コラム
マルウェア対策
2024.04.03
防御だけでは不十分、起こった後のことを考えるセキュリティへ
ファイヤウォールとウイルス対策ソフトだけで会社は守れない
ゼロトラストの必要性が叫ばれる中、情報セキュリティ対策の現状をみると、ファイヤウォールとウイルス対策ソフトだけという会社がまだまだ多いようです。ファイヤウォールも進化しており、単なる通信パケットの許可やブロックだけでなく、通信内容を分析して攻撃を防いだり、最近ではAIを活用して脅威を検知するものまで出てきています。ウイルス対策ソフトの方もAI活用やサンドボックス隔離など、未知のウイルスにも対応できるようになってきています。しかし、それでもなお、情報セキュリティ対策としては万全ではありません。社員が偽のメールやWebサイトに騙されてパソコンを乗っ取られる、簡単なパスワードが解読される、放置されたぜい弱性が悪用されるなど、ファイヤウォールとウイルス対策ソフトだけではとても会社を守れないのです。
「絶対に安心」ではなく「情報セキュリティは破られるもの」へ
ファイヤウォールとウイルス対策ソフトを入れれば安心という時代はもはや過去の話になりました。
今はどれほど強固な対策をしたとしても、「情報セキュリティは破られるもの」と考えなければなりません。人の不注意やコンピュータ(ハードウェア、ソフトウェア、ネットワーク)の欠陥、ぜい弱性は永遠になくならないものだからです。パスワードも高性能なコンピュータによって解読リスクが年々高まっています。江戸時代にあった関所も裏金や賄賂を使って不正に通過するものが絶えなかったと言います。現代社会の情報セキュリティにおいても、絶対安心と言えるものはないと考えて、破られた後の対策を考えることが不可欠なのです。
「防御」も進化している
「防御」だけではだめな一方で、ファイヤウォールもウイルス対策ソフトもAI活用などによる機能強化を図っているように、 通信やデータの暗号化など「防御」も進化しています。二要素認証によるパスワード破り対策、MDM(モバイルデバイス管理)による不正デバイスの検知、コンプライアンス違反に対するアラートなど、「何も信用しない」ゼロトラストセキュリティベースの「防御」ツールが次々と登場しています。
「防御」を破られた後の「検知」「封じ込め」が重要に―EDRの登場―
ランサムウェア被害が広がる中で、サイバーセキュリティの緊急事態対応手順を策定する企業が増えています。まさにそれは「防御」を破られた後の対策であり、その中でも特に重要となるのが、「検知」と「封じ込め」です。「検知」で問題となるのが、隠す社員が後を絶たないことです。早期発見すれば被害も最小化できるのにもかかわらず、報告されしないことによって被害が社内だけでなく社外にまで広がってしまい、大きな損害賠償責任を負うまでになってしまいかねません。そこで最近注目されているのが、EDR(Endpoint Detection and Response)というツールです。従来のウイルス対策ソフトがEPP(Endpoint Protection Platform)と呼ばれる「防御」しかしないツールだったのに対して、EDRでは、ウイルス感染や不正アクセスがあったことを管理者に通知したり(「検知」)、問題のあったエンドポイント(端末)をネットワークから切り離したり、遠隔操作することができます(「封じ込め」)。テレワークの普及などで一つの場所で社員全員が仕事をする勤務形態が崩れ、社員の誰かがサイバー攻撃を受けてもただちに検知できなくなっている中で、多くの企業がEDRの導入を検討すべき時期に来ていると言えるでしょう。
ウイルス駆除は「対策」の一部にすぎない
「防御」を破られた後の対策として、「検知」と「封じ込め」の次にくるのが「対策」です。ウイルス対策ソフトによるウイルス駆除も「対策」の一つですが、これだけでは足りません。ウイルス感染したパソコン以外にも感染が広がったパソコンやサーバがあるかもしれないからです。社外にもメールの添付ファイルでウイルス感染が拡大している可能性もあります。「対策」は「応急措置」、「関係者通知」、「根本解決」、「再発防止」の四つのフェーズに分けて考える必要があります。「応急措置」では、ウイルス感染が確認されたパソコンやモバイル端末をただちにネットワーク切断すること、ウイルス対策ソフトで駆除することなどがあげられます。「関係者通知」はウイルス感染が拡大してしまいそうな関係先に注意喚起や対策提案を通知することです。具体的には自社からのメールやWebサイトにしばらくアクセスしないように、電話やその他安全確認できた通信手段で伝達することなどが考えられます。関係先にも被害が発生した場合にはお詫びと損害賠償を行う必要もあるかもしれません。「根本解決」と「再発防止」ではソフトウェアのぜい弱性の修正などウイルス感染などが起きてしまった原因を特定し、再発防止も含めて業務手順の見直しやソフトウェア変更など根本的な対策を講じることになります。
