「ランサムウェア対策」セミナー ~Yahoo! JAPANリスク管理者、東大准教授、対策メーカーが一挙解説~|サイバーセキュリティ.com

  1. ホーム /
  2. セミナーレポート /
  3. 「ランサムウェア対策」セミナー ~Yahoo! JAPANリスク管理者、東大准教授、対策メーカーが一挙解説~
             

「ランサムウェア対策」セミナー ~Yahoo! JAPANリスク管理者、東大准教授、対策メーカーが一挙解説~



日々進化するサイバー攻撃への対策として、“最適なコストで包括的なソリューション”を推奨するベースラインAPT対策コンソーシアム(以下BAPT)が主催するセミナーに参加してきました。

近年大きな脅威となっている「ランサムウェア」に効果的な対策とは何か、レポートで詳しくご紹介します。

ベースラインAPT対策コンソーシアム(BAPT)とは

BAPT理事長/曽根禎行氏(ゾーホージャパン株式会社)

まず始めに主催であるBAPTの理事長曽根氏から、ランサムウェアの現状及びBAPTのご紹介が行われました。

ランサムウェアと言うと、ばら撒き型と連想しますが、サイバー攻撃は全体的にばら撒き型から標的型へシフトしてきており、この流れはランサムウェアにおいても例外ではありません。

大手企業はもちろん、中堅・中小企業においても万全な対策を講じるべきではありますが、費用や人員・ノウハウ不足から十分なセキュリティ対策が行えていない企業も多いというのが現状です。

そこでBAPTでは、この様な現状を打破すべく、コストパフォーマンスの高いソリューションを企業のニーズに応じて組み合わせワンストップで提供するという考えで活動しています。“包括的なセキュリティ対策を最適コストでの導入”を推奨することで、日本企業のセキュリティリスク低減を目指しています。

現在BAPTを構成している企業は8社。国内でも高いコストパフォーマンスを実現しているセキュリティベンダーが集まっているサイよー。

ランサムウェアに見るサイバー脅威の変容と組織における対策

第1セクションは、セキュリティに関する情報収集・分析・研究を始め、外部組織でのセキュリティ連携活動、各種講演、書籍・レポートの執筆等を行われている、東京大学情報学環セキュア情報化社会研究寄付講座、特任准教授の満永氏による基調講演です。

「ランサムウェア」を用いたサイバー攻撃により、世界各地で被害が出ている中、“組織としてどのように備えるべきか”という課題についてお話を伺いました。

セキュリティインシデントが増加している背景

東京大学情報学環セキュア情報化社会研究寄付講座特任准教授/満永拓邦氏

サイバー攻撃の被害は世界各地で発生し続けており、今後も増加し続けると見られていますが、その背景としては下記3つの要素が挙げられます。

  1. IT社会のインフラ化
  2. インターネットを取り巻く環境の変化
  3. 攻撃用インフラの整備

特に3に挙げた“攻撃用インフラの整備”に関しては、各種攻撃ツールが開発され、組織的に分業化された攻撃集団の存在も明らかとなっています。

また、コンピューターウィルスによる情報窃取は、攻撃者にとって捕まるリスクが低いこともあり、非常に費用対効果の高い手法です。利便性向上、業務の効率化など様々な恩恵を私たちの生活にもたらした“社会のIT化”は、攻撃者にとって犯罪を遂行しやすい“無法地帯”をも作り上げてしまったのです。

ランサムウェアの変容

以前のランサムウェアは感染した端末のファイル等を暗号化するものが主流でしたが、ここ数年は、端末を介し内部ネットワークに侵入し、システムやその他機器に影響を及ぼすものに変わってきています。

米国では実際に医療機関がランサムウェア攻撃を受け、ネットワーク経由で感染が拡大。一部の医療行為が提供できなくなったため、攻撃者の要求に応え金銭を支払う事例が発生しました。

2017年には「WannaCry」による被害が世界中で報告されましたが、「更新プログラムの適用」、「不要なプロセスの停止」、「不必要な通信の制限」といった“基本的なセキュリティ対策”が行われてさえいれば、感染拡大は防げたと考えられます。

