日本国内でランサムウェアによる被害が広がっている。ランサムウェアは以前からある攻撃だが、なぜここにきて活発化しているのか。そして被害を食い止めるにはどのような考え方と対策が必要なのか。デル・テクノロジーズ株式会社 DPS事業本部の西賴大樹氏と、セキュリティ情報サイト「piyolog」を運営するpiyokango氏の対談から、ランサムウェア対策と事業継続のための対策の本質を探る。
■ 対談メンバー ■
-
「piyolog」運営者 CISSP
piyokango 氏 -
デル・テクノロジーズ株式会社
DPS事業本部 事業推進担当部長
西賴 大樹 氏
特殊詐欺の出し子と受け子のような仕組みが構築されているランサムウェア攻撃
──ランサムウェア被害が止まりません。どういう状況なのでしょうか。
西賴氏: ランサムウェアの様相は大きく変貌しています。小規模グループによるいたずらのようなものでなく、大規模に組織化された国際犯罪へと変わっています。被害総額も年々増加していて、対策はますます困難になっています。世界経済フォーラム(WEF)のレポートでは、2021年のサイバー攻撃の被害総額はGDP世界第3位と同額規模(日本のGDPである5兆米ドル以上)になると報告されています。ここまで拡大した裏にはランサムウェアによる被害拡大があるからです。同レポートは「一般社会を脅かす”脅威”として取り組む必要がある」とも警鐘しています。
piyokango氏: 2021年5月に米コロニアル・パイプライン社がランサムウェアにより操業停止に追い込まれました。この事件以降、ランサムウェアは国家レベルのリスクとしても対応が必要との認識が強まったように思います。4〜5年前と今を比べると、組織を狙った攻撃の被害公表は着実に増えています。脅迫で得る身代金も個人からの数十万円より、特定の組織からの数億円といったビッグゲームハンティング(大物猟)をしたほうが、手間もかからず、攻撃者の間で儲けを分けやすいと考えられるようになっています。
西賴氏: 特定の犯罪組織が主導するというより、民間のエンジニアや一般人が攻撃に参加するケースもあると言われていますよね。
piyokango氏: そうですね。犯罪者同士が交流するWebサイトなどを見ると、分業化が進んでいることがわかります。「ベネトレーションテストの経験者」「特定製品の検知を逃れる技術を持つエンジニア」など、特定のスキルを持った人材をリクルートする投稿も見つけることができます。また、ランサムウェアをサービスとして提供する「RaaS (Ransomware as a Service)」が登場したことを受け、攻撃者が動きやすい環境も整ってきています。ランサムウェアを開発する人、組織へ侵入する人、内部で拡散し攻撃を仕掛ける人など細かく分業しながら稼ぐビジネスモデルができあがっているのです。
西賴氏: 特殊詐欺の出し子と受け子のような仕組みがグローバルでできあがっているわけですね。
piyokango氏: 出し子や受け子を捕まえても、元締めは危険を察知してすぐに逃げます。ランサムウェアの仕組みを提供している元締めが摘発されたケースはこれまでにありません。コロニアル・パイプライン社のケースでも米国政府が強く反応したせいかグループはすぐに姿を消しましたが、のちに名前を変えて活動を再開したとも言われます。いたちごっこといいますか、継続的なビジネスモデルの構築に成功していると言ってもいいかもしれません。
日本の食品業や町立病院も被害に、サイバー攻撃に対応したBCP・DRが必要
──そうしたなか企業はランサムウェアにどう対抗すればよいのでしょうか。
piyokango氏: ランサムウェアという名称が攻撃の実態と合っていないことに注意が必要です。何か特定のウイルスに感染するだけだと思われがちですが、ランサムウェアに感染することは一連の攻撃手口の1つにすぎません。そのため攻撃全体を俯瞰した対策が重要です。また、国防や社会インフラ企業、著名な企業だけが狙われるわけではありません。成功したところから攻撃をしかけていくため、どんな組織もターゲットになりえます。機密情報を盗み公開する二重脅迫と呼ばれる手口も確認されており、「バックアップから戻せばいい」だけの対策では通用しなくなっています。
西賴氏: 実際、2021年7月には日本の大手製粉企業が、11月には日本の町立病院が、ランサムウェアによって甚大な被害を受けましたよね。製粉企業では、バックアップデータを管理するサーバも含めた大半のデータが暗号化され、データ復旧の手段を失いました。町立病院のケースでは、8万5000人分の電子カルテに加え、バックアップサーバやデータまで無能化され復旧ができなくなりました。
piyokango氏: 個人的にゾッとしたのは、昨年、とあるランサムウェアギャングから流出した内部資料とみられるファイルにバックアップを無効化するための手順がマニュアルとして解説されていたことです。「ランサムウェアはバックアップをとっていれば復旧可能」という対策を逆手にとり、明確にバックアップまでターゲットにした攻撃が行われているということです。
西賴氏: それは怖いですね。具体的にどのような記述があるのですか。
piyokango氏: たとえば、Windows Defenderのリアルタイム保護の無効化やボリュームシャドーコピー(VSS)の削除を行う手順が記述されていました。またツールを使って侵入先の内部ネットワークの状況を把握する手順もあり、冒頭にはNASやバックアップの把握を容易にするツールであるとの説明もありました。攻撃者から見ればバックアップによってすばやく復旧されることが問題なので、攻撃の目標としていると考えられます。
西賴氏: 攻撃の高度化・巧妙化でそもそも防御が難しい上、被害を受けた後の復旧まで想定した攻撃がなされてくる。対策側としては、侵入を前提とした検知はもろちん、復旧プロセスが無効化されることを想定した対策が求められるようになっていますよね。
