増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由：ランサムウェア被害対応の専門家とpiyokango氏が議論

ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。

[高橋睦美，＠IT]

　どのような企業や組織でも、ランサムウェア感染をはじめとするセキュリティインシデントに遭遇しないに越したことはない。だが現実に、絶対にインシデントに遭わないようにすることは不可能だ。

　そんなセキュリティインシデント発生時に被害を最小化し、できる限り早く元の状態に復帰させるプロセスが「インシデントレスポンス」だ。当初は組織作りや対応プロセスにフォーカスされていたが、最近は「脆弱（ぜいじゃく）性管理」の観点でも注目されている。

　「Interop Tokyo Conference 2024」で行われたセッション「インシデント事例の調査分析から学ぶ対策のポイント〜セキュリティ管理者が疲弊しないために〜」では、チェアを務めた中西克彦氏（FFRIセキュリティ yarai事業本部 セキュリティサービス部長）、YONAの三国貴正氏（代表取締役社長）と、セキュリティブログ「piyolog」で知られるpiyokango氏が、どのようにインシデント対応に取り組み、また現実的で実効性のある脆弱性管理を実現すべきか、語り合った。

増える標的型ランサムウェアの被害、現場支援から見えてきた実態

　三国氏は長年にわたり、サイバー攻撃などのインシデントに遭遇してしまった企業、組織からの要請を受け、被害調査や対応、再発防止の支援に携わってきた。「2021年から2023年にかけて、年間で200〜300件の相談を受け、半数程度で緊急支援をしてきました」（三国氏）

　そんな三国氏によると、インシデントの傾向は年々変わってきているという。「2021年はマルウェア感染やアカウント侵害が多く、2022年には大きなニュースにもなった『Emotet』に関する相談が多くありました。2023年からはランサムウェアの流行が目立ちます。併せて、感染に見せかけて遠隔操作ソフトをインストールさせるサポート詐欺の事例もありました」（三国氏）

　そんなさまざまなセキュリティインシデントの中から三国氏はまず、非常に多くの企業が影響を受け、メディアでも騒がれているランサムウェア被害の実態を説明した。

　ランサムウェアの中でも、2015年前後に騒がれた「WannaCry」に代表される「従来型」は、メールにマルウェアを添付したり、ユーザーを悪意あるサイトに誘導したりして感染させ、600ドル程度の身代金を要求するものが主流だった。「EternalBlue」のようにWindowsの脆弱性を悪用するものもあり、「セキュリティ更新プログラムを適用していなかったり、ファイル共有の必要がないのに組織内ネットワークでアクセス制御をオープンにしたりして感染が広がった事案があった他、アンチウイルスソフトウェアによる検知を見過ごしてしまったケースもありました」（三国氏）

　これに対し、近年主流となっているのが「標的型ランサムウェア」だ。主にVPN機器の脆弱性を狙って人手を介して潜入し、データを暗号化する他、組織内のファイルを盗み出したり、DDoS攻撃を仕掛けたりと「多重脅迫」で多額の身代金を要求することが特徴だ。

　三国氏はこれまで複数の企業の対応支援に当たってきたが、海外支店で運用していた管理の行き届かなかったVPN機器から侵入され、多数の端末やサーバが感染してしまったケースが目立つという。また、クラウドサービスを利用していたものの、その環境でインシデントに対応できる業者が見つからず、対応に手間取ってしまったケースもあった。

　中でも印象的なのは身代金要求への対応だ。「ある事案では、当初、3億円以上の身代金を要求されたのに対し、弁護士を立て、50日ほどかけて6500万円にまで値引き交渉を行っていました。最終的には復旧作業も追い付いてきたため、身代金を支払わずに終えました」（三国氏）

　一方、三国氏が見聞きした中では、やむを得ず身代金を支払った企業もあったという。

　「たとえ身代金を払ってもデータを元の状態に戻せなかったどころか、追加で身代金を支払えと『お代わり』まで要求されたそうです。攻撃者は信用すべきではないでしょう」」（三国氏）

　また、医療機関では、ランサムウェア「Phobos」感染例も含め複数の相談があった。医療機関の場合、データを無差別に暗号化するのではなく、診療画像や電子カルテといった医療機関特有のシステムが攻撃のターゲットに含まれていた点が印象的だという。しかも「医療業界では予算不足や人手不足が相まって、一般的な企業よりもIT化が遅れている組織も多々あります。そんな中でインシデントが起きた際の対応は大きな課題です」と三国氏は述べた。