「検知」「封じ込め」を担うSOCベンダーを活用
社員や情報機器の増加や、勤務場所や形態の多様化などによって、「検知」「封じ込め」を自社対応するのがますます困難になっています。そこで、「検知」「封じ込め」を24時間365日体制で担ってくれるSOC(Security Operation Center)と呼ばれる支援ベンダーに注目が集まっています。
「対策」には自社組織としてのCSIRT立ち上げが必須に
「応急措置」、「関係者通知」、「根本解決」、「再発防止」を行う「対策」では、どうしても自社の内部事情に精通する自社組織が必要になります。日常から自社においてどのような事件事故が起きる可能性があるのかについて把握して、事件事故が起きた時の対応手順を策定しておき、いざ事件事故が起きた時は冷静に必要な行動を指揮・誘導できるCSIRT(Computer Security Incident Response Team)の立ち上げを進めている企業が増えています。CSIRTについては回を改めて解説したいと思います。
<執筆者>
MBA 、技術士(経営工学・情報工学)、情報処理安全確保支援士 杉浦 司
『消費を見抜くマーケティング実践講座』(翔泳社※ユニクロ柳井社長推薦)、『 IT マネジメント』(関西学院大学出版会※ユニクロ岡田 CIO 推薦)、『情報セキュリティマネジメント』(関西学院大学出版会※ NTT ラーニング推薦)、『戦略マネジメント』(関西学院大学出版会)等著書多数。
2024.03.01
今も昔も変わらないパスワードの重要性 -驚くほど甘いパスワード設定の現状-
こんなに危険、甘いパスワード設定
高度化するパスワード攻撃の手口
避けるべきぜい弱なパスワード
安全なパスワードは英大小文字+数字+記号で10桁以上
覚えやすくて推測されにくいパスワードの作り方
最近のトピックから―Googleドライブの「リンクを知っている全員」による情報共有―
最近のトピックから―PPAPの終焉―
<執筆者>
MBA 、技術士(経営工学・情報工学)、情報処理安全確保支援士 杉浦 司
『消費を見抜くマーケティング実践講座』(翔泳社※ユニクロ柳井社長推薦)、『 IT マネジメント』(関西学院大学出版会※ユニクロ岡田 CIO 推薦)、『情報セキュリティマネジメント』(関西学院大学出版会※ NTT ラーニング推薦)、『戦略マネジメント』(関西学院大学出版会)等著書多数。
2020.01.19
ファイルレスマルウェアとは? 企業は何に注意すべきか
マルウェアの中でも近年、急激に被害の数を増やし続けているのがファイルレスマルウェアです。
ファイルレスマルウェアとはどのようなマルウェアで、どのような仕組みによって攻撃を仕掛けてくるのか、企業が取るべき対処法とともにご紹介します。
気づかないうちに感染している? ファイルレスマルウェアとは
ファイルレスマルウェアとは、「.exe」などの拡張子を持つ実行ファイルをインストールさせることなく、悪意のあるWebサイトなどを介してPCに感染し、不正な活動をするマルウェアです。
従来のマルウェアと違うのは、「PowerShell」などのWindowsに備わっている正規のツールを利用して、ディスク上に実行ファイルを生成するのではなく、メモリ上で不正なコードを実行して動作する点です。ステルス性能が高く、ファイルを残さないため、ファイルレスマルウェアと呼ばれています。
ファイルレスマルウェアの仕組み
ファイルレスマルウェアによる攻撃では、しばしばWindowsに標準で備わっているPowerShellやWindows Management Instrumentation(WMI)が利用されます。
PowerShellはWindowsに標準搭載されているシステム管理用のコマンドラインシェルでありスクリプト言語です。また、WMIはWindowsOSを管理するためのツールで、OS内のさまざまなコンポーネントに対して操作、列挙、対話などの処理を行うことができます。
