“ニューノーマル”時代のセキュリティ新常識（Part 3）

弊社刊「クラウド＆データセンター完全ガイド 2021年冬号」から記事を抜粋してお届けします。「クラウド＆データセンター完全ガイド」は、国内唯一のクラウド／データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売：2020年12月22日
定価：本体2000円＋税

　ランサムウェアは、古くは1989年末に登場したとされるが、現代的なランサムウェアの直接の原型とされるのは2013年に確認されたCryptoLockerで、身代金のやりとりにビットコインを使ったことが成功の要因だったと分析されている。その後、何度か大きな被害が報道される過程で対策も進み、その対策を回避するようにさらにランサムウェア側も進化を繰り返している。

　現在ではランサムウェアの開発者と使用者を繋ぐアンダーグラウンドの市場が確立されており、ランサムウェアの開発者は使用者に対してas-a-Service型でランサムウェアをライセンスし、サポートも行う一方、使用者は被害者から得た身代金の一部をランサムウェア開発者に支払う、という経済圏ができているという。開発者と使用者の分業体制が確立されたことで、攻撃の高度化／悪質化が急速に進んでおり、最新の高度な攻撃手法に基づく攻撃が当たり前のように実行される状況になっていると言われる。

　最新のランサムウェアでは、ユーザー側の対策を熟知したうえで、それを上回る攻撃を実行するように進化してきている。ランサムウェアの基本的な挙動は、感染したサーバーやPCのストレージに記録されているデータを暗号化して身代金支払いを要求、復号のための暗号鍵を販売するというものだ。被害者としては、データを元通り利用可能な状態に戻せればよいので、まずはバックアップを取っておくことが対策のベースとなる。そのため、最新のランサムウェアでは感染してもすぐに暗号化処理を開始するのではなく、まずはシステムの状態をチェックしてバックアップがどのように取られているかを調べ、バックアップを無効化するような攻撃を行うようになっている。Windowsの標準機能を使ったバックアップの場合は、システムの設定変更を行ってバックアップ機能を停止してしまうなどだ。また、バックアップソフトウェアのメディアサーバーの設定を捜索し、バックアップデータを探し出した上で、真っ先にこちらを暗号化してしまうという手法も見られる。被害者がランサムウェア感染に気がついたときには、バックアップデータも暗号化されてしまっているという具合だ。

　こうした高度なランサムウェアを想定した対策としては、バックアップデータをオフラインにしてネットワークから切り離して保管したり、専用のファイルシステムなどを採用したバックアップアプライアンスを使用するなどの手法でランサムウェアがバックアップデータの書き換えをできないようにする、あるいはWORM（Write Once, Read Many）機能を実装したストレージをバックアップデータ保存先として指定し、一度書いたバックアップデータを一定期間変更禁止とすることで、ランサムウェア被害を防ぐという手法もある。

　対策の出現を受け、最新のランサムウェアでは暗号化の前にまずデータを盗み出しておき、「身代金支払いに同意しない場合は取得したデータを公開する」という脅迫も併用するようになっている。これは、EUが定めた“EU一般データ保護規則”（General DataProtection Regulation：GDPR）が背景になっているものと思われる。GDPRでは個人情報漏えいなどの違反が発生した場合に巨額の制裁金支払いが課せられることになっている。その額は「企業の全世界年間売上高の2％、または、1000万ユーロ（約12億円）のいずれか高い方」となっている。ランサムウェア感染に起因する情報漏えいの結果、さらにGDPRの違反金支払いを求められたという具体的な事例があるとは聞いていないが、被害企業にとっては、最低でも約12億円、売上高によってはそれ以上の制裁金を課せられる可能性を考え、身代金がそれ以下の額であれば「払った方が安上がり」という判断を下す可能性もないとは言えない。国内の著名ゲームソフトメーカーである株式会社カプコンは2020年11月、「不正アクセスによる除法流出に関するお知らせとお詫び」を発表し、「第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受け、当社グループが保有する個人情報流出の発生を確認」したことを明らかにしている。同社によれば、同社を標的としたランサムウェアに感染してサーバーのデータが暗号化され、“Ragnar Locker”と名乗る集団から身代金要求があったという。報道によれば要求された身代金は約11億円（1100万ドル）と言われており、GDPRによる制裁金額を意識した設定であるようにも思われる。

