ランサムウエア(身代金要求型ウイルス)を使う犯罪者集団の多くは、企業が外部に公開するシステムの脆弱性を突いたり、事前に盗んだ認証情報を悪用したりして不正侵入してくる。裏を返せば、攻撃の足がかりとなり得る自社の弱点を把握し、先んじて対策を打っておけば被害に遭いにくくなる。これは米国立標準技術研究所(NIST)のサイバーセキュリティー対策フレームワークでいうところの、リスクを洗い出す「識別」のフェーズに当たる対策である。

関連記事: デンソーもブリヂストンも被害に、ランサムウエア攻撃が一向にやまない2つの理由

 こうした取り組みで参考になる1社が竹中工務店だ。同社は2021年4月、「脅威インテリジェンス」と呼ばれる手法を取り入れた。脅威インテリジェンスとは、インターネットやクラウドサービス、犯罪者集団が情報をやり取りする闇サイトなどから、サイバー攻撃の予兆といったリスクの高い情報を把握する手法やサービスを指す。

認証情報の流出などの脅威をいち早く把握

 竹中工務店は、米Rapid7(ラピッドセブン)が提供するSaaS(ソフトウエア・アズ・ア・サービス)型の脅威インテリジェンスサービス「IntSights」を採用している。自社やグループ会社のセキュリティーを脅かす情報がインターネットや闇サイトに出回っていないかを確認している。

 IntSightsは事前に登録された社名やIPアドレスなどの情報を基に、関連する犯罪者同士のやり取りや、認証情報が流出していないかといった脅威情報を自動で収集し、サービス用のデータ分析基盤に蓄積する機能を備える。蓄積した脅威情報をAI(人工知能)やセキュリティー技術者が分析し、重要度に応じて3段階に分類したうえで利用企業に通知する。

図 竹中工務店は脅威インテリジェンスを収集して先手で対策を講じる
図 竹中工務店は脅威インテリジェンスを収集して先手で対策を講じる
[画像のクリックで拡大表示]

 この脅威インテリジェンスを竹中工務店ではCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム、シーサート)が確認し、自社にとっての重要度を分析する。リスクが高い脅威と分かれば直ちに対策を講じている。

 特に重視する脅威は、業務向けクラウドなどで使うIDやパスワードといった認証情報が流出していないかだ。「正規のIDとパスワードで侵入されてしまえば、防備を整えていてもサイバー攻撃だと気づきにくい」。同社でセキュリティー対策に携わる高橋均デジタル室デジタル企画グループシニアチーフエキスパートはこう話す。

 認証情報のほかにも、ソースコード共有サービス「GitHub」で自社の機密情報が公開されていないかや、何らかのサーバーの管理者向けログイン画面を意図せず外部に公開していないかなど、自社やグループ会社の攻撃につながりかねないリスクを確認している。脅威の芽が大きくなる前に摘む狙いだ。

 竹中工務店は2014年以降、世界規模でクラウド移行やモバイルでの業務を推進するとともに、セキュリティー対策の改良を重ねてきた。その過程で、端末上の不審な振る舞いを検出するEDR(エンドポイント検知・対応)ツールや、SaaSの通信を可視化して不審なものを遮断する「CASB(クラウド・アクセス・セキュリティー・ブローカー、キャスビー)」、クラウドの設定不備を検出する「CSPM(クラウドセキュリティー状態管理)」などを相次ぎ導入してきた。

 弱点になり得ると認識したところには着実に対策を講じてきたものの、「把握していないところに弱点がないはずがない」と高橋シニアチーフエキスパートは考える。その把握していないところをあぶり出す手段として、脅威インテリジェンスを生かしているわけだ。

米パイプライン大手の被害は防ぐ余地が十分にあった

 最近のランサムウエア攻撃では、認証情報が闇サイトなどに流出したVPN(仮想私設網)装置を狙う手口が目立つ。例えば米パイプライン大手Colonial Pipeline(コロニアル・パイプライン)が2021年5月に受けた被害では、別のシステムから漏れた従業員の認証情報を犯罪者が悪用し、VPN装置の認証を破って不正侵入したことが発端とみられている。竹中工務店のように認証情報の流出などの脅威情報を把握して対策を打っていれば、被害を防ぐ余地が十分にあったといえる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。