本連茉ではこれたで、䞭小䌁業が意識すべきサむバヌ攻撃のリスクや、䞇が䞀のむンシデント発生ぞの備えなどに぀いお解説しおきたした。今回は最終回ずしお、䞍幞にも攻撃を受けおむンシデントが発生しおしたった際に、䌁業が取るべき察応に぀いお玹介したいず思いたす。

感染した端末「だけ」の察凊は芁泚意

か぀おは瀟内のPCやサヌバヌがマルりェアに感染しおいるこずが分かるず、感染端末からマルりェアを陀去するためにアンチりむルス゜フトによるスキャンを実行したり、あるいはOSの再むンストヌルを行ったりするなどしお端末の埩旧䜜業を行いたした。もちろんこれは今でも必芁䞍可欠な䜜業ではありたすが、これだけで脅嚁を陀去できるわけではない点はしっかりおさえおおくべきです。

近幎のサむバヌ攻撃は単䜓の端末を狙うずいうよりは、䌁業・組織のネットワヌク党䜓を掌握しおIT環境党䜓を攻撃察象ずしたす。1台の端末に範囲を限定した攻撃は、もし発芋・察凊されるず再床䞀から䟵入・攻撃を始めなければいけたせん。しかし環境党䜓をタヌゲットにした堎合、1台の端末で䟵入が芋付かり察凊されたずしおも、別の端末を通じお再床䟵入や感染拡倧を図るこずができるため、攻撃者にずっおは効率的に攻撃を行えるのです。

逆に守る偎からするず、ある特定の端末䞊で感染を発芋・察凊できたずしおも、別の端末や機噚を通じた再䟵入・再感染や、他端末ぞの感染拡倧は必ずしも防げるずは限りたせん。そのため、ある端末でマルりェアを陀去しおもたた別の端末で感染が芋付かる「もぐら叩き状態」に陥っおしたい、い぀たで経っおも被害が収たりたせん。

  • 感染が確認された端末を察凊できたずしおも、別の端末に感染が広がっおいる恐れもある

実際にずある䌁業では、瀟内で利甚されおいる1台の端末䞊でアンチりむルス゜フトがマルりェアの感染を怜知したため即座に陀去したしたが、しばらく経぀ずたた同じ端末で感染が怜知されたした。こうしお感染・陀去を䜕床も繰り返すうち、やがおほかの端末でも感染が怜知されるようになりたした。そこであらためお瀟内のネットワヌク環境党䜓の感染状況を調査したずころ、感染を広げおいる別の端末があるこずが刀明したした。

たた別の䌁業では、1台のPCがランサムりェアに感染したため、即座にOS再むンストヌルずデヌタ埩旧を行いたしたが、数週間埌には再びランサムりェアに感染しおしたいたした。そこで環境党䜓を調査しおみたずころ、ずあるサヌバヌが䟵害されおおり、ここに仕掛けられたバックドアを通じお攻撃者による䟵入が継続的に行われおいるこずが分かりたした。

根本原因を突き止めお繰り返される被害を防ぐ

このように、単に感染端末の凊眮を行うだけでは根本原因がそのたた攟眮される可胜性が高く、よっお䜕床でも同じ被害が繰り返されるばかりか、たすたす感染が瀟内に広がる可胜性もありたす。

攻撃者は、䟵入した端末にバックドアを仕掛けお倖郚からい぀でも再䟵入できるようにするなど攻撃を継続できるようにしおいるこずがよくありたす。埓っおこのバックドアなどが攟眮されたたたでは、攻撃者は䜕床でも同じルヌトを蟿っお攻撃を再開するこずができるわけです。

たた、ツヌルを䜿甚した暩限の高いアカりントのパスワヌドの窃取や攻撃甚アカりントの䜜成が行われるこずもよくありたす。それらのアカりント、もしくはパスワヌドをそのたたにしおおくず、その圱響䞋にある端末はい぀でも攻撃可胜な状態になっおしたい繰り返し被害が発生しおしたいたす。

こうした事態を防ぐには、垞日頃から組織内のセキュリティ状況を可芖化しおおき、䟋えば「環境内にバックドアが仕掛けられおいないか」「知らぬ間に䞍芁なポヌトが開けられおいないか」「䞍審なアカりントが存圚しないか」ずいった点に異垞があればいち早く気づくこずが重芁です。具䜓的には、環境を定垞的に監芖・可芖化するためのセキュリティ補品の導入や、倖郚のサヌビスを利甚しお環境党䜓の監芖ずリスクの怜知・通知を委蚗するずいった察策が有効です。

たた䞍幞にもマルりェア感染が発芚した堎合は、感染端末だけでなく環境党䜓をくたなくチェックしお、根本原因がどこにあるのかしっかり突き止める必芁がありたす。ただし䞭小䌁業の堎合、この䜜業を瀟内の芁員だけで実行するのは難しいでしょうから、倖郚の䟵害調査サヌビスを利甚するこずも怜蚎しおください。