　さらに、仮にランサムウェアの被害に遭っても、攻撃グループに直接コンタクトを取ってしまうとこちら側の情報を渡してしまうことにもなる。これでは「相手の思うつぼ」であり、そうした点にも留意してほしいとした。

　三国氏はランサムウェア以外の事案にも対処してきた。その一つがECサイトでの決済処理に用いられるペイメントアプリケーションの改ざんだ。改ざんにより、ユーザーが入力したクレジットカード番号などの情報が、そのまま攻撃者に漏えいする恐れがある。

　「同攻撃については、ほぼ毎週1〜2件というペースで情報が公開されています。攻撃を受けた側は、プログラムが更新されるなどの状況がなければ気付くことはありませんし、ユーザー側も、自身の情報が攻撃者に送られている可能性に思い至るのは難しいため、この攻撃に気付くのは非常に困難です」（三国氏）。結果として、モニタリングをする決済事業者からの連絡で明らかになるケースが多いという。

　改ざんの原因として多いのは、サーバやCMS（コンテンツ管理システム）の脆弱性だ。パスワードの総当たり攻撃を受けるケースや、他から漏えいしたアカウント情報を用いたパスワードリスト型攻撃も以前から多いという。

　なお、三国氏が確認したパスワードリスト型攻撃では、40カ国、272のIPアドレスから9日間かけて合計3492回のアクセス試行が行われた結果、2つのアカウントが侵害されていた。そのアカウントを悪用し、関係者や取引先にフィッシングメールが送信されていたことも判明したという。

ガイドラインやドキュメントを参考に、いざというときに備えた体制作りを

　こうしたさまざまな事例を紹介した上で、三国氏は攻撃の原因を考察した。

　まず技術的要因として、VPN機器や公開サービスのように、外部からアクセス可能なIT資産が増え、しかも脆弱性が適切に管理されていないことが挙げられる。必要以上に高い権限が付与されているなど内部のセキュリティ対策が不適切で、ひとたび入られた後に容易に拡散してしまう状況もある。中には「環境内で全てのIDとパスワードが同一で管理」「一定回数アクセス試行に失敗した際のアカウントロックの仕組みがない」といった残念なケースもあるそうだ。

　さらに、組織的な要因も幾つか考えられるという。「VPN機器などの保守や脆弱性管理をベンダーに依頼している場合、責任分界点や役割が不明確だったり、インシデントが起きた場合のフローが整備されていなかったりして、誰が何をすればよいのか全く分からない状況に陥っているケースもあります」（三国氏）。システム停止を決定する判断基準がないため、被害拡大防止の観点からはサーバやサービスの一時停止が望ましくても、営業サイドの思惑と衝突して調整している間に感染が広がってしまうケースもあるそうだ。

　三国氏はさまざまな企業、組織を支援してきたが、セキュリティ以前に責任も役割も不明確で、日々成り行き任せの運用となっており、そもそもインシデントに気が付けない「Aパターン」と、しっかりセキュリティ方針を立て、さまざまなセキュリティ製品を導入し、利便性を犠牲にしてでもガチガチに固めているにもかかわらず被害に遭ってしまい、その後のインシデント対応手順が定義されていない「Bパターン」の2つがあるという。

　こうした中で、組織に合ったセキュリティ対策を進め、安全に業務を進めていくにはどうすればいいだろうか。三国氏は「ガイドラインやドキュメント、フレームワークを活用して体制作りを進めていくべきです」とアドバイスした。

　そんな参照先の一例として挙げられたのが、ISOG-J（日本セキュリティオペレーション事業者協議会）がまとめた『セキュリティ対応組織の教科書』だ。「自分たちに本当に必要なセキュリティは何であり、それを自分たちがやるのか、外部の組織に依頼するのかの役割分担や、有事と平時に実施すべきことなどを客観的に評価する手法が説明されています」（三国氏）。さらに『サイバーセキュリティ経営ガイドライン』や『CISOハンドブック』なども参考になるという。