攻撃を100%防ぐことは不可能、被害の“最小化”を目指す

サイバー攻撃の手口が巧妙化しつづける現状において、“全てのサイバー攻撃を防ぐ”ということは現実的に困難です。内部に侵入されないための事前対策だけではなく、「侵入された場合の被害の最小化」についても考える必要があります。

被害の最小化という観点から考えると、「入口対策」に特化した高度な製品を導入するだけでは十分ではありません。どんなに“高い壁”を築いたとしても、ランサムウェアや標的型攻撃のマルウェアははそれらを避けて侵入してくるのです。

侵入されることを想定しつつ、まずは基本的な対策を押さえておきましょう。

  • 業務上重要なシステム、ファイルを把握できているか
  • それらがサイバー攻撃の被害を受けたときの影響を把握できているか
  • 更新プログラムの適用、不要なプロセスの停止、不必要な通信の制限など、”地に足の着いた対策”が実施できているか
  • 感染時に原因把握や影響範囲の確認がスムーズに行えるようログの取得、活用はできているか
  • IDの使い回しや、古いアカウントの放置はないか

また、サイバー攻撃対策を行う上で、自社リソースのみで補うことは現実的に困難なこともあります。必要に応じて外部のサービスを積極的に活用することをおすすめします。

高価な製品を導入したからって、実際に使いこなせなければ意味ないサイね…まずは、“地に足の着いた”基本的な対策をすぐに行うサイよ!

ランサムウェア対策に有効な製品・サービスの紹介

次に、BAPTの構成メンバーである各企業の製品・サービス紹介が行われました。

ランサムウェア対策はウェブルートの「グレー判定」にお任せ

ウェブルート株式会社/濱田亨氏

ウェブルート株式会社製品・技術本部ソリューションアーキテクト濱田氏から、「Webroot SecureAnywhere Business エンドポイントプロテクション」のご紹介です。

ウェブルート社が出している脅威レポートによると、毎秒5個以上の「未知の脅威」が出現しており、2016年上半期に確認されたマルウェアの特徴としては97%以上がユニーク(1種類しかないもの)だったことが分かっています。

近年のサイバー攻撃は「ポリモーフィック型」と呼ばれ、ウィルスが“形を変えて”攻撃していく点が特徴です。ランサムウェアに関しても、亜種が次々と生まれており、対策が追い付かないまま世界中で被害が発生しているのです。

結果として、パターンマッチングに頼っている従来のアンチ・ウィルスソフトウェアは現代のサイバー攻撃に対し実質的に無力になりました。

しかしウェブルート社のWebroot SecureAnywhere Business エンドポイントプロテクションでは、未知のマルウェアに対し“グレー判定”を行うことで、最大限の防御を実現しています。グレー判定の機能により、安全か危険か判定できない未知のファイルに対し振舞い(行動)監視が行われ、怪しい振舞いが行われた時点でその改変が修復されるのです。

また、その他の特長としては下記が挙げられます。

  • 超高速(初回スキャンは数分以内)
  • 軽量(1MB程度)
  • サーバ投資が不要
  • 他セキュリティ製品と共存可能
  • 低スペックの端末においても使用可能
  • クラウド型管理コンソールで複数サイト、グループも一元管理

ファイル改変を修復するデモでは、自動ですぐに元の状態に戻してくれたサイよー!これがあれば未知のウィルスが侵入したとしても安心サイね。

終わりのないサイバー攻撃に終止符を!
パッチ管理ソフトDesktop Centralによるランサムウェア対策

ゾーホージャパン株式会社/大石貴昭氏

次は、ゾーホージャパン株式会社ManageEngine&WebNMS事業部技術部マネージャーの大石氏から、パッチ管理ソフト「Desktop Central」のご紹介です。

“脆弱性の無いシステムをつくることは可能か”…これは、サイバー攻撃を恐れるユーザー側としてはもっともの意見ですが、「未知の脆弱性」に関しては現実問題難しいと考えられています。

