最新の攻撃事例から考える テレワークを前提としたエンドポイントセキュリティ

巧妙化するサイバー攻撃は点でなく面で捉えるべき

　現在、企業を標的にした攻撃が行われており、数年前からランサムウェアの被害が拡大している。菊川氏は、その被害の事例として2020年6月に起きた、本田技研工業（以下、ホンダ）が受けた攻撃を紹介した。

　この攻撃により、ホンダでは社内でのシステム障害が発生し、工場での生産も停止した。他にもカスタマーサービスや金融サービスにも影響を及ぼし、在宅勤務者のパソコンにも被害があった。この障害は、ランサムウェア「Snake (別名Ekans) 」による攻撃の可能性が指摘されている。

　ランサムウェアは、システム内のプロセスの停止、ファイルを暗号化してロックし使用不可能の状態にし、身代金を要求する攻撃。今回のホンダの被害では、ホンダの内部ドメイン（mds.honda[.]com）の名前解決を行い、ランサムウェアがホンダの環境内で実行できていることを確認してから暗号化を行う手口となっていた。何らかの方法で社内のネットワークに侵入して端末上のファイアウォール設定を変更し、拡散されていったと推測されている。

　菊川氏はこのほか、2020年に目立つようになった新型コロナウイルスを題材としたフィッシングメール「Emotet」の例も挙げた。誰もが注目する新型コロナウイルスに関する情報を装った攻撃だ。メールの内容は不審と判断できる不自然さはなく、悪意のあるマクロが仕組まれたWord文書が添付されている。メールは巧妙で、たとえば取引先とのメールのやり取りの内容を装ったものも登場しているという。

　この背景には、近年目立ってきた「サプライチェーン攻撃」があると菊川氏は指摘する。これは、標的の企業を直接攻撃するのではなく、よりセキュリティが手薄な取引先を狙うものだ。侵入が成功するとそこから標的企業とやりとりするメール情報を盗み取り、その返信を装って標的企業にマルウェアを送りつける。

　IPAが公表した「情報セキュリティ10大脅威 2020」でも、サプライチェーンの弱点を悪用した攻撃が4位となっている。

　このように、標的型攻撃は場当たり的なものではなく、周到な準備をしていることが分かる。これまでのサイバーセキュリティ対策は、初期侵入や初期感染の検知を優先していたが、ひとたび侵入・感染が起きてしまった後の攻撃を見つけにくくなっている。菊川氏は、標的型攻撃にはストーリーがあるため、個々の攻撃感知という「点」ではなく、全体像を把握できるよう「面」でとらえる仕組みが必要だと述べた。