　三国氏が常々課題が多いと感じているのが、脆弱性管理だ。「CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）の値が高い脆弱性だけでも、ものすごい件数に上り、きちんと管理することが非常に難しくなっています」（三国氏）。脆弱性管理や対応は時間も労力もかかる作業だが、ISOG-Jが公表した『脆弱性トリアージガイドライン作成の手引き』などを参照しながら取り組んでほしいとした。

　同氏は質疑応答の中で、「インシデントが起きた際に何をしなければいけないかをざっくりとでも想定し、一度、演習やシミュレーションすべきでしょう」とアドバイスした。その際、外部に支援を依頼することも少なくないが、NDA（秘密保持契約）などの契約処理に手間取っているとその間に事態は進行してしまう。それを防ぐためにも、事前に業者と相談し、NDAを結んでおくのがベターとした。

大量脆弱性の時代、脆弱性管理が直面する3つの課題

　セキュリティブログ「piyolog」をはじめ、ポッドキャストやX（旧Twitter）、講演などを通してセキュリティ情報の発信活動に携わっているpiyokango氏は、「三国さんの話にもキーワードとして出てきた脆弱性管理について、もう少し考えた方がよいと思っています」と述べた。

　piyokango氏は、脆弱性管理を巡って主に3つの問題が存在すると指摘した。

　1つ目は、脆弱性の重要度を判定する方法だ。「脆弱性が公表された場合、その重要度や影響度に応じて優先順位を付け、対処すべき」というのは、誰もが知っていることだろう。だが、「そもそも公開されている脆弱性の数が尋常じゃなくなっているのが実情です」（piyokango氏）。結果として、優先順位付けも非常に難しくなっているという。

　脆弱性には、一意に識別するためにCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）が付けられている。かつては1年間で1000件前後だった時期もあったが、仕組みが始まって十数年がたった今、1年間で3万件近くが採番されるようになるほど増加してきた。

　「脆弱性に対応する側も限界が来ています。NIST（米国国立標準技術研究所）が管理する、脆弱性情報を一元的に管理するNational Vulnerability Database（NVD）というデータベースもありますが、手が回らず、分析途中でデータベースに載せきれない『Awaiting Analysis』に該当するものが1万2000件近くある状況です（※講演当時）」（piyokango氏）。

　これらは、NVDと連携している日本の脆弱性情報、iPediaにも反映されていない。piyokango氏は「私たちが当たり前のように見ている脆弱性情報は、実は、まったくもって全部をカバーしているわけではありません」と述べ、今や大量脆弱性の時代になっていると指摘した。

　NISTはこのバックログ問題の解決に向けて取り組んでいる他、さまざまな関係機関も課題を認識し、コンソーシアムの立ち上げなどを通して解決に取り組み始めている。

　だが残念ながら「CVEが採番されていない脆弱性も無数にあり、もっともっと多くの脆弱性があっても不自然ではないとみていいでしょう」（piyokango氏）。

　今や大量脆弱性時代にあることを知り、提供されている脆弱性情報の情報量が十分か、また日本と米国との差分をどう見ていくべきかといった事柄を、しっかり考えていく必要があるとした。

　2つ目の課題は、「すでに悪用されている脆弱性にどのように対処するか」だ。前述の通り、大量に脆弱性が確認されている以上、その全て対応するのは非現実的であり、何らかの形で優先順位を付ける必要がある。そのトリアージにおいて指標の一つになるのが、「脆弱性が悪用されている状況にあるかどうか」だ。

　この際に参考になる指標として、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が公開する「KEV」（Known Exploited Vulnerabilities catalog：既知の悪用された脆弱性カタログ）がある。文字通り、実際に悪用が確認された脆弱性の情報をまとめたカタログで、有効な情報ではあるのだが、「KEVを見れば解決するかどうかというと、全くそんなことはないのが現状です」と同氏は述べた。

　そもそもKEVは、CISAが米国政府の関連組織向けに対応を促すべくまとめているリストだ。従って、米国で悪用が確認された脆弱性の情報は掲載されるが、日本で悪用が確認された脆弱性情報は基本的に掲載されない。

　これは決して推測ではなく、piyokango氏の実体験に基づく話だという。「実は、日本で悪用されている脆弱性が確認されたため、CISAにKEVへの掲載を依頼したことがありましたが、残念ながら掲載には至りませんでした」（同氏）。それを踏まえ、KEVは非常に有用なソースではあるものの、それだけを見ていれば解決するわけではなく、KEVがカバーしていない脆弱性情報をいかに集めていくかが課題の一つだとした。

