ランサムウェア攻撃の被害が増加している背景は何か。デロイトが企業経営者に「攻撃者目線」での対策を主張している理由

あらゆる業界で「ランサムウェア対策」は必須

初めに、デロイト トーマツ サイバーのマネジャー、吉村修氏が「現在のランサムウェアの脅威」について明らかにした。

「2020～21年ころからITシステムだけでなく、事業に大きく影響するサイバー攻撃被害が国内でも複数発生しています。例えば、工場の稼働停止や有価証券報告書の提出遅延、病院の診療業務への支障、アニメ制作会社へのサイバー攻撃によるテレビ放送予定の延期などが挙げられます。これらは、いずれもランサムウェア攻撃によるものです」

ランサムウェアは、パソコン（PC）やサーバー内のデータを暗号化する不正ソフトウエアで、暗号化の解除には「復号鍵」が必要になる。攻撃者が機器内のデータを不正に暗号化し、復号鍵と引き換えに金銭を要求するのがランサムウェア攻撃だ。

「中でも、甚大な被害をもたらしているのは『侵入型ランサムウェア攻撃』と呼ばれる手法です。社内システムの中枢を乗っ取り、ランサムウェアによって多数のPCやサーバーを利用不能にし、巨額の金銭を要求します。さらに、19年後半からは『二重恐喝』という手法も出てきました。これはランサムウェアでデータを暗号化する前に内部情報を盗み出し、支払いに応じなければデータを暴露すると脅す手法です」

二重恐喝では、世界全体で毎月約200社が、日本企業も国内・海外子会社を合わせると毎月5社程度がデータ公開被害に遭っているという。また、被害業種が多岐にわたっているのも特徴だ。吉村氏は「全ての組織にとって重要な『業務継続』を人質として恐喝するため、あらゆる業種でランサムウェア対策が必須」と注意を喚起した。

次に、吉村氏は「侵入型ランサムウェア攻撃は一つのソリューション導入で対応できるものではないため、確固たる戦略に基づき一貫した対策を講じる必要がある」とし、以下のデロイトの対ランサムウェア戦略（フェーズ1～5）について解説した。

• フェーズ1　対ランサムウェア防御体制の現状評価
• フェーズ2　予防のための対策の導入
• フェーズ3　被害発生時の対応方針・計画の策定
• フェーズ4　ランサムウェア攻撃のシミュレーション
• フェーズ5　セキュリティ監視の強化

リモートアクセスによる侵入が70％以上

フェーズ2の予防対策については、攻撃者目線で機器の管理がどう見えているのかを把握する「Attack Surface Management（ASM）」の重要性を、引き続き吉村氏が説明した。

Attack Surfaceとは、Webサーバーやネットワーク機器、クラウド環境のようにインターネットとつながり、攻撃にさらされている部分のこと。

「警察庁の資料によると、ランサムウェアの被害ではリモートアクセスによる侵入が70％以上と、外部から見える脆弱性を突かれてネットワーク内に侵入された可能性が高い。従って、予防対策としてはAttack Surfaceを適切に管理することが重要。その手法として注目されているのがASMです」とし、その理由として次のようにランサムウェア攻撃の構図を示した。

ランサムウェア攻撃は、一つのグループが攻撃しているのではなく、アクセスブローカーとアフィリエイター、オペレーターの三つの役割があり、犯罪者が協力して実行している。アクセスブローカーは「企業のネットワークへの侵入口の獲得と販売」、アフィリエイターは「内部ネットワークの侵害とランサムウェアの実行」、オペレーターは「ランサムウェアの開発と身代金交渉」を担う。

アクセスブローカーは、「機器検索エンジン」を使って条件に合う脆弱な機器を探し出し、侵入口として「商品化」するため、外部公開機器の管理がこれまで以上に重要となるわけだ。

デロイト トーマツ サイバーでは、ASMを「侵害リスク評価サービス」という名称で20年1月から提供。アクセスブローカーと同じような手法でインターネット上の公開情報を使用し、侵害されるリスクの高い機器を特定している。現状把握に適する「ワンショット調査」と、リスクの高い変化を適時に把握できる「継続モニタリング」の二つのサービスが用意されている。同サービスの強みとして、吉村氏は次の二つを挙げた。

「一つは、攻撃者目線での実戦的評価です。一般的なASMサービスでは、問題のある機器が何件あるかといった項目ごとのリスク評価と、問題点の内容のみによる評価を行っていますが、これでは機器の重要度が考慮されておらず、リスクの高さと対応の優先順位が直結しません。当社のサービスでは、問題点の深刻度と機器の重要度によってリスク評価しているため、リスクの高さと対応の優先順位が一致するのが特徴です」

もう一つは、サプライチェーンリスク管理に適したサービスという点だ。同社のサービスは対象企業名のみでASM調査に着手できるため、顧客がグループ会社や取引先のドメイン名などを準備する必要がない。従って、顧客の負担が少なく、グローバルサプライチェーン全体を対象とした調査実績もある。

