全3377文字
PR

 ランサムウエア対策において、外部に公開する機器などのリスクに手を打てたら、次は社内のリスクを「見える化」したい。犯罪者集団に不正侵入されても、攻撃を拡大する隙を与えず、早期に検知できる環境を整えておけば、事業が止まるほどの被害は防げるからだ。

関連記事 己を知る「脅威インテリジェンス」でランサムウエア攻撃を防ぐ、竹中工務店の活用法

 ランサムウエアを使う犯罪者集団は標的企業の社内ネットワークに不正侵入した後、直ちにデータを暗号化してくるわけではない。トレンドマイクロの釜池聡太ビジネスソリューション部プロダクト&ソリューションマーケティンググループシニアプロダクトマーケティングマネージャーによれば、以下のような手順をたどるケースが多い。

 まず、犯罪者は侵入した端末のマルウエア(悪意のあるプログラム)対策ソフトを無効化する。次に、遠隔から感染端末に指示を出す「C&Cサーバー」と侵入した端末との通信を確立したうえで、侵入当初よりも強力な権限を得るためにディレクトリーサーバーなどに侵入し、システム管理者といった強い権限の認証情報を盗む。首尾よく盗めたら、ネットワーク内部を探索し、機密性の高いデータを持つと思われる標的の端末に侵入を横展開する。データを盗んだ後、仕上げにランサムウエアを実行する――。

 一連の手順から、社内システムに講じるべきランサムウエア対策が2つ見えてくる。1つは、事業を脅かす重要なシステムに横展開を許す「隙」をつくらないこと。もう1つは、犯罪者が端末に侵入してから標的となる端末のデータを暗号化するまでの間に、その不審な挙動を検出し、迅速に対処することだ。それぞれ先進企業の事例を見ていこう。

パッチ適用漏れ端末や管理外の端末を撲滅

 前者の隙をつくらない対策を展開するのが業務用ポンプ大手の荏原だ。同社は2021年9~12月にかけて、国内外の約1万6000台の端末に米セキュリティー企業Tanium(タニウム)のツールを導入し、「健康診断」を始めた。

荏原は「不健康」な社内端末を可視化して適切な対策を講じる
荏原は「不健康」な社内端末を可視化して適切な対策を講じる
(画像提供:荏原)
[画像のクリックで拡大表示]

 具体的には、パソコンなどの端末に組み込んだエージェントと社内ネットワークに設置した専用装置を通じ、端末に関する情報を収集する。Windowsの脆弱性を修正するプログラム(パッチ)を適用していない端末や、IT部門が管理していない従業員の私物端末などを見つけ出す。各種パッチを端末に配布し、その適用状況を可視化する機能も活用している。

 端末管理とパッチ管理だけかと思うのは早計だ。パッチ未適用という「不健康」な端末は、不正侵入した犯罪者からすれば格好の餌食である。残った脆弱性を突いてマルウエアを感染させて端末を乗っ取れば、内部探索や横展開をする踏み台として悪用しやすいからだ。裏を返せば、不健康な端末を一掃している場合は隙が少なく、犯罪者が攻撃活動を広げにくい。

 荏原の一連の取り組みは、手洗いやうがいで感染症を予防する行為になぞらえて「サイバーハイジーン(サイバー衛生)」などと呼ばれる。

海外拠点のランサム被害で対策が加速

 グローバル企業である荏原は以前、端末の健康管理に頭を悩ませていた。Windowsのパッチを社内に配布するサーバー「Windows Server Update Services(WSUS)」を導入していたが、パッチが実際に適用されたかを把握しにくかった。

 特に懸念していたのが、世界100カ所あまりにある海外拠点だ。「どんな端末があるのか、パッチを適用しているかなどはヒアリングで確認していた」と情報通信統括部の千葉一機ITアーキテクト部長は当時の手間を振り返る。ERP(統合基幹業務システム)を全社規模で統合する方針を打ち出した2019年ごろから、並行してセキュリティー対策を強化する検討を始めた。

 ところが、新たに導入する仕組みの優先順位などを検討していた2021年2月、北米のグループ会社がランサムウエア攻撃の被害に遭った。幸い取引先まで被害が及ぶことなくシステムを復旧できたものの、社内の情報が外部に一部流出するなど、事業に支障を来しかねない影響を受けた。