WannaCry対応の現場で見られた誤解
基調講演に登壇した三輪氏は、セキュリティベンダー大手ラックの代表取締役社長を経て、S&Jを設立。現在、総務省最高情報セキュリティアドバイザーや自治体情報セキュリティ対策検討チーム委員なども兼務する、情報セキュリティの第一人者だ。三輪氏はまず、2017年5月に発生して世界的に大きな被害をもたらした「WannaCry」の騒動について振り返った。
「爆発的に感染が広がったことで混乱が生じていた影響もありますが、現場での感染防止の対策や感染後の対処には誤解も多かったように思います」(三輪氏)
S&J株式会社 代表取締役社長の三輪 信雄氏
誤解の1つは、「パッチ適用」が最善の対策と考えられていたことだという。WannaCryは身代金要求型の「ランサムウェア」であるとともに自己増殖型の「ワーム」であり、Windowsのファイル共有プロトコルSMB v1の脆弱性を利用して感染する。マイクロソフトでは、該当の脆弱性に対するパッチを提供(WannaCryの感染被害が報告される約2か月前にセキュリティアップデートとして公開済み)しており、それを適用すればWannaCryへの感染は防ぐことができる。しかし、SMB v1に関する脆弱性は、これまで概ね年に2回ほど見つかっている。つまり、今後も繰り返し同様のパッチ適用が求められる可能性が非常に高い。
では、どんな対策が有効なのか。三輪氏によれば「SMB v1を無効化すること」だという。SMB v1は30年以上前に開発されたプロトコルで、そもそもマイクロソフトは使用しないように呼びかけている。それならば、SMB v1を無効化したほうがパッチ適用よりもよほど安全かつ、恒久的な対策になるというわけだ。
また、これはWannaCryに限った話ではないが、このようなワームの感染被害に遭った現場ではセキュリティ担当者も慌てており、「とにかく駆除」という発想で場当たり的に対処してしまうケースが多いようだ。三輪氏が呼ばれるのは、だいたい現場がパニックに陥ったあとなので、駆け付けたときには対象の端末がすでに再構築やリフレッシュされていたこともあったという。そのような状態では当然、検体を見つけて取り出すことはできず、検体に応じたワクチンも作れない。
WannaCryのようなワーム感染後の対処では、どこまで感染が広がっているのか状況を把握したり、どこから感染したのか経路を調査したりと、「駆除」だけに目を向けるのではなく、並行してさまざまな作業を進める必要がある。
「そのためにも、インシデントの早期検知と分析のための環境としてSIEMが必要です。それがないと、対策がどんどん後手に回って被害が拡大してしまうこともありえます」(三輪氏)
出所:S&J株式会社 代表取締役社長 三輪信雄氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
