内閣サイバーセキュリティセンター（NISC）を見ていきましょう！その4

2024年12月18日 15:05

皆様、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
こんな寒い時期でもやっぱり昼間は少しマシですね。
以前にも申し上げたと思いますが、特にひとり暮らしの方にひとり用こたつおすすめです。
寒い時期って、自分ひとりが暖まるための方法って結構あるんですよね。
でも夏場はエアコン入れて部屋中涼しくするしか方法がない。
やっぱり現代日本は冬より夏の方が深刻な難題のようです。
では、今日もレッツスタディセキュリティ！なのです。

ランサムウエアによるサイバー攻撃に関する注意喚起について

今日もこの↓資料を見ていくという話ですね。できれば今日にはこの文書は終わらせたいと思っています。

【検知】不正アクセスを迅速に検知するための対応策

(3)ということでこういう項目が立てられていますね。一応そのページの画像も貼っておきましょうか。

文章でも書いておきましょうか。

不正アクセスを迅速に検知するための対応策が必要です。迅速な検知を実現するためには、オペレーターとマシンによる自動化を検討する必要があります。

不正アクセスをなるべく速く発見するということですね。
これもいつか出した図なんですが

ぜい弱性探索行為等の不審なアクセス件数
令和6年9月警察庁サイバー警察局発表資料
https://www.npa.go.jp/news/release/2024/index.html

怪しいアクセスの総数ですね。つまりどこかに穴はないかなと探っているようなアクセスということになりますが。
怪しいアクセスがありました、というだけでは警察は動いてくれないと思うんですね。よっぽどの大企業や公的機関でない限り。
そういうのを全部合わせたら、令和6年上半期だけで9825件あるってことなんです。
しかもほぼ海外からのアクセスですね。
むかーし言われたことなんですが、日本語って日本人以外使わないじゃないですか。ですので「日本語の壁」っていうのがあって、ソフトにつけハードにつけ外国メーカーは入りにくいっていうんですね。
米軍は世界の主要言語を「英語ネイティブから見た習得の難しさ」で格付けしているらしいんですよ。トップに立つのがギリシャ語と日本語なんだそうです。
なのでこういう世界で日本語の壁ってないのかなあと思うのですが…まあ、コンピュータの世界って日本語が使われてるのってユーザーインターフェイスぐらいですからあんまり関係ないのかな。

チェックポイント

チェックポイントが載っていますね。

チェックポイント
●サーバー、ネットワーク機器、PC等のログの監視を強化する。
●振る舞い検知、EDR(Endpoint Detection and Response)、CDM(Continuous
Diagnostics and Mitigation)等を活用する。

サーバー、ネットワーク機器、PC等のログの監視を強化する。これはまあ、サーバー等のOSの機能にありますよね。
振る舞い検知というのはプログラムの不審な挙動を機械学習の技術を活用・検知してウイルスの発生による被害を未然に防ぐための仕組みですね。
比較的新しいセキュリティ対策で、振る舞い検知機能にAI技術を組み合わせて、マシンラーニングでは統計的に振る舞いを解析し、異常と正常の有意差を認識ができます。AI技術を組み合わせることによりこれまでのパターンファイル形式より一歩踏み込んだサイバーセキュリティが実現されます。
ここでちょっと表をご覧いただきたいと思います。これは以前にも出しましたが、IPA独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2024」です。

こちら↓が個人で

こちら↓が組織ですね。

こうやってみますと、単なるパターンファイルを参照してマルウェアを検出するパターンからAIを利用する形に変化していくにつれて「こいつは怪しいな？」と未見のものでも検出できるということになりますね。上記の表でも、これまでのセキュリティ対策では無理だったものが対応可能になっていく未来が見えます。
それでも入ってきちゃったマルウェアに対してその被害を最小限に抑えるのがEDRで、CDMは継続的な診断および緩和というのは、米国政府機関の情報セキュリティレベルを上げる取り組みのことですね。まあ、今後米国政府に限らず全世界的に、政府や公的機関に限らず民間の団体でも似たような仕組みが取り入れられるんだと思います。