「侵入されることを前提」とした対策への転換

続いて、デロイト トーマツ サイバーのパートナー、佐藤功陛氏がフェーズ5のセキュリティ監視の強化を図る検知と対応のマネージドサービスの一つ「Managed Detection and Response（MDR）」と、「Endpoint Detection and Response（EDR）」の有効性について紹介した。

EDRは、PCやサーバー（エンドポイント）における不審な挙動を検知し、迅速な対応を支援するソリューションだ。その有効性と運用について、佐藤氏は次のようにアドバイスした。

「従来の対策は外部からPCやサーバーへの初期侵入を防ぐことを重視していますが、攻撃を防ぎ切るのは困難。侵入されることを前提とした対策への転換が必要です。そのための機器上の不審な活動を検知できる体制の構築には、短期間で導入でき、かつ即効性の高いランサムウェア対策として『EDRの導入・運用』が有効です。ただし、EDRの運用には高いスキルなどが必要となるため、即戦力化には外部委託をお勧めします」

その上で、佐藤氏はデロイト トーマツ サイバーのEDRサービス「スレット セキュリティ モニタリング for EDR」を提案した。

「マーケットで実績のある複数のEDR製品に対応し、24時間365日体制で監視・対応します。不審な挙動を見つけたときは、事前の取り決めに従い、その通信やプロセスの遮断を行います。さらに、インシデント発生時にフォレンジック対応（不正・犯罪の痕跡の抽出など）まで一気通貫で支援が可能です」

加えて、さまざまな機器のログデータを収集し、リアルタイムで脅威を検出する「SaaS型SIEMサービス」を追加すると、EDRと他のセキュリティ機器のログを横断した統合監視への拡張が可能になる。

重大なインシデントは“経営”リスク

次に、デロイト トーマツ サイバーのマネージングディレクター、井上健一氏がフェーズ3（被害発生時の対応方針・計画の策定）における「ランサムウェア攻撃へのインシデント対応とフォレンジック」について考えを示した。

「事業活動に支障が出るような重大なインシデントが発生した場合は、封じ込め・除去・回復、侵入経路・攻撃手口調査、被害範囲調査、流出情報調査、危機管理などの幅広い対応が必要になります。そのため、重大なサイバーセキュリティインシデントは“システム”リスクではなく、“経営”リスクと捉え、重要な経営課題としてその対策に取り組むべきです。経営層がリーダーシップを発揮し、説明責任を果たすために有効な対策本部を設置し、推進していくことが望まれます」

インシデント対応は広範囲に及ぶため、全体をコントロールするプロジェクトマネジメントが成否の鍵を握る。

「サイバーインシデント対応におけるプロジェクトマネジメントは複雑かつ難易度が高いものになるため、意思決定ができる推進力を持ったトップマネジメントと、サイバーインシデント対応に関する知識と経験、問題解決能力を持ったメンバーが一丸となって対応すべきです」

こうした「インシデント対応とフォレンジック」について、デロイト トーマツ サイバーではワンストップで対応できる総合的なサービスを提供している。具体的には、（1）プロジェクトマネジメントに係る助言、（2）封じ込め・除去・回復に係る助言、（3）侵入経路・攻撃手口・被害範囲調査、（4）流出情報調査、（5）危機管理に係る助言、（6）インシデントに係る法的助言などが挙げられる。

また、グローバルで400人以上のインシデント対応の専門家が在籍し、海外子会社などで生じたサイバーインシデントに幅広く対応できるのも同社の強みだ。

攻撃シミュレーションで対策の実効性を評価

最後は、フェーズ4（ランサムウェア攻撃のシミュレーション）における「ランサムウェア攻撃を模した攻撃シミュレーション」について、デロイト トーマツ サイバーのマネジャー、田尻浩規氏が解説した。

「ランサムウェア攻撃を模した攻撃シミュレーション（以下、実機シミュレーション）は、より現実に近いランサムウェア攻撃を安全な手法で疑似体験することで、現行の対策の実効性を評価する当社独自のサービスです。防御・検知のみならず、インシデント発生後の対応プロセスの有効性も検証することができます。さらに、その結果に基づき、防御・検知・対応体制の改善に向けた提案も行っています」

実機シミュレーションを実施する際には、攻撃シナリオや攻撃の成否の基準、具体的な作業内容、連絡体制などについて事前に協議して決めておく。このため、実際の攻撃者が用いる手法を考慮しつつ、自社に合わせたシナリオ（感染の起点、攻撃者の目的など）を設定することが可能だ。

安全性を担保するため、暗号化対象の範囲の限定や、暗号化を実施する前のバックアップ取得、ダミーファイルの暗号化など、複数のオプションも用意されている。

（ウェビナーでは、ここで「実機シミュレーション」のデモを実演した）

このようにデロイト トーマツ サイバーでは、サイバーセキュリティに関して対ランサムウェア戦略に基づき、準備から対応、復旧まで、攻撃者目線を取り入れた高度な知見・機能をワンストップで企業に提供していく体制を整えている。