インシデント対応はとにかく“準備がものをいう” 注意すべき2つの観点：拝啓、インシデント対応の現場より

インシデント対応現場の知見をお届けする本連載。後編ではインシデントにおける「調査」「復旧」「準備」といった技術的対応の勘所を解説します。

[杉山貴裕，グーグル・クラウド・ジャパン合同会社]

　本連載では、近年トレンドの標的型ランサムウェア攻撃への対応について、インシデント対応の現場で思うことや組織がより良く準備するための推奨策などを筆者の知見や体験談を踏まえて解説しています。

　前編ではインシデント対応現場で重要な考え方についてお伝えしました。今回は“技術的対応”に絞って解説していきます。筆者は技術的な調査を専門とするコンサルタントであるため、法務や公報といった観点からの見解を示せませんのでご承知おきください。

インシデント対応現場に求められる“3つの技術”

　ここからは「調査」「復旧」「準備」のテーマに絞って技術的対応を解説します。

1．調査

　前編ではインシデント発生時には「何が起こったかを調査することが重要」と強くお伝えしてきましたが、これは具体的にはフォレンジック調査と呼ばれます。フォレンジックの古くからある手法としてはエンドポイントからHDDを取り出して全体イメージコピーを作成し、それを解析するというものがあります。

　現在でもこの手法は取り入れられますが、解析には時間や労力、設備が必要となるため、ファストフォレンジックという、調査に有用な情報に絞って取得・解析する手法がよく使われます。これを環境全体といった広い範囲に対して適用できるようにするツールやソリューションもあります。

　このような文脈でEDR（Endpoint Detection and Response）の名前を聞いたことのある方もいらっしゃるかもしれません。製品によりますが、一般的に使用されるEDRの多くは限定的なフォレンジック調査機能しか持っていません。今起きていること、つまりリアルタイムアクティビティーの検知と調査には非常に役に立つ一方で、過去に起きた活動の痕跡をくまなく調べるためには、追加のツールを導入する必要があることが多いです。

2．復旧

　次は「復旧」です。復旧作業の核になるのは侵害を受けた端末やシステム、データなどの修正です。調査結果から侵害を受けたと判明したエンドポイントでは、原則としてシステムを再構築する必要があります。サイバー攻撃者のインフラストラクチャへの通信はネットワークで遮断します。また、攻撃者が使用したり、パスワードを取得したりしたアカウントではパスワードリセットを実行します。

　なお多くの場合、サイバー攻撃者はドメインコントローラーを侵害して「Active Directoryデータベース」の情報を窃取するので、環境内全てのパスワードのリセットが必要です。

　また、調査結果にかかわらず実施できる一般的な堅牢（けんろう）化策もあります。Mandiantのホワイトペーパー「破壊的攻撃から保護するための予防的準備とセキュリティ強化」に、ランサムウェア攻撃者が頻ぱんに使用する攻撃手法に対応するための堅牢化策をまとめているので、ぜひ読んでみてください。

3．準備

　セキュリティインシデントにおいては準備がものをいいます。準備は以下の2つの観点で考えるといいでしょう。

1. インシデント防止のための準備：　防げるものを防ぐ
2. インシデント対応のための準備：　防げないものによりよく対応する

1．インシデント防止のための準備

　インシデント防止のための準備に役立つソリューションには、アンチウイルスやファイアウォール、IPSなどがありますが、筆者が特に重要だと強調したいのは、環境内で使用するソフトウェアなどの脆弱（ぜいじゃく）性管理およびパッチ適用、安全な設定の適用です。

　最近ではVPN機器の脆弱性に端を発するインシデントが目立ちます。さまざまな機器で致命的な脆弱性が発見されており、それらを悪用すればVPNアカウントの認証情報を平文で取得できるケースもあります。こうして取得したアカウントを使ってシステム内部に侵入し、攻撃活動を実行するわけです。

　筆者が推奨するVPNを保護するために最も重要な対策は以下の通りです。

• ベンダーから出ている脆弱性情報を確認してソフトウェアをアップデートする
• 多要素認証を導入する
• 管理コンソールへのアクセス制限を設ける

　前編では、標的型ランサムウェア攻撃にはサイバースパイなどで使われる手法も用いられると述べました。一方、これらの攻撃（者）の間で大きな違いもあります。それは、サイバースパイを目的とする攻撃者はあらかじめ標的とする組織が決まっていることに対して、標的型ランサムウェア攻撃者にとって必ずしも誰を標的とするかは重要でないということです（強いて言えば身代金を払いそうな組織でしょうか)。

