#はじめに
SMB445です。
現在は主にセキュリティ関連の案件を担当しており、CSIRT1とSOC2の橋渡し的な立ち位置で仕事をしています。
セキュリティ関連に携わるエンジニアとして、皆さんに共感して頂けるような記事を届けたいと思います。
セキュリティ関連で取り上げて欲しいネタがあれば、ぜひコメントください。
#今日のネタ
話題になることが増えているランサムウェア3についてです。
2021年3月にIPAが発表した『情報セキュリティ10大脅威』の最新のレポート(2021)にて、「ランサムウェアによる被害」が組織部門で1位(2020では5位)になっています。
2021年上半期でニュースになったランサムウェア被害です。
・食肉加工業者・JBS
・コロニアル・パイプライン
・ホンダ
・富士フイルム
・ニップン
#傾向
2021年7月30日にIPAが発刊した『情報セキュリティ白書2021』によると、下記傾向にあると報告されています。
初期潜入段階ではインターネットに公開されたサーバやVPN 製品等のネットワーク製品の脆弱性を狙い、侵入後にはADサーバや情報の格納されたファイルサーバが攻撃の対象となる傾向があり、ばらまき型から特定の企業・組織を標的とした、次の二つの方法を使用した新たな攻撃が観測されているとしています。
• 人手によるランサムウェア攻撃(human-operatedransomware attacks)
標的型攻撃と同様の手口で、攻撃者自身が様々な方法を駆使して、企業・組織のネットワークへ侵入し、侵害範囲を拡大して、企業・組織内のパソコンやサーバをランサムウェアに感染させる攻撃方法。
• 二重の脅迫(double extortion)
ランサムウェアにより暗号化されたデータを復旧するための身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と脅迫する攻撃方法。窃取されたデータは、攻撃者がインターネットやダークウェブ上に設置した、データ公開のためのWeb サイト(以下、リークサイト)にて公開される。
決して、ばらまき型がなくなったというわけではないので、その点は注意ください。
#何をする
下記は米国の石油パイプライン事業者「コロニアル・パイプライン」がサイバー攻撃の影響で操業停止に追い込まれた事件を受けて、2021年5月11日に発令されたもので被害を軽減するためのベストプラクティスがまとめられています。
この記事で記載されているポイントで取り組み易い項目、現在は特に意識した方が良い点を記載します。
[US-CERT 『Alert (AA21-131A)
DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks』]
(https://us-cert.cisa.gov/ncas/alerts/aa21-131a)
多要素認証の実装
リモートワークが増えている中で、特にVPN機器についてはアクセス時の多要素認証実装、脆弱性リリース時のセキュリティパッチ適用は必須です。脆弱性のリリースについては、JPCERTの注意喚起情報を活用しましょう。
JPCERT 注意喚起情報
スパムフィルターの有効化とユーザートレーニング
ランサムウェアだけでなく、BEC4も含めてメールから始まるケースは多いです。このためスパムフィルターを活用しながら、ぜひユーザー教育とセットで取り組んでみてください。
RDP5を制限する
外部からのRDPを制限するのはもちろんですが、特に特権アカウントを保持しているユーザーは踏み台のPCを用意して、そこからRDPする仕組みをお勧めします。これは下記資料にてJPCERTでも推奨しています。
踏み台PCの資格情報を定期的に削除することも有効だと思います。
DC やサーバの管理に使用する端末は、管理者アカウントの認証情報が保存されるため、管理者アカウントを狙った攻撃の対象になりやすい。これらの端末を管理専用端末とし、用途を DC やサーバの管理だけに限定する。さらに、インターネットへのアクセスやアプリケーションの実行を制限することで、マルウエア感染などのリスクが減り、高度サイバー攻撃による侵害の可能性を軽減できる。
[JPCERT 『ログを活用した Active Directory に対する攻撃の検知と対策』]
(https://www.jpcert.or.jp/research/AD_report_20170314.pdf)
MicrosoftOfficeファイルのマクロスクリプトを無効化
ばらまき型、標的型でも、メールに添付されたマクロ付きファイルを実行することで、C&Cサーバ6からマルウェアダウンロードが始まるケースが多いです。添付されたOfficeファイルのマクロ実行を無効化しておくことでマルウェアがダウンロードされることを防ぐことが出来ます。
[Microsoft 『Office ドキュメントのマクロを有効または無効にする』]
(https://support.microsoft.com/ja-jp/office/office-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%81%AE%E3%83%9E%E3%82%AF%E3%83%AD%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%BE%E3%81%9F%E3%81%AF%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B-12b036fd-d140-4e74-b45e-16fed1a7e5c6)
ITネットワークとOT7ネットワークのセグメントを分離し、ネットワークトラフィックをフィルタリング
制御システムが停止すると影響が大きいため、一般的なITネットワークとはセグメントを分けて、Firewallなどでネットワークトラフィックのフィルタリングの管理ができるように運用する手法です。
間違っても、制御システムを直接インターネットに晒すようなことはしないでください。
定期的なBackup手順を確立し実装
暗号化されたデータを復元するために必要です。定期的に復元できるのか確認することも有効です。
Backupから復元できないことで、四半期報告書の提出期限を延長した上場企業も出ていますので、本当にBackupは大事ですね。
ユーザーアカウント制御、および特権アカウント管理のアカウント利用ポリシーを定義
アカウントは利用におけるポリシーを定義して、必要以上に権限を付与しない、権限付与されているユーザーも必要時以外には利用しない運用することも有効だと思います。
#まとめ
セキュリティ対応は1人で1から考えるのではなく、様々な機関が公開している資料にアクセスしてベストプラクティスを真似ることが重要だと考えています。公開されているベストプラクティスも決して難しい内容ばかりではありません。
皆さんの管理されている環境でも適用できる事項もあると思いますので、一度システムの状況を整理して、対応できるところから適用してみてください。
出来ることから順番と予算を付けて実施する、ですね。
冒頭にも記載しましたが、今後もセキュリティに関する発信を続けていきたいと思います。
取り上げて欲しい話題などあれば、気軽にコメントください。
-
「Computer Security Incident Response Team」の略で、コンピュータセキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織 ↩
-
「Security Operation Center」の略で、企業などにおいて情報システムへの脅威の監視や分析などを行う役割や専門組織 ↩
-
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、コンピュータウィルスの一種です。このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりします。また、感染した端末の中のファイルが暗号化されるのみではなく、その端末と接続された別のストレージも暗号化される場合もあります。この制限を解除するための身代金を要求する画面を表示します。 ↩
-
「Business Email Compromise」の略で、海外の取引先や自社の経営者層等になりすまして、偽の電子メールを送って入金を促す詐欺 ↩
-
「Remote Desktop Protocol」の略で、サーバコンピュータの画面をネットワークを通じて別のコンピュータ(クライアント)に転送して表示・操作するリモートデスクトップあるいは仮想デスクトップで、サーバとクライアントの通信に用いられる通信プロトコル ↩
-
「Command and Control サーバ」の略で、サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためボットネットワークをコントロールする指令サーバ ↩
-
「IT(Information Technology)」に対し、「OT(Operational Technology)」は、製造業において工場のハードウェアを制御・運用するための技術 ↩