ビジネス化するランサムウェア攻撃の実態
まず長谷川氏は、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威 2024」を紹介し、9年連続でランサムウェアが組織向け脅威の1位となっていることに触れた。
ランサムウェアに感染すると、端末がロックされたり、データが暗号化されたりして、復旧と引き換えに金銭を要求されたり、「窃取した情報を公開されたくなければ金銭を支払え」と二重脅迫されたりする。企業の重要情報が漏えいすれば社会的信用を失う恐れがあるが、脅迫に従えば経済的損失のリスクが高まってしまう。しかも、「金銭を支払ったからといって、必ずしもデータの復旧や情報の削除が行われるとは限りません」と長谷川氏は注意を促す。
ここで考えたいことが「攻撃者の目的」だ。よくある攻撃の1つは、機密情報や個人情報、クレジットカード情報などの「情報窃取」。もう1つは、DDoS攻撃やランサムウェアによる暗号化などの「業務妨害」である。ただ、それらはいずれも手段にすぎない。攻撃者の真の目的は、その先の「金銭窃取」だ。「彼らにとっては、これはビジネスなのです」と長谷川氏は強調する。当然、ビジネスであれば、あらゆる手段を使って成功させようとするだろう。そのため、「一度標的にされると被害を逃れるのが難しく、お金をかけてセキュリティ対策をしているような大企業でも被害に遭ってしまうのです」と述べた。
ここ数年、各省庁や業界団体からもセキュリティ対策に関する見解やガイドラインが発表されている。長谷川氏は、経済産業省の『サイバーセキュリティ経営ガイドラインVer.3.0』を例に挙げ、「サイバーインシデントによって業務が停止してしまった場合に備え、復旧に向けた手順書を策定することや、対応・体制の整備が重要だと書かれています」と説明。また、このガイドラインはBCP(事業継続計画)と連携させて復旧の目標計画を定めることや、サプライチェーンも含めた実践的な復旧対応の演習の実施も呼びかけている。
このほか、経済産業省や金融庁など複数の省庁が連名で発表した『現下の情勢を踏まえたサイバーセキュリティ対策の強化について』では、「リスク低減のための措置」「インシデントの早期検知」「インシデント発生時の適切な対処・回復」の3点の重要性が示されている。リスク低減の措置とは、マルウェア検知やパスワード変更などだ。ガイドラインを読み込むと、検知と復旧の重要性が強調されて書かれており、「インシデントに遭うこと自体はある程度避けられないという前提で作られている印象です」と長谷川氏は見解を示した。
現状のセキュリティ対策には何が足りていない?
セキュリティインシデントが発生した場合の対応を時系列で考えてみよう。まずサイバー攻撃の被害に気づいたら、システムの公開を停止する。このとき、攻撃の検知スピードが速いほど、被害の発生期間を短縮可能だ。また、復旧のためには、被害箇所を特定し、脆弱性を修復し、防御強化を施してシステムを復旧・再開する必要がある。この復旧の一連の流れにかかる期間も短ければ短いほど、ビジネスへの影響を最小化できる。
しかし、長谷川氏は「様々な事案の報告書を読むと、システムの完全復旧には少なくとも数週間から数ヵ月かかり、場合によっては長年続けてきたサービスを停止せざるを得ない状況に陥ってしまうこともあります」と完全復旧の難しさを語った。
なぜ、それなりにお金をかけて対策しているはずの企業も被害に遭い、実害が出て、ときにはサービス停止にまで追い込まれてしまうのだろうか。しかも、多くの企業はWAFやファイアウォール、IPS/IDS、EPP/EDRといったセキュリティ対策を講じているにも関わらず被害に遭っている。長谷川氏は「本来であれば防御できるはずなのに、突破されているということは、そもそも今のセキュリティ対策に問題があるのではないでしょうか」と疑問を投げかけた。
こうした原因の一つとして考えられる問題が、検知から復旧までに時間がかかりすぎていることだ。サイバー攻撃の被害が発生した場合、SOCや情報システム部門がそれを検知し、そこからサーバー管理者やアプリケーションベンダーなどに連絡して調査・復旧をしてもらうといった流れが一般的だ。長谷川氏は「全体として多くの時間とリソースを費やしているため、その間に実被害が発生したり、BCP(事業継続計画)にも大きな影響が及んでしまったりするのでしょう」と指摘する。
