ランサムウェア被害の9割はウイルス対策ソフトで検出できず…　万一感染しても被害を最小限に抑える仕組み・体制のつくり方

被害組織の90％がウイルス対策ソフトでランサムウェアを検出できず

菊川悠一氏：みなさんこんにちは。サイバーリーズンの菊川と申します。この講演ではサイバーセキュリティ対策についてお話しします。

サイバーセキュリティ対策の肝は、「どれだけ初動を早くするか」。どれだけ被害を最小限に抑えられるかにかかっています。ポイントは2つあります。1つは、たとえ感染しても挽回できるチャンスがあること。まず、挽回できる仕組みを確立することが1つのポイントです。

2つ目は、その仕組みを活用してどれだけ早くインシデント対応をして、報告できるか。その体制づくりにかかっています。本日は、この2つのポイントについてお話しします。

まずは最近の脅威動向について。ランサムウェアなどの攻撃に遭った組織は多大な被害を受けますが、その裏側でどんなことが起きているかについてお話しします。

攻撃者は、どうすればターゲットの組織に侵入できるかを日頃からくまなく探しています。侵入ポイントとしては脆弱なポイントを突く手法があります。ランサムウェアの感染経路には、VPN機器やリモートデスクトッププロトコル、あるいはフィッシングメールなどがあります。

一度侵入に成功すると、気づかれずに着々と攻撃を進行します。つまり、せっかく設置したセキュリティ機器がぜんぜん検知しない状態になります。実際に、警察庁によるとウイルス対策ソフトの検出がなかった組織は全体の90パーセントにも上ります。

こういった事態に気づくのは、ランサムウェアを実行されてファイルを暗号化された後です。そこから調査を始めるため、どうしても復旧までが長期化します。警察庁によると、被害軽減につながらなかった組織は全体の76パーセントにも上っています。

インシデントで「社長辞任」「取締役の役員報酬返上」の事例

このような脆弱性を突いた攻撃は、国内でも多数発生しています。こちらの表は弊社が調べた結果ですが、公表されたインシデントの事例から原因が判明しているものだけを抜粋しました。

業種はさまざまで、注目していただきたいのが赤色のところです。原因の大半が、脆弱性を突いた攻撃になっています。こういったランサムウェア攻撃はどんどん進化しています。

こちらは弊社の「MDR」というGSOCチーム（サイバー脅威をグローバル規模で監視・分析・対処することを目的としたチーム）が調査した結果ですが、「LockBit」と呼ばれる非常に猛威を振るっている脅威グループがあります。

このLockBitの軌跡をたどると、段階的に進化を遂げていることがわかります。「LockBit 2.0」と呼ばれた頃は、ユーザーアカウント制御と呼ばれるWindowsのセキュリティ回避を行ったり、プリンターを使って身代金要求を印刷する手法が使われていました。

最近では3.0に進化して、誰でもランサムウェアをつくれるように「LockBitビルダー」というものを開発したり、「バグバウンティプログラム」と呼ばれる、バグを見つけた人に報奨金を与えて、より自分たちの攻撃を洗練化するような動きもあります。詳細は弊社のブログで公開していますので、ぜひご覧いただければと思います。

こういったランサムウェア攻撃の主なものとして「サプライチェーン攻撃」があります。自社の取引先やグループ会社に対して攻撃を行うものです。企業の脆弱ポイントを見つけた攻撃者がそこを踏み台にして、最終標的となる比較的大規模な取引先企業やグループ会社の本社などを狙うのが典型的な攻撃です。

こういった攻撃が増えており、ニュースでも取り沙汰されています。IPA（独立行政法人 情報処理推進機構）によりますと、「情報セキュリティ10大脅威」で2022年までは3位だった「サプライチェーンの弱点を悪用した攻撃攻撃」が、2024年は2位にランクアップするなど、非常に注目度の高い攻撃の1つとなっています。

このように、自社のセキュリティ対策をしっかりしていなければ、お客さまや取引先に迷惑を掛け、最終的に社会的責任を負うような事態にもなっています。

こちらはある決済サービス事業者のインシデントの事例ですが、クレジットカード情報が流出して、経済産業省と個人情報保護委員会による調査の結果、セキュリティ対策に対する経営層の認識の甘さが判明し、最終的には社長の辞任、取締役の役員報酬返上という事態になりました。

