SaaS利用やテレワークの拡大で高まるセキュリティリスク、どう対応すべきかをMenlo Securityに聞いた：セキュリティ・アディッショナルタイム（47）

国内外問わずさまざまな組織が被害を受けるランサムウェア。被害が多発する背景には、どのような攻撃手段があるのか、それらの攻撃にどう対処すればよいのかをMenlo SecurityのAmir Ben-Efraim氏とPoornima DeBolle氏にインタビューした。

[高橋睦美，＠IT]

　昨今、業務に不可欠なデータを暗号化したり、盗み出して外部で公開すると脅したりして多額の金銭を要求する「ランサムウェア」が猛威を振るっている。国内では、大手製造業のサプライチェーンが混乱に陥り、一時工場の操業を停止せざるを得なくなったり、上場企業であるにもかかわらず決算の提示を延期する事態に陥ったりした。さらに、電子カルテシステムが利用できない状況となって新規患者の受け付けを一時停止することになった病院の例も報じられている。

　ランサムウェアが猛威を振るうのは海外も同様だ。むしろ海外の方が状況は悪いといえるかもしれない。ある調査によれば、ランサムウェア攻撃は11秒に1件のペースで起こっているという。また被害額も増大の一途（いっと）をたどっており、平均的な被害額でさえ約1400万ドル、全世界の被害総額は2650億ドルに上るという予測もあるほどだ。

　このように被害が多発する背景には、「HEAT」（Highly Evasive Adaptive Threats、高度に回避的で適応型の脅威）と呼ばれる手口があるとMenlo Securityは指摘する。HEATとはどのようなものなのか、われわれはどのように備えるべきかを尋ねた。

長年使われてきた攻撃手法を組み合わせ、より洗練させた「HEAT」

CEOのアミール・ベン・エフレイム氏

　これまでサイバーセキュリティの領域では、攻撃と防御のいたちごっこが繰り広げられてきた。その中で生み出されてきた4つの攻撃手法を集約し、より洗練させたものがHEATだ。Menlo Securityの最高経営責任者（Chief Executive Officer）、Amir Ben-Efraim（アミール・ベン・エフレイム）氏は「セキュアWebゲートウェイ（SWG）や次世代ファイアウォール（NGFW）といった、多くの企業が導入しているネットワークレイヤーのセキュリティ対策を回避しようとするのがHEATだ」と説明した。

　HEATは主に4つの手法を駆使する。1つ目の手段は、悪意あるファイルを5〜15もの複数のコンポーネントに分割する「HTMLスマグリング」だ。HTMLスマグリングとは、ファイルを分割した上で異なるWebサイト、異なるロケーションに置き、それぞれ別々にダウンロードさせた上でブラウザ上で再構成することでエンドユーザーの環境に届け、実行・感染させる手口だ。対策製品の多くは、マルウェアのような1つのバイナリファイルを検知することはできるが、残念ながらHTMLスマグリングのように分割されたコンポーネントを悪性のファイルとして検知することは困難だ。