　また、最新ニュースとして、2020年12月8日には米国のセキュリティ企業FireEyeが、国家支援型のサイバー攻撃の被害を受け、同社が使用するレッドチーム演習用のツールが盗み出されたことを公表した。こちらは経済利益を目的としたランサムウェア攻撃ではなく、APT（Advanced Persistent Threat Attacks）攻撃と呼ばれるサイバー攻撃で、国家の支援を受けた攻撃者が特定の標的を狙い、長期間に渡って高度な攻撃を仕掛けて内部に侵入し、機密情報を盗み出したりする「標的型攻撃」だ。国防関連企業や先端技術を保有／開発する企業などが標的となる例が多く、最近では新型コロナウィルス関連のワクチン開発企業などが攻撃を受けているという報道もあった。出来合いの攻撃ツールをばらまく形の攻撃とは異なり、時間を掛けて情報収集を行い、ミスや誤認を誘ってマルウェアなどを送り込むため、防御は極めて困難だとされるが、企業向けにセキュリティトレーニングやインシデント対応、インテリジェンスの提供などを行うセキュリティ専門企業が被害に遭ったという今回の事例は、まさにこうした攻撃を防御することの難しさを改めて認識させるものとなったと言えるだろう。

侵入されることを前提とした対策

　これまで一般的に行われていた境界防御型セキュリティでは、外部のインターネット側から内部ネットワークに侵入しようとするマルウェアなどを、ファイアウォールなどの“境界”で検知して侵入を阻止するという方針を採っていたが、前章でも紹介したとおり、こうした対策だけでは不十分と見なされるようになってきている。無差別にばらまかれるマルウェアやフィッシングメールは防御も比較的容易だが、特定の標的を定めて時間を掛けて情報収集を行い、ピンポイントで仕掛けてくる標的型攻撃（APT）を防御するのは極めて困難だ。フィッシングメールなどの攻撃も、最近では攻撃者側に日本語に精通した人物が協力するようになっているのか、一見するとごく自然で不自然な箇所が見当たらない文面の日本語メールなどが使われるようになってきている。企業の場合、社員のうちの1人でもこうしたメールを信用してしまえば、マルウェアの侵入を許してしまう結果になる可能性がある。コロナ禍で急速に拡大した在宅勤務／リモートワークも、防御すべきアタックサーフェスを大幅に拡大した結果となっているため、従来以上に防御しにくい環境となっていると考えざるを得ないだろう。

　現在では、境界型セキュリティを突破して内部に侵入するマルウェアなどが一定数存在するという認識を前提に、内部ネットワークの状態を常時監視し、侵入の痕跡をいち早く発見して対処するための対策が普及しつつある。こうした対策の代表例となっているのがEDR（Endpoint Detection and Response、エンドポイントでの検出と対応）だ。エンドポイントとは、サーバーやPC、場合によってはスマートフォンやタブレットなどのモバイルデバイスなど、コンピューティングが実行され、データが保存される“端末”のことを指す。EDRでは対象となるエンドポイントの内部で起こっているさまざまな挙動を詳細に把握するため、ログ情報を収集して解析を行い、不審な挙動を見つけ出す。ログ収集には専用のエージェントモジュールを使用するものと、OS標準のログ機能などを活用するものがあり、専用エージェントを使用するタイプの方がより詳細な情報を取得できるが、その分エンドポイント側の負荷も高めになる傾向がある。

　なお、EDRはアンチウィルスソフトウェアとは異なり、導入しておけば以後自動的にエンドポイントを保護してくれる、というタイプの製品ではない。導入したユーザー企業の側にも、セキュリティに対する基本的な知識や技術が必要とされるため、使いこなすのが難しい点が課題だ。EDRを導入すると、エンドポイントで不審な挙動が検知された際にはアラートが上がるようになるが、アラートを受けたセキュリティ担当者が詳細解析を行い、実際にマルウェアが侵入しているのかどうか、どういう対応を行えばいいのかを判断して実行する必要がある。担当者にセキュリティ関連の知識／技術が無いと、こうした作業が的確に行えず、使いこなせないことになるが、仮に充分な知識／技術を持つ担当者が確保できたとしても、アラートの量が膨大になってくると対応が追いつかないという問題も生じる。こうした課題を踏まえ、現在はAI機能を組み込み、膨大なアラートを整理してすぐに対処すべき重大なアラートだけを抽出したり、ある程度の対応を自動化するなど、高度な支援機能を備えたEDRが各社から次々と投入されるようになってきている。

EDRからXDRへ

　EDRはエンドポイントを対象としたソリューションだが、監視すべき対象はエンドポイントのみとは限らず、ネットワークやクラウド環境など、多岐に渡るようになってきた。企業ネットワークにおけるクラウド活用が進展し、さらにリモートワーク／テレワークが普及したことで、保護すべき対象が急激に拡大したためだ。そこで、EDRに関しても“E”（Endpoint）に限定せず、「いろいろ／ なんでも（“X”）」を対象とするXDRというソリューションも出てきている。