【対応・復旧】迅速にインシデント対応を行うための対応策

ランサムウエアによる攻撃の被害を受けた場合でも、冷静で適切な対応ができるように、組織一丸となった対処態勢を構築する必要があります。

いや…確かに組織一丸となった対処体制を構築する必要がある。それはわかってるんですよ。
まあ私もそういう仕事してたこともある人間ですのでいろいろ経験もあるんですけど、世の中にはNUM LOCKが押されちゃっただけで慌てふためいてしまう人、結構いるんですよ。割と年齢が高い人。必然的にIT関係に弱い。
操っているのが社用PCや社用スマホであっても、そういうものを全部ひっくるめて「おもちゃ」としか認識できない人ね。
そういう人を含めて組織一丸態勢が簡単に作れると思います？
そういう人に限って、資料とかマニュアルとか作っても絶対読みません。
それでいてトラブルが起こったら自分の責任だとは考えないんですね。もうちょっとしたトラウマですわ。
個人的な話をすれば、私は中学生の時からPCを触り始めまして、2年生の終わりぐらいに無理矢理塾に行かされてそこの塾長から「PC触るな」と言われたことがありましてね。まあ当時はPCって半分ゲーム機ですから全くの無理筋ではありません。
でもいまどきオフィス内にあるPCもスマホも普通に仕事で使うものでしょ？そりゃ、妙にギラついてる自作PCを会社に持ち込んでるんだったら、それは間違いなく遊びです。だけど普通にノートPCのキーボード叩いてるだけだったらそれは仕事してる姿だと思うぞ。
「俺たちの時代は決算時には電卓を片手に夜通し働いたもんだ！」→いや、いまどき表計算ソフトという便利なものがあるんですけど？
こんなこと書いてる私は冗談書いてると思うでしょ？本当にいるところが実に頭が痛い。彼らにはコンピュータ類は全部ファミコンの延長上に見えるんでしょうね。
もうそういう人は辞めて欲しい。そういう人ができて、一番会社の役に立つ行動は辞めることだと思ってます。
まあ愚痴るのはここでやめましょうか。

これにもチェックポイントというのがあります

チェックポイント
●データの暗号化、公開、インターネット公開サーバーに対する DoS 攻撃等を想定した対処態勢、対処方法、業務継続計画等を含むランサムウエアへの対応計画が適切に策定できているか確認する。
●一部の職員が長期休暇中やテレワーク等であっても、職員がランサムウエア感染の兆候を把握した場合、職員が迅速にシステム管理者に連絡できることを確認する。
●ランサムウエアの感染による被害を受けた場合に、組織内外(業務委託先、関係省庁を含む)に迅速に連絡できるよう、連絡体制を確認する。

まず1文めですが、肝は

ランサムウエアへの対応計画が適切に策定できているか確認する。

だと思うんですね。
内閣サイバーセキュリティセンター（NISC）を見ていきましょう！その2にも書きましたが「本命」であるランサムウェアを潜り込ませるために事前にいくつかの種類のマルウェアを送り込むことがあるわけですね。
「データの暗号化、公開」というのがランサムウェアの働きだと思うんですが、インターネット公開サーバーに対する DoS 攻撃というのもマルウェアを送り込む準備段階で利用する可能性もあります。
DoS攻撃というのは"denial-of-service attack"の略で、ターゲットになるコンピュータにひたすらアクセスを繰り返すことで、処理能力が限界に至ってしまうことによっていわゆる「サーバーがダウンした」という状態に陥ります。
さらにいろんなコンピュータに「どこそこのコンピュータにアクセスを繰り返せ」という命令を送って、いろんなコンピュータからターゲットのコンピュータにアクセスさせることを「DDoS攻撃」と言います。
まあ、ひとことで言えば攻撃者はどんな手段を使ってでもコンピュータに穴を空けてランサムウェアを送り込んでくるっていうことです。その情熱をどこか他に使うことはできないんでしょうかね？

