMDRについてご紹介したいと思います。

政府が求めるセキュリティ要件をクリア

EDRとMDRにつきましては政府レベルでも導入が推進されています。左側に書いているのは、いわゆる政府統一基準。こちらにもEDR、またMDRの別の呼び方ですがマネージドセキュリティサービス（MSS）の導入が基本対策事項に追加されています。

右側に記載しているのは自治体向けのセキュリティポリシーガイドラインですが、EDRの監視・運用や、さらに体制を強化するためにCSIRT（情報セキュリティインシデントに対応するための専門チーム）の設置が追加されています。

従来であれば、このようなガイドラインは防御だけに特化したガイドラインでしたが、近年のこういった政府レベルのガイドラインでも、新たに検知・対応・復旧が追加されています。つまりEDRとMDRの導入が進んでいる状況です。

こういった政府機関にも弊社のサービスを安心して導入させていただけるように、ISMAPと呼ばれるセキュリティ評価制度に私たちのソリューション、EDRと次世代アンチウイルス、MDRが登録されています。

このISMAPは、政府機関がクラウドサービスを導入する際、いち早く導入を進めるためにこういったクラウドサービスを事前に評価して登録することによって、速やかに導入することを目的とした制度です。弊社の3つのソリューションはもうすでに登録済みとなっていますので、政府が求めるセキュリティ要件を満たしています。

リアルタイム性100パーセント、第三者評価でも高い評価を獲得

こういった政府レベルでもお墨付きをいただいている弊社のソリューションなんですが、一言で申し上げますとランサムウェアに非常に強いソリューションを取り揃えています。弊社のEDRとMDRをお使いいただいているお客さまは、ランサムウェアに対しては負け知らずです。つまり情報窃取の前段階の攻撃で、万が一侵入してしまったとしてもEDRで検知して、MDRの弊社のアナリストが速やかに対処をしてきて、被害の拡大を防いでいます。

さらに万が一ランサムウェアを実行する段階におきましても、アンチランサムウェア機能と呼ばれる対策機能を使って、みなさまの大切な情報資産が暗号化される前に阻止できるようになっています。

サイバーリーズンのソリューション、EDRと次世代アンチウイルスは、第三者評価でも高く評価されています。MITRE社と呼ばれる、アメリカの非常に透明性の高い第三者機関が毎年エンドポイントセキュリティを評価しています。今年は4回目の評価がありましたが、その結果私たちは一番高い評価、このグラフで申し上げると一番右上に位置することができました。

さらにサイバー脅威対策として、リアルタイムに検知して速やかに対処することが重要であると申し上げましたが、そのリアルタイム性についても100パーセントを獲得しています。つまり遅延なく脅威を検知することができています。

具体的な攻撃の検知例を申し上げますと、最近はちょっと落ち着いてきていますがEmotetの攻撃手法もどんどん進化してきています。こちらで紹介しているような4つのパターンのEmotetがございますが、いずれも弊社のEDRで検知して、わかりやすく可視化できるようになっています。

実際にランサムウェア対策機能を使うとどうなるのか

ここで弊社のソリューション、EDRとランサムウェアの対策機能のデモをご覧いただきたいと思います。Lorenzと呼ばれるランサムウェアを実行してみます。まず初めにランサムウェア対策機能を無効にした状態で、どういったことが起きるかを見ていただきたいと思います。

デスクトップ上にあるランサムウェアを実行します。ここで見ていただきたいのは、デスクトップ上にあるWordファイルやほかのファイルです。すぐにアイコンが白くなって、暗号化されてしまっています。さらにランサムノートと呼ばれる身代金を要求するような文章が記載されます。

ランサムウェア対策機能をオンにした状態で再び実行しますと、すぐにランサムウェアをブロックすることがわかるかと思います。

ここからもう1つ別のモード、検知するだけのモードで攻撃の全体がどのように可視化されているかを見ていただきたいと思います。こちらの画面上で表示されているのは検知したアラートになっています。「このランサムウェアをブロックしました」というアラートになっています。クリックすると、一連の攻撃を可視化する詳細画面になっています。

