セキュリティに関する 10 の誤解

CorporateSophos Managed Threat Response (MTR)Sophos Rapid Responseセキュリティセキュリティオペレーションランサムウェア暗号化

ソフォスの Rapid Response チームは、過去 1 年間にさまざまな組織のサイバー攻撃を調査して無力化する中で、最もよく見受けられるセキュリティに関する誤解をまとめました。

ソフォスの Rapid Response チームは、過去 1 年間にさまざまな組織のサイバー攻撃を調査して無力化する中で、最もよく見受けられるセキュリティに関する誤解をまとめました。

それぞれの誤解を解く、攻撃の最前線でインシデントレスポンスを実施してきた経験と観察に基づくよくある誤解トップ 10 とソフォスによるの反論を以下に説明します。


この記事は、こちらのプレーヤーで視聴できます。


誤解 1: 私たちの組織はサイバー攻撃の標的ではない。標的としては小規模であり、サイバー犯罪者にとって価値のある資産がない。

ソフォスの反論: サイバー攻撃の被害者の多くが、自社の組織は規模が小さすぎる、関心を持たれない分野にいる、あるいは攻撃者を引きつけるような有益な資産がないと考えています。しかし、実際にはそのようなことはありません。処理能力とデジタルプレゼンスがある組織は例外なく標的にされ得るのです。メディアから受ける印象とは裏腹に、ほとんどの攻撃は最先端の技術を有する国家レベルの攻撃者によるものではなく、簡単に攻撃できるセキュリティ上の欠陥やエラー、ソフトウェアやハードウェアの構成ミスを犯している組織などを狙った、簡単な獲物やカモにしやすい相手を探している日和見主義的な攻撃者たちによって行われています。

自社の組織は標的にはならないと思っているかぎり、ネットワーク上の不審な動きを積極的に探すことはありません。ドメインコントローラに Mimikatz(ユーザーが認証情報を閲覧・保存できるオープンソースのアプリケーション) が存在するなどの、攻撃の初期兆候を見逃してしまう可能性があります。

誤解 2: 高度なセキュリティ技術をすべての場所にインストールする必要はない。

ソフォスの反論: ITチームには、エンドポイントセキュリティソフトウェアだけですべての脅威を防ぐことができると考えていたり、サーバーのセキュリティは必要ないと考えていたりする担当者が未だにいます。攻撃者は、このような思い込みに最大限に付け入ります。構成、パッチ適用、保護機能のいずれかに欠陥が生じると、これまでは二次的な標的だったサーバーが最重要の標的となる場合があります。

エンドポイントソフトウェアを回避または無効にして、ITセキュリティチームによる検知を避けようとする攻撃手法の種類は、日に日に増えています。たとえば、ソーシャルエンジニアリングや複数の脆弱性を利用し人間が介入して操作する攻撃方法、さまざまな機能がパッキングされ難読化された悪意のあるコードがメモリに直接注入される攻撃、反射的に DLL (ダイナミックリンクライブラリ) を読み込むような「ファイルレス」マルウェア攻撃、毎日の管理で使用される IT 管理ツールや技術に加えて Cobalt Strike のような正規のリモートアクセスエージェントを利用した攻撃などがあります。基本的なアンチウイルステクノロジーでは、このような攻撃を検知してブロックすることは困難です。

同様に、エンドポイントが保護されていれば、侵入者が保護されていないサーバーに侵入するのを防ぐことができると考えるのは間違いです。Sophos Rapid Responseが調査したインシデントによると、サーバーは現在、攻撃の第一の標的となっており、攻撃者は盗んだアクセス認証情報を使って簡単にサーバーにアクセスできます。また、多くの攻撃者は、Linux マシンについての知識を深めており、実際、Linux マシンを隠れ場として利用し、標的のネットワークにいつでもアクセスできるように、Linux マシンにハッキングしてバックドアを設置することが多くあります。

基本的なセキュリティ対策しか導入しておらず、行動検知や AI ベースの検知、24 時間 365 日体制の人間主導のセキュリティオペレーションセンターなど、高度で統合されたツールを使用していなければ、侵入者はいずれ防御を突破してしまうでしょう。

大事なのは、攻撃を予防できることが理想ですが、発生した攻撃を検知する能力が必須であることを常に念頭に置いておく必要があるということです。

誤解 3: 強固なセキュリティポリシーを導入しており対策は万全である。

ソフォスの反論: アプリケーションやユーザーに対するセキュリティポリシーの設定は重要です。しかし、ネットワークに接続されているデバイスに新しい機能が追加されるたびに、ポリシーは常にチェックされ、更新される必要があります。 ペネトレーションテスト、サイバー攻撃机上演習 (TTX)、ディザスタリカバリ計画の試運転などの手法を用いて、ポリシーの検証とテストを行いましょう。

誤解 4: リモートデスクトッププロトコル (RDP) サーバーは、使用するポートを変更したり、多要素認証 (MFA) を導入したりすることで、攻撃者から保護できる。

ソフォスの反論: RDP サービスに使用される標準的なポートは 3389 であるため、ほとんどの攻撃者はこのポートをスキャンして、外部に公開されているリモートアクセスサーバーを探します。しかし、スキャンは、ポートに関係なく、開いているサービスを特定するので、ポートを変更するだけでは、ほとんど防御にはなりません。

