サイバー攻撃が進行する前に排除して被害を最小化
24時間365日アナリストによる EDR のセキュリティ監視
MSS for EDR の紹介資料を無料で送ってもらう
二重脅迫型ランサムウェア攻撃の派生として、暗号化せずに脅迫をするノーウェアが話題になっています。一方で、2023年も二重脅迫型ランサムウェアも引き続き猛威を振るっています。「インシデントレスポンス対応者によるウェビナー」を2021年12月に開催しましたが、その後2年間で、クラウドへの攻撃や Linux の暗号化などマイナーな変化はあるものの攻撃手順は大きく変わっていません。
この記事ではランサムウェアの概要からインシデントレスポンス、そして、再発防止策として復旧や原因調査で重要な役割を果たす EDR も紹介したいと思います。
二重脅迫型ランサムウェアと EDR
二重脅迫型ランサムウェアというのは標的型攻撃の手法を使ってランサムウェアの攻撃力を高めたもので、データを暗号化して人質にすること(一重)+暗号化したデータを公開すると脅すこと(二重)で金銭などを要求するサイバー攻撃です。最近話題になったノーウェアというのは暗号化をせず、人質となったデータを使って脅迫をする攻撃を指します。
二重脅迫型ランサムウェア攻撃の流れの一例
攻撃の一例として、攻撃者はまずフィッシングメールに添付されたマルウェアを社員に感染させて、社内ネットワークに侵入します。その後、Active Directory の脆弱性や設定ミスを悪用して、ドメイン管理者アカウントを乗っ取り社内の全端末に影響を与える権限を取得します。そして、社内のすべての端末やファイルサーバーなどから、顧客情報や財務情報などの重要なデータを窃取します。最後に、窃取したデータを暗号化して、その一部を暴露サイトに掲載し、特定の期限までに連絡がないと、窃取したデータを公開すると脅し被害者に身代金の支払いを要求します。
サイバー攻撃が進行する前に排除して被害を最小化
24時間365日アナリストによる EDR のセキュリティ監視
MSS for EDR の紹介資料を無料で送ってもらう
ランサムウェアとインシデントレスポンス
現在、企業におけるランサムウェアは事業継続に深刻なリスクをもたらしています。セキュリティ対策の重要性が高まる中、インシデントレスポンスにおいてはランサムウェアへの対処が頻繁に行われています。一般的には、インシデントレスポンスの初動対応の後、インシデントの他のシステムへの影響範囲、侵入経路から侵入を許した抜本的な要因まで調査して恒久対策を実施します。
インシデントレスポンスの対応フロー
インシデントレスポンスにおけるインシデント対応は、「被害の食い止め」「原因調査」「対策実施」「一定期間を経過してから通常運用への復帰」の4つの段階で構成されます。被害の食い止めでは、迅速な対応と攻撃の拡大を防止する封じ込め措置が行われます。原因調査では、攻撃の原因や侵入経路を特定し、適切な対策を策定します。対策実施では、設定の見直しやセキュリティ対策の導入など再発を防ぐ対策を実施します。通常運用への復帰では、一定期間経過後にシステムの安定性と対策の効果を評価し、再発を防止するための監視と対策を実施します。事業面では、各段階で必要に応じて公表や関係者への通知、場合によっては記者会見も行います。セキュリティインシデントに効果的に対応するためには、迅速な対応、詳細な調査、そして十分な期間をかけた復旧が重要です。組織は、このフローに基づいてセキュリティ対策を整えることで、被害の最小化や再発の防止に取り組むことができます。
インシデントレスポンスの事例
インシデントレスポンスの詳しい事例はウェビナー報告記事で2つ記載していますのでそちらをご参照ください。2021年の事例なので紹介しているランサムウェアは古いのですが、フィッシングによる侵入、RDP や VPN による内部滞留といったキーワードだけでも本記事を書いている2023年末とあまり変わっていないことがわかります。少し前の情報ですが、本質的には今でも役立つものです。
インシデントレスポンスの事例から浮かび上がる課題
セキュリティ対策を導入していたにもかかわらず、攻撃中にセキュリティ対策が無効化されてしまい侵入を検出できなかったケースや、デジタルのネットワーク図まで暗号化されてしまい紙のネットワーク図が役に立ったこともあります。攻撃中にさまざまなログが消去されており、調査が難航し最終的に侵入経路を特定できなかったケースもありました。
