アプリケーション・セキュリティはランサムウェア防止の第一歩
アプリケーション・セキュリティなどのランサムウェア防止対策を取ることによって、次の標的になることを回避できます。
ランサムウェアは決して新しい問題ではなく、30年以上も前から知られるようになっていますが、あらゆる技術の常として、進化を続けています。最近では、時折起こる、高価な代償を伴う迷惑行為ではおさまらず、エネルギー、運輸、食料供給、上下水道サービス、医療などの重要インフラの存亡に関わる災難に発展することもあり、
こうしたインフラの所有者や運営者(その多くが非公開企業)がランサムウェア攻撃に対していかに脆弱であるかを思い起こさせる事件が見出しを賑わせています。
ランサムウェア攻撃の状況
コロニアル・パイプライン社が全長5,500マイル(約8,850km)のパイプラインを閉鎖したことで、1週間の大半にわたって米国東海岸への燃料供給の半分近くが遮断された2021年5月の攻撃は、不吉な事例の一つに過ぎません。このような攻撃は最近の進化したランサムウェアでは珍しくありません。
ロシアで活動していると伝えられ、ランサムウェアをサービスとして提供するハッカー集団DarkSide(ダークサイド)は、データを暗号化して 盗み、知的財産や顧客の個人情報を公開すると脅して被害者に金銭の支払いを強要しています。
しかし、攻撃されたのはパイプラインを制御する機密性の高い運用技術(OT)ネットワークではなく、同社のITネットワークでした。これは数日後にロイターが発表した、目的は「混乱を招くことではなく現金だ」というダークサイドの主張に信憑性を与えるものです。Webサイトに掲載された声明の中で、ダークサイドは「我々の目的は現金であって、社会に問題を起こすことではない」としています。
また、自分たちは「政治に無関心」であり、どの政府とも繋がりはないとも言っています。
それでも、この攻撃が引き起こした問題は身代金を大幅に超えるものであり、結局、身代金を支払うことになりました。その金額は440万米ドルと伝えられています。6月7日、司法省はこのハッカー集団が使用したビットコイン・ウォレットを追跡して押収することで約230万米ドルを回収できたと発表しました。
しかし、当時、同社は攻撃者がOTシステムに侵入したかどうかを確認できなかったため、「万全を期して」パイプラインを閉鎖しました。
重要インフラへのランサムウェアの影響
コロニアル社への攻撃がもたらした影響は珍しいものではありませんでした。同社がガソリン、ディーゼル、ジェット燃料、暖房油などのさまざまな燃料の供給を遮断したことが、パニック買いと価格急騰を引き起こしました。これによって複数の専門家が十年以上前から警告してきたことが再び実証されました。犯罪者や敵対国は、爆弾やミサイルや弾丸がなくても相手に損害を与えることができます。コンピューターのキーボードを叩くだけでそれが可能なのです。
その現実を示す過去の実例として、2007年にアイダホ国立研究所で行われた「オーロラ」デモンストレーションでの大型ディーゼル発電機の破壊、2010年にイランの核施設の大部分を破壊したStuxnet(スタックスネット)、2016年にウクライナのエネルギー・グリッドの一部を停止させたIndustroyer(インダストロイヤー)などが挙げられます。
しかし、コロニアル社への攻撃は今までにないレベルのものであり、サイバーセキュリティ企業DragosのRobert Lee最高経営責任者(CEO)はWired誌に「米国のエネルギー・システムを全面停止に追い込むという、これまでで最大の影響を与えたサイバー攻撃」と語っています。
ランサムウェアに対する政府の対応
では、これらの攻撃の標的になっている政府や民間組織は、なぜ一種の戦時下とも言える事態への反撃に取り組まないのでしょうか?