2文めに行きますが

職員が迅速にシステム管理者に連絡できることを確認する。

というのが重要なところかと思います。
ランサムウェアが入ったことをどうやって検知できるのか、それはいろいろあり得ると思うのですが、とにかくそのことをシステム管理者に連絡し、システム管理者は迅速に駆けつけてデータの保全とランサムウェアの駆除に務めなければいけないということですよね。半ば警察みたいな役目をすることになりますね、システム管理者。きっとそういう人たちが集まって発展的に役割が与えられ、組織化されることによって将来はA.I.M.S.みたいな組織になるんでしょうね（←ならない）。
まあそういう、警察というか救急というか「この人たちには仕事がないことこそが理想」というような部隊を、コンピュータのために作らないといけないという事態に、現在既に世界は立たされているんだと思います。
マルウェアの徴候に気付くのは誰かはわかりません。気付いた人は、自分がその一員であるところの組織の、システム管理者またはシステム管理部署に連絡し、対策を取れるようにしておかなければいけないということでもあると思うんですね。
…言いたかないけど、インターネットって人類がこれまでに作り出した道具の中で一番不便な道具なんじゃないか？
ちょっと愚痴っぽくなりますがそういうことを考えることもあります。でもまあ、もっと発展して使い勝手がよいものになるか、あるいは害の方が大きいと見做されて歴史の表舞台から消えるか、どちらかの結論が出るまでは現状のものを使い続けるしかありません。
難儀なもんです。

最後の3文めに行きましょう。

ランサムウエアの感染による被害を受けた場合に、組織内外(業務委託先、関係省庁を含む)に迅速に連絡できるよう、連絡体制を確認する。

まあ通報しましょうってことですね。マルウェアの侵入を許してしまった、みたいなことがあれば、素直に通報しましょう。
マルウェアの侵入を許してしまったというのは、会社にとって一大事ではあると思います。会社の価値が下がることはおそらく間違いありません。
しかし、弥縫策で何とかなると思ってはいけません。やはりそれをやりますと結局手をつけられない人災＝人によるディザスターとでも言いましょうか、そういう結果となって返ってくると思うんです。
コンピュータの世界に限らず、問題を起こした企業って数多いじゃないですか。そういうときに速やかな謝罪とともに復旧計画、復旧できないなら対処計画を早々に発表するのと、いつまでもウジウジと何をすべきか決めかねているのって、どっちが一般人から見て心証がいいと思います？
私、結構いろんな企業の失敗とか成功とかの歴史を見るのが好きなんですね。IT企業でもなんでもないんですが「焼肉酒家えびす」っていう店がありましてね。レバ刺しとユッケで食中毒患者を出し、何人かは亡くなってしまいました。
それで社長が記者会見を行ったんですが、まるで「牛肉の生食を許している国が悪い」とでも言いたげなことを言った挙句「どうもすいませんでした！」と吐き捨てるように言って立ち去って、ボッコボコに叩かれたんですよ。それを受けて翌日？だったかに、机が置かれてない部屋に記者たちを集めて大げさに号泣土下座を決めたんです。机が置かれていないことを考えると、最初からそうするつもりだったんでしょうね。
20歳代で企業を大きくしたやり手社長から、あっという間に「ごめんなさいも言えないやつ」に評価が変わってしまいました。
まあそういうわけなんで、大きい会社様であればあるほど、事業継続計画（BCP）には「一般市民に対して危害が及んだ場合の対処方法」は載せておくべきだと思います。
これはセキュリティの世界でも同じでして、例えばランサムウェアが入り込んで、自社内で完結しているデータだったらまだマシなんですけど、典型的には顧客情報とか、外部に流出したら困るものを、おそらく攻撃者は狙ってくると思うんですよ。
そこはホットバックアップ（オンラインバックアップ）とコールドバックアップ（オフラインバックアップ）を組み合わせて複合バックアップ（ハイブリッドバックアップ）で対策するところだと思うんですが、ただバックアップしただけでは情報の流出は避けられません。もちろん、弊社ではどのようなバックアップ戦略、スキーム、プラン、が御社に相応しいかを詰めてご相談させていただきます。
しかしそれでも流出することはあります。そういうときに役に立つのが「自社内でも重要情報は暗号化して使う」だと思うんですが、それを面倒くさがるっていう人がまたいてですね…暗号化されたその外側にデータを置いちゃったりするんですね。こういう人たちにいかにそれが危険な行為であるか理解してもらうのは…なかなか難しいもんです。