瞬間検知と瞬間復旧を実現するセキュリティ対策
このような課題に対する解決策として、長谷川氏が所属するデジタル・インフォメーション・テクノロジーでは、「WebARGUS」を提供している。これは瞬間検知と瞬間復旧のソフトウェアで、ランサムウェアなどのマルウェア、ゼロデイ攻撃、Webスキミングなどによる被害をリアルタイムで検知し、0.1秒未満で瞬間復旧することで、実害を限りなくゼロに近づけるソリューションだという。
従来のセキュリティ製品は、ハッシュ値による遮断など、外部からの攻撃をブロックすることに主眼を置いているが、WebARGUSは被害をトリガーにして動くことが特徴だ。長谷川氏は、「復旧機能を実装しているので、システムを止めることなく、原因調査や復旧作業に専念できます」と強調。被害に遭って初めてソリューションが動くため、サーバーの負荷も軽減できる。なおシステムは、サーバーにインストールするエージェントと管理用ソフトウェアから構成され、相互認証によりセキュアな管理が可能だ。
すぐに検知すべき4つの「被害」とは
WebARGUSが復旧できる「被害」は大きく4つに分けられる。1つ目は「編集」だ。文書や画像の改ざんやファイルの暗号化などがこれに当たる。2つ目は「削除」。ファイルやディレクトリ、ブラックリスト、設定リストなどが対象だ。Configファイルなどが削除され、不正アクセスにつながる例もある。3つ目は「追加」。ファイルやディレクトリの追加や新規作成のほか、マルウェアの侵入やバックドアプログラムの設置などを指す。4つ目は「プロパティの変更」。ファイルやディレクトリのユーザー、オーナー、パーミッションなどの変更により、公開すべきではないファイルが外部から見えるようになったり、実行権限を勝手に付与されてアプリケーションの不正操作につながったりすることがある。
WebARGUSは、Webサーバーなどのインターネット上に公開されているサーバーの防御はもちろん、Active Directory(AD)サーバーやファイルサーバーなどの非公開サーバーの防御にも導入可能だ。公開サーバーであれば、htmlやcssなどのコンテンツファイルや、PHP、Javaなどのプログラムファイルが監視対象となる。公開サーバー・非公開サーバー共通で守れる対象としては、各種設定ファイル(conf、hosts、iptablesなど)がある。「WebARGUSの導入により、root権限の取得、パスワード変更、ポート開放、新規ユーザー作成といったよくある攻撃に対する防御機能を備えたサーバーの構築が可能になります」と長谷川氏は説明した。
過去のインシデント事例から見える有効性
WebARGUSは2014年よりサービスを展開しており、金融、官公庁、通信・インフラ、サービスなど約400社、3,500以上のサーバーに導入されている。開発から販売、サポートまで一気通貫で行い、サポートは年間ライセンスに含まれるため、予算計画が立てやすい点も強みの一つだという。
その有効性は過去の事例からも確かめることができる。実際のセキュリティインシデントのうち、WebARGUSを導入していれば復旧できた事案は多いと長谷川氏。具体的には「JavaScriptが改ざんされてクレジットカード情報が漏れた」「ランサムウェアによって電子カルテと復旧バックアップデータが暗号化された」「設定ファイルが削除され、不正アクセスによってサイトが改ざんされた」「権限周りを変更されて重要な機密データが漏れてしまった」などの事例だ。いずれの事案も数万件のデータ流出や数ヵ月の業務停止など、企業に深刻な被害が出ている。
WebARGUSは「サイバーレジリエンス」を強化できることで、「ゼロトラストセキュリティ」思想とも一致する。長谷川氏は最後に、WebARGUSが「予期せぬ被害を即時復旧・無害化し、インシデント時におけるBCPの向上に有効な選択肢だ」と強調して、講演を締めくくった。
