すべての組織が狙われ、必ず攻撃・侵入は成功する
冒頭で増田氏は2017年日本における主な情報漏洩について紹介し、それが氷山の一角であることを強調する。発表されたものは何らかの情報漏えいが判明したもののみであり、不正アクセスされたことは気づけても何が盗られたか分からない侵害や、個人情報以外の情報窃取などは発表されない。
さらにランサムウェアや破壊型攻撃による被害だとわかっているもの、それにすら気づけていない侵害もあり、常に見えない脅威にさらされているということだ。実際サイバーリーズンで、ある企業を対象に調査を行なったところ、遠隔操作ウイルスRATが入れられていたり、バックドアが作られていたり、次の被害にあうように仕掛けられていることが多いという。
サイバーリーズン・ジャパン株式会社 エバンジェリスト 増田 幸美氏
昨年1年間の傾向としては、まず破壊型のものから始まっているのが特徴だ。2017年年初には「Shamoon」と名付けられたサウジアラビアの重要インフラの破壊型攻撃で1週間工場が動かなかったということに始まり、ブラックアウトを狙った送電企業への攻撃やNotpetyaによる破壊型攻撃なども見受けられた。四半期のみで300億円の売上損失を計上したケースもあり、被害は甚大だ。
増田氏は「こうした事態は2つの事件に起因する」と語り、2つの事件を紹介した。まず1つ目は米国の国益を守るために動いていたNSA(アメリカ国家安全保障局)のハッキング部門がハッキングされ、ゼロデイも含まれる攻撃用ツールが盗まれたこと。そして2つめは、CIA(米国中央情報局)のサイバー・インテリジェンス・センターからも同様にハッキングツールが盗まれたことだ。盗み出されたソースコードは、誰でもに見に行けるGitHubなどで公開されており、組織犯罪やテロリストはもちろんいたずら目的の子どもまでコピー&ペーストでサイバー攻撃を仕掛けることができるようになった。さらに厄介なのは、GitHubでこのツールを呼び出して、メモリ上だけで動かそうとすると、ファイルとしてハードディスクに残らないため、PCをシャットダウンすれば証拠を残さないまま攻撃を進めることができる。
出所:「Security Online Day 2018」サイバーリーズン・ジャパン株式会社講演資料より[画像クリックで拡大表示]
実際に増田氏が関わった顧客の事案を見ても、NSAとCIAから流出したものが使われている事が多いという。「狙われる資産があって、攻撃者がいて、そこに脆弱性さえあれば、必ず攻撃・侵入は行われる」と言い切る。実際、世界最高レベルのセキュリティで守られていたNSAからもデータが盗み出されているのだ。
侵入されることを前提にエンドポイントで被害拡大を食い止める
現在、企業では様々なセキュリティツールがあり、対策が取られている。しかし、国家レベルでのハッキングツールが流通する中で、鉄板だったセキュリティ対策にも変化が現れているという。
たとえばSSL通信httpsはもともとセキュリティレベルを上げるものだったが、標的型攻撃で狙われるセキュリティホールとなっている。さらに、メールに文書を添付する際に、圧縮してzipファイルで送ることが多いが、検査するためにzipの暗号化パスワードを解除できないとメールの遅延が起こるため、そのままノーチェックで受信されてしまう。そこもまた抜け穴といえるだろう。また働き方改革で外に出て働く端末などはVPNから離脱することもあり、エンドポイント自体をしっかり守るEDR(Endpoint Detection and Response)が注目されている。
「なぜ100%防げないのか」その問いに対し、増田氏は3つ理由があると解説する。まず1つ目は、標的を研究し尽くしたテイラーメードの攻撃手法であること。いつもメールのやり取りをしている人から、いつもと同じ表題でメールが届けば、開いてチェックするのは当然だろう。また2017年11月に日本であった攻撃として、特定のドメインの人が訪れた時だけ、悪いコードを落とすという仕組みになっているサイトまである。
またWindows 10では利便性を高めるためにPowerShellなどスクリプトが入っているが、ここに攻撃の命令を投げ込みさえすれば、コードが動いて悪さをするという流れになっている。いわゆる「ファイルレスの攻撃」は従来のセキュリティシステムでは検知が難しい。
増田氏は「侵入を防ぐ対策としては大変難しいところに来ている。そこで、攻撃を100%防げないことを前提に、侵入後の侵害の拡大防止と監視強化を目的とした対策を考える必要がある」と語る。そしてさらに「投資対効果はあるのか、本当に使えるソリューションなのかが重要」と語り、Cybereasonのソリューションを提案した。
出所:「Security Online Day 2018」、サイバーリーズン・ジャパン株式会社講演資料より[画像クリックで拡大表示]
Cybereasonを使うユーザー企業が行うことは主に2つ。まず1つ目はセンサーを各端末にインストール/アップグレードすることだ。インストールしたセンサーからエンドポイントの振る舞いのメタデータが収集され、お客様専用に構築するCybereasonの解析サーバーに送信されるという仕組みだ。解析サーバーは、既知の攻撃については、脅威インテリジェンスに突き合わせ、合致すれば即座にアラートを発する。そうでない未知の攻撃については、収集したビッグデータを機械学習と行動分析アルゴリズムを用いて相関分析を行ない、未知の脅威を特定・検知する。