取り組んでいないわけではありません。ホワイトハウスは先週、ランサムウェア攻撃への対抗を強化するために直ちに行動するよう促すメモをビジネスリーダーに向けて発信しました。
「脅威はますます深刻化しています」と、バイデン政権のサイバーおよび新興技術担当国家安全保障副顧問、Anne Neuberger氏は記しています。
また、バイデン大統領は、今月下旬に行われるロシアのウラジーミル・プーチン大統領との会談でロシアがランサムウェア犯罪者の安全な避難所になっていることについてプーチン大統領に対処を要求すると約束しました。
朗報があるとすれば、ランサムウェア攻撃に対抗する方法が十分に確立されているということです。熟練した意志強固な攻撃者から組織を完全に保護する術はありませんが、攻撃の成功を困難にする方法はあります。
ランサムウェア対策のベストプラクティス
以下に、ホワイトハウスのメモに記されていた推奨事項をリストアップします。
- セキュアなソフトウェアの構築、保守、配布:コロニアル社に対する攻撃はパスワードの盗難によって可能になりましたが、ソフトウェア・セキュリティの強化は依然としてハッカーに対する効果的な防御手段となります。それには、自社開発ソフトウェア、他のベンダーやオープンソース・コミュニティから取得したソフトウェアなど、すべてのソフトウェアが対象になります。
シノプシス・ソフトウェア・インテグリティ・グループのマネージング・コンサルタントであるRehan Bashirは、「ネットワーク、ホスト、アプリケーション開発を含めた総合的なセキュリティ・アプローチが必要です。組織はセキュアな開発プロセスを採用して、セキュアなソフトウェア製品やアプリケーションを作成する必要があります。」と語っています。
それには、「セキュリティをアウト・オブ・バンドのアクティビティではなく、開発パイプラインの組み込み機能として扱う」セキュアなソフトウェア開発ライフサイクル(SDLC)が必要です。
SDLCは、設計上の欠陥を見つけて修正するためのアーキテクチャ・リスク解析から始め、脅威モデリングで悪意のあるハッカーの攻撃方法を把握します。
次に、アプリケーション・セキュリティや品質解析ツールを使用します。初期工程のソフトウェア開発と更新では、静的/動的/インタラクティブ・アプリケーション・セキュリティ・テストのためのアプリケーション・セキュリティ・ツールとソフトウェア・コンポジション解析の自動化により、オープンソース・ソフトウェア・コンポーネントの既知の脆弱性や潜在的なライセンスの競合を発見・修正することができます。
開発の最終段階では、ペネトレーション・テストにより、ハッカーを模倣して、ソフトウェア製品がデプロイされる前に残っている弱点を発見することができます。組織の専門知識や能力が不足している場合は、この段階でマネージド・サービス・プロバイダーの指導を受けることができます。
- 定期的なデータ・バックアップ:バックアップはオフラインにして、ネットワークに接続しないようにします。バックアップを分離して保護すれば、費用を抑えてシステムを迅速に再構築できます。ただし、バックアップを分離しても、データを暗号化して盗み、身代金を支払わなければ盗んだデータを公開すると脅す最近のランサムウェア攻撃から組織が保護されるわけではありません。
- インベントリの構築と保守:すべての資産を洗い出します。ことわざにもあるように、所有していることに気付いていないものを守ることはできません。
- 更新プログラムとパッチ:既知の脆弱性に対して利用可能なパッチをインストールしなければ、金庫の扉を開け放ったままにするようなものです。
- 区分けされたネットワーク:ランサムウェアの攻撃者はデータを盗んで暗号化するだけではなく、オペレーションを途絶させ、標的に対する影響力を高めます。これに対応するためには、業務機能を製造/生産部門の運用から切り離し、運用ネットワークへのインターネット・アクセスを制限する必要があります。特に産業用制御システムでは、企業のネットワークが侵害された場合でも運用を継続できるように、ネットワークを分離することが重要です。
- 社員研修:多くの従業員は組織の資産を保護したいと考えていますが、フィッシングメールに騙されたり、パスワードを再利用したり、複雑ではないパスワードを作成した場合、どれほど高度な技術を用いてもネットワークを障害から保護することはできません。
- アクセス制限:すべての従業員を尊重する必要がありますが、重要データにアクセスする人数が増えるほどリスクが高くなるのが現実です。ネットワーク分離は、従業員のアクセスを仕事に必要な場合のみに制限する方法です。
- プラグインの制限:プラグインがエントリー・ポイントになる可能性もあります。プラグインを無効にするか、プラグインが定期的に更新されていることを確認してください。
- 信頼する前に確認する:すべてのドキュメントは信頼できるソースからの表示可能なファイル拡張子が付いている必要があります。悪意のあるソースから発信されている可能性のある不適切なドキュメントがシステムにダウンロードされないように注意してください。
アプリケーション・セキュリティを優先する
何年もの間、多くの組織は、このようなセキュリティ対策を実装する時間も資金もないと不満をこぼし、どのみちハッカーに関心を持たれる心配はないだろうと主張してきました。
これは明らかに危険な戦略です。「隠蔽によるセキュリティ(Security by obscurity)」は役に立ちません。また、サイバー犯罪者への身代金の支払いやランサムウェア攻撃からの回復に伴うコストは、優れたセキュリティを実装しないことによる「節約効果」を遥かに凌駕します。
セキュリティ強化は投資です。強力なソフトウェア基盤を土台にして、ファイアウォールやネットワーク設計を慎重に検討し、監視やセキュアなソフトウェア・アップデートなどで常に警戒を怠らないようにしてセキュリティを維持します。
そのROIを把握していないとしたら、知りたくないという心理の問題です。
