サイバー攻撃の手口や自社のIT環境がめまぐるしく変わっている。サイバーセキュリティー対策の強化を経営課題と認識する先進企業はこうした動きに追随すべく、セキュリティーの「常識」をアップデートし続けている。今回紹介する2つ目の新常識は「マルウエア(悪意のあるプログラム)対策ソフト頼みをやめる」である。

 マルウエアの一種であるランサムウエア(身代金要求型ウイルス)の脅威は、従来型のマルウエア対策ソフトでは検出・駆除し切れていないのが実情だ。そこで端末のログ(通信記録)などを収集して、AI(人工知能)やビッグデータを使いながら不審な通信を自動的に検出・遮断するEDR(エンドポイント検知・対応)を導入するなど、社内への侵入をいち早く検知し、被害を抑える仕組みの整備を急ぐ企業が増えている。

 「ある端末が許可していないアプリケーションを使おうとしている」――。

 auカブコム証券はセキュリティー事故につながりかねない社内の端末の不審な振る舞いをすぐに検出し、IT管理者に自動的に警告する仕組みを運用している。米Microsoft(マイクロソフト)のEDR「Microsoft Defender for Endpoint」を2020年12月に導入した。自社端末のログをEDRで収集し、SIEM(セキュリティー情報イベント管理)ツールの「Microsoft Sentinel」などで可視化している。

 「端末の不審な振る舞いを可視化し、時系列で把握できるようになった」とauカブコム証券の石川陽一システム統括役員補佐は話す。膨大なログを1行ずつたどらなくても社内で何が起こっているのかを気付けるようになり、迅速に対処しやすくなったという。

対策ソフトで防ぎにくいランサムウエアが猛威

 auカブコム証券をはじめとする、サイバーセキュリティー対策を経営課題と捉える企業が、自社の端末や社内ネットワークなど内部の振る舞いを監視する仕組みの整備・強化を急いでいる。ランサムウエアなど最近の脅威に備えるためだ。

 2021年はランサムウエア被害が相次いだ。米パイプライン大手Colonial Pipeline(コロニアル・パイプライン)や米IT管理サービス企業Kaseya(カセヤ)などの大規模な被害は世界的に注目を集めた。

 日本でも富士フイルムやオリエンタルコンサルタンツホールディングスの事業子会社などが被害を公表。警察庁の統計によれば、2021年1~6月に61件の被害が報告された。この件数は2020年7~12月期の約3倍に相当する。水面下での被害はさらに多いとみられる。

ランサムウエア攻撃の被害例
出所:発表資料や報道を基に日経クロステック作成
公表時期被害企業・組織
2021年4月米パイプライン大手Colonial Pipeline(コロニアル・パイプライン)
5月ブラジルの食肉大手JBS
6月富士フイルム
7月米IT管理サービス企業Kaseya(カセヤ)
8月オリエンタルコンサルタンツホールディングスの事業子会社
10月徳島県のつるぎ町立半田病院

 被害に遭った企業はこれまでの「常識」通り、インターネットと自社ネットワークの境界をファイアウオールで固め、端末にはマルウエア対策ソフトを導入していた。それでも被害に遭っており、最新の手口に対抗し切れていないことが分かる。

 最新の手口はどのようなものか。セキュリティー企業S&Jの三輪信雄社長によると、攻撃者はまず企業や組織が利用するVPN(仮想私設網)装置などの脆弱性を突いて不正侵入する。次に既存の対策ソフトで検出されにくいように加工したマルウエアを内部の端末に組み込む。

 この端末を遠隔から操作し、内部ネットワークを探索。マイクロソフトのID管理システム「Active Directory」を見つけて乗っ取ると、暗号化のモジュールをばらまくといった流れが多いという。壁を正面突破するのではなく、「穴」を見つけて侵入し、壁の内側から荒らしているわけだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。