最新のマルウェアに備えよ あなたは50：30：20の法則を知っているか？：「Security Week 2022 秋」開催レポート

複雑化、高度化したサイバー脅威に対抗するためには、セキュリティ製品を導入するだけでは不十分だ。レオンテクノロジーの守井氏が提唱する50：30：20の法則で企業のセキュリティ環境を強化しよう。

[ITmedia]

　昨今、サイバー犯罪は増加の一途をたどりマルウェアや攻撃手法の変化も著しい。そのため多くの企業ではサイバー犯罪への対策を適切に講じることが困難なこともある。最新のサイバー脅威と戦うために必要なポイントとは何か。

　アイティメディア主催のオンラインイベント「ITmedia Security Week 2022 秋」にレオンテクノロジー代表取締役社長　守井浩司氏が登壇し、3つのセキュリティ対策を紹介した。本稿は同氏の講演「最新のマルウェアに備える！　感染対策と初動対応のキホン〜50:30:20（技術による対策：知識による対策：意識による対策）〜」の内容をレポートする。

猛威を振るうサイバー脅威の現状は？

レオンテクノロジー　守井浩司氏

　守井氏は2005年にレオンテクノロジーを設立し、自身も現場の最前線で活動する傍ら、ホワイトハッカー育成にも注力している。近年は金融機関および医療機関を中心にセキュリティに関する講演や教育などにも積極的だ。そんな同氏はサイバー脅威の現状をどのようにみているのか。

　「情報セキュリティ白書2022によれば、2021年の情報セキュリティインシデント報道件数は769件と2020年から43.2％増加している。その他、JPCERT/CCのレポートではインシデント報告件数は前年同期より62.7％増加、警察庁資料ではサイバー犯罪の検挙数が過去最多の1万2209件となっている。サイバー犯罪の検挙数については、警察のサイバー犯罪捜査に関する能力が上がったことも要因として考えられる」（守井氏）

増加するセキュリティインシデント。検挙数も増加している（出典：守井氏の資料から抜粋）

　また、情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」では、国内の組織を標的にしたサイバー攻撃のトレンドとして、2020年からランサムウェアによる被害が1位となっている。ランサムウェアとはマルウェアの一種でありサーバなどに保存されたデータを不正に暗号化する。犯罪者は暗号化の解除を条件に身代金を要求する。

　さらに、守井氏は2021年ごろから登場した新たなランサムウェア「BlackMatter」に関する脅迫文や暗号化されたファイルを説明。その他、ランサムウェアによる具体的な被害として米石油パイプラインや国内病院などの事例も紹介した。

変化を続けるマルウェアと攻撃手法

　「Emotet」は2020年前後に猛威を振るったマルウェアだ。2021年1月に無害化されたが、2021年11月に活動を再開した。攻撃手法を変化させながら感染を広げることから、変化するマルウェアの代表例と言える。

　守井氏によれば、Emotetは2020年以降に第一波、第二波、第三波と変化してきた。第一波は対象組織の拡大、添付ファイルのマクロ利用、電子メール本文の日本語化などから始まり、第二波ではパスワード付ZIPファイルを使用、ファイル形式はDLL形式なども観測された。第三波ではApp Installer機能の悪用、拡張子が表示されないLNKファイルによる不正なコマンドの実行およびブラウザから認証情報を搾取する機能が確認された。

　「第四波ではどのような攻撃手法になるか検討もつかない。さらに変化はマルウェアの機能だけではなく、攻撃のパターンにも表れている」（守井氏）

　ランサムウェアによる攻撃は、一昔前は「ばらまき型」であったが、今は標的型に変化している。ばらまき型は無差別に送信する手法、標的型は特定の組織や職員をターゲットとして、事前に入念な調査を経て実行される。

ランサムウェア攻撃の変化（出典：守井氏の資料から抜粋）

　標的型には組織のネットワークに侵入してランサムウェアをばらまく「侵入型」と呼ばれる手法も増加している。

　守井氏はここで「RDPやVPNなどの脆弱（ぜいじゃく）性を突いた侵入が増加しているため、侵入を防ぐというだけでなく侵入を想定した対策が必要になる。攻撃者は侵入後WindowsなどのOSが持つ正規の機能を悪用する場合も多い」と述べ、従来のセキュリティ製品だけでは検知や対策が困難との見解を示した。

技術：知識：意識＝50：30：20〜今求められる対策とは〜

　守井氏は「従来のマルウェアは、ウイルス対策ソフトやメールフィルタリングなどの製品で対応できたが、マルウェアの変化や侵入後にOSの正規機能を悪用する攻撃などは従来のセキュリティ製品だけでは対策が難しい」と述べ、最新の脅威と戦うために必要となる3つの対策と、そのバランスとして技術50％、知識30％、意識20％の法則を提唱した。

技術による対策

　守井氏は「セキュリティ製品だけでは対策できないとしつつも、先立つものがないと始まらない」と言う。

　技術による対策の例としてIDS/IPS,SIEMなどが良く利用されている。また、守井氏によれば、100％の対策ではないとしても、従来のセキュリティ製品であるウイルス対策ソフトなども必要になるという。ランサムウェア対策としてはEDR（Endpoint Detection and Response）による検知なども必須になる。守井氏は、セキュリティ対策に費用を捻出し難い状況においても、最低限導入することを推奨する製品として以下を紹介した。

　また同氏は「最新の脅威は製品を導入するだけでは防げない」と述べ、提唱した法則から、技術による対策は50％とし、知識による対策30％、意識による対策20％が必要であることを繰り返した。

知識による対策

　守井氏は「セキュリティ製品は導入するだけでなく、最新の脅威に合わせてカスタムしていく必要がある」とも語る。このために必要となるのが知識だ。最新の攻撃に関する知識を積極的に収集し、各種製品をカスタムするのが重要だ。具体例として有志が適宜公開しているC＆Cサーバ（マルウェアなどが通信する攻撃者のサーバ）のURLをWebフィルターに適用し遮断するなどが挙げられる。

　同氏はランサムウェアついても「IDS/IPS、SIEM（Security Information and Event Management）製品を適切にカスタムすることで早期発見できる可能性がある。データを復旧できるケースは非常に少ないため事前のバックアップが鍵」と述べ、知識による対策の重要性を強調した。

これらの製品はサイバー脅威についての知識があると導入時に効果を実感できるという（出典：守井氏の資料から抜粋）

意識による対策

　守井氏は技術と知識による対策に加え、最後は職員のセキュリティに対する意識が重要とも語る。マルウェアの感染経路としては電子メールなどが主流であり、「不審な電子メールは開かない」といったことを教育する必要がある。フィッシングサイトやスパムメールに関する周知や、具体的な脅威としてEmotetの存在などを理解し適切に対応するスキルを身に付けさせることが大切だ。

　また同氏は「技術と知識で対策をやりきっても、やはり人の意識が大事である」「電子メールは巧妙化してきている」と述べ、職員に対する教育や訓練の必要性を念押しした。

　講演の最後に守井氏からは、サイバーセキュリティ予算が適切に取れない、新たにセキュリティに取り組む、などの組織の方へ同社のサービス「セキュリティハジメマスカ？」に関する紹介があった。このサービスではセキュリティに関するテストを通じてセキュリティ意識を高められる。セキュリティ対策を何から始めればいいか悩む企業はこれを利用してみるのも一つの手だろう。