ファイルレスマルウェアは、これらの正規のツールを巧みに悪用します。例えば届いたメール内のWebページのリンクをクリックすると一見、何の変哲もないページが表示されますが、実際にはFlash、またはPDFファイルを読むためのAcrobat Readerなどが立ち上がってPCのPowerShellが実行され、コマンド&コントローラー(C&C)サーバーとの通信が始まります。C&Cサーバーとは不正なコマンドの実行などに利用される、いわばサイバー犯罪のために用意されたサーバーです。次にそのC&Cサーバーから勝手にダウンロードされたスクリプトが動作してPC内の重要データが抜き取られますが、そのための実行ファイルはディスク上には展開されず、再びPowerShellが使われてメモリ領域でコードが実行されます。
これがファイルレスマルウェア攻撃の大まかな仕組みです。最初のきっかけとなるのはメールにあったリンクをクリックしてしまうことですが、ほかにもメールに悪意あるコードが仕組まれたWordファイルやExcelファイルが添付されていることもあります。Wordの文書を開こうとして「コンテンツの有効化」のボタンをクリックすると、PowerShellを使用した不正なマクロが実行されて、同じようにC&Cサーバーとの通信が始まるという具合です。
ファイルレスマルウェアの脅威
上で触れているように、ファイルレスマルウェアはディスク上に実行ファイルを残すことがないためシグネチャ(識別情報)を捉えられず、一般的な「検知型」のセキュリティソフト(アンチウイルスソフト)では見つけることが困難です。
感染すれば、ほかのマルウェアと同様に、データの破壊、改ざん、遠隔操作による情報の剽窃などを行うことができます。ファイルを暗号化して身代金を要求するランサムウェアにも利用されます。しかし被害を受けた側は感染に気づくのが遅れるケースが多く、あとから痕跡を探し出すのも難しいため、非常にやっかいなマルウェアだといえます。
一方、攻撃する側からすれば、ファイルレスマルウェアによる攻撃はそれほど難しい技術を使うわけではありません。PowerShellやWMIなどは技術者によく知られた正規のツールであり、その機能をうまく利用していくぶん複雑なプロセスを実行しているだけです。また、メモリに常駐するタイプのマルウェアは15年以上前から確認されており、決して目新しい攻撃方法でもありません。ただし、そのやり方は時代に合わせて確実に進化しています。
ファイルレスマルウェア攻撃について企業が注意すべきこと
ファイルレスマルウェアの多くは企業の重要データを狙います。そのため業務でPCを使う者はファイルレスマルウェアの存在や脅威について十分な知識を得ておくことが重要です。
セキュリティ研修ではWebサイトにアクセスするときの注意点や、メールの添付ファイルの取り扱い方について学ぶ必要があります。安易にリンクをクリックしたり、添付ファイルを開いたりせず、マクロを実行するような指示にも従わないよう徹底しましょう。Windowsのアップデートを欠かさず、常に最新の状態にしておくことも基本事項です。また、多少の不便が生じることを前提に、PowerShell、WMIなどのツールを無効化する方法もあります。
もっと効果的なのは、一般的な「検知型」や「ホワイトリスト型」のセキュリティソフトとは別に、ファイルレスマルウェアに対応したセキュリティソフトを導入する方法です。ファイルレスマルウェアに対する防御機能を持つセキュリティツールを導入すれば、その脅威を遠ざけられる可能性があります。
ファイルレスマルウェアは従来のセキュリティ対策では非常に検知・防御が難しいサイバー攻撃であり、現在では多くの攻撃者が好んで使うポピュラーな手法となっています。
AppGuardはシステムに害を与えるプロセス動作を阻止する、あるいはOSやソフトウェアの正しい動作を守るなどの、従来のセキュリティソフトとは異なるアプローチでファイルやソフトウェアによる攻撃を防御するセキュリティソリューションです。ファイルレスマルウェアからシステムやデータを防御する方法を探しているなら、ぜひその強力な機能を試すことをご検討ください。
AppGuard Blog ファイルレスマルウェアとは? 企業は何に注意すべきか 参照
https://www.blueplanet-works.com/column/anti-malware/fileless-malware/