piyokango氏: おっしゃる通りです。予め狙われていたのではなく、流れ弾に当たるだけで下手をすればすぐに致命傷につながる状況です。自然災害だけでなくサイバー攻撃に対応したBCP・DRが必要です。
セキュリティで重要になる「可用性」と、サイバーリカバリーのための3つの重要ポイント
──サイバー攻撃に対応したBCP・DRはどう整備していけばよいでしょうか。
西賴氏: ディザスターリカバリーとサイバーリカバリーは似て非なるものという発想が必要です。オンライン上にあるデータすべてにリスクがあると考え、そのうえで、データを戻す仕組み自体の無効化に対応していくことが必要です。
piyokango氏: また、バックアッププランの策定と運用などを情報システム部門に任せてきりにしまうのではなく、組織や業務全体で推進する体制が必要です。バックアップが本当に戻せるのか、戻すときにどのくらい時間がかかるのかまで正しく、定期的に検証できている企業は珍しいのではないでしょうか。攻撃や被害の情報にキャッチアップすることは日に日に難しくなっているため、能動的で組織的な取り組みが求められます。
西賴氏: セキュリティ対策とバックアップは従来別々のものと考えられていましたが、最近では、同じ取り組みとして捉えることも増えてきました。セキュリティスペシャリストの目線で見るとその辺りをどう見ていますか。
piyokango氏: 情報セキュリティの3要素である機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を「C→I→A」という順序(機密性を何よりも優先)で杓子定規に確保してしまう傾向があるように思います。この順序を「A→I→C」として、情報を利用することを目的に可用性を重視する議論も改めてすべきではないかと思います。ランサムウェアのような攻撃に対しても素早く復旧し可用性を高めることが重要です。
西賴氏: なるほど。それに関連する考え方として、デル・テクノロジーズでは、サイバーリカバリーを実現するための3つの「I」を提唱しています。データ防御(Immutability)、データ隔離(Isolated)、データ衛生(Intelligence)のことで、この3要素をすべて揃えることで、より確実なデータ復旧を実現するものです。従来は、検知やブロックといったデータ防御を中心とした対策が主でした。それに加えて、データを攻撃から見えない場所に隔離する、さらに隔離したデータの汚染状況を分析し、復旧するデータが安全かどうかを検証することがポイントです。
ランサムウェア対策と事業継続を支援する「Dell PowerProtect Cyber Recovery」
──デル・テクノロジーズではデータ復旧のためのソリューションを提供されています。具体的に教えていただけますか。
西賴氏: データ復旧のためのソリューション「Dell PowerProtect Cyber Recovery」です。これは、バックアップストレージのPowerProtect DDをベースに、データ隔離とデータ衛生を実現するCyber Recoveryソフトウェア スタックを組み合わせて提供するソリューションです。
仕組みとしては、まずPowerProtect DDにオンラインバックアップしたデータをオフライン環境にある別のPowerProtect DDに復旧用データとして保存します。復旧用データを保存するストレージは、弊社ではVault(金庫)と呼称しており、通常はネットワークからエアギャップ(ネットワークやシステム、コンピュータから物理的に分離された状態)、つまり隔離されていて、必要なときにだけネットワークの活性化とデータ転送を行う方式です。これにより、Vault内の復旧用バックアップデータがランサムウェアによって暗号化されてしまうことを物理的に防ぐことができます。
また、Vaultのなかでは復旧用データが汚染されていないかをどうかを常に検証します。検証には、「CyberSense」と呼ばれるバックアップデータ専用の脅威分析エンジンでフォレンジック分析を実施し、データの安全性を担保します。
piyokango氏: 昨今みられる多発的なランサムウェアによる暗号化を避けるために、エアギャップを用いてデータを隔離することはとても重要です。エアギャップに似た言葉に「オフサイト」がありますが、どちらも狙いは同じです。ただ、注意が必要なのは、言葉の意味にブレ幅があることですよね。オンプレミスのデータをクラウドにバックアップすることを「オフサイト」と呼んだりするケースもあります。ネットワークが常時つながっていれば、自社からオフの状態に見えてもランサムウェアの被害を受ける可能性があり、そのままでは危険です。その意味では、データ伝送時を除いてオフライン化することで、確実な隔離が可能ですね。
西賴氏: おっしゃる通りです。コロニアル・パイプライン社のケースでも、復旧プロセスはあったものの、バックアップデータの安全性を確認できないことから、プロセスの実施を行なわなかったそうです。「PowerProtect Cyber Recovery」を用いると、データを隔離したうえで、隔離したデータの安全性を担保できるので、安心して復旧することができます。
piyokango氏: もしかしたらこうした仕組みを自前で構築することもできるかもしれません。ただ、日々の運用のなかでそのプロセスを確実にまわせるのか、有事の際に適切に対応できるのかを考えると、このようにソリューションとして提供されていることは大きな意味があります。
西賴氏: ありがとうございます。ランサムウェア被害が深刻な欧米に比べると、日本ではまだデータの隔離や復旧データの検証まで関心が向いていない面もあります。しかし、データ復旧の確実性を大きく高める有効な手段です。ぜひこうしたアプローチを活用してほしいと思います。
piyokango氏: 事業継続のためにバックアップは不可欠です。ランサムウェアの脅威は、そのことをあらためて考え直すよいきっかけの1つと言えるかもしれません。深刻な被害にあう前に有効な対策を講じてほしいと思います。
[PR]提供:デル・テクノロジーズ