こういった1つの事例だけでも、セキュリティ対策はIT部門やセキュリティ部門の方だけの問題ではなく、組織全体として、経営層が積極的に対策を推進しなければならないものと言えます。

「復旧させれば外部にはわからない」は過去の話

もう1つ、経営層が意識しなければならないものが説明責任です。いざインシデントが起きた場合に、どれだけ透明性を持って説明するかということです。

個人情報保護委員会が個人情報保護法を改定し、個人情報が漏れた場合、もしくはその可能性がある場合は、速報として5日以内に個人情報保護委員会に報告し、確報として30日以内に報告しなければならない義務があります。

内容は左下に書いていますが、漏えいした個人データの詳細、その原因や再発防止策などがあります。

こういった報告は、外部の機関に対して行う義務がありますが、透明性のある説明は、お客さまや取引先、場合によっては株主に対しても必要です。報告がしっかりなされない場合や中途半端な場合は、外部の方に不信感を与えるリスクもあります。

サイバー攻撃を受けても、社内だけで調査をして復旧させれば外部にはわからない時代もあったかもしれません。しかし、今は隠し通せません。さまざまな脅威グループが、盗んだ情報をダークウェブ上で、組織の名前を付けてデータの詳細まで公開しています。

ダークウェブだけではなく、インターネット上でもさまざまな脅威グループがこういったインシデント情報を公開したり、ダークウェブ上で公開された情報のまとめサイトも存在します。検索すれば、誰でも見られるような状態です。

ですので、万が一インシデントが起きた場合、お客さまや取引先などの第三者から、「おたくのデータが漏れているんじゃないか？」と指摘される可能性があります。そういった場合は、どうしても対応が後手後手になり、印象が非常に悪くなりますので、情報が漏れる前に、速やかに外部に公表して、速やかな対応が必要です。

一昔前であれば、ランサムウェア攻撃は不特定多数にばらまいてファイルの暗号化だけをして金銭を要求するものでした。しかし、進化した現在のランサムウェア攻撃は、単発の攻撃で終わらず、さまざまな攻撃を仕掛けて最終的に情報を盗み取り、ランサムウェアを実行します。

逆に言うと、感染しても挽回できるタイムリミットがあります。攻撃の段階が初期であればあるほど、感染している端末や機器が少ないことが想定されますので、例えばフィッシングメールで感染したとしても、いち早くその脅威を見つけて対処すれば、少ない被害で抑えることができます。

以上、最新の動向をお話ししました。ポイントは「どれだけ早く初動対応ができるか」です。冒頭で申し上げましたが、感染しても挽回できるチャンスはありますので、その仕組みづくりをすること。また、その仕組みを活用して、どれだけ早くインシデントに対応して、外部・内部に対して報告できる体制をつくるかにかかってきます。

この2点を押さえることで、お客さま、取引先に対して迷惑を掛けないようにする。また、その迷惑を最小限にすることができ、なおかつ透明性のある速やかな報告ができるようになります。

防御を強化した次世代アンチウイルス

具体的にどのようなサイバーセキュリティ対策をすればよいかについて、このスライドでお話しします。

アメリカのNIST（国立標準技術研究所）が公表している「サイバーセキュリティフレームワーク」というものがあります。

重要インフラ向けのセキュリティ対策のフレームワークを公表していましたが、最近は一般企業・組織に対しても適用しており、有効活用する組織が非常に増えています。

「現状把握」「防御」「検知」「対応」「復旧」の5つのカテゴリーがあり、弊社サイバーリーズンはこの5つすべてを強化できるソリューションをご用意していますが、今回は右の4つの対策についてご紹介します。

防御を強化する対策では、「Cybereason NGAV」という次世代アンチウイルスがあります。この次世代アンチウイルスによって、従来のアンチウイルスやファイアウォールをすり抜けるような攻撃を、AIを活用してしっかりブロックできるようになります。

