早急に備えておくべき「7つ」の新しいサイバー脅威：RSA Conference 2017レポート（1/2 ページ）

米国のセキュリティ機関 SANS Instituteのリサーチャーが、RSA Conference 2017の基調講演で「今後備えるべき、新たな攻撃と脅威」を解説。「7つ」の新しい攻撃／脅威に早急に備えよと提言した。

[高橋睦美，＠IT]

　この先、われわれが備えるべき新たな脅威とは何だろうか。2017年2月15日、米国で開催中の「RSA Conference 2017」の基調講演「The Seven Most Dangerous New Attack Techniques, and What's Coming Next」では、米SANS Instituteでセキュリティ分野のリサーチに携わる3人の研究者がそれぞれの見解を披露した。

　エド・スコーディス（Ed Skoudis）氏は、真っ先に「ランサムウェア」、特にデータを暗号化してしまうタイプのランサムウェアを挙げた。

　「約20年前に公開されたホワイトペーパーでも、暗号技術が悪用される可能性が指摘されていた。今やランサムウェアは急増し、アクティブなものだけでも約150種類が確認されている。遠隔操作用のC2サーバを用意する必要もなく、被害者の方から連絡してくれるわけだから、犯罪者にとってはパーフェクトな手段だ」（スコーディス氏）。

　しかも日本と同様に、「ランサムウェアは、われわれの両親や祖父母も含めた一般人だけでなく、組織や企業をターゲットにし始めている。特に、ファイルサーバなどで共有されているファイルやバックアップが狙われるようになった」（同氏）と警鐘を鳴らす。

　この脅威への対策は、基本に立ち返ること。つまり、システムやネットワークの基盤を健全に保ち、アクセス管理を行い、分離の原則を徹底してファイル共有を最小限に留めることに尽きる。同時に、万が一感染してしまったときに備えて、身代金支払いの判断を「誰が下すか」を明確にしておくとともに、コンタクトを取るときには、「相手には、自社が決してフォーチュン500のような大企業だとは知らせず、ビットコインを支払うのがやっとの“中小企業のように”見せかけるのも交渉術の1つだ」（スコーディス氏）

　2つ目の脅威は「IoT（Internet of Things）」だ。2016年に史上最大級のDDoS攻撃を実行した「Mirai」ボットネットの手口が示す通り、IoT機器が攻撃のターゲットになるだけではなく、攻撃の基盤として悪用されるようになっている。スコーディス氏は「初期パスワードを変更する」「Telnetを無効化し、できればHTTPSを用いる」「不要なリモートアクセスは閉じる」といった対策を紹介しつつ、IoTを対象にしたペネトレーションテストも必要だと提言する。

　同氏はまた、幾つかのIoTシステム系ベンダーでは、セキュリティ上の問題からリコールが発生していることにも触れた。「ベンダーに経済的なプレッシャーが生じ、前もってテストを行うようになるかもしれない」（スコーディス氏）

　スコーティス氏が挙げた3つ目の脅威は、1つ目と2つ目の脅威を掛け合わせたもの。つまり「IoT機器を狙うランサムウェア」だ。これは決して架空の話ではない。既にオーストリアのホテルのカードキーシステムや、サンフランシスコ市営鉄道のシステムがランサムウェアに感染したことが報道されている。同氏はさらに、「もしこれが、IIoT（Industrial IoT：産業IoT）で発生したらどうなるだろうか。非常に深刻な問題だ」と述べた。

　続けてマイケル・アサンテ（Michael Assante）氏が、4つ目の課題として「産業制御システム（ICS：Industrial Control System）に対する攻撃」を挙げた。ウクライナでは、電力会社が2015年、2016年と連続してサイバー攻撃を受け、停電が発生する事態となった。こうしたケースを他山の石とし、「システムを動かし続けるための備えが必要だ」と呼び掛けた。

　「人手による作業と、自動化との適切なバランスを考えることだ」とアサンテ氏は述べた。重要インフラでは管理の集中化、自動化が進んでいるが、「どこまで自動化を進めるかを検討する必要がある。あまりに高度に集中化し、自動化されたシステムでは、複数の箇所でインシデントが発生して物理的な修復が必要な際、人手を確保できない恐れがある。自動化は確かに生産性や効率を高め、人間を手助けしてくれるが、人とマシンの適切なバランスを取っていくことが重要だ」（アサンテ氏）