ここから本文です

「WannaCry」拡散 そのとき情シスはどうすべきだったのか

5/25(木) 7:10配信

ITmedia エンタープライズ

 2017年5月、「WannaCry」と呼ばれるランサムウェアが世界中で猛威をふるいました。皆さんもさまざまなニュースを読んだと思います。日本においては日立グループが感染被害に遭ったことが発表されていますが、社外への被害拡大はなかったことが報告されています。

【WannaCryに感染すると……】

 世界では大きな話題になったにもかかわらず、日本ではそこまで被害が広がらなかったというのが、いま現在のWannaCryに対する私自身の印象です。しかし、このランサムウェアから、情報システム部はさまざまなことが学べるはずです。

 本記事では、脅威が一段落したいま、情報システム部が考えるべきことをいま一度まとめたいと思います。

●セキュリティの基礎:アップデートとバックアップを

 今回のマルウェアは、データを暗号化し、その解除の見返りとして仮想通貨Bitcoin(ビットコイン)を要求するというランサムウェアでした。そのランサムウェアを感染させるため、Windowsの脆弱(ぜいじゃく)性が利用され、同じネットワーク内に感染端末があれば、利用者のアクションなしに感染が進むということが、WannaCryの特徴です。情報処理推進機構(IPA)がその感染の様子を動画にて公開しています。まず、情報システム部の方はこの動画を見ていただき、WannaCryを肌感覚で捉えることは重要でしょう。

 脆弱性が利用され、感染が広がることから、まず行うべきは「OS、アプリケーションの適切なアップデート」です。この作業は従業員のPCそれぞれで行う必要がありますが、何も対策をしなければ従業員がアップデートをキャンセルし、いつまでも古い状態のままになる可能性があります。そのため、情報システム部は「従業員のPCが適切にアップデートされているか」を把握できる仕組みを用意する必要があったといえるでしょう。

 そして「バックアップ」です。万が一ランサムウェアに感染したとしても、バックアップを取ってあれば、従業員に新たなPCを渡し、業務に復帰できるはずです。このバックアップという作業も従業員任せにしがちですが、ランサムウェアの脅威が次々とやってくるいま、バックアップとリストアはもっと注目すべき「事業継続の策」、つまり、経営判断になります。

 OSやアプリのアップデート、およびバックアップ/リストア策の導入は、WannaCryだけでなくすべてのランサムウェアに対する、最も有効なセキュリティ対策だと考えられます。IPAが公開した動画を活用すれば、経営陣への説得材料になるでしょう。

 ランサムウェア対策はセキュリティ対策の基本を押さえることで、リスクを減らすことができます。WannaCryの次の波が来る前に、ぜひ対策を検討してください。

●モバイルデバイスは適切にネットワークにつなぐ

 そのほかにも、いくつか気を付けるべきポイントがありました。今回のWannaCryでは、ネットワークにつながっているだけで感染する可能性がありましたが、その通信はWindowsのファイル共有プロトコルであるSMBを利用していました。そのポートはほとんどの場合、ファイアウォールや家庭のブロードバンドルーターにてシャットアウトされていたことが、感染を防げたポイントの1つです。

 しかし、それは境界で「高い壁」を作って守るというタイプの、若干古い考え方による防御です。現在はモバイル端末、スマートフォンが企業内でも利用され、その壁の外部でも作業を行うことが多いはず。さらに、拠点間通信でVPNを使っている場合、そのルートからもさまざまな通信が行われるはずです。

 例えばあるノートPCを、カフェなどのセキュリティが考慮されていない公衆無線LANに接続し、そこで感染してしまうケースが考えられます。今回のWannaCryでは、感染後すぐに暗号化処理が行われることが分かっていますが、もしこの暗号化処理に若干のタイムラグがあり、帰社して企業のネットワークにつないだあとに感染行動を行うように改良されたとすると、“高い壁”の中で感染が広まってしまうことになります。

 持ち込み端末の管理や、VPNで接続してくる端末の管理は、今後より重要になってきます。例えばそのような端末は、OSのアップデートが確実に行われていることが判明するまでは、検疫ネットワークに接続するなどの手法が考えられます。モバイルデバイスの活用が進むいま、このようなリスクへの対処も検討しておいてください。

●セキュリティベンダーはどう対応したか

 WannaCryに関しては、多くのセキュリティベンダーが詳細、かつタイムリーに情報を発信していたのが大変印象的でした。そこで、情報システム部がどのようにWannaCryをとらえるべきか、各社に聞いてみました。

 従来のウイルス対策ソフトは「パターンファイル」「シグネチャ」と呼ばれるフィルタのアップデートが必須で、そのアップデートが間に合わない、いわば未知の脅威はすり抜けてしまうということが指摘されていました。セキュリティベンダー各社に今回のWannaCryは止められたのかという点を確認したところ、例えばカスペルスキーでは「Kaspersky Security Networkによる疑わしいオブジェクトの緊急検知、およびシステムウォッチャーという振る舞い検知機能(デフォルトで有効)の2つの特別な検知機構で防御を実現しており、今回のWannaCryは、システムウォッチャーにより初めから防御が可能だった」と述べています。

