2大脅威「Emotet」「ランサムウェア」手薄な拠点からの“ラテラルムーブメント”阻止に何が有効？

環境とサイバー攻撃の変化

　サイバー攻撃者は、常に効率を重視して攻撃を行う。もちろん、より高い金銭的効果を求めるため、環境の変化にも敏感だ。新型コロナウイルスのパンデミックは、そのような環境変化のまさに典型例とも言え、リモートワークへの移行によりユーザーが急増したことで、業務上不可欠となったVPNが狙われた。実際、サイバー攻撃者はすぐにVPN関連のソフトウェアの脆弱性を見つけ出し、攻撃を実施している。

　また、エンドポイントも引き続き狙われている。VPNの全社展開が遅れた企業では、やむを得ずインターネット経由で業務を行った。このとき、エンドポイントデバイスそのものが自社へのゲートウェイになるため、デバイス自身で守らなければならなくなる。増加する攻撃に対抗するため、「EDR（Endpoint Detection & Response）」のようなセキュリティ技術の人気が高まっているが、EDRは導入すれば終わりというわけではなく「SIEM（Security Information and Event Management）」でログを分析し、SOC（Security Operation Center）が対応する必要がある。

　近年の傾向をみると、グローバル企業のセキュリティ対策が手薄な海外拠点が狙われることが増えている。海外拠点にはセキュリティ担当者が配置されることが少ないケースもあり、システムの脆弱性を狙われて侵入されると「水平移動（ラテラルムーブメント）」によって日本の本社に侵入されている^[1]。また、海外拠点のシステムは現地業者に外部委託されているケースが多く、脆弱性への対応は契約外となっている上に、人為的なミスなどによって外部公開すべきでないサーバーが公開されてしまうケースも少なくない。

[1] 川崎重工業株式会社、株式会社カプコンなどで被害が報告されている