　そのため、標的組織への初期侵入の手法に大きな違いが発生します。ランサムウェア攻撃でよく見られるのは脆弱性の悪用です。ある攻撃者が脆弱性が修正されていないVPNゲートウェイ機器などを探してインターネット中をスキャンして、機器を特定・脆弱性を悪用し当該組織へのアクセスを得ます。そしてこの攻撃者は別の攻撃者にこのアクセスを譲渡するのです。そして、このアクセスを譲り受けた攻撃者がここから、標的型攻撃を開始します。

　そのため、このようなよく悪用される脆弱性に対応するだけでもこの類のインシデントを防止するための大きな効果が得られるのです。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が公開している「Known Exploited Vulnerabilities Catalog」（悪用されている脆弱性カタログ）には、そのような脆弱性がまとまっているので活用しましょう。

　この他、インターネット（外部）から自社環境を見たときにどこに侵入の糸口があり得るのかを調べて管理するASM（攻撃対象領域管理）という考え方およびソリューションが流行しています。これは非常に良い取り組みだと筆者は考えています。

2．インシデント対応のための準備

　個人的には、インシデント防止のための準備に比べるとインシデント対応のための準備への取り組みは遅れがちに思えます。インシデントを防止できれば対応の必要もないので、防止のための準備に注力したいという気持ちは理解できるのですが、残念ながら世の中にはサプライチェーン攻撃やゼロデイ脆弱性、フィッシングのように防ぎきれない侵害があります。

　筆者が対応したインシデントでも、ソフトウェアをダウンロードしようと検索したところ、偽のソフトウェア配布Webサイトに誘導されてマルウェアに感染、そこからランサムウェアインシデントが発生したという事例がありました。このような侵害は技術的な対応で防ぎきれるものではないので、侵害を早期に検知して、適切な対応を取ることが重要になります。

　これを支援するソリューションとしてはEDRが有効です。EDRを使う際にはアラートなどを適切にハンドリングするモニタリングの取り組みに力を入れましょう。適切な対応という観点ではプロセスの整備などが挙げられます。インシデント対応計画を策定、練習したり、シナリオベースで対応を検討したりする机上演習も有効です。

侵入を許したが被害を未然に防いだケースを紹介

　最後に、サイバー攻撃者への侵入を許したものの被害を未然に防いだケースを紹介しましょう。ある組織ではVPN経由でサイバー攻撃者の侵入を許してしまいました。サイバー攻撃者はシステム環境に侵入後、一般的な攻撃者と同じようにまずはネットワークのスキャンを実行しました。同組織が素晴らしかったのは、攻撃者によるネットワークスキャンを異常検知して迅速に対応したことです。

　同組織はこの異常なトラフィックの送信元になっていたシステムの管理者に確認し、これが管理者による活動でないことを突き止めた後、すぐにセキュリティインシデントが発生したと判断しました。

　同組織はMandiantとインシデント即応契約を結んでいたため、同社サポートの下、スピーディーに影響範囲のネットワーク封じ込めとサイバー攻撃者のアクセス遮断を実行できました。Mandiantは並行して調査を実施し、サイバー攻撃者が実行していたのは環境内部での偵察活動のみであり、被害を未然に防げたと結論付けました。

　厳密にいえば、早期に撤退させたため、この攻撃者がランサムウェアを仕掛けるつもりがあったかどうか確証はありません。しかし偵察活動の中でサイバー攻撃者がバックアップシステムに着目していたことから、この攻撃者がランサムウェアなどの破壊活動を狙っていたと推測しています。

　筆者はインシデント対応を専門に行っているため、対応依頼の多くは既に被害が発生している状況であり、実はこのような被害を未然に防げた事例はあまり経験していません。SOCなどセキュリティ運用担当者にとってはたまにある重大事案なのだと思いますが、筆者には素晴らしい成功事例に見えてしまうところです。

　以上、ランサムウェア攻撃への対応に関連した筆者の見解を述べました。この内容が少しでもインシデントの発生やその被害を減らすことに役立てば幸いです。