 そしてトレンドマイクロのウイルスバスターシリーズも、「ウイルスバスターにはさまざまなランサムウェア対策機能が実装されているが、今回は特にフォルダシールドという機能が効力を発揮した。WannaCryのパターン対応前に、すでにこの機能によりWannaCryをブロックし、ユーザーの情報を保護できた」とのことです。

 また、シマンテックも2017年5月18日に開催したオンラインセミナーにて、シマンテック製品を利用していたユーザーからの感染報告はない、と発表しました。

 さらに、AIを活用した製品群も、パターンファイルなしに、その振る舞いだけで検知できていたというリリースを公開しています。

・WannaCry:企業が取るべき対策 - カスペルスキー公式ブログ
・ランサムウェア「WannaCry/Wcry」による国内への攻撃を 16,436件確認 | トレンドマイクロ セキュリティブログ
・WannaCry? ? AIは泣かない | Cylance Japan株式会社
・大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai│セキュリティ・リサーチのFFRI(エフエフアールアイ)

 情報システム部の皆さんは、自社で利用しているセキュリティ対策ソフトのベンダーに、「WannaCryはどう対策できていたのか」を確認してみるのもいいと思います。

●セキュリティベンダーが考える、情報システム部が見直すべきポイント

 また、カスペルスキーは今回のWannaCryに対して、「パッチを適切に適用していれば被害は防げたため、タイムリーに脆弱性を把握する仕組みを持つことも重要」とコメントしています。特にWannaCryでは利用者のアクションなしに感染が拡がる「ワーム」的な行動が行われ、これがある程度有効であると判断された可能性があるとしています。そのため、「社内でのファイアウォールのルールと、社外でのルールを自動で切り替えできる機能は重要」だと述べています。

 そして、一般的なランサムウェアはこれまで通り「メール」「Web」を経由し、攻撃が行われることが多いため、「明らかに不審なメールは開かない」「Windowsでは拡張子を表示し、メールで送られてきた実行ファイルを実行しない」「オフラインのバックアップを持つこと」が効果的な対策になるとし、自社環境がどのようになっているか、いま一度見直しが必要とコメントしました。

 トレンドマイクロも、今回のWannaCryに関してファイアウォールが防御したと考えており、「境界防御対策がしっかりできていたら、ネットワーク内への侵入は考えられない」としています。そのため、今後はインターネットへの直接接続の禁止、素早いセキュリティアップデートという運用が行えているかどうかが重要になると述べています。トレンドマイクロでは設定不備や社外持ち出しの端末が攻撃されたと推測しており、それらの端末が感染したという事例報告も受けているとのことです。

●高度な機能も「オフにしていては意味がない」

 ここで注意しておきたいのは、これらの「防御が可能だった」理由が、さまざまな機能をオンにしていたからだったことです。従来のパターンマッチングによるマルウェア検知だけでなく、各社は振る舞い検知やサンドボックスなど、さまざまな新機能を適宜追加しています。

 特にランサムウェア対策機能が搭載されたのは最近のバージョンであることが多いので、それらの機能が、従業員の各端末で有効になっているかどうかを確認してください。これらの機能も、端末でオフにされていたら無意味です。セキュリティ対策ソフトのポリシー設定が確実に行われているか、この機会に確認するべきでしょう。

●WannaCry対応ではなく「セキュリティ対策」を

 今回のWannaCryは、一般メディアも含め、世間で大きく報道されました。そのおかげで、企業だけでなく個人に対しても「ランサムウェアの恐怖」をいま一度知らしめました。しかし、WannaCryだけに注目していてはいけません。

 これまで、日本においてはWannaCry以外にも、日本年金機構の個人情報漏えい事件で使われた遠隔操作型マルウェア「Emdivi」、JTBの個人情報漏えい事件で利用されたといわれる「PlugX」など、話題になったさまざまなツールが企業を襲いました。これらの攻撃に、個別に対策することは無意味で、その根本にある原因が対策できなければいけません。その根本原因こそ、「脆弱性の放置」「バックアップの未実施」そして「従業員/情報システム部/経営陣の意識」なのです。

 今回のWannaCryは「たまたま」日本での被害が明らかにならなかっただけかもしれません。同じ脆弱性を使って、利用者のアクションなしにワーム的に自動感染する新たな脅威が、すぐそこまで来ていると考えるべきです。「拡張子を表示する」「ファイアウォール設定を見直す」「最新のセキュリティ機能がオンになっているかを確認する」「OS、アプリのアップデートが重要であることを再認識する」などは、新たな資産を購入することなく、いますぐできることです。

 情報システム部ではない、一般の従業員も人ごとだと思わず、自分ごととしてこの事件をとらえていただければ、WannaCryの“次”はないはずです。この機会に、ぜひ皆さんの「ITセキュリティ対策」を再度見直してみてください。