日本の企業や組織を狙うサイバー攻撃が苛烈さを増している。情報通信研究機構(NICT)の大規模サイバー攻撃観測網「NICTER」の観測によると、サイバー攻撃関連通信数は2021年で約5180億パケットと、3年前と比べて2.4倍に増えた。警察庁が2022年9月に発表した調査では、ファイルを暗号化して身代金を要求する「ランサムウエア」の被害件数が2022年上期で114件に達し、前年同期比で2倍近くに急増した。
事業を脅かすような深刻な被害も増えている。2022年2月末にトヨタ自動車の主要取引先がランサムウエア攻撃を受け、トヨタも翌月から国内全工場の稼働を一時停止したことは、多くの企業に衝撃を与えた。同年10月には生活協同組合のならコープがランサムウエア攻撃の被害に遭い、システム障害から復旧まで実に2カ月超を要した。同月にランサムウエア攻撃を受けた大阪急性期・総合医療センターも、外来診療の全面再開まで2カ月超かかっている。
境界型防御とウイルス対策だけでは限界
被害拡大の一因はサイバー攻撃の高度化だ。企業のセキュリティー対策はこれまで、ファイアウオールなどのセキュリティー機器で企業ネットワークの内側への侵入を防ぐ「境界型防御」と呼ばれる対策が主流だった。パソコンなどは基本的に、ウイルスの侵入を防ぐウイルス対策ソフトウエアで守ってきた。
だが現代のサイバー攻撃はウイルス対策ソフトをすり抜けて攻撃を隠蔽する手口が一段と巧みになっている。例えば「LOTL(Living Off The Land、自給自足)」と呼ばれる攻撃では、感染したパソコンに元からある正規のプログラムをネットワーク内の調査や攻撃に用いる。そのため日常業務と攻撃の区別がつきにくく、検知が困難になる。
ハードディスク上に保存されるようなファイルの形式を持たない「ファイルレス攻撃」も一般的だ。これはOS起動時にレジストリからメモリー上に展開して動作したり、Windowsの標準ツールである「PowerShell」のスクリプトを介して攻撃したりするもので、従来のウイルス対策ソフトだけで網羅的に防御するのは難しい。
境界型防御では、境界内のネットワークにあるパソコンやサーバーの防御は手薄になりがちだ。そのためランサムウエア攻撃の被害企業の多くにおいては、VPN(仮想私設網)装置の脆弱性などを突かれて攻撃者に企業内ネットワークへ侵入されると、容易にサーバーやパソコンを乗っ取られて、データを暗号化されていた。
ウイルス対策ソフトは不審なプログラムファイルの侵入を防ぐ仕組みである。そのため境界内に侵入した攻撃者によるネットワーク経由での攻撃を、ウイルス対策ソフトで防ぐことは難しい。
マルウエア侵入を前提とした対策がEDR
ランサムウエア攻撃被害の増加は、従来の境界型防御とウイルス対策ソフトに頼ったセキュリティー対策の限界を示している。そこで現在、先進的なセキュリティー対策を進める企業においては、従来とは異なる「サイバー攻撃は完全に防げない」との発想に基づいた新しいセキュリティー対策技術が多数導入され始めている。
| ツールの分野 | 概要 |
|---|---|
| NGAV(次世代ウイルス対策) | ファイルの中身を機械学習によって開発したエンジンが検査してマルウエアを検出 |
| EDR(エンドポイントでの検知・対応) | パソコン上におけるプログラムの挙動などからマルウエアを検出 |
| XDR(拡張型の検知・対応) | 複数のEDRエージェントやセキュリティー機器などから集めた情報を分析してサイバー攻撃を検出 |
| SIEM(セキュリティー情報&イベント管理) | EDRエージェントやセキュリティー機器、ネットワーク機器、業務アプリケーションなどから集めた情報を分析してサイバー攻撃や内部犯行などを検出 |
| IDP(IDプラットフォーム) | クラウド型のユーザー認証基盤。SSO(シングル・サイン・オン)やMFA(多要素認証)を提供 |
| サイバーハイジーン | セキュリティー脆弱性の修正状況などをチェックし、修正パッチを配布 |
| MDM(モバイルデバイス管理) | スマートフォンやタブレットのOS・アプリケーション設定を一元管理 |
| SWG(セキュアWebゲートウエイ) | ユーザーによるインターネット利用をチェックし、不審なサイトの利用やマルウエアのダウンロードなどをブロック |
| 電子メールセキュリティー | フィッシングメールやマルウエア付きメールを検出 |
こうしたツールの中でも、企業がまず導入すべきなのはEDR(Endpoint Detection and Response、エンドポイントでの検知・対応)だ。既にサイバー攻撃の被害に遭った多くの企業が、EDRの本格導入に踏み切っている。
EDRは、社内のエンドポイント(パソコンやサーバー)がマルウエアに感染したことをいち早く検知して、その後の被害の広がりを食い止めるツールである。パソコン内部の情報を収集、可視化し、異常な振る舞いを見つける機能や、マルウエアを調査したり封じ込めたりする機能を備える。
パソコンだけでなくサーバーの防御にもEDRは有効だ。多くの攻撃者はマルウエアに感染したパソコンを通じて防御の甘いサーバーを乗っ取り、それを踏み台にして目標とするシステムを攻撃する。パソコンとサーバーの両方をEDRなどで守っておけば、攻撃者が社内に侵入した後の「横方向」の攻撃(ラテラルムーブメント)を検知し、重要データを保管するサーバーへの攻撃を食い止められるようになる。
ログ解析で感染の痕跡を発見
EDRの基本的な仕組みは次の通りだ。まずパソコンやサーバー内部へのマルウエアの侵入や他のシステムへの攻撃の有無を検知するに当たっては、主に2つの手法を使用する。
1つは、パソコンのイベントログなどからマルウエア感染の痕跡を見つけ出す手法だ。具体的にはまず、パソコンに導入したエージェントを通じ、パソコンの様々な情報を記録・収集する。対象とする情報はファイルの作成やプロセスの起動、レジストリーの変更など多岐にわたる。
