ランサムウェアグループによる攻撃が日本国内でも深刻な被害をもたらしており、企業は大手から中小まで規模を問わず徹底的な対策が不可欠だ。
2月24日、セキュリティソリューションとシステムインテグレーションを提供するラック主催のセキュリティセミナー「見逃せない!! これが、ランサムウェア対策の具体解『AD要塞化+マイクロセグメンテーション』」(共催:アカマイ・テクノロジーズ)がオンラインで開催された。本セミナーではタイトル通り、ランサムウェア対策に効果を発揮するソリューションとして「AD要塞化+マイクロセグメンテーション」を提唱している。本稿ではその様子をダイジェストでお届けする。
インシデント公表情報の拡充が対策強化に有効
まず基調講演で登場したのは、セキュリティ情報ブログ「piyolog」の運営などで知られるpiyokango氏。脅威情報分析チーム・LETTICEにも所属し、インシデントや脆弱性の情報を追い求めている同氏が、2025年に被害公表された事例を振り返りながら知見を披露した。
同氏によると、2025年公表のランサムウェア、不正アクセスなど外的要因に起因する国内インシデント総数は1115例。この中には自社で直接起きたわけではなく業務委託先等で発生したものが波及した547例も含まれている。ただ原因に関する中身を見ると、認証認可の不正利用98例、脆弱性悪用61例などとなっている一方、最も多いのは「記載なし」で338例もある。
-
piyokango氏が把握した2025年1月~12月の公表事例の原因分類
「被害組織が公表した情報を見ても、詳細が分からない事例が増えています。詳細を明らかにする組織が減っている可能性もあります。実際、詳細が公表された事例の割合は2024年の61%から2025年には41%まで下がっており、この状況は無視できません」(piyokango氏)
手口が明らかにされない理由について、同氏は「技術的に分からない」「法務的に言い切れない」「組織的な理由から説明できない」に加えて「レピュテーションの観点で誤解されたくない」「模倣発生等を恐れて明らかにしたくない」「情報開示のメリットが弱い」といったこともあるのではと推察する。この状況では公表された手口と実際の脅威動向に乖離が生まれ、正しい情報に基づく適正なセキュリティ対策実施に問題が生じる懸念を示した。
そのうえで同氏は、公表事例から侵入手口は分かるものの、管理者特権の取得や横移動(ラテラルムーブメント)方法、導入済み対策が有効に機能しなかった理由など被害が深刻化した真の原因の把握は難しくなっており、いわば情報にギャップが生じていると指摘。「侵入への防御一辺倒ではなく、攻撃者の目的遂行阻止を含め“延焼”を防ぐ対策の検討・実施がポイントになる」と強調した。さらに、今後は公表情報が増えていくことが重要で、公表はリスクではなく戦略であり、「起きてから」考えるのではなく常に事前の備えをしておくこと、公表に関するテンプレートを用意しておくことの必要性について語った。
ランサムウェア横移動を防ぐソリューションを知る
続くセッション1ではラック コンサルティング統括部 コンサルティングサービス二部 担当部長の初田淳一氏が登壇、「Windows・ADハードニングの第一歩〜公開資料とチェックツールを使いこなす〜」と題する講演を行った。冒頭、同氏は2021年〜2025年の国内ランサムウェア被害状況を提示。この中で、2025年の事案の多くはWindowsおよびActive Directory(AD)環境で起きていたことを明かした。
-
ラック コンサルティング統括部 コンサルティングサービス二部 担当部長 初田淳一氏
次に同氏はランサムウェア攻撃の経路を振り返り、中でも横移動に焦点を当てて解説した。
「攻撃者は初期侵入後どのように横移動しているのか。まずはソフトウェアの脆弱性悪用です。また平易なパスワード、窃取されたパスワード、VPNに設定されたAD連携用アカウントの悪用もあります」(初田氏)
-
横移動のイメージ図
横移動の攻撃手法は数多くある中、初田氏は代表的なものとして「Pass the Hash攻撃」を挙げ、「問題点はWindows・ADでの徹底したアカウント管理とセキュリティ設定強化により改善可能で、横移動に大きな制限を与えられる」と指摘した。
-
横移動の攻撃手法と問題点
続いて、Windows・ADのセキュリティ対策に役立つ無償入手可能な公開資料とチェックツールを取り上げた。まずWindowsの設定についてはGoogleから公開されている「Ransomware Protection and Containment Strategies」が非常に参考になるという。次にADの監査ツールではNetwrixの「Ping Castle」とSemperisの「Purple Knight」を紹介。そのうえで「自組織ではレポートや対策を精査するリソース(時間や人)がなかったり、指摘された対策が必須なのか分からなかったり、専門家に相談したいときは当社の『Windows・AD要塞化分析サービス』をご検討ください」と語った。
