第50回 ランサムウェア再び(その2)

前回にランサムウェアが特別なマルウェアではないと説明しました。ほとんどの場合、その感染の原因はVPN等通信機器の脆弱性を突いた、不正アクセスからの感染、もしくは標的型メール攻撃からの添付ファイルの実行、あるいはメール本文のURLからの不正なファイルのDL(ダウンロード)です。今まで知られていないような画期的な方法で感染させるわけではなく、よく知られた既存の方法を使っています。したがって感染しないための対策として特別な対策は必要なく、従来からの対策を着実に行うことで対応できます。その着実な対応が出来ないから問題となっているのです。

まず、標的型メール攻撃を確実に防止することが出来ません。たとえウイルス対策ソフトを動作させていたとしても確実にマルウェアを検知し排除するわけではありません。さらに負荷が大きく、パソコンの動作が遅くなるという理由でウイルス対策ソフトを止めている場合もあります。またOSや利用しているソフトウェアの脆弱性を完全に排除することも困難であり、その脆弱性を利用されて不正アクセスを受け、マルウェアに感染させられるのです。

しかも組織にとってはたった一人の、あるいは1台のパソコンの感染が簡単に他の組織内のパソコンや各種サーバに感染を広げることが多いのです。一般には境界防御と呼ばれる自組織のネットワークと外部との境界で対策を取ることが多く、境界を突破して内部に入れば、それ以降、防御が弱くなることが多いのです。したがって境界内部であれば、その中の1台のパソコンの感染が容易に内部に広がっていくことになります。このように1台のパソコンから感染が広がり、業務を担うコンピューターシステムの各種サーバが感染することとなり、情報漏えいや、ランサムウェアのようにシステム破壊を行い、運用停止に陥ることになるのです。外部から直接サーバ類に不正アクセスを行うこともあり得ます。例えば徳島県の半田病院の例です。インターネット経由で各種サーバ類の保守運用を外部委託していました。その際、VPNと呼ばれる仮想専用回線装置を用いて、運用会社のみアクセスできる設定だったのです。しかし、そのVPNに脆弱性があり、その脆弱性を利用されて、直接サーバ類に不正アクセスされた可能性が高いのです。

では、どのようにすればサイバー攻撃、そしてランサムウェアを含むマルウェアの感染を防げるのでしょうか。一台一台のパソコン、そしてサーバを操作、利用する人が確実に防御するのは標的型メールの例のように難しいとしました。一台一台のパソコン、そしてサーバを利用する人に代わって、そして人以上に防御する役割が、例えばEDR(Endpoint Detection and Response)の利用を代表とするエンドポイントセキュリティなのです。エンドポイントにあたるパソコンやサーバ自体を監視し、異常な行動を早期に検知し、感染拡大の防止や場合によっては隔離を行うのです。ファイヤーウォールやIDS(侵入検知システム)を利用した境界防御ではなく、一台一台のエンドポイントを守ろうとする、そしてVPN等、安全性を一つのセキュリティシステム、あるいは境界等のひとつのポイントで評価しないというセロトラストセキュリティの考え方が効果的なのです。

EDRの利用とはウイルス対策ソフトに比べてコストはかかりますが、ランサムウェアの被害に遭った場合、上記の対策費に比較して、その調査必要に100倍の費用はかかるでしょう。さらに復旧を見据えたレジリエントな対策となっていない場合、さらにその100倍はかかるでしょう。つまり万が一に起こりえるランサムウェアへの対策復旧費の一万分の1以下の費用で大きな被害を防げるのです。