攻撃者視点でリスクを特定、AOSデータの新サービス「アタックサーフェスアナリティクスサービス」

AOSデータは、サイファーマ社と協業し、新たなサービス「アタックサーフェスアナリティクスサービス」の提供を開始した。このサービスはランサムウェアなどの攻撃のきっかけとなる侵入リスクを攻撃者目線で診断するサービスである。本稿では、その概要、背景などを紹介したい。

猛威を振るうランサムウェア

ランサムウェアの脅威が顕著化してからすでに10年以上が経過している。その脅威については、ご存じの方も多いであろう。社内ネットワークのデータを根こそぎ暗号化してしまい、復号化には身代金（ランサム）を要求してくるというウイルスである。業務の遂行を優先するため、身代金を払うこともあると聞く。このランサムウェアだが、暗号化に目が向きがちだが、暗号化は最終的な結果にすぎない。

図1 攻撃者の行動

図1は攻撃者の行動をなぞったものであるが、情報の収集・持ち出しが行われ、いよいよお金になるものがなくなると、最後に暗号化を行い、身代金を狙うのである。

初期のランサムウェアでは、メールに添付され感染拡大していた。しかし、最近の在宅ワークやリモート勤務などの普及により大きく変化している。

図2 ランサムウェアの感染経路

80%が外部からの侵入となっている。

そして、被害額であるが、図3のようになっている。

図3 ランサムウェアの被害

多くが、1,000万円以上の費用がかかっている。さらに情報流出による社会的な損害も大きい。

また、ランサムウェアから復旧したといっても、実は身代金を払っていることで問題になった例もある。

サイバー攻撃を事前に防ぐ

もう一度、図1に戻るが、従来のセキュリティ対策では、対処できなかった領域がある。

図4 対処できなかった領域

「偵察」から「初期侵入」までである。図4にもあるが、どうやって攻撃者は、攻撃対象を定めているのであろうか。やはり一言でいえば「侵入しやすいサイト」となる。具体的には、以下のようなアタックサーフェスとなる。

アクセスできる外部公開シテム
利用しているOSやソフトウェア
存在する可能性のある脆弱性
漏洩しているメールアドレス、パスワード

である。少し具体例を紹介しよう。

図5 外部から見えている状態例1

使用しているアプリや空いているポートなどがわかる。バージョンがわかれば、既知の攻撃コードがそのまま利用できる。

図6 外部から見えている状態例2

図6では、ログイン画面が表示されている。二段階認証を採用していなければ、上述の漏洩しているメールアドレス、パスワードを利用することで、侵入可能となるかもしれない。また、終息したシステムなども狙い目になる。立ち上げ時には、セキュリティ対策などが十分検討されるが、サービス終了時には検討されないことも多い。あげくシャットダウンされずそのまま稼働し続けることもある。管理もあまくなり、攻撃しやすい対象となる。さらに、これらの情報は一般的なツールを使うことで入手可能な点にも注目したい。攻撃者は、このような情報を日々収集し（偵察）、標的を探しているのである。

アタックサーフェスアナリティクスサービスとは

そもそも、サイバー攻撃がなぜ発生するのか。最大の原因は、入口に穴が存在するからだ。外からの攻撃は、内部不正とは異なり、インターネットなどの外と繋がっているところからしかありえない。そこで、脆弱性という言葉を使うのが適切ではないかもしれないが、アタックサーフェスの部分を分析することに行きついたとのことだ。

前述のように、在宅ワークの普及で社外で仕事をする機会が増えた。VPNを使用する人もいるが、喫茶店でプロキシを外して、繋ぐことも少なくない（逆に、そういった使い方をする人も多い）。どこでも繋ぐことができる環境を踏まえると、侵入自体を防ぐことは非常に難しくなっている。そこで、いかに侵入されないために穴を小さくするか、という視点に切り替えたのである。穴をゼロにするには難しい。もし、穴が10個空いていれば、2個くらいにすることを目標にしている。そのために、アタックサーフェスの分析サービスを提供することになった。

ここで重要なのは、攻撃者目線で分析を行う点にある。上述したように、攻撃者がどのように偵察を行い、攻撃対象を定めているのか。このロジックを知り、対策をすることがポイントといえるだろう。現状、残念ながら攻撃者のほうが強い、もしくはアドバンテージがある。したがって、100%ブロックすることは無理なので、いかにリスクコントロールをしていくかとなる。

図7 アタックサーフェスアナリティクスサービスによる対策方法

機能的には4つから構成される。

攻撃対象領域の把握では、Appache、HXなどの技術スタックやサーバーを構成している要素の脆弱性を網羅的にチェックする。
露出されている脆弱性では、DNSやポート、クロスサイトスクリプティングの設定などをチェックする。
証明書の把握では、自己証明書やベリサインの証明書をチェックする。意外と、切れているものが多い。
さらに、メールアドレスやパスワードが漏洩していないかをチェックする。

