ランサムウェア攻撃はかつてのような「ばらまき型」から「侵入型」に進化し、より複雑化・高度化している。高まる脅威に対して、企業はどう対策していくべきなのだろうか。本稿では、2024年12月13日に開催されたイベント「NTT DATA INTELLILINK SUMMIT 2024」で紹介された、セキュリティに関する最新トピックスや対策の事例、効果的なサイバーセキュリティソリューションについてレポートする。

進化する脅威、ランサムウェアの最新動向

NTTデータ先端技術 戸田 勝之氏によって、「改めて知りたい ランサムウェアの脅威」をテーマに講演が行われた。

戸田氏は、実際のランサムウェア攻撃がどのように行われるのか、某メディアグループを襲った「Blacksuit」(ブラックスーツ)の攻撃を例に、次のように解説する。

ランサムウェアというと不審なメールや添付ファイルからの感染と思われがちだが、戸田氏によると実際にはそうした攻撃は全体の5%程度だという。ほとんどのケースは攻撃グループがシステムに侵入し、最後にランサムウェアを配布して感染させるケースなのだ。

具体的にはまず、攻撃者は準備段階としてブローカーから認証情報を入手。その後、フィッシングメールや公開アプリケーション等を通じて初期アクセスを行い、リモート管理ツールにより攻撃基盤を確立する。さらに複数のステップを踏み、情報の持ち出しへとつなげ、ランサムウェアの配布を行い、データを暗号化。そして実際の脅迫が行われるという流れである。

  • (図版)メディアグループを襲った「Blacksuit」の攻撃例

ランサムウェアの標的として狙われやすいのは製造業、そして情報通信業だという。また、被害については事故対応費用だけでなく、事業に及ぼす影響も大きい。某メディアグループにおいては、事故対応費用は24億円だが事業影響は77億円にものぼる。

攻撃シナリオに基づいたリスク分析の考え方

続いて、NTTデータ先端技術 堀 茂人氏より、「リスク分析による可視化から効果的な対策の実現へ」と題した講演が行われた。

ランサムウェア攻撃を食い止める重要なポイントのひとつとなるのが「リスクアセスメント」だ。

リスクアセスメントの評価指標については、「脅威レベル」「対策レベル」「被害レベル」をそれぞれ3段階で評価し、それらをかけ合わせて「A〜E」の5段階に分類するという。このリスクアセスメントについては資産ベースで評価されることが多いが、堀氏によると「攻撃シナリオ(事業被害シナリオ)をベースにリスクアセスメントを実施する」ことがポイントとのことだ。

具体的にどのように評価するのか。

たとえばインターネットやサプライチェーン、USBメモリ、仮想環境などからランサムウェアに感染したとする。こうした感染要因ごとに攻撃シナリオを検討し、リスクアセスメントを実施するというわけだ。

仮にGitが侵害され、ランサムウェアに感染し、DB上の個人情報が暗号化されてしまったとしよう。多要素認証やコードスキャン、マルウェア対策ソフト、脆弱性情報の評価などの対策は行っていたものの、DBについてはアクセス制御やデータ同期にとどまっており、ランサムウェアによる暗号化への対策までは行えていなければ、「侵入経路への一定の対策はとれていたが、侵入後の対策がとれていなかった」のであり、各要素の対策レベルを考慮して総合的なリスク値は「C」と判断できる、といった具合である。攻撃シナリオから攻撃ステップを洗い出し、効果的な対策につなげることが重要なのだ。

NTTデータ先端技術は「INTELLILINK リスク分析サービス」を提供しており、顧客が要望するセキュリティベースラインや攻撃シナリオに沿ったリスクアセスメントが可能だという。また、アセスメントだけでなく対策も検討していきたいという企業に対しては、「INTELLILINK セキュリティディレクターサービス」の提供を通して計画、そして対策の推進までセキュリティ業務の代行を行っている。

