サイバーリスク：週末が待ち遠しい

サイバー犯罪者は週末に動く

今春以降だけでも、本稿ではパイプライン会社やソフトウェア会社へのランサムウェア攻撃などいくつものサイバー攻撃を取り上げてきた。
そして、それらのサイバー攻撃によって米国の一部地域ではガソリンスタンドからガソリンが消え、フロリダで発生したサイバー攻撃がスウェーデンにあるスーパーマーケットのレジを止めるなど、多くの影響をおよぼしている。

そして8月31日、これらのサイバー攻撃には「共通した傾向」があるとして、CISA（米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁）とFBI（米連邦捜査局）よりアドバイザリが共同で公開された。^*1

「共通した傾向」とは何か？

それは過去数ヶ月にわたって米国で甚大な被害を及ぼしたサイバー攻撃が、”休日または週末”に発生しているというのだ。CISAとFBIがこれらのサイバー攻撃とその戦術・技術・手順を分析したところ、サイバー犯罪者はこれらを魅力的な時間帯と見ている可能性があると述べている。

実際、米国東海岸で消費されるガソリンの半分を供給している米パイプライン会社が被害に遭ったのは、5月の母の日の週末。^{*2 *3}
また、全米で消費される食肉の20%を供給している全米最大の食肉加工会社が被害に遭ったのは、5月のメモリアルデーの週末。^*2

そして、被害に遭ったソフトウェア会社の製品を使用している1500社に影響が及んだサイバー攻撃は、7月の独立記念日の連休直前のことであった。^*4

残された時間は僅かもない

サイバー犯罪者にとって、なぜ休日や週末が魅力的なのだろうか？

休日や週末はIT担当者が勤務していなかったり、勤務している人数が少ないといったことがある。
そのような状況下においては、サイバー犯罪者による不審な行動が検知されづらいということ。また、不審な行動が検知された場合でも、そのことを知らせるアラートがタイムリーに確認されないため、不審な行動をとるための十分な時間を稼げるということ。場合によってはIT担当者が長期休暇で業務用の端末にアクセスできない可能性があることを事前に知っており、そこを狙って不正侵入を行なっている可能性もあるとしている。

更に、ランサムウェアに感染したことによって、被害企業などのファイルが暗号化されて開けなくなるまでの「時間」。
サイバー犯罪者はランサムウェアそのものも処理を高速化できるよう日々チューニングしており、IT担当者が対処するために残された「時間」は僅かもないのが実状である。

CISAとFBIでは、具体的に次の休暇のサイバー脅威について情報を持っていないとしているものの、休日や週末にランサムウェアの脅威を継続的かつ積極的に監視することを強く推奨するとしている。

IT担当者を増やすこと以外に

このアドバイザリでは休日や週末のIT担当者を増員することや、ランサムウェア攻撃が発生した際に対応可能なIT担当者を特定できるようにすることを提案している。同時に、いくつかの推奨事項にも言及しているため、ここでいくつか取り上げてみたい。

まず、データのオフラインバックアップを作成すること。
多くのランサムウェアでは、アクセス可能なバックアップを見つけ出して削除または暗号化を試みる。そのため、オフライン環境にもバックアップを作成しておくことを推奨している。

また、疑わしいリンクをクリックしないこと。
そのためには従業員トレーニングやフィッシングメール演習を実施することでユーザの認識を高め、フィッシング詐欺などへの適切な対応を強化していくこと。
フィッシングによる攻撃は、サイバー犯罪者によって最も用いられている手口の一つであるとしている。

そして、OSとソフトウェアを更新し、既知の脆弱性に対応することなどをここではあげている。
他にも、在宅勤務などで多く利用されることになったRDP（リモートデスクトッププロトコル）の状況を監視することや、MFA（多要素認証）の使用などについても紹介されており、実践的かつすぐに取り入れられるアドバイスが多く取り上げられているので、是非ともご一読いただければと思う。^*1

組織が止めるべき悪い慣行

ところで、CISAとFBIによるこのアドバイザリが公表された前日の8月30日。
組織が止めるべき「悪い慣行」に関するアドバイザリの改訂版が、CISAより公表されたので最後に紹介したい。^*5

ランサムウェア攻撃対策の推奨事項としてMFA（多要素認証）の使用について前述したが、多要素認証の”逆”である単一要素認証の使用を止めるべきということが今回の改訂版では追加された。ここでの単一要素認証とは、一般的な低セキュリティの認証方法を示しており、パスワードなどの単一の要素をユーザ名に一致させるだけでアクセスできてしまう状態を示す。

政府機関では主にこの単一要素認証を非常にリスクの高いサイバーセキュリティ慣行であるとしており、多要素認証の欠如は総合的にセキュリティレベルが低いとみなしているため、このアドバイザリではその点を指摘している。

尚、強力な認証の実装方法については、このアドバイザリとは別にCISAからガイドが提供されているので、そちらも参照されたい。^*6

単一要素認証以外にも、既にサポートが終了したソフトウェアを使用することを止めることや、既知/固定/デフォルトのパスワードや認証情報を使用することを止めることもこのアドバイザリでは推奨している。
これらの「悪い慣行」は、すべての組織で回避する必要があり、重要インフラまたは国家の重要な機能に関連した組織では特に危険なことであるとしている。

また、このアドバイザリは継続的に更新されており、今後の改訂で追記が想定されるものとしては、ITネットワークとOTネットワークが混合された状態であることを止めること。以前に侵害されたシステムをサニタイズせずに利用し続けることを止めること。全員が管理者権限を持っていることを止めること、といった内容が検討されているところである。

これをやっておけばサイバーセキュリティは完璧だ、というような特効薬はもちろん存在しない。
そのため、日々更新されていくサイバー空間における脅威に関する情報を収集し、それらへの対策・対応、そしてITを利用する全てのユーザーの認識やトレーニングなどを継続的にアップデートし続けなくてはならない。

出典

^*1 https://us-cert.cisa.gov/ncas/alerts/aa21-243a

^*2 https://www.willistowerswatson.com/ja-JP/Insights/2021/06/crb-nl-june-adachi

^*3 https://www.willistowerswatson.com/ja-JP/Insights/2021/07/crb-nl-july-adachi

^*4 https://www.willistowerswatson.com/ja-JP/Insights/2021/08/crb-nl-august-adachi

^*5 https://www.cisa.gov/blog/2021/06/24/bad-practices

^*6 https://www.cisa.gov/sites/default/files/publications/CISA_CEG_Implementing_Strong_
Authentication_508_1.pdf