レポートはAOSデータで作成し、日本語で提出される。

図8 レポート例（一部）

自分たちの資産として何があり、どういう状況下に置かれているかを把握することが重要である。

海外でも同じサービスを提供する会社もあるが、費用的には割高感がある。AOSデータでは、自社で分析を行うこと、ある程度プログラム化して費用を抑えることで、中小企業でも導入可能な価格にしている。

なぜ、AOSデータがセキュリティを

最後に、なぜAOSデータが、セキュリティ対策などを担うことになったのか。アタックサーフェスアナリティクスサービを提供するリーガルデータ事業部であるが、以前はリーガルテック社として活動してきたが、グループ会社のAOSデータに事業移管された。以前は、図9の有事の部分（右上の緑）を担当してきた。

図9 サービスのマトリクス

フォレンジックは、情報流出や犯罪などがあった場合に、裁判での証拠となるレベルの調査・分析を行う作業である。これまでも、多くの裁判でフォレンジックを行ってきた。その一方で、平時のことも相談される機会が増えてきた。実際、何か問題が発生してから、フォレンジックなどの調査を行うことはもちろんであるが、平時の対応もまた重要であることが見えてきた。図9の縦軸の上は内部不正関係、下はサイバーセキュリティとなるが、左下の案件が増えてきているとのことだ。また、フォレンジックでも、何かが起き、調査を開始してもヒアリングをしているうちに、事態が悪化することもありうる。もし、平時の状態を把握していれば、ヒアリングなどの期間を短縮することができる。

AOSデータが、フォレンジックサービスを提供した頃は、まだまだ参入する企業は多くなかった。しかし、最近では、多様な選択肢が可能となった。一見すれば、いいことのように思えるが、ユーザー（特に中小企業の経営者）には、判断が難しくなってしまった側面もある。さらに、インシデントやトラブルが発生すると、多くのセキュリティベンダーから自社の製品の導入を提案されることが多い。しかし、多額の費用をかけた割には、その効果がはっきりしなかったり、逆に使い勝手が悪くなってしまうこともあるとのことだ。一方で、セキュリティへの投資は、経営者にとっては、給料や設備投資と違い効果や結果がわかりにくい面が存在する。

そこで、AOSデータでは、有事のフォレンジックサービスとともに、平時のアタックサーフェスアナリティクスサービスを同時に提供することにした。ユーザーからの要望でもあるが、オールインワンのサービスでありながら、コスト的にも納得の得られるサービスを提供していく予定とのことだ。

実際に、アタックサーフェスアナリティクスサービスを導入した結果、脆弱性や穴が見つかると、穴によって適用できるサービスがある。たとえば、パスワードとメールアドレスが漏れていたとする。原因は、社員によるメールクリックで漏れてしまったとわかった。すると、標的型メール訓練を行うことが、有効な対策となるであろう。

また、あるウェブアプリケーションに脆弱性が見つかったケースでは、そこから脆弱性診断、プラットフォーム診断、スマホ診断などそのアプリケーションに特化して調査をしていく。調査対象を絞り込むことで、効果的な対策が可能となる。

たとえになるが、アタックサーフェスアナリティクスサービスは人の健康診断にあたるといってもよいだろう。健康診断では、血液検査や各種検査で、異常なしであればよいが、要検査といった結果になれば、その部分の再検査を受けることになる。

これがセキュリティ対策となると、上述のように不必要な部分に投資をしていないであろうか。健康診断でいえば、悪くないところにまで、検査や治療は必要ない。多くの企業にとって、セキュリティ対策は必要ではあるが、負担も大きい。アタックサーフェスアナリティクスサービスでは、悪いところを見出し、そこに集中することで効果的な対策を期待できるだろう。

AOSデータでは、アタックサーフェスアナリティクスサービス以外にも、図10のようなセキュリティ対策を提案している。

図10 これからのセキュリティ対策：5つのポイント

AOSデータでは、これまで不正な案件を扱ってきた。しかし、内部からの流出なのか、外部からの侵入かわからないことが多い。最近の事例では、内部に見せかけた外部からのウイルスも存在するとのことだ。フォレンジック対策とアタックサーフェスアナリティクスサービスを組み合わせることで、対処が可能になる可能性が高いだろう。

本稿ではふれることはできなかったが、図10の03にあたるのがDeep Instinctである。その最大の特徴は、シグネチャを使わないマルウェア対策である。AOSデータでは、新たな技術で、新たなセキュリティ対策を目指している。