目次
みなさんこんにちは、後藤まりです。
デジタル化の推進による攻撃対象の増加や、攻撃者側の技術進歩により、近年サイバー攻撃の被害は増加しています。貴社では、ランサムウェア攻撃含むサイバー攻撃に対して十分な対策ができているでしょうか?
本記事では、サイバー攻撃について、最新の攻撃手法から、企業の取るべき対策までをご紹介します。
毎年、「独立行政法人 情報処理推進機構(IPA)」より「情報セキュリティ10大脅威」が発表されますが、その2025年版が1月30日に「情報セキュリティ10大脅威 2025」(※) として公開されました。
これは、2024年の情報セキュリティにおけるさまざまな事案から選出される、社会的に影響の大きい10大脅威を示したものです。
この「情報セキュリティ10大脅威 2025」では、組織向けの脅威の第1位として「ランサムウェア攻撃による被害」が挙げられており、ランサムウェア攻撃が10大脅威に選出されるのは、これで10年連続・10回目となります。
ランサムウェアとは、攻撃者がPCやサーバーにマルウェアを感染させ、データを暗号化することで業務の継続を困難にし、データの復元と引き換えに金銭を要求する攻撃手法です。ランサムウェアの手法は年々多様化しており、従来型のものから、新たに登場した「ノーウェアランサム」まで、さまざまな手口が見られます。
ここでは、代表的な攻撃手法を3つご紹介します。
データを暗号化し、データの復元と引き換えに金銭を要求します。
データの窃取および暗号化を行い、「データを第三者に公開しないこと」「データの復元」と引き換えに金銭を要求します。データの暗号化に加えてデータの公開という二重の脅迫を行います。
データの窃取を行い、「データを第三者に公開しないこと」と引き換えに金銭を要求します。データの暗号化を行わないため、攻撃者は比較的少ない工数で効率的に攻撃を仕掛けることができるとされており、国内では2023年以降増加しています。
二重脅迫型およびノーウェアランサムでは、従来のランサムウェアへの対策で挙げられる「暗号化以前のバックアップからの復旧」が通用しないため、ランサムウェア対策にあたっては「バックアップ復旧以外での対策」の必要性がますます高まっています。
企業が情報セキュリティインシデントによって受ける被害は多岐にわたり、代表的な事項だけでも以下のような点が挙げられます。
・直接的な被害:システムの停止や復旧にかかるコスト、修復にかかる費用などの損害
・間接的な被害:ビジネスの停止による逸失利益、損害賠償や補償金、ブランド価値の低下による
売上減少などの損害
情報漏洩やシステム改ざんが公表されることによる顧客や取引先からの信頼低下
個人情報保護法や情報セキュリティに関する法令に違反した場合の罰金や制裁措置、および顧客や取引先からの損害賠償請求などのリスク
これらの情報より、企業が情報セキュリティインシデントの対策を行ううえで、外部からのサイバー攻撃(ランサムウェア)対策は、企業にとって避けては通れない最優先事項といえます。
効果的にサイバー攻撃対策を行うためには、サイバー攻撃の流れを理解することが必要です。サイバー攻撃の手法は多種多様であり日々変化するものですが、攻撃に共通した大きな流れとしては以下が挙げられます。
|
クリックして拡大 |
攻撃者によって、標的の選定や調査が進められます。攻撃者にとって有益な情報を有する企業や、社会的に有名である企業、システムに脆弱性が存在する企業などが標的となりやすい一方で、それらに該当しない企業が標的とならないとは限りません。
「情報セキュリティ10大脅威 2025」では、組織向け脅威の第2位に「サプライチェーンや委託先を狙った攻撃」が挙げられています。これは、主な標的への攻撃の足がかりとして、サプライチェーン上の取引先企業を狙う手口です。
攻撃者は、標的企業に比べてセキュリティ対策が不十分である可能性が高い取引先企業を突破口とすることで、効率的に目的を達成しようとします。例えば、自社には攻撃者に有用な情報がないと判断し、セキュリティ対策を適切に実施していない場合などは、攻撃者にとって格好の標的となる可能性があります。
攻撃者はネットワーク機器などの脆弱性を攻撃の足掛かりとして内部ネットワークに侵入します。最近ではVPN機器を経由した侵入が多く報告されています。
内部ネットワークへの侵入後は、マルウェアを使ってクライアント端末を遠隔操作し、基盤となるバックドアを構築しながら組織内のネットワークを探索し、徐々に侵入を拡大します。この拡大をラテラルムーブメント(水平展開)と呼び、はじめに侵入に成功した機器から、他のさまざまな機器への侵入を試みます。
水平展開をしながら、攻撃者は特権IDの奪取を試みます。このとき、攻撃者の標的となりやすいのが「Active Directory」です。Active Directoryを乗っ取ることで、ドメインアカウントを用いて全ドメインサーバーにアクセスできる状態となるため、スピーディな攻撃遂行のための要とされています。
Active DirectoryにはユーザーIDやパスワードといった認証情報、Email、サーバー、アクセス権、クラウドサービスとの連携といった、企業にとってあらゆる重要な情報や設定が保管されています。しかし、長く使われる間に構成が複雑化していたり、担当変更の引き継ぎがうまく行われてなかったりと、セキュリティ面での管理や対策に手が行き届いていないといった事情も少なくありません。
Active Directoryを乗っ取るための手法として最も有名なのは、Netlogonプロトコルの特権昇格の脆弱性(CVE-2020-1472)を悪用することです。これにより、管理者権限を持つ特権IDが奪取されます。この他にも、パスワードポリシー等の設定の不備や、退職者などが含まれる有効なまま放置された休眠アカウント、過剰な管理者権限の付与などもセキュリティホールとなります。