どの端末、何台の端末が攻撃を受けたのか、また一連の攻撃でどういった悪質なプロセスが走ったのか、さらに通信状況はどういったものだったのか。この場合はランサムウェアですが、インシデントが発生した根本原因を、イラストでわかりやすく表示しています。

必要な情報を可視化し、攻撃の全体像を素早く把握

さらに下にいきますと、タイムラインというものがございます。複数の小さなアラートを大きなインシデントとしてまとめて表示しています。例えば横展開で複数の端末に被害があるような状況でも、タイムラインでわかりやすく表示することができるようになっています。

さらに下にいきますと、プロセスの状況を詳細に表示するプロファイル画面がございます。ここからアタックツリーと呼ばれる画面に遷移することができ、インシデントの前後環境を素早く把握・深堀り調査することができます。Lorenzと呼ばれるランサムウェアから複数のcmdのプロセスが走っているのがわかるかと思います。つまり複数のコマンドが実行されています。

2つのコマンドを見ていきたいと思いますが、1つ目は壁紙を変更するコマンドを実行している。ランサムウェアを実行したあとは、わかりやすく被害者に知らせるために、壁紙を変更することがあります。

さらにもう1つのコマンドを見ていきたいと思います。こちらはリモートスケジュールタスクを作成しているコマンドになります。感染した端末から別の端末やサーバーに対して、ランサムウェアをリモートで実行します。

このようにサイバーリーズンのソリューションを活用しますと、万が一のインシデントにおいて調査に必要な情報を、イラストでわかりやすく可視化できるようになっています。これによって攻撃がどのように発生してどのように展開されたか、攻撃の全体像を素早く把握できるようになっています。

攻撃の全体像を把握したあとは対処に移りますが、対処も簡単に遠隔から実行できるようになっています。対処のボタンをクリックすると、一連のインシデントに影響を受けた端末がリストアップされます。さらに推奨される対処方法もチェックボックスで表示されているので、必要なチェックをしたあとに適用ボタンをクリックするだけで、複数の端末に対して一度に対処できるようになっています。

24時間365日、専門のアナリストが監視

このようなEDRと一緒に併用していただいているサービスが、Cybereason MDRと呼ばれる監視サービスになっています。この監視サービスはお客さまに代わって24時間365日、弊社の専門のアナリストが監視させていただいています。

弊社のMDRを活用した運用の流れを3つのパターンでご紹介したいと思います。一番左側は平時です。アラート通知がない場合は、お客さまに代わり弊社のアナリストが常時監視を行っています。ですのでお客さまは必要な時にダッシュボード画面を見て、脅威が社内に入ってきているかどうかをチェックしたり、ほかの業務に当たれる状態になっています。

真ん中のアラート通知につきましては、同じく弊社のアナリストが脅威を判定します。メールにてお客さまに推奨策をご案内差し上げます。お客さまはその推奨策に従って対応すればよいだけですので、簡単に運用できるようになっています。

一番右側のアラート通知は最も緊急性が高い場合です。この場合は弊社のアナリストが電話で対処方法をご案内しています。お客さまはその電話の案内に従って、落ち着いて対応することができます。また翌営業日までには推奨対策のレポートをアナリストが提出しますので、弊社のアナリストが解決までお客さまに寄り添って対応できる体制をとっています。

国防・軍事レベルのメンバーで構成されたチーム

弊社のアナリストはグローバルSOC（GSOC）チームと呼んでいますが、国防・軍事レベルの体制をとっています。高度・高品質な分析と書いていますが、元イスラエルの国防軍や、アメリカのNSA（米国家安全保障局）に勤務していたメンバーがいます。こういったメンバーが中心となって脅威分析の手法を確立して、日頃のアナリストの分析に活用しています。

