被害事例に学ぶ #6 :サイバー攻撃を予防する

** 本記事は、Hindsight #6: Stay Ahead of the Game の翻訳です。最新の情報は英語記事をご覧ください。**

本記事は、サイバーセキュリティの専門家に向けて、セキュリティ侵害の被害から得られた教訓を紹介する特集の 1 つです。それぞれの記事で簡単な推奨事項を挙げていますが、その多くは企業に新たなツールの購入を強いるものではありません。

サイバーセキュリティの世界は非常にダイナミックで、世界中で繰り広げられる巨大なチェスゲームさながらに、攻撃と防御が繰り広げられています。またプレイヤーも刻々と入れ替わっています。あなたの組織が何らかの情報技術を使用しているとしたら、このゲームに否応なく参加しなければなりません。しかし、防御側このゲームにおいて不利な戦いを強いられています。なぜなら、対戦相手は 1 年中全く休まずに活動しているからです。対戦相手たちは世界中のどこにでもいて、自分の動きを隠しながら、休むことなく組織の防御上の弱点を探し続けています。ときには味方を装ってあなたの組織を攻撃することもあります。

つまり現在の環境においては、組織のサイバー防御能力は、一秒たりとも途切れることなく作動している必要があるということです。そして、サイバー攻撃者が組織の弱点を発見する前に自社のセキュリティ上の弱点を見つけ、それを修正する必要があります。また、敵が弱点を発見した場合の攻撃方法も想定しておく必要があります。

パッチの適用

オペレーティングシステムやアプリケーションにパッチを適用することは継続して取り組むべき重要な課題ですが、特に外部に公開されているシステムへのパッチ適用は最重要の課題です。ソフォスの『アクティブアドバーサリープレイブック 2021』によると、侵入時にアクセスの足掛かりを得るために使用される手法の上位 5 つのうちの 1 つが外部に公開されているアプリケーションの悪用です。最近の有名な例としては、Microsoft Exchange の ProxyLogon (別名 Hafnium) や ProxyShell の悪用、米国のレイバーデーの連休中に公開されてから 1 週間以内に悪用された Confluence の脆弱性などが挙げられます。また、複数の大手企業が提供している仮想プライベートネットワーク (VPN) ソリューションも、今年に入って悪用されています。多くの Web サイトを支えるコンテンツ管理システムの WordPress も常に悪用されています。

唯一の解決策は、外部に一般公開されているシステムを明確しっかりと把握し、これらのシステムに脆弱性が存在していないか監視し、脆弱性が特定された場合にはできるだけ早くパッチを適用することです。 エクスプロイトが開発され実環境で悪用されているという報道がなくても、また、CVE (共通脆弱性識別子) の通知が作成されていなくても、パッチは速やかに適用してください。マイクロソフトは、 2021 年 4 月と 5 月に ProxyShell の脆弱性策のパッチを Exchange に提供しましたが、 7 月 13 日まで脆弱性を公表しないという愚行を犯したことから、多くの人がパッチを重要視しないという結果を招いてしまいました。

脅威の状況

最新のサイバー攻撃者の戦術、技術、手順を把握しておくことは、防御のための重要な要素です。つまりは「汝の敵を知れ」ということです。VPN ユーザー 50 万人分の認証情報がダークウェブ上に流出したという記事を見つけて、もし自社が同じ VPN 技術を使用しているなら、この問題について詳細に調査してください。また、あなたが Exchange Server を使用していて、 Exchange がランサムウェアの展開に悪用されたという記事を目にしたとしたら、さらに詳しく調査してください。

推奨されるリソースを以下に示します。

• https://www.bleepingcomputer.com
• https://us-cert.cisa.gov
• https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories
• https://www.cyber.gov.au
• https://news.sophos.com
• https://nakedsecurity.sophos.com

シャドー IT

組織のビジネス部門が、IT 部門に従わずに独自のソリューションを実装することは、「シャドー IT」と呼ばれており、多くの組織に存在しています。彼らはそのことについて精査を受けるのを避けているかもしれません。プロジェクトを迅速に進めるためにシャドー IT を使用しているのかもしれません。 IT 部門がシャドー IT の使用を一度許可しなかったため、別の方法を探している場合もあります。シャドー IT ソリューションを使用していることに処分を下さないとしても、それを無視して良いということにはなりません。シャドー IT が完全にサイロ化しておりその他のシステムに影響していないことを確認するか、適切に管理する必要があります。ビジネス部門と密接に連携し、双方にとって有用なソリューションを見つけることは、シャドー IT の防止に役立ちます。それだけでなく、自社を危険にさらす可能性のある新しいシステムやアプリケーションを監視することも必要です。

常に状況を把握すること

現在のところ、あなたは自分の組織のセキュリティ対策に満足しているかもしれません。しかし、アカウントがたった 1 つでも漏洩したり、ファイアウォールを何の気なしに変更したり、ゼロデイエクスプロイトがあったりするだけで、攻撃者に侵入する隙を与えてしまいます。また、攻撃者は、防御側のガードの緩む営業終了外をいつも狙っています。FBI と CISA が最近発表したセキュリティ勧告では、コロニアルパイプライン社、JBS、Kaseya といった著名な企業を例に挙げ、休日や週末には攻撃のリスクが高まると警告しています。前述したように、 Confluence は米国のレイバーデーの連休の初日に悪用されました。

組織のセキュリティ強化のため、長期休暇中の土曜日の深夜に侵入された場合でも対応できるようなマネージドサービスを検討することをお勧めします。 攻撃がグローバルに行われていることを認識し、それを組織のリスク態勢の改善につなげることができるサービスを選択してください。専門知識があり、休日返上で、自らコマンドを実行して防御したいとお考えではない限り、攻撃が発生していることを通知するだけではなく、解決することのできるプロバイダーを選ぶことをお勧めします。