特権IDを使って、企業の重要なデータを盗み取ります。その後、データが暗号化され、攻撃者から身代金の要求を受けます。上述のランサムウェアの種類の中でも、「二重脅迫型」と呼ばれる、情報を人質にとる手法が多くなっています。
ここからは、サイバー攻撃対策の考え方についてご紹介します。
セキュリティ対策は、100%の防止は不可能であることを前提に考える必要があります。したがって、サイバー攻撃によるデータの奪取や暗号化などのリスクを下げるためには、有効な対策を複数実施し、防御層を重ねる「多層防御」の考え方が重要となります。
では、具体的にどのような対策が有効と考えられるか、上述のサイバー攻撃の流れを踏まえて、重要な2つの観点「侵入リスクの軽減」「侵入後の攻撃リスクの軽減」をご紹介します。
|
クリックして拡大 |
侵入のリスクを減らすためには、主な侵入経路である、外部に公開されたネットワーク機器等の脆弱性をリスクと捉え、対策を講じることが重要です。侵入リスクを軽減する上で、有効な対策を2つご紹介します。
アタックサーフェス管理とは、既知・未知含め、外部に公開されている資産の可視化とリスク評価を行う取り組みです。
近年では、業務部門がクラウドサービスやWebサーバーを独自に立ち上げるケースも多く、IT部門が把握していない資産が、攻撃対象(=アタックサーフェス)となるリスクが増えています。
アタックサーフェス管理を行うことで、インターネットに接続された資産を、攻撃者の視点で継続的に確認し、目に見えないリスクを可視化できます。その結果、さまざまな箇所に存在する脆弱な資産を検出・把握することが可能になります。
脆弱性管理とは、既知の資産を対象に、認証情報等を用いて内部から脆弱性を検出・管理する取り組みです。
「アタックサーフェス管理」では外部に公開されている情報をもとに、リスクを検出・評価しますが、「脆弱性管理」では、認証情報等を用いて診断を行うことができるため、より正確な脆弱性の特定とリスクの評価が可能となります。
「アタックサーフェス管理」と「脆弱性管理」は、相互に補完し合う関係にあります。このように、企業におけるアタックサーフェスを把握し、脆弱性や設定ミスといった弱点に対して事前に対策を講じることで、サイバー攻撃による侵入リスクを低減する取り組みを「サイバーリスクマネジメント」といいます。
サイバーリスクマネジメントを適切に実施することで、侵入リスクへの防御層を築くことができますが、サイバー攻撃が高度化・巧妙化するなかでは、侵入後を見据えた対策も欠かせません。侵入後の攻撃リスクを軽減する上で、有効な対策を2つご紹介します。
特権ID管理とは、サーバーやエンドポイントの特権IDのパスワード管理を強化する取り組みです。
これによって、攻撃者の「水平展開」を防止できます。パスワード管理を適切に行うためには、たとえば次のような方法が挙げられます。
パスワードスプレー攻撃や辞書攻撃による特権ID奪取のリスクを軽減します。
万が一特権IDを奪取された場合でも、奪取時点のパスワードを無効化できるため、被害を最小限に抑えられます。
Active Directoryの脆弱性管理とは、Active Directoryの脆弱性や設定不備、変更を継続的に監視し、適切な対応を都度実施する取り組みです。
Active Directory上の、Domain Admin権限を有する特権IDが奪取されると、あたかも正しいプロセスであるかのように、さまざまなドメイン配下のサーバーを巡り、情報の奪取やランサムウェアの実行などを行えてしまいます。Active Directoryの脆弱性管理を行うことで、Active Directory特有の攻撃や特権ID奪取などの被害のリスクを抑えることができます。
なお、多層防御の考え方に基づくと、日々進化する攻撃手法に対しては、どれだけ対策を講じたとしても、残念ながら「100%攻撃を防げる」とは断言できません。攻撃されていない・被害を受けていないことの証明や、有事の際に迅速なフォレンジック調査を行うためには、各種システムのログなどを保管しておくことも重要なポイントです。
サイバー攻撃は日々、新たな手法が登場しています。このような状況に対して、個別の手法を想定した対策は得策とはいえません。
狙われやすい攻撃経路に対して、未然防止策を含めた多層防御の仕組みを構築することが、優先的に実施すべき対策と考えられます。侵入経路となり得るセキュリティホールを「アタックサーフェス管理」や「脆弱性管理」によって日々チェックし、「特権ID管理」で特権IDの利用制御を行うことで、さまざまな攻撃手法に対して有効な「多層防御」が可能となります。
アシストでは、多層防御を実現するためのソリューションをご提案しております。「サイバー攻撃対策として何をすべきか具体的に相談したい」「自社の対策状況を棚卸し、必要なアクションを整理したい」など、お気軽にお問い合わせください。
ページでご紹介した攻撃手法や対策や、多層防御を実現するための具体的なソリューションをまとめた資料をご用意しています。サイバー攻撃対策のご検討・見直しに、ぜひご活用ください。
後藤 まり
|
|
PCがサイバー攻撃で狙われる理由から、管理者権限や同一パスワード運用がもたらすリスク、そしてそれらの課題を解決する手段として注目される「EPM(エンドポイント特権管理)」について解説します。
最新のクラウドセキュリティ対策として注目される「CNAPP(Cloud Native Application Protection Platform)」に焦点を当て、その必要性や導入ポイントについて解説します。
