top of page
執筆者の写真吉岡仁

管理インフラでランサムウェアのキルチェーンを遮断

更新日:11月11日

はじめに

最近,ニュース等で話題になっている首都圏での闇バイトの手口は、必ず事前のサーベイでターゲットを決めてからサイバー攻撃を実行する。このやり方と似通っているのがサイバー攻撃者の手口である。企業の情報サイトから色々な手口を使ってどの経路が脆弱性が高くて侵入し易いかをトラッキングしてセキュリティホールをターゲットにする。昔は村や町内会で不審者が入ってきた場合には、お互いに注意を促していた。サイバー攻撃についても、必ず不審な前触れがあり、これを見つけることで攻撃を事前に防いだり、攻撃があっても最小限にとどめる手法が今後の重要なセキュリティ対策と考えられる。さらには、不審者が入れなくする対策である。

国家レベルでも、企業インフラを狙ったIT/IoTのサイバーセキュリティ攻撃の対策で、国立研究開発法人情報通信研究機構(NICT)インターネットサービスプロバイダ(ISP)は連携し、IT/IoT機器セキュリティ対策強化を推進し、その被害を未然に防ぐためのプロジェクトを展開している。“NOTICE”と呼ばれるプロジェクトでは、IT/IoT機器の安全な管理方法や危険性があるIT/IoT機器の管理者やユーザに注意喚起を行っている。

(注)NOTICEとは 総務省、国立研究開発法人情報通信研究機構(NICT)そしてインターネットサービスプロバイダ(ISP)が連携し、IoT機器のセキュリティ対策向上を推進することにより、サイバー攻撃の発生や、その被害を未然に防ぐためのプロジェクト。

特定のターゲットを狙った攻撃には、色々な手口があるが、最近は特にランサムウェアによる被害が多発している。

~参考:10月14日の朝日新聞朝刊から抜粋

(1)Ennetixのアプローチ

Ennetix社は米国UC Davis校の教授陣が大学発として設立したベンチャー企業である。ここのソリューションは米国政府機関で長期間に渡り活用されてい

従来のツールでは情報インフラの各コンポーネントの動的な振舞い性能(dynamic behavior)や動的トラフィックを把握できていない。特にある瞬間にすべてのサーバや全てのルータがどのようなトラフィックを、どのような性能で処理したかの把握が出来ていない。動的実態が把握できないので問題点も見えなく、顧客ユーザにとって価値の高い予知予防が出来ていない。Ennetixツールを活用することにより、サイバーやPC(Windows, MAC)への攻撃の前段階の振舞い(Pre-stage behavior)を正確に可視化出来て、攻撃を未然に防げる。

OT/IoT分野でも制御システムの各コンポーネントの性能をEnnetix のデータコレクターで見える化できかつ異常な遅延を検知できるので、性能に関する予知や予防保全出来る。データコレクター (XOME および xTend) を搭載した xVisor は、標準プロトコルを使用してデータを収集できるほか、さまざまなサードパーティのデータソースやイベントソースと統合でき。統合 API を使用すると、インフラ、ユーザデータ、アプリケーションの統合データビューを作成でき。xVisorのデータソースには、デバイスログ、SNMP、Syslog、パケットキャプチャ/フロー、アクティブプローブ、APIログ、フローログ、メトリックなどが含まれる。従って、xVisorは、真のエンドツーエンドの詳細な可観測性を実現する市場で最も包括的な製品である。

(2)ZPE Systems Nodegridシステム

ソーシャルエンジニアリングと脆弱なシステムは、ランサムウェア攻撃ターゲットの最大の脅威ベクトルである。企業はランサムウェアの攻撃を受けたときに対応に転じる能力が必要である。

(注)ソーシャル エンジニアリングによるランサムウェア攻撃ではフィッシングを使って被害者をだまし、リンクをクリックさせ、そのリンクをクリックすると、ランサムウェアがインストールされます。

これは、”Isolated Management Infrastructure (IMI)”を通じてのみ実現できる。ZPE IMI で以下に対応する:

·         攻撃の拡散を阻止: 影響を受けるデバイスとインフラをオフラインにする

·         迅速な修復: 安全で隔離されたバックアップからクリーンアップして修復する

·         脅威ベクトルを閉じる:管理ネットワークを完全にセグメント化し、自動パッチ適用を実装する

IMIは、完全に独立したネットワークを介してデバイスへの管理者アクセスを提供し、管理インターフェイスを運用ネットワークから削除する。これにより、人為的ミスによって運用ネットワークがオフラインになるリスクが軽減されると同時に、悪意のある攻撃者が管理インフラに横方向にアクセスするのを防ぐことができる。IMI は修復を簡素化および高速化を実現する。

ZPE Systemsが提供するIMIは、管理ネットワークを運用ネットワークから完全に分離する。

ZPE Systems のNodegrid OOBM(Out-Of-Band Management)は、管理ネットワークを本番環境から完全に分離し、自動パッチ適用を可能にして攻撃の動きをブロックし、最新のサイバー脅威を締め出すZPEの最新機能”Isolated Management Infrastructure (IMI)”である。

•          攻撃の拡散を阻止: 影響を受けるデバイスとインフラをオフラインにする

•          迅速な修復: 安全で隔離されたバックアップからクリーンアップして修復する

•          脅威ベクトルを閉じる:管理ネットワークを完全に分離し、管理権限を持つオペレーションの盗聴

を出来なくする

これにより、広範囲で無防備な ITネットワークが防止される。このアーキテクチャには、NetDevOps プロセスを使用したゼロトラストも組み込まれている。そして、IMIには、次の利点がある:

自動化の不安がない: IMIは、管理者が本番ネットワークを壊す心配をせずに自動化を実現する環境。

最新のシステム: IMIでは、管理者が自動パッチ適用のためのエンドツーエンドのパイプラインを分離構築できるため、システムは常に安全かつ最新の状態である。

付随的な被害がなくなる: IMIにはゼロトラストセキュリティとセグメンテーションが組み込まれており、攻撃が隙間をすり抜けても、エントリーポイントを超えて広がることはない。

 

おわりに

朝日新聞の11/3(日)の朝刊では、パソコンのデータを暗号化して身代金を要求するランサムウェア攻撃による被害が後を絶たない。今年の9月には新たに関西の物流システム会社が攻撃を受けたと発表し、出荷を委託していた多くの物販会社に影響が及んだ。

今年の9月13日午前、食品メーカのオフィスに一通のメールが届いた。“一部サーバでランサムウエアウイルスの感染を確認いたしました”。これは、オンラインショップの出荷業務を委託している物流システム会社からだった。オンラインショップに注文が入ると、氏名や住所、注文内容などの情報がこの物流会社にわたる。この会社はオンラインショップを閉鎖した。警察庁によれば、ランサムウェアの被害は今年の上半期に

114件あり、高止まりしていると報告されている。

情報セキュリティ大手の“ラック”によると、高止まりを続ける背景には、ランサムウェア攻撃の方法が売買され、容易にできるようになったことがある。

こうした仕組みは、Ransomware as a Service(RaaS)と呼ばれ役割分担されている。高度な知識や技術がなくても攻撃が仕掛けられるようになり、攻撃の実行者が増えることにつながっているという。そして、侵入経路の46%がVPN機器のようであると報告している(筆者:吉岡仁)。

 

当製品の問合せ先:

閲覧数:10回0件のコメント

最新記事

すべて表示

Comments


Commenting has been turned off.
bottom of page