最新のバージョンでは、予測型ランサムウェア対策機能や、万が一ランサムウェアでファイルを暗号化されても復元できる機能を新しく搭載しています。このNGAVを活用することで、巧妙な攻撃も容赦なくブロックできるようになります。

わずかな隙から侵入された後に有効なセキュリティ

しかし、弊社の次世代アンチウイルスをはじめ、こういった防御型のセキュリティ対策機能も万全ではありません。そうしたわずかながら侵入された後の有効なセキュリティが「Cybereason EDR」です。

EDRは、各業界・団体で導入が推進されています。自動車や金融、医療、重要インフラなど日本国内のあらゆる団体のセキュリティ関連のガイドラインや中小企業向けやテレワーク用のガイドラインに「EDRの導入が非常に有効である」という記載があります。

また、「単にEDRだけを導入するのではなく、従来型のファイアウォールやアンチウイルスなどの防御型セキュリティとEDRを組み合わせることによって、よりセキュリティを強化できる」といった記載がされています。

弊社のEDRの特徴は、画面の見やすさです。こういったセキュリティ製品は、スキルの高い方の活用を想定した製品が多いと思いますが、弊社の管理画面はセキュリティのスキルレベルに依存せず、直感的にわかる画になっています。スライドの右側はインシデントの詳細画面です。

何人のユーザーがどういった攻撃の被害に遭って、どれだけ悪質な通信があるかをイラストでわかりやすく記載しています。下に行けば行くほど、攻撃の詳細が表示されています。

その下のタイムラインでは、複数のアラートを1つのタイムラインにまとめています。一連のインシデントで複数端末が感染した場合も、それぞれの端末が、どういったフローで感染したかを時系列でわかりやすく表示しています。

すべて日本語で対応していることも弊社の管理画面の特徴です。中には詳細な情報を英語で表記するソリューションもありますが、弊社はすべて日本語で対応し、いざという時も直観的に理解できるように工夫しています。

私たちのEDRは、MITRE社というアメリカの非常に透明性の高い第三者機関からも高い評価を受けています。MITRE社は毎年エンドポイントセキュリティを集めて評価を行っていますが、最新の結果では弊社が最も高いリアルタイム検知や分析能力を持つという評価を受けています。

ランサムウェア攻撃は休日に実施される割合が約90％

多くのお客さまに、この「Cybereason EDR」とセットでお使いいただいているのが、「Cybereason MDR SERVICE」という監視サービスです。最近のランサムウェア攻撃は、週末や休日に攻撃を仕掛ける傾向があります。私たちの調べでは、休日に攻撃を受けた組織が全体の89パーセントにも上っています。

監視が手薄になる休日に攻撃を仕掛けられ、初動が遅くなって、調査により多くの時間がかかっていることもわかっています。弊社のMDRは24時間365日監視しますので、休日もしっかり監視し、早い段階で攻撃の検知を行い、対処をすることができるようになっています。

弊社のMDRはこの常時監視が大きなメリットとなり、多くのお客さまに選ばれています。平時は弊社の専門家が監視を行いますので、お客さまは他の業務に当たることができるようになっています。

セキュリティアラートが出た場合、弊社の専門家が速やかに調査を行って推奨策をお客さまへ提示し、その推奨策にしたがって対応いただければよいかたちになっています。

下にお客さまの声を記載していますが、中にはわずか1名のセキュリティ要員で運用されているお客さまもいらっしゃって、弊社のEDRとMDRを活用することで、十分に運用ができるというお声もいただいています。

このような運用が可能な理由の1つが、弊社の専門家による推奨策の提示です。アラートが出ると通知メールを送信しますが、そこにどういったことをすればよいかという推奨策を記載しています。また、推奨策は管理画面にも記載しています。

ご質問がある場合は問い合わせをいただくと、弊社のアナリストが管理画面でどのように対処を進めればよいかをお客さまに寄り添って提示いたします。

ここまで、弊社の次世代アンチウイルスNGAVやEDR、MDRをご紹介しましたが、この3つのソリューションは「ISMAP」と呼ばれる政府情報システムのためのセキュリティ評価制度に登録しており、政府のセキュリティ要件をしっかり満たすサービスとして認定されています。

