クラウド環境で起きたランサムウェア被害実例
これからランサムウェア動向で最も注意すべきは「クラウド環境を狙ったもの」と岡本氏は警鐘を鳴らす。ここからは、実際のクラウド環境におけるランサムウェア感染事例を3件見ていこう。
感染事例1
情報通信業の企業で、従業員規模はグループ会社を含めて1千人以上、クラウド上で社内システムを運用していた。メンテナンスでサーバーのRDPポートを一時的に緩めたところ(ここまでは正規の作業)、閉めるのを忘れたまま運用していため攻撃者が侵入に成功してしまった。攻撃者はクラウド上のシステムにランサムウェアを展開し、結果として業務サーバー群が攻撃を受け、業務が一部停止となった。
感染事例2
同じく情報通信業、従業員規模は1千名以上、クラウド上で社内システムを運用していた。クラウドのファイルサーバーは本来であれば公開範囲を限定していたところ、設定ミスで公開状態にあり、侵入を許してしまった。そこから攻撃者は情報を収集し、オンプレミスにある社内システムにもログインできるようになり、結果としてオンプレミスの業務サーバーが攻撃を受けて業務停止に追いやられた。
感染事例3
小売業、従業員規模は500名以上、クラウド上で社内システムを運用していた。社内向けのサーバーなので本来であれば外部からアクセスできないはずが、なぜか外部IPを設定して公開状態となっており、侵入を許してしまった。そこから攻撃者はRDPで業務サーバー群に接続してツールを入手するといった過程を経て業務サーバーを攻撃し、結果として業務が一部停止となってしまった。
こうしたクラウド環境を狙うランサムウェアの攻撃はこれからも増えていくと想像できる。そこで対策のポイントとなるのが「防御」と「検知」の両立だ。岡本氏は「ランサムウェアというとどうしても防御に目が向きがちですが、同じくらい重要なのがなるべく早く攻撃に対処するための検知の仕組み作りです。どちらかだけではなく、両立が重要です」と強調する。
防御のポイントは「多層防御」だ。最新のランサムウェアでは複数の攻撃ステップがあるため、複数の防御策を重ねることで脅威を低減させていくことができる。検知のポイントはEDR/XDR。各種ログを分析すれば検知につなげられるものの、手動では厳しい。様々なデータを迅速に収集し、関連付けて脅威を検知できるEDR/XDRの活用が有効になる。
なおEDRとXDRの違いはデータを収集する範囲となる。EDRはエンドポイントが中心となり、XDRはエンドポイントのほかにもメール、サーバー、クラウドワークロード、ネットワークも担当領域とする。どちらも不審な挙動を検知して、迅速な対応ができるように支援するソリューションとなる。