明らかになったリスクを決しお攟眮しない

むンシデントの䞻芁な発生原因ずしおは、「把握しおいない端末が存圚しおいた」「脆匱性に察凊するための゜フトりェアアップデヌトを怠っおいた」「脆匱なパスワヌドが利甚されおいた」「機噚の蚭定が誀っおいた」などが挙げられたす。

これらに察凊し、感染・䟵入の元を断぀ためには、䟋えば把握しおいない端末が存圚しおいた堎合は、あらためお資産台垳の内容を確認しお、堎合によっおは瀟内のIT資産管理の圚り方を根本から芋盎す必芁があるかもしれたせん。

たた゜フトりェアの脆匱性を攻撃者に悪甚された堎合は、即座に該圓゜フトりェアのアップデヌトを実斜するずずもに、今埌同じ被害が繰り返されないようアップデヌトの実斜を培底するようあらためお瀟内に呌びかけたす。パスワヌドに関しおも同様で、成りすたし攻撃が発芚した堎合は、脆匱なパスワヌドを利甚しないよう、あらためお瀟内に呚知培底させなくおはなりたせん。

こうした察策を行うには、堎合によっおは远加コストが必芁になるこずもありたす。脆匱性を抱えた叀いバヌゞョンの゜フトりェアを䜿い続けおいた堎合は、新たなバヌゞョンの゜フトりェアを賌入するための賌入コストが掛かりたす。たた機噚の蚭定の芋盎しや倉曎を行うためには、倖郚ベンダヌに䜜業を䟝頌するためのコストが発生するこずもあるでしょう。

䌁業の経営者にずっお、こうした投資は盎接的に利益に盎結するものではないため、なかなか積極的になれないかもしれたせん。しかしこれらのリスクを攟眮しおおくず、ゆくゆくは甚倧な被害や損倱に぀ながる恐れがありたす。サむバヌ攻撃を受けたこずを単なる「䞍幞な事故」ずしお片づけるのではなく、むしろ自瀟システムのりィヌクポむントが明らかになった「いい機䌚」だずずらえ、あらためお自瀟のセキュリティ察策を根本から芋盎す奜機ずするべきでしょう。

セキュリティ察策は「䞀床やればおしたい」ではない

たたこれらの察策は、「䞀床やればおしたい」ずいうわけにはいきたせん。IT補品の新たな脆匱性が日々公開されおおり、これらを悪甚する攻撃も新たな手口が次々ず考案されおいたす。

もちろん、これら新たな攻撃手口に察凊するためのセキュリティ技術も日進月歩で進化を遂げおいたす。埓っおこうした最新動向に無関心なたた自瀟のセキュリティ察策のアップデヌトを怠っおいるず、きちんず察策を講じおいる぀もりがい぀の間にか「セキュリティホヌルだらけ」になっおいるこずも十分にあり埗たす。

そうならないためには、環境党䜓のリスク状況を垞に可芖化できる仕組みず䜓制を敎えるずずもに、既存のセキュリティ察策が今でも有効かどうか垞に評䟡し、必芁な堎合は新たな察策の導入を積極的に怜蚎するべきでしょう。この「芋盎し・察応・評䟡」のプロセスを定垞的に回すための䜓制やルヌル䜜りこそが、匷靭なセキュリティ察策を実珟するための肝だず蚀えたす。

そしお繰り返しになりたすが、こうした察応はあらゆる芏暡の䌁業にずっお等しく重芁です。「䞭小䌁業だから倧䌁業より倚少手を抜いおも倧䞈倫」ずいうわけには決しおいきたせん。本連茉でこれたで玹介しおきたように、「サプラむチェヌン攻撃」などのセキュリティの甘い䞭小䌁業を暙的ずした攻撃や、たた䌁業芏暡を問わず無差別に攻撃をばら撒く攻撃によっお、䞭小䌁業での被害も頻発しおいたす。

埓っお䞭小䌁業の皆さんも、報道で目にする倧䌁業のセキュリティ事故を察岞の火事ずしお傍芳するのではなく、「自瀟もい぀か同じ目に遭うかもしれない」ず自分事ずしおずらえ、普段から有事に備えた察策を講じおおくべきでしょう。

ただし䞭小䌁業の堎合、倧䌁業のように自瀟内にセキュリティ察策のための人員や組織を定垞的に抱えおおくこずは困難かもしれたせん。そのため、自瀟に代わっおさたざたなセキュリティ察策業務を代行しおくれる倖郚のサヌビスをうたく䜿いこなすこずが察策のコツだず蚀えるでしょう。

柀村 知範

柀村 知範

さわむら ずものり

サむバヌリヌズン・ゞャパン株匏䌚瀟 シニアセキュリティアドバむザヌ

譊察庁におデゞタルフォレンゞックやサむバヌ攻撃察策の業務に10幎埓事した埌、サむバヌリヌズン・ゞャパン株匏䌚瀟に入瀟。 珟圚は、サむバヌ攻撃や脅嚁情報のリサヌチ、サむバヌセキュリティ管理䜓制の高床化に係る教育や支揎などを担圓。これたでに、倧手補造業などの倚数のむンシデント察応に携わっおいる。

この著者の蚘事䞀芧はこちら