脆弱性対策情報データベースによると、2017年に公表された脆弱性は1日あたり約25件であり、例年に比べ増加傾向にあります。ビジネスの手法が多様化している現代では、注意すべき脆弱性も多様化しているのです。

この様な状況において、セキュリティ対策の基本として「ソフトウェアの更新」は不可欠ですが、組織内全ての端末で最新バージョンが適用されているかの確認ができていないところも見受けられます。そこで、パッチ管理ソフトウェアの使用が有効的です。

パッチ管理ソフトウェアに求められる要素としては下記5項目が挙げられます。

  • 欠落パッチの特定
  • テスト、配布(組織の運用に合わせてテスト期間を設けられる)
  • 自動配布
  • スケジュール設定(部署、グループ毎の設定)
  • レガシーアプリケーションの除外

ゾーホージャパンが提供する「Desktop Central」のパッチ管理では、Windows・Mac・Linux・サードパーティーパッチの一元管理が可能です。パッチクローラー(ベンダー発表のパッチ情報を収集・保管するデータベース)が情報を収集した上で、アセスメントチームが実際に確認することにより問題発生を防いでおり、精度の高いソリューションといえるでしょう。

パッチ管理ソフトウェアを活用すれば、工数を削減してセキュリティ対策ができるサイねー。まずは基本的な対策が大事サイよ!

攻撃者の視点で読み解くランサムウェア
〜ランサムウェアが生まれて感染するまでの経緯から、対応の仕組みを考える〜

ニュートン・コンサルティング株式会社/石井佑樹氏

次は、ニュートン・コンサルティング株式会社の石井氏より、ランサムウェアの入手方法から、実際に感染させるまでの経緯についてお話を伺いました。

攻撃者が実際に使用しているランサムウェアの多くは「ダークウェブ」で手に入れることが可能です。

ダークウェブには、Googleを模した検索サイトが存在しており、非合法な情報やサービスが多数掲載されています。利用者は、Torブラウザ等を使用し匿名でアクセスが可能ですし、支払いもビットコインで完了するため、捕まる可能性が低く“犯罪の温床”となっているのです。

ランサムウェア制作ツールはダークウェブの中でも近年急激に数を増やしており、ツール内で題名や本文、支払金額等を入力し、送信方法を選択するだけで攻撃が可能なものが登場してきています。

この様な現状において“攻撃を絶対に防ぐ”ということは不可能です。「NO MORE RANSOM」など“復号化ツール”掲載サイトも出てきてはいますが、最も大切なことは“感染した場合の対応を具体的に考えておくこと”です。

ニュートン・コンサルティング株式会社では、サイバーセキュリティ支援サービスとして下記3種を提供しています。

  1. サイバー態勢強化支援
  2. サイバー演習・訓練支援
  3. サイバーレジリエンス評価支援

組織の状況に応じ、“どのような対策が必要なのか”をコンサルしてもらうことで、無駄のない現実的なセキュリティ対策が実現可能です。

ランサムウェア制作ツールを用いた攻撃のデモにはびっくりしたサイよー!こんなに簡単に出来て、しかも捕まりにくいのであれば、攻撃者は増える一方サイね… 対策フローは今すぐに作るべきサイねー!

 脅威の防御からレスポンスまでお任せ。
安心のトータルセキュリティソリューション

ウォッチガード・テクノロジー・ジャパン株式会社/正岡剛氏

製品・サービス紹介の最後は、ウォッチガード・テクノロジー・ジャパン株式会社 システムエンジニア部プリセールスエンジニアの正岡氏によるお話です。

ウォッチガード社が2016年に出した「2017年セキュリティ予測」では、ランサムウェアワームの登場による感染被害が拡散が第1位となっていました。また、2017年第1四半期のレポートでは、マルウェア攻撃の38%がゼロデイだったことも分かっており、防御の難しさが課題となっています。

この様な現状に対し、ウォッチガード社では、“オールインワン”のUTMネットワークセキュリティ製品を展開しています。複数のセキュリティベンダーと協業することで、「多層防御」をシンプルに実現しているのです。