さらに、多要素認証を導入することは重要ですが、そのポリシーがすべての従業員とデバイスに適用されない限り、セキュリティを強化することはできません。RDP の使用は、仮想プライベートネットワーク (VPN) という保護された境界内で行われるべきですが、攻撃者がすでにネットワークに攻撃の足掛かりを築いている場合は、VPN を使用していていても組織を完全に保護することはできません。理想的には、RDP の使用が不可欠な場合を除き、IT セキュリティチームは RDP の使用を社内外で制限または無効にするべきです。

誤解 5: ロシア、中国、北朝鮮など、リスクの高い地域からの IP アドレスをブロックすれば、それらの地域からの攻撃を防ぐことができる。

ソフォスの反論: 特定の地域からの IP アドレスをブロックすることは悪いことではありませんが、これだけに頼って得られる安心感は気休めにすぎないかもしれません。敵対者は多くの国で悪意のあるインフラをホストしており、米国、オランダ、その他のヨーロッパ諸国などがホットスポットとなっています。

誤解 6: バックアップを取得しており、ランサムウェアに感染しても問題はない。

ソフォスの反論: 文書の最新のバックアップを適切に維持することは、ビジネスでは欠かせません。しかし、バックアップがネットワークに接続されている場合は、攻撃者がバックアップにもアクセスし、ランサムウェア攻撃により暗号化、削除、無効化される危険性があります。

バックアップにアクセスできるユーザー数を制限しても、攻撃者はネットワーク内でアクセスできるユーザーのアクセス認証情報を時間をかけて探すことがあり、セキュリティを大幅に強化することにはならない場合があります。

同様に、バックアップをクラウドに保存する場合にも注意が必要です。Sophos Rapid Response が調査したあるインシデントでは、攻撃者はハッキングしたIT 管理者のアカウントからクラウドサービスプロバイダーにメールを送り、すべてのバックアップを削除するように要求しました。そして、プロバイダーはこの要求に応じてしまいました。

ランサムウェア攻撃を受けた後にデータやシステムを復元するために使用できる安全なバックアップの方法を、3:2:1 で表すことができます。これは、「3-2-1」メソッドとも呼ばれ、3 つのコピーを取り、2 つの異なるバックアップシステムを使い、コピーのうちの 1 つはオフラインで保管する手法です。

最後に注意していただきたいのは、オフラインのバックアップを取っていても、データを暗号化する代わりに、あるいは暗号化するだけでなく、データを盗んで公開すると脅す恐喝型ランサムウェア攻撃から情報を守ることはできないということです。

誤解 7: 当社の従業員はセキュリティ意識が高い。

ソフォスの反論: 「ランサムウェアの現状 2021 年版」によると、22% の組織が今後 12 ヶ月間にランサムウェアの被害に遭うと考えています。その理由は、エンドユーザーにおけるセキュリティ侵害を阻止するのは難しいからです。

フィッシングメールのようなソーシャルエンジニアリングの手口は、見破るのが難しくなってきています。メッセージは攻撃者によって精巧に書かれたものが多く、説得力があり、標的のユーザーは慎重に選ばれています。従業員は、怪しいメールを見分ける方法や、メールを受け取ったときの対処法、また、他の従業員に注意喚起するためにはまず誰に報告すればよいのかについても知っておく必要があります。

誤解 8: ランサムウェア攻撃を受けても、インシデントレスポンスチームがデータを復旧してくれる。

ソフォスの反論: その可能性は非常に低いでしょう。現在の攻撃者はミスを犯すことが以前と比べてはるかに少なく、暗号化のプロセスも高度になっており、レスポンスチームが暗号化されたデータを復旧できる抜け道を見つけることは極めて稀です。 Windows のボリュームシャドウコピーのような自動バックアップも、最近のほとんどのランサムウェアでは削除され、ディスクに保存されている元のデータも上書きされてしまうため、身代金を支払う以外に復旧は不可能です。

誤解 9: 身代金を支払えば、ランサムウェア攻撃を受けてもデータを復元できる。

ソフォスの反論: 「ランサムウェアの現状 2021 年版」で実施された調査によると、身代金を支払った組織は、平均して約 3 分の 2 (65%) のデータを復元できていました。そのうち、すべてのデータを復元できたのはわずか 8% で、29% は半分以下しか復元できませんでした。したがって、身代金を支払うことは、それが簡単な選択肢と思える場合や、サイバー保険でカバーされている場合であっても、復旧への最短の解決策とは言えません。

さらに、データの復旧は、被害全体の復旧プロセスの一部に過ぎません。ほとんどの場合、ランサムウェアはコンピュータを完全に不能にしてしまうため、データを復旧する前にまずソフトウェアやシステムを一から作り直す必要があります。2021 年の調査では、復旧にかかる費用は平均して身代金要求額の 10 倍の規模となっています。

誤解 10: ランサムウェアの実行が攻撃の全てであり、この攻撃を乗り切れば問題はない。

ソフォスの反論: ソフォスの反論:残念ですが、そのようなケースはほとんどありません。ランサムウェアは、攻撃者がネットワークに存在し、何をしたかを知らせる明確な指標に過ぎません。

攻撃者は、ランサムウェアをリリースする前に、数週間とは言わないにしても、何日も前からネットワーク内にいて、ネットワーク内の探索、バックアップの無効化や削除、暗号化の対象となる価値の高い情報やアプリケーションがあるマシンの発見、情報の削除、バックドアなどのペイロードのインストールなどを行っている可能性があります。被害者のネットワーク内に常駐することで、攻撃者は 2 回目の攻撃を行うこともできます。

その他の参考資料

Leave a Reply

Your email address will not be published.