常時監視を行っているアナリストにつきましても、資格を多数保有しており、なおかつ実務経験が豊富なメンバーを取り揃えています。

こういった国防・軍事レベルのGSOCチームなんですが、脅威インテリジェンスも同様の体制をとっています。こういった体制をとって、弊社はあらゆる国の支援を行っています。右下の写真は弊社のCEOであるリオール・ディブなんですが、最近NHKの取材を受けてコメントをしています。

弊社の本社はアメリカなんですが、アメリカ政府だけではなくて多くの政府当局とつながりを持っています。例を申し上げると、最近ヨーロッパで紛争が起きているウクライナ政府も、その1つになっています。

このNHKのインタビューでリオールが語ったように、2017年からウクライナに対して支援をしています。2017年の段階でNotPetyaと呼ばれるワイパー型のマルウェアの解析をして、致命的な被害を受けるような事態を避けることに成功した、ということを話しています。

セキュリティ体制強化に向けての長期的な支援を実現

政府レベルでも支援をさせていただいている弊社ですが、最新の共有情報ブログで公開しています。脅威インテリジェンスチームであるNOCTURNUSと、MDRのGSOCチームが研究した成果を、日本語のブログで公開しています。さらにそのブログでは弊社の製品でどのように阻止することができるか、EDRについてはどのように可視化できるかというのも公開していますので、ぜひご覧いただければと思います。

本日はEDRとMDRに特化してご紹介しています。EDRとMDRはもともとは比較的大規模なお客さまに対して提供してまいりましたが、去年から中堅企業さま向けにも「Cybereason Core Suite」と呼ばれるパッケージを提供しています。

特徴は、製品の機能は制限することなくそのままお使いいただきながらコストを抑えているところです。MDRにつきましても同様に、コストを抑えつつ、中堅企業さま向けにサービス内容を最適化してご提供しています。このCore Suiteを去年リリースして以来、多くの中堅企業さまにも弊社のEDRとMDRを導入させていただいています。

EDRとMDRのソリューションを中心にご紹介差し上げましたが、それ以外の製品サービスも多数取り揃えています。弊社はエンドポイントセキュリティのソフトウェアを提供する、つまり製品を売るだけではなく、サービスも提供していますので、お客さまのセキュリティ強化に向けて長期的な支援ができる体制をとっています。

こちらはほんの一例ですが、お客さまのセキュリティの環境や成熟度に合わせて各ステップに分け、推奨するセキュリティロードマップを提示させていただいています。このように段階的に、かつ長期的に体制強化を支援させていただいています。

入門者向けのサイバーセキュリティの動画も公開

本日は網屋さんのセミナーに参加させていただいていますが、つい最近も網屋さんの「ALog」との連携についてプレスリリースを出しています。弊社のEDR・NGAVが解析したアラートを、ALogに対してSYSLOG転送で送李、ALog側がほかの脅威情報やアラートと解析することによって、組織全体で起きている脅威を可視化できるようになっています。ぜひ弊社のEDRも併用して、ALogと連携して使っていただければと思います。

こちらが最後のスライドになります。ちょっと毛色が違う話になりますが、今年に入ってから弊社のYouTubeのチャンネルで、入門者向けのサイバーセキュリティの動画を公開しています。

現段階で複数のトレーニング動画を公開しています。製品だけではなく、サービスについて、最近ですとテレワークに対してセキュリティ的にどういう点に気をつければよいのかというところを、できるだけ専門用語を使わずわかりやすく解説しています。

この動画はおそらくこのセッションを聞いているみなさまよりも、みなさまの企業の従業員や新人さんなど、これからサイバーセキュリティを勉強したい方向けに広めていただければと思います。

本日は最新の攻撃事例をご紹介して、そこから浮かび上がる課題とともに弊社のソリューションをご紹介差し上げました。今後みなさまの組織においてセキュリティ強化をされたい時は、ぜひ弊社までお声がけいただければと思います。以上で私のセッションを終了いたします。ご清聴ありがとうございました。