インフラストラクチャを守るには、明確な脆弱性にまず注目する

本稿は、2019年4月3日、『Homeland Security Today』に掲載されたアクロニスのサイバープロテクションディレクター、ジェイムズ・R・スラビー（James R. Slaby）の寄稿記事の抄訳です。

1966年、ロバート・F・ケネディはスピーチの中で中国の古いまじないの文句を引用しました。「面白い時代を生きられますように」。そのあと彼はこう続けます。「好むと好まざるとにかかわらず、私たちは面白い時代に生きています。危険で不確かな時代ですが、同時にまた人類史上かつてないほど創造性に富む時代でもあります」。

半分になったグラスを「もう半分」と「まだ半分」の両方の視点から見るこの慎重な姿勢は、2019年にインフラストラクチャの脆弱性について考察するうえで役立つ視点と言えるでしょう。

多様な脅威

今ほどインフラストラクチャを狙う多種多様で恐ろしい攻撃者が現れた時代はありません。攻撃者は、非友好的な国家から危険なテロリストグループ、サイバー犯罪者まで幅広く、その知識レベルは、ソフトウェアの達人が集まる高度に組織化されたギャングから、サービスとしてのマルウェアといったツールにアクセスするしか能のないスキルゼロの悪党まで実に多様です。ただ、悪意のある陰謀を社内でひそかに企てる、不満を募らせた従業員や請負業者は、ここでは考慮に入れていませんが。

システムへの侵入地点となりうるポイントは多岐にわたっています。パッチが当てられていないOSの脆弱性を突くゼロデイ・エクスプロイトから、感染したUSBメモリ、そして、感染した技術会社のサプライチェーンといったものまで現れました。3月には、ASUS社のLive Updateツールが乗っ取られ、何万というデバイスにマルウェアがひそかにインストールされていたのです。

しかし、最もポピュラーな攻撃ベクター（媒介）は依然として最もシンプルです。不用心な従業員にソーシャルエンジニアリングを仕掛け、巧妙なメールでウイルス付きの添付ファイルを開けさせたり、リンクをクリックさせてマルウェアをドライブバイダウンロードさせるウェブサイトに誘導したりするのです。裏口から中に入れてくれるお人好しな共犯者がいるのに、わざわざ頑丈な鉄格子を壊す必要があるでしょうか？

最も蔓延している脅威を特定するのは難しくはありません。ほとんどのテクノロジーベンダーのセキュリティ調査チーム（Verizon社、Cisco Systems社、Symantec社など）が、ランサムウェアとクリプトジャッキングが現在最も「流行っている」2大マルウェアであるとしています。それは主に、サイバー犯罪者と飢えた国家が荒稼ぎするには、両方ともまだ十分に新しくて効果的だからです。技術者の中にはランサムウェアの終焉を予言する者もいますが、最近注目を集めたHexionやMomentiveなどにより大損害を被った被害者は、サイバーギャングは単純にダウンタイムによる被害を恐れてすぐに支払いに応じる、大きな標的を選んでいると述べています。

一方、クリプトジャッキングの数も増え続けています。これは、機密情報を盗んだりロックしたりするのに比べて、こそこそと人知れず行う攻撃です。人のパソコンやサーバーの処理、メモリ、電力、冷却のリソースを乗っ取って密かに仮想通貨をマイニングし、そこから得られた利益は渡さないというものです。多くの被害者は、コンピュータのパフォーマンスの低下をハードウェアの経年劣化や最新のOSへの更新のせいであると考え、IT担当者に報告しようともしません。そしてマルウェアエンジニアは、リソースを消費する閾値を検知できないレベルで、より巧妙に設定するようになっています。

システムにクリプトジャッキングが存在していると、ランサムウェアや機密情報を盗むトロイの木馬など、他の脅威も存在している可能性があります。複数のマルウェアをバンドルして送り込み、防御が弱いマルウェアのみアクティベートさせるという手口が一般的になってきているのです。

これら最新の脅威に対抗するうえで投資利益率の高い戦法は、フィッシングメールに対して不用心なユーザーの教育です。見知らぬ人から送られてきたメールのリンクや添付ファイルはすぐにはクリックしないよう、何度もリマインダーを出すのです。簡単なことです。それでもやはり、ずる賢い詐欺師は標的のソーシャルメディアアカウントから拾い集めた情報でがっちり装備を固め、いかにもそれらしいメールを送り付け、うっかり騙される同僚がいることでしょう。

時間が経てば、防御の壁が破られるのは避けることができません。ですから、効果的なデータ保護とインシデント対応戦略によってマルウェア対策を補完する必要があるのです。

要するに、世界で最も蔓延し、広く知られ、荒稼ぎに向いているマルウェア脅威への対策が必要だということです。ただし、いつかはそのどれかが防御の壁を破ると仮定し、その時は適切な方法で修正できるよう準備を整えておきましょう。下記の問いが役に立つでしょう。

• アクロニスは、ランサムウェアとクリプトジャッキング対策に何を行っているのでしょうか？これらを叩きのめし、2大マルウェアを一掃しました。従来のウイルス対策ソリューションがいくつかの亜種を見つけるかもしれませんが、マルウェアの開発者も署名ベースの対策を破る手法に長けてきています。そのため、見かけではなく、その振る舞いによってランサムウェアやクリプトジャッキングをその場で見分けられるビヘイビアベースの対策を採用する必要があります。人工知能と機械学習の2つがサイバースペースを見張る技術で、偽装した変異型マルウェアを即座に見つける能力を向上させます。
• ソフトウェア修正と更新のルールは守られているのでしょうか？悪名高いWannaCryランサムウェアを世界中の何十万というシステムにばらまいたEternalBlueエクスプロイトは、マイクロソフト社のローカルのプリンタとファイルの共有プロトコルであるSMBの古いバージョンをまだ使用しているユーザーにだけ感染しました。OSとアプリケーションを最新に保ち、犯罪者の目につきやすい裏口はしっかり閉めましょう。
• データ保護のハイジーン（衛生環境）はどうでしょうか？　3-2-1のバックアップルールのような基本を守っていますか？　シンプルですが、とても大切なデータ保護の原則です。様々な場所の様々なメディアタイプ上に複数のコピーを持つようにします。もしサーバーがローカルのハードドライブにバックアップされているなら、オフサイトの設備（HDDやテープ）にもバックアップし、さらにクラウドストレージにもバックアップしましょう。こうすることで、何より、ローカルのバックアップファイルを見つけ出して暗号化し、復旧作業を邪魔しようとするランサムウェアの作戦を阻止することができます。

相も変わらず、技術者のセキュリティ開発競争ではいつ終わるとも知れないイタチごっこが続き、悪者が常に一歩リードする形となっています。たしかに私たちは興味深い（「恐ろしい」と読む）時代を生きています。しかし、ほんの少し優先すべきことに焦点を当て、セキュリティの基本に目を向け、AIのような新しい技術を採用することで、危険で不確かな攻撃を港で食い止め、「母国」のインフラストラクチャを守ることは可能なのです。