なぜ多機能な製品は、セキュリティ的に“ダメ”なのか:半径300メートルのIT
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
GMOサイバーセキュリティ byイエラエの阿部慎司氏が、同社の「YouTube」チャンネルでランサムウェアの実情を語る動画を公開しました。昨今の事情を含めて解説する内容に、うなずきながら拝見しました。
特に警察庁による「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の統計で出てきているように、もはやランサムウェアは中小企業の被害が多いこと、そして侵入経路はかつての電子メールやWeb経由ではなく、VPN機器やリモートデスクトップツールの脆弱(ぜいじゃく)性を悪用した侵入であることはしっかりと把握しておくべきだと思います。ぜひチェックしてみてください。
いつまでたってもなくならないVPN機器の脆弱性 その背景にあるもの
ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。
かつてネットワークベンダーの間では「UTM」(Unified Threat Management:統合脅威管理)製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場では、パフォーマンスの問題からセキュリティに関連する機能をオフにし、高級なルーターとして使われたことが多かったとも聞いています。確かにブームの頃は、特に中小企業であればUTMを入れることで防御ができるとアピールするベンダーも多くいました。さて、今ではどうでしょうか。
大きな問題は、これらのネットワーク機器に関するアップデートが進んでいなかったことにあると思っています。恐らく、ネットワーク機器は一度動き始めれば、手を加えたくないということも大きな理由のはずです。高機能なUTMであれば、それなりにアップデートが定期的に実行されていたはずですが、それが正しく適用されていないことが、現状のランサムウェア事案の根幹にあるのかもしれません。
この他、UTM導入後、セキュリティ関連機能をオフにして使っていたにもかかわらず、コロナ禍などで仕方がないとはいえ急にリモートアクセスが必要となり、ポリシーを考えずにVPN機能をオンにしてしまったケースもランサムウェアの被害を拡大させた要因と言えるでしょう。
“多機能であること”がセキュリティではマイナスに働いている
この他、サイバー攻撃被害が拡大する要因として製品の多機能化も挙げられるでしょう。多機能であることはコードが多いということであり、つまり脆弱性が含まれる可能性も高まるということです。Twitterの元CISOであるピーター・ザトコ氏がWithSecure主催のイベント「SPHERE 23」に登壇した際、セキュリティソリューションのコードの増大こそが攻撃の温床になっているという話をしていました。

ザトコ氏は講演で、セキュリティソフトのコードベース(上図の青線)は1000万行を超えるレベルに複雑化しているのに対し、攻撃者が作り出しているマルウェアのコード(上図の赤線)は12万5000行程度と比較的少ない、シンプルな構成になっていると述べた(出典:WithSecure主催のイベント「SPHERE 23」でのザトコ氏の講演「Myths of Cyber Security」より)
個人的にも、特に家庭用ルーターはもっとシンプルに、セキュアになってくれないかと期待しています。しかし、そういったものがもし出てきたとしても、プロモーション的に売れるようなものになるとも思えません。企業向けの製品であればほんの少しだけ期待が持てるかもしれませんが、果たして私たちは「他の製品よりも機能が少なく、マルバツ表で劣勢に見える製品」を選択できるのでしょうか。これは、なかなか難しいでしょう。
UTMがウケたのは、まさに多機能であったことが理由でしょう。しかし、もはやセキュリティの観点では、多機能であればそれだけ、アップデートや脆弱性管理の運用保守に手間がかかると考える必要があります。私たちはそのコストをあまり考えていなかったのかもしれません。今後登場するであろう製品の機能が減ることはないと思うので、結局、正しく運用管理をするしかありません。
今できることは、冒頭の動画でも述べられている、基本ともいうべきポイントを押さえることにあります。サイバー空間の治安はこれまでにないレベルでひどい状況ですが、これが好転するとも思えません。まずは、自社が用意しているVPNに脆弱性が残っていないかを確認するとともに、侵入されている前提でいかに気付けるかを考える必要があるでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「ソフトウェアアップデートは逆効果」 Twitter社の元CISOが“セキュリティ神話”を切る
セキュリティ業界で“常識”と考えられていることも実際は逆効果になっているのかもしれない。Twitter社でCISOを務めた現役ハッカーが、データを基に“セキュリティ神話”に疑問を投げかけた。「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。結局、ランサムウェア身代金は支払った方がいいのか? 被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。中堅企業はなぜセキュリティに関心がないのか? 調査で分かった“ある勘違い”
近年、サイバー攻撃の標的は大企業から中堅・中小企業にシフトしている。しかし中堅企業の中には、セキュリティに無頓着なところもあるようだ。その背景にある“勘違い”とは。ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。