ランサムウエアは事業継続にインパクトを与える社会的な脅威として広く知られるようになった。なぜ被害に遭うのか、どうすれば被害を軽減できるのか、今の組織に不足している対策は何か。SOCで実際に検知した事例を交え、組織におけるランサムウエア対策を解説する。
ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回は当社SOC(Security Operation Center)で検知した事例を交え、組織に潜在する問題点と侵入・侵害フェーズに着目したランサムウエア対策を解説します。
ランサムウエア攻撃の流れ
2022年、多くの組織がランサムウエア被害に遭いました。被害に遭った組織は事業の停止や縮小を余儀なくされるなど、ランサムウエアは社会を脅かすサイバー攻撃です。
近年のランサムウエア攻撃は、攻撃者が組織のネットワークに侵入し、侵害拡大とデータ窃取後にランサムウエアを実行します。
攻撃者は、暗号化したデータの復号と窃取データの暴露にそれぞれ脅迫と身代金を要求するため、最近のランサムウエア攻撃は二重脅迫と呼ばれています。ランサムウエアが引き起こす事業影響は深刻であり、その解決も単純ではないため、そもそも被害に遭わないよう予防することが重要です。
では、組織はどのようにランサムウエア被害に遭うのでしょうか。近年当社SOCでは、海外拠点などセキュリティー統制の弱い箇所を起点として、最終的に国内主要拠点に攻撃が拡大する事例が増加しています。つまり、昨今のサイバー攻撃において、サプライチェーン全体を見渡した対策が重要といえます。
問題点(1):テレワーク用端末の脆弱な設定と拠点をつなぐネットワークの管理不備
ランサムウエア攻撃により、意図しない公開ホストの悪用や関連拠点の感染被害が主要拠点に影響した事例が報告されています。テレワークの普及や組織のさまざまな業務形態によりこれまで行われていた境界防御で侵入・侵害リスクを完全に排除できないことが課題になっています。
2022年上半期に警察庁が発表したランサムウエア攻撃の主な侵入経路にリモートデスクトップからの侵入があります。当社SOCにおいても同様の傾向を確認しており、特に顕著なのはテレワークなどを理由に社外に持ち出した端末に対する不正ログインです。
当社SOCが確認した持ち出し端末への不正ログイン件数推移を示します。テレワーク用持ち出し端末への不正ログインは毎月一定数発生しています。
これらの事例は、テレワークで利用する端末をネットワーク接続した際にグローバルIPアドレスが割り当てられることがあり、リモートデスクトップなどリモートアクセス可能なサービスがインターネットから攻撃されたものです。当社SOCは、この攻撃で攻撃者がログインに成功した事例も確認しています。
また、当社SOCが確認した事例には、海外拠点のホストに侵入した攻撃者が、アクセス可能なホストに対して順に攻撃しながら国内拠点に侵入先を拡大したものもありました。このようにランサムウエア攻撃は侵入したホストを起点にさまざまなネットワークに侵害拡大するため、組織単独で対策を行うだけでは不十分であり、ネットワークでつながる取引先や拠点全体(WAN)で考える必要があります。
そのため、インターネットから接続可能なホストや、組織をつなぐネットワークのアクセス制御およびアカウント管理が適切かどうかを改めて点検する必要があります。ここからは、基本的な対策を解説します。
