侵入後、横展開が始まるまでは“わずか84分”
最初に沼田氏はサイバー攻撃の現状に触れた。
ランサムウェアに限って見ても、警察庁に報告されたものだけでも2020年下半期は21件だったのが2022年上半期には114件となるなど、件数は右肩上がりで増加している。
件数の増加だけではない。ランサムウェア攻撃は高度化し、複雑化している。沼田氏は「84分」というCrowdStrikeが出した数字を紹介した。最初に侵入してから端末を侵害し、周囲を偵察して他の端末に移る“ラテラルムーブメント”を行うまでの時間だ。「横展開が行われているということは、権限昇格なども行われてかなり危険な状態になっている」と沼田氏。わずか84分で高い脅威レベルになっていると言えそうだ。
これに加え、夜間や休日など業務時間外に攻撃されるインシデントの比率が増えているというデータも紹介する。「もはやセキュリティ製品の監視は、業務の片手間でできるものではない。24時間365日体制のSOCによる監視が必須と言える」(沼田氏)。
ランサムウェア対策は「EDRだけでは不十分」
では、最近のランサムウェア攻撃はどのようになっているのか。沼田氏はランサムウェア攻撃の流れを説明した。
まず傾向として「様々な入口から侵入を行い、ネットワークの深くまで侵入して環境内をしっかり偵察する。そのため、インパクトが大きい重要なサーバーが被害に遭っている」と説明する。
流れとしては、メールや外部に公開されたVPNなどの脆弱性を利用して「侵入」し、最初に侵害した端末で探索ツールなどを使って内部を「探索」、侵害した端末を継続的に利用できるように「永続化」する。さらに、再度重要サーバーなど、さらなる足場を求めて、侵害範囲を広げる活動を行う(「再探索」)。ここが「ブレイクアウトタイム」となり、先述のように84分となる。
その後はファイルサーバーなどから情報を盗み出し、外部にアップロードするなどのことを行う(「情報搾取」)。そうした後、最後にサーバーを暗号化したり、バックアップの破壊活動を行う(「目的実行」)。
そのようなランサムウェア攻撃に対応するためには、どのようなセキュリティ製品の監視が必要なのか。沼田氏は以下の「各セキュリティ製品の監視範囲」を用いて、EDR(Endpoint Detection and Response)やIPS(不正侵入防止システム)、NDR(Network Detection and Response)からProxyやAD(Active Directory)などのネットワークや認証関連の対象を説明した。
つまり、6ステップすべてをカバーするためにはエンドポイントのみならず、ネットワークや、認証系などの情報も監視する必要がある、と沼田氏はまとめる。