  • INTELLILINK リスク分析サービス

ランサムウェアが狙うID奪取・不正アクセスへの対策

NTTデータ先端技術 立花 崚氏から、「ID奪取、不正アクセス対策の最前線」について語られた。

攻撃者にとって、アカウントIDは主に攻撃の初期アクセスや水平展開に利用される重要なポイントだ。IDに対する攻撃には2種類ある。まず、「なりすまし」。正規のIDを何らかの手段で入手し、本人認証を突破する攻撃である。もうひとつは「アクセス権限の不正利用」で、システムの変更や重要情報の操作が可能な管理者権限を得る攻撃手段だ。

こうしたIDに対する攻撃への対策としては、「認証基盤」「ID管理」「特権ID管理」「アイデンティティ保護」の4つがある。講演では、「特権ID管理」について事例を踏まえながら解説が行われた。

サイバー攻撃によって、大規模システム障害が発生した関西の総合医療センターでは、単に暗号化されるだけでなく、窃取データをもとに脅迫される二重脅迫ランサムウェア被害を受けた。調査・復旧だけで数億円、逸失利益は十数億円におよんだという。 この事件で攻撃者が狙ったのは、外部の給食事業者の脆弱性だ。辞書に登録されている意味のある単語を組み合わせたパスワードを用いて不正アクセスを試みる“辞書攻撃”でRDP(Remote Desktop Protocol)接続を行い、管理者権限を利用してウイルス対策ソフトをアンインストールしたうえで、共通のIDとパスワードを利用していた別サーバにもランサムウェア攻撃が行われたことによって、甚大な被害を引き起こした。

立花氏は、被害が拡大した原因として適切なID管理ができていなかったことを指摘し、具体的には推測しやすいパスワードやRDPの常時接続許可、不適切な管理者権限付与などをあげた。

こうした特権IDの管理において重要なのは、特権IDを誰が使うのかを可視化したり、アクセスログや操作ログの記録により、定期的に特権IDの利用を点検したりすることであるという。その際、運用の形骸化や管理レベルの低下が起きないように注意しなければならない。

NTTデータ先端技術が取り扱う特権ID管理システム「iDoperation」を利用すれば、管理対象システムから特権IDや特権ユーザ、権限を可視化できる。特権IDの貸出/報告ワークフローも提供しているほか、アクセスログを収集して自動点検も可能になるわけだ。同社ではそのほか、統合ID管理ソリューション「VANADIS」や認証/認可ソリューション「IBM Security Verify」なども提供している。

  • iDoperationの紹介図

ツールの導入だけでは不十分、ランサムウェア対策の運用とは

続いて、NTTデータ先端技術 長谷川 浩太氏より「導入だけでは不十分。ランサムウェア対策は運用も超重要」と題した講演が行われた。

侵入型攻撃の大きな特徴が、立花氏の講演でも紹介された「二重攻撃」であり、暗号化だけでなく、情報漏えいへの対策も必要となる。こうした攻撃において攻撃者は一般的なツールを使用することも多く、通常の操作と見分けがつきにくい点も注意すべきポイントだという。

これらへの対策の鍵となるのは早期発見と早期対処だ。できれば暗号化や情報漏えいが起きる前の、侵入から侵害拡大前に対策したいところである。しかし、一般的なツールを用いられてしまうと判別が難しい。そこで導入したいのが、異常なふるまいを検知できる「UEBA(User and Entity Behavior Analytics)」や「EDR(Endpoint Detection and Response)」といったソリューションだが、これらは運用が簡単ではない。

そこで有用となるのが、「INTELLILINK カスタムSOCサービス」だ。企業が使用しているセキュリティシステムをそのまま使いながら、ランサムウェア対策が可能なUEBA・EDR対応のセキュリティ監視サービスである。インシデント対応の一部代行も行っており、アラート発生後の迅速な対応が可能なため、進化するランサムウェア対策として最適なサービスといえるだろう。

