2018年もサイバーセキュリティ界隈ではさまざまな脅威が出現したが、セキュリティの脅威は巧妙かつ複雑な手法を用い、ネットワークを通じてエンドポイントやシステムに広がるケースが多い。セキュリティ各社がネットワーク上で見つかったセキュリティ脅威の“やっかい”な動きを取り上げている。
「WannaCry」型の脅威拡大は今も
米CrowdStrikeが発表した「サイバーセキュリティ侵害調査報告書」の2018年版によると、脅威の侵入口のトップはウェブサーバに対する攻撃で、同社が2018年にインシデント対応を支援した案件の20%を占めた。2017年に比べて減少したものの、ビジネスにダメージを与えた事件は少なくないという。
CrowdStrikeが対応したインシデントにおける脅威侵入口の割合
日本法人でプリンシパル・コンサルタントを務める鵜沢裕一氏は、脆弱性を修正するパッチの適用が遅れてしまうことにより、脅威のラテラルムーブメント(横展開)が急速に広まるケースに注意すべきと指摘する。同氏が2018年春ごろに対応したインシデントでは、ネットワークで拡散するワーム型の脅威によって企業の生産ラインが停止してしまい、事業中断に追い込まれた。
「このケースでは、生産ラインが直接狙われたわけではなく、『EternalBlue』のエクスプロイトの攻撃が組織の内部ネットワークで拡散し、その過程でパッチを当てていない古いシステムで稼働する生産ラインにもダメージが及んだ。生産ラインの管理ネットワークと情報系ネットワークが分離されているとする組織は多いが、どこか気が付かないところでつながっている可能性に留意していただきたい」
EternalBlueのエクスプロイトは、2017年5月に世界的な騒動を引き起こしたワーム型ランサムウェア「WannaCry」の感染手法にも利用された。Microsoftは同年3月の時点でエクスプロイトに使われるWindowsの脆弱性を修正していたが、対応が遅れた組織ではシステムダウンなどの障害に見舞われた。パッチ適用がシステム稼働に与える影響を懸念して、実施を遅らせているケースは珍しくないが、大規模被害から1年近く後でも事業停止に追い込まれてしまうような事態が発生してしまう運用は、再考が求められるかもしれない。
同報告書では、この他の侵入口として「侵害されたクレデンシャル情報」(20%)、「スピアフィッシング」(18%)、「ソーシャルエンジニアリング」(15%)が上位に挙げられている。これらは「人間をだます」ことに主眼を置いた手法で、鵜沢氏は技術的な対策が難しいと解説。侵入した脅威をいかに早く検知できるかがポイントになるという。