ランサムウェア対策としてのマイクロセグメンテーションの効果とは

アカマイ・テクノロジーズは11月28日、ランサムウェアに関するラウンドテーブルを開催した。米国本社は今年10月にレポート「インターネットの現状|猛威を振るうランサムウェア」を発表。

同レポートは、世界中の約1,200人の IT 意思決定者とセキュリティ意思決定者から得た情報に基づくもので、データは2021年10月から2023年5月31日までに収集されたもの。

ラウンドテーブルでは、シニアリードプロダクトマーケティングマネージャーの金子春信氏が同レポートのハイライトとランサムウェア対策として導入が進むマイクロセグメンテーションについて説明した。

アカマイ・テクノロジーズシニアリードプロダクトマーケティングマネージャー金子春信氏

ランサムウェアの最新動向

金子氏は、同レポートのポイントとして、「高止まりするランサムウェア攻撃」「猛威を振るうLockbit」「ゼロデイ脆弱性を悪用する攻撃グループの台頭」「IAB（Initial Access Broker）の暗躍」を挙げた。

高止まりするランサムウェア攻撃

2023年第1四半期は2022年第1四半期と比べて、被害件数は143％と大幅に増加しているが、国別の傾向では、日本は全体平均より下がることが明らかになった。

調査対象1200社が受けたランサムウェア攻撃の回数の平均（失敗も含む）が86回だったのに対し、日本の平均回数は81回と微減の状態だった。

また警察庁によると、令和5年上半期におけるランサムウェアによる被害件数は103件（前年同期比9.6％減）と、高い水準で推移していることから、金子氏は「高止まりの状況にある」と指摘した。

被害件数別ランサムウェアグループ上位10

猛威を振るう「Lockbit」

調査対象期間において、最も多くの攻撃を行ったランサムウェアグループは「LockBit」となった。LockBitは、ランサムウェアによる被害件数（1,091件）の39％を占めている。

金子氏は、LockBitが使われる理由について、次のように説明した。

「Lockbit 3.0では、バグバウンティを導入することで、機能強化が行われているほか、アフィリエイトと呼ばれる攻撃実行者の取り分が多い。さらに、ネットワーク内で自動拡散する機能も備えており、使い勝手がよい」

Lockbitは日本企業に対しても攻撃を仕掛けており、2022年10月に行われた大阪急性期・総合医療センターへの攻撃、2023年7月に発覚した名古屋港の活動停止もLockbitの仕業と見られている。

ゼロデイ脆弱性を悪用する攻撃グループの台頭

一部のサイバー攻撃グループによる、ゼロデイ脆弱性を悪用したランサムウェア攻撃が増加していることも明らかになった。そうしたサイバー攻撃グループの典型として、金子氏は「CL0P」を紹介した。

特に、今年6月に明らかになったファイル共有・転送ツール「MOVEit Transfer」のゼロデイ脆弱性を悪用したサイバー攻撃では、1000以上の組織が被害を受けたという。なお、同ツールは国内ではあまり利用されていないため、あまり騒がれなかった印象があるという。

IABの暗躍

IABとは、サイバー攻撃のターゲットに不正アクセスを行う最初の侵害において、必要となる情報や侵入口を販売・転売する存在だ。LockBitをはじめとするランサムウェアグループはIABを利用しているという報告があがっているそうだ。

マイクロセグメンテーションの効果

このように、ランサムウェア攻撃の猛威はとどまる気配がない。金子氏は、ランサムウェア対策においては、ネットワーク内部のセキュリティが重要であり、それを実現するソリューションがマイクロセグメンテーションだと説明した。

昨今、初期侵入の高度化や多様化が進んでいることから、企業や組織は、サイバー攻撃者に侵入されていることを前提とした対策、つまり、侵入後の行動を抑える必要があるという。

マイクロセグメンテーションとは、ゾーンを作成して、サーバやアプリケーションを隔離することで保護するセキュリティ技術を指す。マイクロセグメンテーションにより、複数箇所で、ランサムウェア攻撃を遮断することが可能になる。

金子氏は、「十分なセキュリティ対策を講じているはずの大手企業　においても、ランサムウェア攻撃の被害が止まらない。セキュリティ業では、内部の通信制御を行うべきという論調として高まっている」として、既存のセキュリティ対策に加えて、マイクロセグメンテーションを実施すべき重要性を訴えた。

侵入型ランサムウェアの行動のイメージ

例えば、1つの区切りしかないマイクロセグメンテーションでは攻撃を止めるために15時間かかるのに対し、6つに区切ったマイクロセグメンテーションでは4時間で攻撃を止められるという。

また、攻撃者の動きの阻止については、1つの区切りしかないマイクロセグメンテーションでは14時間かかるのに対し、6つに区切ったマイクロセグメンテーションでは3時間で済むという。

ファイアウォール型とエージェント型マイクロセグメンテーションの違いは？

さらに、金子氏はマイクロセグメンテーションには、従来のファイアウォールを用いる手法とエージェントを用いる手法があると説明した。ファイアウォール型のマイクロセグメンテーションには、以下のように、内部通信に関する3つの課題があるという。

ゾーン内の通信は検査がない
複雑な設計・設定
オンプレとクラウドにおいて分断

3つの課題を抱えているファイアウォール型マイクロセグメンテーション

そのため、アカマイでは、上記の課題を解決するエージェント型セグメンテーションの利用を推奨している。エージェント型はインフラを選ばず動作するという。「エージェント型マイクロセグメンテーションでは通信を一元管理することができる。全体を柔軟に管理する傾向が高まっている」と、金子氏はエージェント型セグメンテーションの優位性について語っていた。