DX化推進の裏で、ランサムウェアによるサイバー攻撃は年々増加しており、全ての経営者にとってもはや対岸の火事ではありません。9月20日、道新プラザDO-BOXで行われた本セミナーでは、インシデント事例をもとに、実際に現場で起こったことについて、現場をよく知る情報セキュリティコンサルタントに解説いただきました。また、フォーティネットの優れた製品・ソリューションを活用した防御方法についても紹介いたしました。ここでは、3名の登壇講師陣の講演、パネルディスカッションの要旨を紹介いたします。
ITスクエアはセキュリティコンサルティングを初め、ITに関する様々な支援を行う会社です。ITの進展による利便性の獲得と引き換えに現在、情報セキュリティに対する脅威は増え続け、その手口も巧妙化しています。なかでもここ数年問題となっているのが「暗号化したデータを復旧するための身代金の要求」に加え、「盗んだ情報を公開されたくなければ金を払え」といった二重脅迫や、「サーバーに繋がりにくくするDDoS攻撃」、「被害者の顧客や利害関係者にも連絡する」という四重脅迫など、新たな手口が次々に確認されている「ランサムウェア」です。
2022年にはトヨタ自動車の主要取引先の部品メーカーがサイバー攻撃を受け、国内のすべての工場の稼働を停止。2023年には国内初の物流影響事例となった名古屋港統一ターミナルのシステム障害、クラウド型の人事労務向けサービスに影響を与えたエムケイシステムの感染被害など、セキュリティ対策が手薄な関連企業をターゲットにしたサプライチェーン攻撃が取り沙汰されました。
こうした「ランサムウェア」の主な感染経路として挙げられるのが「VPN機器からの侵入」、「リモートデスクトップからの侵入」、「不審メールやその添付ファイル」です。
リモートワークの普及により導入が進められたVPNですが、脆弱性をついた侵入やリモートデスクワーク認証を突破した侵入事例が後を絶たず、VPN装置の強化、適切なアクセス制御、認証突破の可能性の有無など、ネットワークの出入り口に関する見直しが必須となっています。また、宛先間違いを装ったり、取引先から普段とは異なるフォーマットの請求書が届くなど、特定組織の機密情報搾取を目的とした「標的型サイバー攻撃」と同等の技術を駆使したケースも増加傾向にあり、ヒヤリハット事例の講習や実際の攻撃を想定した擬似攻撃メールの送付を用いた訓練など、従業員のセキュリティ意識の向上も欠かせません。多岐にわたる攻撃方法を伴うランサムウェアの脅威に対し、私たちは「組織的対策」「人的対策」「技術的対策」と多層防御の考え方で、企業・組織の情報セキュリティマネジメントをサポートしています。
「サイバー攻撃」は「結婚詐欺」の手口のようなもの。マッチングアプリを悪用して相手のことを調べ、メッセージのやり取り等で信頼を構築した上で、金銭要求を切り出すという流れは、「サイバーキルチェーン」の攻撃フローに当てはまります。対象の内部情報を収集し、攻撃コードやマルウェアを作成する「偵察」、標的型攻撃メールを送信する「配送」、攻撃コードを実行する「攻撃」、マルウェアの「インストール」、潜伏するマルウェアを遠隔で操作する「遠隔制御」、目的データの搾取や改ざん・破壊といった「目的達成」。サイバー攻撃も結婚詐欺も、こうしたチェーンをしっかり断ち切ることが重要です。攻撃防御の手段として皆さんがイメージするのは「ファイヤーウォール」で不正アクセス等を防ぎ、メールでウイルスが送付された場合は「EDR」で防御するといった流れでしょう。しかし、一般的なEDRは決して強いものではなく、危険を感知した場合のみ様々な条件付きで端末を隔離する場合がある、といった程度のもの。アラートの山が膨大に積み上がってしまい、低脅威アラートを放置、高脅威アラートのみ対応するしかなく、結果として感染拡大を引き起こしてしまう場合があります。
フォーティネットの「FortiEDR」は、危険を感知したものをリアルタイムで駆除。対処の速さ、安全性、動作の軽さなど従来のEDRとは一線を画すセキュリティ製品です。また最近ではサイバー攻撃から対象を守るために、攻撃に対して受け身になるのではなく、敵を欺き防御するといった「アクティブディフェンス」が注目されています。こうしたディフェンスの側面でも、エージェントレスで検知可能な「FortiNAC」、おとり設置機能を有する「FortiDeceptor」の連携でより高度なアクティブディフェンスを実現。私たちは様々な製品を効果的に組み合わせることによって、万全のセキュリティを提供しています。