  1. 入口対策
    ・アプリケーション制御(トレンドマイクロ)
    ・ゲートウェイアンチウィルス(AVG)
    ・迷惑メール対策(CYREN)
    ・標的型攻撃対策サンドボックス(LastLine)
  2. 内部対策
    ・エンドポイント脅威対策(ウォッチガード)
  3. 出口対策
    ・レピュテーションセキュリティ&Botnet Detection(カスペルスキー)
    ・Webフィルタリング(FORCEPOINT)

上記の通り、多彩なエンジンを搭載することで、各ステージでランサムウェアの攻撃を防御する仕組みとなっています。

Lastline社のAPTブロッカーは誤検知ゼロを実現しているらしいサイよ。各ソリューションの強みを合わせることで、“安心”の多層防御サイね!

リスクマネジメントからのランサムウェア対策

ヤフー株式会社/高元伸氏

最後は、ヤフー株式会社リスクマネジメント部プリンシパルの高氏による特別講演です。

サイバー攻撃の発生防止や技術的対策に留まらず、企業として取り組むべき“視点”について「経営」と「リスク管理」の観点からお話を伺いました。

ランサムウェアによる“二次被害”が深刻

ランサムウェア攻撃により企業が被る被害は、“データ・システムが使用できなくなる”ということだけではありません。

  • 対応に追われ、本来の業務が滞る
  • データを回復するために費用が掛かる
  • 感染したことにより社会的信頼の失墜
  • 反社会的勢力に金銭を支払ったという責任問題

データ・システムがロックされたという事象以上に、それに伴う“二次被害”が深刻なのです。影響を受けているものは何か、金銭の支払い以外に代替案があるか、要求を呑むことによる企業のダメージはどの程度かを総合的に見極め、選択する必要があります。

事業を継続するための決断が迫られている

大抵のランサムウェアでは、支払いのタイムリミットが決められており、短い時間の中で事業が継続していけるための決断を行わなければなりません。攻撃を受けた際の対応方針を定めておくことはもちろん、現場の末端であっても方針に沿った行動がとれるよう周知しておくことが大切です。

そして、事業継続のために失ってはならないものは金銭(利益)ではなく、“信頼”です。対応次第では、社会的信頼を失い倒産する可能性もあるということを忘れてはいけません。

被害最小化のための“ダメージコントロール”

リスク対策としては「早期検知」と「拡散防止」が重要であり、セキュリティベンダー各社がツールを出していますので、適切な場所に設置することを心がけましょう。そして、被害の最小化においては“ダメージコントロール”が有効です。最も重要な情報をどう守るかを考え、対応パターンを複数用意しておくことで、攻撃による影響を“減らす”ことができます。

そもそも、ランサムウェアはセキュリティリスクの“一部”であり、必要以上に恐れることはありません。企業としての強いポリシーを持ち、それを周知させることで、攻撃を無効化することは十分可能なのです。

“インシデントが起きたからといって企業が潰れることはないけど、その対応を誤れば潰れる可能性はある”ということサイねー。とても勉強になったサイよ。

セミナーに参加して

今回のセミナーに参加して、

  • ランサムウェアを始めとするサイバー攻撃は無くなることは無いし、今後も増加する!
  • 100%の防御は不可能!
  • 大切なのは“被害の最小化”!

ということが分かったサイよ。

セキュリティ対策に悩む企業の皆様は、ぜひBAPTに所属している各ベンダーの製品・サービスから検討してみてはいかがでしょうか。

団体概要

団体名 ベースラインAPT対策コンソーシアム
Baseline APT-Solution Consortium(BAPT)
構成メンバー
  • ニュートンコンサルティング株式会社(セキュリティコンサルティング)
  • 株式会社フェス(ソリューション全体の提案及びSI)
  • ベル・データ株式会社(製品の提案及びSI)
  • ウォッチガード・テクノロジー・ジャパン株式会社
  • サイバーソリューションズ株式会社
  • 株式会社PFU
  • ウェブルート株式会社
  • ゾーホージャパン株式会社(ベースラインAPT対策コンソーシアム事務局)

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。