【ブックレビュー】ランサムウェア対策実践ガイド
表紙にあるようにこの本は「セキュリティ対策にコストをかけられない」会社や組織に対して、「コスパの良い」対策と具体的な対応策を実例をもとに紹介している本です。コスパという言葉に良くないイメージを持つ人もいるかもしれませんが、実際セキュリティ対策に「コスパ」という概念は重要だと思います。 セキュリティは究極的には「時間とお金を書ければいくらでも強固になる」ものですが、 それができれば苦労はしねぇ! ヒト・モノ・カネは有限であり、セキュリティ対策自体はおカネを生み出さないため優先度は下がります、小さな会社に勤める僕は大きな会社と取引をしていますが、大きな会社は扱っている情報の質量ともに大きいため、セキュリティに対する施策もたくさんです。対応が面倒だな、と思いつつもその堅牢さは羨ましさを感じます。 ですがこれも口を酸っぱくして言い続けていますが、セキュリティ対策は鍵をかけずに外出するようなものであり、攻撃にあえば被害は甚大、経営問題です。これほどランサムウェアが騒がれてもはや今日の天気並みに日常ニュースになってしまっている現在、ランサムウェアを知ること、リスクを下げること、そして万が一被害を受けてしまった場合にどうするかの備えは必須ではないでしょうか。
ランサムウェアが流行っている、被害が甚大だ、とはわかるのだけど、具体的な侵入事例などはなかなか公開されていません。この本は数少ない公開事例を分かりやすく説明しています。例えば本では”大手ゲーム会社”と書かれていましたが、大きなニュースになったことで皆さんもご存じでしょう、CAPCOMのランサムウェア被害がどのように発生したのかが図入りで説明されています。やはりVPNルータが攻撃のトップの起点なのか・・・脆弱性があったりパスワードがもろい場合は不正侵入の入り口になってしまいます。 また、別の事例ではOSの脆弱性を突く攻撃からランサムウェアに至った事例も解説されていました。特にWindowsはMacOSよりもサイバー攻撃に弱いと言われる一方で普及率は高いため、現場としてはWindowsの対策を欲しているでしょう。このように、この本に記されている対策は「Windowsではこのように設定する」など敢えて特定のOS(Windowsはよく使われているOSとも言えます)にフィーチャーすることにより、現場がすぐ手を動かせる対策が多数掲載されているところが良いと思いました。実際自分の会社の状況と照らし合わせ、「これならできそうだ」「これならやれそうだ」とリストアップしました。これを会社で使っていこう。
ランサムウェアは基本的に外部からの攻撃になります。せっかくの二段階認証やIPアドレスによるアクセス制限も、脆弱性によりバイパスされてしまっては意味がありません。アプリやOSのセキュリティパッチを当てるということは当たり前すぎてなおざりになりがちですが、基本のきです。 また、情シスが普段からできる対策としてはIPS,IDS/FWのようなアプライアンスだけでなく、IPアドレスのサブネットを事業部ごと切るなど教科書的な対策も重要なようです。そしてセキュリティ製品を導入しても、ちゃんと設定すること、パッチを当てること、パスワードは複雑なモノにして使いまわししないこと、という初歩的な対策も効果的とのこと。
次に、ランサムウェアとはどのような組織がどのような手順を踏んで攻撃を仕掛けてくるのかが解説されています。現代はSaaS、PaaS、IaaSなどなんでもサービス化していますがランサムウェアもそれに漏れず、RaAS(ランサムウェア・アズ・ア・サービス)としてエコシステムを構成しています。 攻撃は8つのステップを得て段階的に行われる(途中のステップをスキップしたり、前のステップに戻ったりもする)ので、本来警戒するべきは最終ステップの暗号化ではなく、それ以前の侵入や内部での不正な活動に気が付かないといけません。ActiveDirectoryのような端末・アカウント管理ツールや、エンドポイントセキュリティの管理コンソール、本来は自社サービスのセキュリティ強化に利用されるペネトレーションテストツールなど、身近にあるお役立ちツールが不正侵入された攻撃者に使われて社内の防御が次々無効化、システムが丸裸にされていく一連の手順はセキュリティ担当にとってはリアリティがあり、ホラー映画より恐怖です。 8つのステップごとに何を対策すればよいかも紹介されており、やることは多いのですが推奨項目には〇をつけたうえでチェックシート形式で記載されているので現場にも導入しやすいです。セキュリティ強化にすぐ使えるWebサービスも紹介されています。ShodanやViewDNSなど、セキュリティ分野の人にとっては知っていて当然なのかもしれませんが、自分は知りませんでした、参考になります。
あとはやった気になったセキュリティ対策ではダメ、ということですね。EDRは各PCに入れました、あとはお任せでは意味がないとは自分では思っていて、EDRが発している警告を毎月減らしていくぞ計画を立てたのですが、この本はさらに一歩進んだことを推奨しています。だいたいのエンドポイントセキュリティソフトにはログ機能が付いています。エージェントがインストールされた業務PCの活動を記録しています。この中身を見ているか、不審な痕跡は残ってないのか、と説きます。そこまではやっていなかった・・・。 よくサイバー攻撃を受けた場合LANケーブルを引っこ抜け、もしくはWi-FiをOFFにしろ、は僕も会社で啓蒙している対策ですが、最近のニコニコ動画のランサムウェアでは、電源OFFにしたノートPCが自動で再度電源Onになるという恐怖のプログラムに感染していたとのこと(根本対策は電源ケーブルを引っこ抜いて電源の供給を断つしかなかったとのことです)端末の特定をしようとしてもそれすら偽装されていたり、ログは改ざんされていったりと、自分達だけではインシデント対応は進まないかも。やはり専門業者に依頼しないといけなさそうです(ただし、この本の著者がその「専門業者」であるのでポジショントークを疑ったほうが良いでしょう)
最後に、先月読んだ本でも強調されていた(昨今のトレンドなのかな?)インシデント対応について。インシデントハンドリングマニュアルがJPCERT/CCから公開されています。JPCERT/CCがインシデントハンドリングマニュアルを公開しており、この内容通りに従って対応すれば大きくずれはなさそうです。また本書には社内外向けにどのようなコミュニケーションを取る必要があるかを列挙しており、これが有用です。誰もがインシデント対応などしたくはありません、しかし本書に書かれている平時の準備や、不幸にもインシデントが発生してしまった場合の対応フローは用意しておく必要があります。何が必要なのか、割かれている文章の量は短いものの必要なものを抑えてくれています。
最後に、著者はトレンドマイクロの社員なのですが、トレンドマイクロ製のインシデント対応ボードゲーム が紹介されています。画像を見るといかにも僕が大好きなアナログボードゲームのような見た目です。
本ボードゲームは、セキュリティインシデント発生時の対応をゲームを通じて体感できます。様々な立場のプレイヤーが、ゲーム内で発生する架空のインシデントに対して、調査方法、復旧方法、対外的なコミュニケーション戦略等について話し合い、インシデント対応プランを決定。実際にインシデントが起きた場合の模擬訓練として活用できるだけでなく、自組織のセキュリティ意識向上、足りない対策は何かといったセキュリティ課題に気づくことができます。
ちょっとやってみたい・・・(笑)