バックアップが役立たないことを目指して

さてさて、今回はここまでバックアップ関係ないことを割と書いてまいりました。そうなんですよね。情報セキュリティの強化・向上によって、究極的には情報事故・事件というのは無くすのが理想だと思うんです。
上に「人によるディザスター」という言葉を出しましたが、もちろん本来の意味によるディザスターに備えるリカバリー（ディザスタリカバリ）のプランを忘れてはいけません。自然災害も人による災害も怖いです。
もう何度でも言いますけど

バックアップの3-2-1ルール
バックアップの5-2-1ルール
バックアップの3-2-1-1-0ルール

を踏まえて御社のセキュリティ体制を整えて下さい。この3つのルールでは、遠隔地バックアップ（リモートバックアップ）も対象に含んでいます。そしてそれが私どもの使命と感じております。どうかご一考下さい。クラウドストレージをご利用の方も多いと思いますが、クラウドバックアップと弊社の遠隔地バックアップ（リモートバックアップ）はいわば車の両輪です。2つを組み合わせることにより前に進めます。そのお手伝いをさせて下さい。
情報漏洩に備えて、大企業様から中小企業様に至るまで、あるいは個人の方でも、
元々は大規模自然災害への備えとして始めました遠隔地バックアップサービスですが、最近は専らランサムウェアとの戦いになっております。もちろん自然災害のことも忘れたわけではありません。
データ・システムを守るお役に必ず立てるものと自負しております。何卒よろしくお願いいたします。

小括

情報セキュリティの強化・向上は1日にしてならずです。「バックアップの取り方って？」というようなご質問からお答えいたします。世代管理など様々なオプションも取りそろえております。
ぜひよろしくお願いいたします。

最後に参考URLを載せておきますね。

参考 URL
ランサムウエアによるサイバー攻撃について【注意喚起】(NISC)
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf
【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について(IPA)
https://www.ipa.go.jp/security/announce/2020-ransom.html
CISA and MS-ISAC Release Ransomware Guide(CISA)
https://us-cert.cisa.gov/ncas/current-activity/2020/09/30/cisa-and-ms-
isac-release-ransomware-guide
大型連休等に伴うセキュリティ上の留意点について(NISC)
https://www.nisc.go.jp/active/infra/pdf/renkyu20210426.pdf
最近のサイバー攻撃の状況を踏まえた経営者への注意喚起(経済産業省)
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf
「EMOTET」後のメール脅威状況：「IcedID」および「BazarCall」が 3 月に急増
(トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/27732
So Unchill - UNC2198 ICEDID のランサムウェア・オペレーションへの融解(FireEye)
https://www.fireeye.com/blog/jp-threat-research/2021/02/melting-unc2198-
icedid-to-ransomware-operations.html
2021 年も増加傾向のランサムウェア、被害に関する共通点とは(LAC)
https://www.lac.co.jp/lacwatch/report/20210405_002585.html
UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial
Threat(FireEye)
https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-
fivehands-ransomware-sophisticated-financial-threat.html