　XDRソリューションとしてよく知られるPalo Alto Networksの「Cortex XDR」は、「ネットワーク、エンドポイント、クラウドにわたる詳細な情報と、機械学習による分析機能による、セキュリティ運用の全体最適と強化を実現」する製品だ。また、TrendMicroの「TrendMicro XDR」は「メール、エンドポイント、サーバー、クラウドワークロード、およびネットワーク間でデータを収集、SIEMや個々のエンドポイントソリューションでは実現できないような可視性と分析を可能に」するという。同社がXDRのポイントとして挙げているのが「AIと専門的なセキュリティ分析」「エンドポイントを超えてクロスレイヤーで」「優れた可視性」の3点だ。EDRからXDRへの進化／発展では、対象をエンドポイントから拡大すると同時に、AIなどを活用して高度な分析機能を提供し、運用管理負担の軽減を実現しないと実効性に欠けてしまう。

　現在ではマネージドサービス型のEDR／XDRソリューションもあり、セキュリティベンダーなどに属する専門家が解析作業を代行し、問題の早期発見や対策実行を支援してくれるサービスも提供される。自社内にSOCを保持／運用している企業であればEDR／XDRが有効なソリューションとなり得るが、充分なセキュリティ対応を行えるだけの人材を確保できない場合には、こうしたマネージドサービスを積極的に活用していくことも検討すべきだろう。

図1：Palo Alto NetworksのXDRソリューション「Cortex XDR」（出典：Palo Alto Networks）

図2：TrendMicroの「TrendMicro XDR」（出典：トレンドマイクロ）

クラウド時代のセキュリティ対応

　EDR／XDRと同様に重要な役割を果たすソリューションとしてSIEM（Security Informantion and Event Management）と呼ばれるセキュリティログの管理・分析ソリューションもある。XDRは従来のSIEMの機能を大幅に取り込みつつあるとも見えるが、大量のログやセキュリティイベントを効率よく収集してデータベースに格納する点に関してはSIEMに一日の長があるのも確かだ。従来は、ネットワーク機器、セキュリティデバイス、エンドポイントといったさまざまな場所でのログを付き合わせることで、個別に見ているだけでは見落としがちなセキュリティ侵害を見つけ出す「相関分析」が行えることがSIEMのメリットであったが、EDRが対象を拡大してXDRに進化してくると、提供する機能が一部オーバーラップしてくるのも確かだろう。

　将来的にSIEMとXDRがどのように棲み分けていくことになるのかは現時点では不明瞭な部分もあるが、とりあえず直近の状況としてはそれぞれの強みを活かして組み合わせることで、セキュリティレベルを向上させることができるだろう。さまざまなデータソースからの情報収集が可能なSIEMに対し、XDRのほうはまだカバー範囲が追いついていない感もあるため、当面は情報収集はSIEM主体で、分析に関してはXDRも併用して、という感じになるかと思われる。

　さらに、クラウド環境でのセキュリティを考えるなら、SASEとオンプレミスのセキュリティソリューションの併用を考える必要もあるだろう。クラウドシフトが進む現在でも、オンプレミス環境を完全に廃したという企業は多くはなく、通常はオンプレミス、プライベートクラウド、複数のパブリッククラウドを組み合わせたハイブリッド・マルチ・クラウド環境を運用することになるだろう。将来的には、オンプレミスのセキュリティソリューションをクラウド上のSASEから一元管理出来るような体制が整うことが期待されるが、実現にはしばらく時間を要するだろう。担当者にとっては難しい判断を迫られる状況がしばらく続きそうだが、将来的なクラウド移行を視野に入れつつ、現状の環境を効果的に保護できる有効なソリューションを選んでいくという綱渡りのような状況が続くと予想される。

　なお、世界的に広く報道される形になったFireEyeのセキュリティ侵害は、専門家としての評判を落とす事態であるものの、いち早く侵害の事実を公表し、広範な関係者と情報を共有して対策立案に取り組んだ姿勢に関してはセキュリティ専門家の間でも賞賛されているようだ。日本企業では、セキュリティ侵害被害などを「恥」として内密に済ませようとする傾向があるようにも感じられるが、自社だけの力でサイバー攻撃を防ぐことは事実上不可能になりつつあることもあり、迅速かつ的確な情報公開／情報共有を行うことが今後ますます重要になるように思われる。