　もう一つ欠けている情報がある。インシデント対応する立場として気になるポイントの一つは、「すでに被害に遭っていないかどうか」だ。つまり、脆弱性が悪用されて影響を受けたかどうかを確認する方法が知りたいところだが、そこがなかなかカバーされていないという。

　「例えば、『この攻撃を受けた場合、このような特徴的なログが出ます』とか、『具体的な悪用シナリオとしてこういったものがあります』といった事柄が、インシデント対応する側にとって有用な情報の一つになり得ます」（piyokango氏）

　だが実際は、世間から非常に注目を浴びるような深刻な脆弱性でもない限り、ここまで踏み込んだ情報はなかなか出てこない。直接ベンダーに問い合わせる方法もあるが、回答を得るまでにそれなりの日数がかかるのが実情だ。一方、脆弱性の悪用は「スピード勝負」で、情報が出た翌日、悪くすれば当日中に悪用されることさえあり、なかなか厳しい状況にあるとした。

　後の質疑応答の中でpiyokango氏は「ベンダーにはぜひ、セキュリティ情報発信の在り方を考えていただきたいです。ユーザーとしても、そういった情報発信ができているベンダーかどうかが見極めのポイントの一つになると思います」とコメントした。

　ちなみに、セキュリティ情報を提供している非営利組織MITREも、2024年4月に、Ivantiの深刻な脆弱性が悪用されてインシデントに遭遇したことを公表した。ベンダーの情報を受けて機器交換などの対応を取っていたものの、実は公表される前から脆弱性が悪用されており、攻撃者の活動を封じ込めることができなかったという顛末（てんまつ）だった。

　piyokango氏は、MITREですらこういった状況に陥ったことを挙げ、「攻撃を受ける可能性がある前提に立ってアクションを起こせるかどうかが非常に重要だと思います」と述べた。

　脆弱性管理を巡る3つ目の課題は、悪用の有無を判断する部分でも言及された「速さ」だ。「この1〜2年、速さが何よりも重要な世界になってきています」（piyokango氏）

　ゼロデイ脆弱性は別として、ほとんどは脆弱性情報の公開と同時に、パッチや回避策が公開される。だが、そのパッチ適用に調整を要したり、あらかじめ定めたプロセスとかみ合わずに遅れたりしてしまうと、悪用コードの方が先に拡散し、影響を受けてしまう恐れがある。

　「Nデイと呼ばれるものの一つですが、脆弱性が公開されると、パッチや関連情報を分析して悪用コードやPoC（概念実証）がすぐに公開されることもセットで考えなくてはいけない状況です」（piyokango氏）

　piyokango氏は、脆弱性対応に「硬直化」が生じているのではないかと指摘した。「脆弱性対応は速さ勝負であるにもかかわらず、ルーティンになってしまっています。どれだけ迅速に対応できるかも含め、どこまで運用の柔軟性を確保できるかが重要な課題の一つになってきている印象です」（piyokango氏）

　そして脆弱性管理を巡っては、今回取り上げた3つの問題以外にもさまざまな論点があり、「適切な運用かどうか」を定期的に問い直す必要があるとした。

　まさに「言うはやすく行うは難し」の脆弱性対応だが、どうバランスを取っていくかが重要ではないかと同氏は考えているという。「一朝一夕に解決できるものではなく、課題を認識した上で人や体制を育てていくことが重要だと思います」（piyokango氏）

自分ごととして増える脆弱性に向き合い、対策を

　中西氏は最後に、「脆弱性管理やインシデント対応に要するコストや時間が増えている原因の一つは、脆弱性が増えすぎていることにあります。増える脆弱性にどう向き合っていくかが課題です」と述べ、ベンダー側も巻き込みながら、いかに協力して対処していくかが問われているとした。

　三国氏は「未公表の事例も含め、インシデントは、企業規模を問わず毎日のように発生しています。そのことを認識し、脆弱性管理も含めたセキュリティ対策をしっかり進めていく必要があります」と呼び掛けた。piyokango氏はさらに「同じような問題を繰り返さないために、まずは現状をしっかり把握し、自身の対策に活用していただきたいと思います」と述べ、セッションを締めくくった。