  • INTELLILINK カスタムSOCサービスの紹介図

AIを活用した脆弱性診断でコストを削減し、戦略的セキュリティ対策を実現

最後に、エーアイセキュリティラボ 阿部 一真氏、NTTデータ先端技術 茂木 暁氏による講演が行われた。

まずは阿部氏より「戦略的セキュリティ対策のすすめ」について語られた。

昨今、急務となっているDXだが、それを支えるのはサイバーセキュリティ対策も同様に必要不可欠だ、と阿部氏は言う。特にこれからは対外的なデジタルサービスのセキュリティ対策が重要となるが、デジタルサービスは事業部門によって管理・運用されることが多く、セキュリティ対策まで手が回らないことも多い。たとえば某大手ハウスメーカーでは、「現在は運用していないページ」のセキュリティ設定に不備があったことを把握できていなかったため、サイバー攻撃を受け、情報漏えいにつながってしまったという。しっかり運用管理が継続できていなかったために起きたインシデントといえるだろう。

では、どのように戦略的にセキュリティ対策を行えばいいのか。

阿部氏によると「手間と時間をかけて専門家が対応する領域」と「人的リソースを最小化しながら対応する領域」を分けて考えるべきだという。特に、後者については継続的・網羅的に対応する必要があるにもかかわらず、人的・金銭的リソースの限界が課題となりうる。これを解決するのがAIによる「自動化・内製化」なのだ。

  • 戦略的セキュリティ対策のすすめ

ここからは、茂木氏よりAIを活用したセキュリティ対策についての紹介が行われた。

Webアプリケーションの脆弱性診断の種類は、ブラックボックス型の診断「DAST」とホワイトボックス型の診断である「SAST」の2種類ある。今回焦点を当てるのは前者だ。

DASTでは診断員がアプリケーションの画面を確認し、機能や業務仕様を把握したうえで診断を行っていく手法である。NTTデータ先端技術ではこのDASTを提供しており、その結果54%のサイトで危険度の高い脆弱性が発見されたという。このことから、診断ができていないWebアプリケーションにも脆弱性が潜んでいる可能性が高いことが予測できる。

では、なぜ診断できていなかったのか。大きな理由は時間的・金銭的コストだ。診断員が画面一つひとつを手動で確認するため、どうしてもコストが増大してしまうのである。そこで開発されたのが、この確認や検査をAIで自動化するツールである。これにより脆弱性診断を低コストかつ高頻度に行えるようになる。

ただ、人による手動診断が完全に不要になったわけではない。手動とAIを使い分け、サイトの特性に応じて選択するのが理想的といえる。

NTTデータ先端技術が提供する「INTELLILINK Webアプリケーションマネージド診断サービス」はまさに、このAIによる診断が実現できるソリューションである。エーアイセキュリティラボが開発した脆弱性診断サービス「AeyeScan」を利用し、Webサイトを診断。これまでは10画面の確認を3営業日で実施していたが、同サービスを用いることで50画面を同期間で確認できるようになったという。

  • INTELLILINK Webアプリケーションマネージド診断サービス

講演では、阿部氏によってAeyeScanのデモが行われた。必要な設定は、診断対象となるWebサイトのトップページURLを入力するだけでよい。開始ボタンを押せば自動でWebサイトを巡回し、発見した各ページに対して脆弱性を診断、診断結果のレポート生成まで行われる。サイトの構造は画面遷移図の形で描画され、見つかった脆弱性が解説付きで表示される。
さらに生成AIを活用して、フリーフォーマットでの指示も可能だ。たとえば巡回してほしい画面の機能などを入力すると、指示した箇所のみ巡回させることもできる。また、従来は人間による手動診断でしか検出できなかった項目についても、生成AIを活用することで診断可能になったという。加えて、煩雑になりがちな報告業務についても、エグゼクティブサマリを自動で生成できるため、作業を効率化することができる。そして直近では、脆弱性診断を行う前段階として、自社で管理すべきサイトやアプリケーションを把握するためのWeb-ASM機能もリリースされている。

最後に茂木氏は、脆弱性診断の悩みを相談できる「診断コンシェルジュ」を紹介。「各種セキュリティ診断サービスも提供しているので、お気軽に問い合わせてほしい」と述べて講演を締めくくった。

[PR]提供:NTTデータ先端技術