すると、マネージドセキュリティサービスの担当者が遠隔から監視しており、解析・リスク判断まで行ない、緊急の場合には電話で即座に知らせるという流れだ。
そして、ユーザー企業が行う作業の2つ目が「資産の判断」である。セキュリティを優先できる場合は、端末隔離を行いしっかり根絶から始める。業務を優先しなければならない場合は、端末隔離は行わず悪いプロセスだけをピンポイントで潰す。サイバーリーズンのアナリストが脅威を解析し、資産の判断と実際の対応をユーザー企業に行うという連携によって、時間・品質・コストにおいて投資対効果の高いソリューションになるというわけだ。
攻撃の進行状況を可視化し、遠隔から端末隔離も可能
ここで増田氏はCybereasonのデモンストレーションを実施。攻撃の進行状況が直感的に可視化できるようになっており、攻撃フェーズごとの感染状況や感染規模がひと目でわかる。たとえば、右に行けば行くほど攻撃フェーズが進んでいることになり、感染規模は円の大きさ、感染時間は色で識別できるようになっている。
「これまでは防御までがメインで、侵入したあとは状況がつかめなかった。しかし、Cybereasonであれば侵入後の様子もトレースできる。なるべく右の方にある明るく大きい丸から対応することが望ましいなど、対処の優先順位が明らかに示される」と増田氏は説明する。またプロセスや端末などをクリックするとドリルダウンして詳細を調べていくことも可能だ。
対応が必要という端末がわかれば、つないだままプロセスを潰すか、端末を 隔離するかを判断し、遠隔から操作が可能だ。一度隔離してしまえば、あとはゆっくりと原因特定やその後の対応に当たればいい。そして、ファイルを削除するなど対応すれば、再び遠隔操作で端末をネットワークに復帰させていけばよい。もし検体を分析し、リバースエンジニアリングして攻撃者の意図を探ろうということであれば、管理コンソール上から安全な形で検体を取り出すことも可能だ。また一連の対応についてはレポートとして取り出すことができ、インシデントレスポンスの報告義務についても効率化されている。その後、増田氏は攻撃が進行する状況を想定し、段階ごとの対応をデモンストレーションしてみせた。
攻撃の進行状況を可視化し、遠隔から端末隔離も可能
増田氏に続いて登壇したのは、Cybereasonを実際に導入し、活用しているSCSK株式会社の有田 昇氏。Cybereasonの導入プロジェクトでアドバイザとして参画した。
SCSK株式会社 プラットフォームソリューション事業部門 事業推進グループ 有田 昇氏
まずCybereasonをなぜ導入したのか。SCSKはシステム開発や運用など、ITサービスを提供しており、顧客のシステムを預かるIT企業として、多層防御やSOCチームによる監視運用等を実施してきた。
しかし、セキュリティ対策に関する課題認識が高まってきたという。まず、「侵入・感染の完全な防御は困難」であること。働き方改革などによって社外でのパソコン利用が進み、そこに対するセキュリティが手薄であることに不安を感じていた上に、そもそも多層防御で固めているものの、すり抜け利用者へ攻撃が届く可能性があった。また「脅威検知後の対応に多大な労力と時間を要し、PC/サーバの状態や影響範囲の把握、原因の調査に時間がかかり、作業負荷も重いことが問題視された。
そこで、『脅威の侵入・感染は、完全には避けられない』 という前提に立ち、攻撃を成立させない、または被害を最小化することを目的として、課題を解決するためのソリューション選びを開始した。SCSKが重視したのは、「未知の脅威を検知する能力向上」「スムーズな初動対応とフォレンジック能力向上」「IT環境への負荷は極小、既存環境への干渉なし」「容易な導入展開、負担感のない運用」の4点。情報システム部署のPC・サーバ130台へ導入し、1ケ月間業務利用して評価・検証を行なったという。いずれも要件に達し、導入を決めることとなる。
出所:「Security Online Day 2018」、SCSK株式会社講演資料より[画像クリックで拡大表示]
導入においてはPCから自動・手動導入を開始し、次にサーバに対して順次手動導入を実施していった。第一週目で1万台を完了させ、1ヶ月間でほぼ全てに導入が完了する。「きれいに立ち上げられた」と有田氏は評価する。
最後にCybereasonを導入したことについて、有田氏は「脅威侵入を検知する能力と、攻撃を成立させないための対応能力が向上したこと」「脅威検知後の初期対応の迅速性向上と、解決までの労力および時間の大幅削減」を挙げる。特に「Cybereason社のMSSからリスク内容や対策についてかなり具体的な連絡があり、迅速に対処を実施できた」と高く評価した。
有田氏が実際に検知した例をいろいろと紹介し、幸い全ての攻撃を成立させずに済んだという。有田氏は最後にネットワークセキュリティの選定について「検討する上で機能はさることながら、使いこなせるかどうかは重要。Cybereasonは大変使いやすく、良い投資をしたように思う」と語り、講演を終えた。