「本サービスのポイントは、ランサムウェア攻撃・標的型攻撃への対策に特化している点、対策について優先順位を付けて報告する点、全てのハードニング項目と具体的設定方法を網羅した200ページを超える設定ガイドを提供している点です」(初田氏)
低コストで高いセキュリティ対策効果を得られること、フォローアップが充実していることも説明し、「本サービスを通じて、ランサムウェアや標的型攻撃に強いWindows・ADにしてもらえたら」と語った。
-
Windows・AD要塞化分析サービスの概要
アタックサーフェス最小化に戦略を切り替え、重要システムを守る
セッション2は、アカマイ・テクノロジーズ セキュリティ製品事業部 シニアセキュリティスペシャリストの山下洋氏による「Crown Jewelから始めるAkamai Guardicore Segmentation〜マイクロセグメンテーションの優先防御実践〜」だ。同氏はまず、「2025年にランサムウェア被害を受けた日本を代表する企業2社は、しっかりセキュリティ投資を行っていたはずだが、なぜ被害は起きてしまったのか。背景として、攻撃手法が変わってきていることが考えられる」と話した。
-
アカマイ・テクノロジーズ セキュリティ製品事業部 シニアセキュリティスペシャリスト 山下洋氏
マルウェアを配布してシステムやPCを攻撃する従来手法から、近年は「LoTL型(Living off the Land型、環境寄生型)に変化している」と山下氏は言う。これはマルウェアを用いるのではなく、OS標準ツールを悪用する手法だ。またランサムウェア攻撃についても、時系列で見るとランサムウェア配布前の段階でADの管理者権限が奪取されているそうだ。
-
攻撃手法のパラダイムシフト
「攻撃者は正規ツールを悪用して侵入した後、セキュリティが甘いADを攻撃して特権を奪い、防御を無効化。その後にランサムウェアを配布する流れになっています。よって防御の設計を、検知型を軸とした従来型から、アタックサーフェス(攻撃対象領域)の最小化へと切り替える必要があります。そこで、マイクロセグメンテーションの手法を採り入れ、攻撃者が行いたい通信もしくは操作そのものを成立しにくくする対応が求められています」(山下氏)
続いて山下氏は、同社の「Akamai Guardicore Segmentation(AGS)」へと話を進めた。同製品の概念はファイアウォールをソフトウェア化したもので、保護したいサーバやPCにインストールし、管理サーバ経由で制御するものだ。従来型ファイアウォールが提供するL3/L4レベルの通信可視化・制御に加えて、L7すなわちプロセス単位の可視化と制御を実現でき、「エンドツーエンドのマップによる可視化やラベルを用いた効率的なポリシー運用、そして横展開対策が可能になる」と同氏は説明する。
-
Akamai Guardicore Segmentation(AGS)の概要
ここまでの前提のうえで、話題はメインテーマの「Crown Jewel」へと展開した。Crown Jewelとは「企業のビジネスモデルを成立させている中核システムもしくは機密データ」を指し、例えばEC事業者の場合はECサイトや決済基盤、顧客情報などが、製造業では設計データやPLM(Product Lifecycle Management、製品ライフサイクル管理)、開発環境、生産設備の制御システムなどがこれに当たる。
同社としては、このCrown Jewelからマイクロセグメンテーションのカスタマージャーニーを始めることを推奨している。
「まずは保護すべきアセットを定義し、Agentのインストールと通信要件の整理によって通信制御を行っていくというのが、マイクロセグメンテーションの大まかな考え方です」(山下氏)
-
Crown Jewelを起点としたアプローチ
続いて、Agentのインストールから保護したいCrown Jewel周辺の通信の特定、ファイアウォールルール実装に至るマイクロセグメンテーションの段階的導入アプローチと運用フェーズについて話を進めた。そして最後に、共通IT基盤についてもセグメンテーションが重要であると述べたうえで、難しいとされるAD保護がAGSを用いれば用意になると説明。「AGSを活用することで攻撃の成立条件そのものを排除し、環境を強固にしていくことが可能になると考えている」と語り、セッションを締めた。
[PR]提供:ラック