北海道新聞社は現在、札幌本社を基点に大阪と東京を含む11ヶ所の支社、38市町村に設置した支局、支社工場、さらに共同通信や時事通信といった通信社に対し、独自回線や広域イーサーネット、IP-VPNなどを利用してネットワークを繋いでいます。
近年問題になっている「ランサムウェア」の恐ろしさは、バックアップデータを見つけだして破壊するものが増えているということ。いくら境界型防御を強固にしたとしても、バックアップデータを破壊されないための仕組みや、復旧可能な構成を組み立てなければ、脅威に対抗することはできません。私たちはストレージの改ざん防止機能でデータごと複製したり、仮想ホストファイルを改ざん防止機能を使ってバックアップするなどの対策で、「ランサムウェア」からバックアップデータを守っています。
コロナ禍に伴うリモートワークの普及により、昨今はエンドポイントのセキュリティ対策も大きな課題の一つとなっています。自宅のインターネット回線を使って通信しているため、従来の境界型防御では不十分。よって「ゼロトラスト」対策は急務と考えています。
また北海道新聞社は現在、来年度の本社移転に向けたシステムやネットワークのコア機能をデータセンターに移設するプロジェクトを進めている最中でもあります。これまで、通信許可ポリシーの設定に「FortiGate」、ログの集中管理・分析を行う「FortiAnalyzer」を活用しながらセキュリティ対策を行っていましたが、今後は「ゼロトラスト」対策も踏まえ、ネットワークとネットワークセキュリティを1つのクラウドサービスに統合する「SASE」や、Fortinet社のEDR導入を検討していて、検証実施を行いながら、多面的なセキュリティ対策の向上を図っています。
日置:講演では攻撃手口について詳細なお話を伺いましたが、ランサムウェアに感染すると、具体的にどのような被害が発生するのでしょうか。
渡邊:昨年発生した「大阪急性期・総合医療センターのランサムウェア被害」の場合、サーバーや院内端末が次々と感染し、診療に欠くことのできない電子カルテシステムを含む総合情報システムにまで甚大な被害が及びました。電子カルテを紙に移行する措置をとったものの、診療制限を余儀なくされ、調査・復旧費用だけで数億円以上、診療制限に伴う逸失利益も十数億円以上と報告されています。ランサムウェアの手口は日々巧妙化していて、感染後の被害も決して軽いものではありません。
石田:渡邊さんがおっしゃるように、攻撃手口は多様化し続けていて、ネットワークセキュリティ対策もスピード感を求められます。新聞記者のパソコンはあらゆる環境でインターネットに接続するため、輪転機類のクローズ空間と比較すると圧倒的にマルウェアに感染する危険性を孕んでいます。境界型防御だけではなく、より強固なセキュリティの導入が必須である一方、「コスト面」、そして予算確保するためにセキュリティ導入の必要性をいかに正しく伝えるか、という二つの壁があるのも現実です。セキュリティ担当者はこの二つの壁を越える必要があり、動向の把握など知識を深めていくことの重要性を本日改めて感じました。
伊藤:確かにコスト面から導入に二の足を踏む企業は少なくありません。経営層にセキュリティの導入の必要性を説いて予算を獲得するには、具体的なリスクと損害額の提示が有効です。JNSAは「インシデント損害調査レポート」、IPAはセキュリティ関連費用を可視化する「NANBOK」をWebで公開していますので、セキュリティ担当者の皆さんはぜひご活用下さい。
また、ネットワークシステム対策の一環で、「インシデント発生時の対応フロー」の作成があります。これは経営に甚大な影響が起こった際の対処方法を記すものですが、具体的にどういったケースが自社の経営に大きく関わる被害なのか等、教科書通りにただ並べるのではなく、一つ一つをしっかりと噛み砕いた上で、自分達の組織に落とし込んだフローを作成してください。そして、緊急時に消防車や警察に連絡するように、インシデント発生時に即時相談できる専門家を確保することも備えになります。
日置:サイバー攻撃と対策は「いたちごっこ状態」です。「彼を知り己を知れば百戦殆からず」という孫子の言葉にもあるように、サイバー攻撃の動向や手法を押さえ、自社の対策の現状を把握することが重要です。加えて、外部のレポートやインシデント報告資料などから他社の取り組みを学ぶことも有効です。日頃の備えとして、損害額シミュレーション、インシデント対応マニュアル、研修や訓練などをしっかり整え、脅威に対抗していきましょう。