そのため、セキュリティ対策導入以前のシステム設定やバックアップのオフライン確保などを準備しておくこと、侵入されても被害を最小限にとどめるセキュリティ対策の導入と運用をすることが大切になります。
サイバー攻撃が進行する前に排除して被害を最小化
24時間365日アナリストによる EDR のセキュリティ監視
MSS for EDR の紹介資料を無料で送ってもらう
インシデントレスポンスに有効に機能する EDR
ウェビナーでご紹介した事例では、トレンドマイクロ社も当社も最終的に EDR を導入して運用を開始しました。インシデントレスポンスの結果、原因が究明できなかった場合は、通信を一定期間監視して異常がないか経過観察する措置もとっていました。しかし、あらかじめ EDR を導入しておけば、インシデント発生時の調査・対処が早期に行えるため、そもそもインシデントが拡大する前に対処できる可能性が高まります。
EDR があれば発見、調査が迅速化できる
先述した「ログが消去されてインシデントレスポンス調査が難航」する事案に対して、EDR であれば EDR 側でもログを保持しているため端末側でログが消去されても調査が行えます。さらに、エンドポイントにある多種類のログを横断してひとつながりの攻撃として可視化することで、攻撃の検出だけでなく、迅速で正確な封じ込めと原因調査が可能になり、侵入の初期段階で対処して被害を最小化できます。
筆者の経験でも、インシデントレスポンス後に EDR を導入する事例は多くあります。このことからも EDR のインシデントレスポンスへの有効性を示しているとも言えますし、再発防止策にもなります。
サイバー攻撃が進行する前に排除して被害を最小化
24時間365日アナリストによる EDR のセキュリティ監視
MSS for EDR の紹介資料を無料で送ってもらう
EDR の効果的な運用支援のための MSS
EDR を効果的に運用するにはセキュリティの知識と経験が不可欠であり、24時間監視する体制を整えることが必要です。なぜなら、EDR での検知は、攻撃が成功して侵入されてしまっているため、即時で対応することが求められるからです。
当社のマネージドセキュリティサービス(以下、MSS)では、こうしたセキュリティ運用の課題を解決する、以下のようなセキュリティ監視サービスを提供しています。
MSS の特徴とサービス内容
当社で提供する MSS の概要
- 24時間の監視体制で攻撃を検知、分析、対処(お客様判断を待たずに攻撃を抑制)
- アラートを分析して影響度の高いアラートのみ通知(過検知の抑制)
- 外部通報や社員による申告など、EDR 以外で検出したインシデントも EDR の機能で組織内を調査
- 他製品の MSS をご契約の場合、複数セキュリティ機器による相関分析の実施
- 海外拠点への英語対応体制
MSS は調査を含めたサービスであり、インシデントレスポンスに即したセキュリティ監視を提供しています。EDR と MSS はセキュリティ対策において非常に効果が高いためぜひあわせてご検討ください。
サイバー攻撃が進行する前に排除して被害を最小化
24時間365日アナリストによる EDR のセキュリティ監視
MSS for EDR の紹介資料を無料で送ってもらう
さいごに
二重脅迫型ランサムウェアは、工場のラインを停止したり病院の機能を停止させたりと、もはや事業継続リスクになっています。
アメリカ国立標準技術研究所(NIST)や独立行政法人情報処理推進機構(IPA)から発表されるゼロトラストアーキテクチャや SASE、各種セキュリティガイドラインでは、侵入を前提としたセキュリティ対策が推奨されています。EDR はその中で大きな役割を担うソリューションなので、セキュリティベンダーである当社としても有効性が高いと感じています。
EDR 未導入であれば、みなさまのセキュリティロードマップに加えていただくことをぜひともご検討ください。また、ウェビナーの中でも予算をかけずにできる対策もご紹介しました。こうした対策もワークフローに取り入れていただき、攻撃者に負けない組織をみなさまと一緒になって作っていければと思っています。