また、この3つのソリューションは国内のさまざまなエンドポイントセキュリティ・ランキングで5年連続ナンバーワンを獲得しています。

インシデント対応を自動化する新しいソリューション

もう1つご紹介したいのが、「XDR」と呼ばれる新しいソリューションです。これまでのインシデント対応は、エンドポイントは弊社のソリューションを活用することで運用できましたが、それ以外の領域はお客さまに実施いただいていました。

それが弊社のXDRを活用しますと、（スライド）左側の保護対象もすべて弊社で取り組めるようになります。

XDRを活用することで、ログ収集・精査・分析を自動化し、アラートが出た場合は弊社の専門家が速やかに分析を行い、お客さまへ推奨策を提示することで、お客さまの運用負荷を軽減できるようになります。

実際にどれだけ自動化できるかを、画面でお見せしたいと思います。こちらはXDRのダッシュボード画面ですが、注目していただきたいのは上の「イベントの総数」です。

約3,600万のアラートを集約した状態で、弊社のEDRだけでなく、外部のファイアウォール・ネットワーク製品なども含まれています。

そこから振る舞いや検知ロジックなどを活用して、収集したアラートから不審なものを洗い出します。最終的にエンドポイントだけではなく、ネットワークやクラウドのアラートをすべて相関解析して、1つの大きな攻撃ストーリーとして集約することができるようになります。

この画面では約3,600万のアラートを最終的に15の大きなインシデントに、自動で分析・可視化できるようになっています。

XDRは、先ほどご紹介したEDRに対するMDRのように監視サービスもご提供しています。エンドポイント、ワークスペースなどのSaaS、クラウド、ネットワークなどのログを弊社の解析サーバ上に集約して分析し、何かしらアラートが出た場合は、弊社の専門家が分析をして、管理者さまに推奨策を提示するサービスです。

インシデント発生時のポイントは「どれだけ初動を早くできるか」

ここからは、弊社の次世代アンチウイルスでランサムウェアを止めるデモをお見せします。

最初は、弊社の製品が入っていない状態でのランサムウェアの挙動です。右側の攻撃者の端末から左側の被害者端末に対して仕掛けます。

一般的には情報などを吸い取った後に、最終的にランサムウェアを実行しますので、左側の端末がすでに感染している状態から始めています。

初めにランサムウェアを左側の端末にアップロードして、ランサムウェアを実行します。注目していただきたいのは、ランサムウェアを実行するとWordファイルなどのOfficeのファイルのアイコンがこのように真っ白になります。

また、テキストファイルが生成されており、これが「ランサムノート」と呼ばれる脅迫文です。

このように、簡単にランサムウェアが実行されてしまいます。

次に、私たちの次世代アンチウイルスを入れた状態で、もう一度ランサムウェアを実行したいと思います。同じように、ランサムウェアのファイルを左側の被害者端末にアップロードして実行します。

コマンドを実行すると、瞬時に右下のポップアップが表示されて、弊社の次世代アンチウイルスでブロックしたことが確認されました。

いくつかのファイルは暗号化されていますが、弊社のファイル復元機能で復元できるようになっています。わかりやすくソートしますと、すべてのファイルが元通りになっていることがおわかりいただけるかと思います。

また、実際に復元したWordファイルを開いてみると、元通り開くことができるようになっています。

このように、次世代アンチウイルスEDR・MDRを活用することでセキュリティ対策の強化ができるようになります。

こちらが最後のスライドです。今回の講演では、インシデントが発生した際に「どれだけ初動を早くできるか」というポイントをご紹介しました。感染しても挽回できる仕組みをつくり、それを活用して素早いインシデント対応と報告ができる体制をつくる。

それに対応できるソリューションを、弊社サイバーリーズンはご提供しています。お客さまや取引先を考慮して、万が一インシデントが発生しても迷惑を掛けない、迷惑を最小限に抑えることができる仕組み・体制づくりを支援しておりますので、ぜひお声掛けいただければと思います。

以上で私の講演を終了いたします。ご清聴ありがとうございました。