第45話 最新のランサムウエアはアンチウイルスでは防げない!
アンチウイルスで防げたのはたったの2%
2021年9月に警視庁からランサムウェアの被害の実態の発表があった。
この発表で興味深い点は、アンチウィルスソフト対策を導入していた中で、被害低減の役に立ったのはたった2%に過ぎないということだ。98%はアンチウィルスソフトが「検出しなかった」「被害を防げなかった」ということになる。
アンチウィルスソフトがランサムウェア対策に役に立たなかった理由は、実はランサムウェアの侵入経路が変化していることにある。
ランサムウエア侵入経路が変化している
従来のメールなどの「マルウェア感染」は13%ほどに留まり、VPNやリモートデスクトップの機器や脆弱性を突いて侵入してくる「不正アクセス」よる感染が78%にも増加している。
アンチウィルスソフトは主に個人のPC端末の感染を防ぐために開発されている。VPNルータやRDPサーバなど経由で侵入してくるランサムウェアについては、アンチウィルスソフトでは防止出来ないということだ。
従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的であったが、現在では、VPN機器からの侵入等、特定の個人や企業・団体等を標的とした手口に変化しており、企業のネットワーク等のインフラを狙うようになっている。
これからのランサムウェアは不正アクセス対策も
従来のランサムウェアと異なり、最新のランサムウェアは「二重脅迫型」と呼ばれ、まず社内に侵入して機密情報を盗取する。その後ファイルをロックし脅迫する二段階のスタイルとなっている。
対策1:セキュリティパッチを最新に
ランサムウェア感染経路のトップであるVPN機器からの侵入については、公開されている脆弱性が突かれていると考えられる。
やはりネットワーク機器については、セキュリティパッチを常に更新して最新にしておくということが一番の対策となる。
ネットワーク機器やサーバのセキュリティパッチ更新は、どうしても後回しになる企業も少なくないが、やはり悪意のあるハッカーはこうした企業の盲点をついてくることを改めて考えるべきだろう。
対策2:多要素認証の導入
次にランサムウェア感染の経路となっているリモートデスクトップだが、これはブルートフォース攻撃で侵入してくると考えられる。
これに対抗するには、多要素認証が最も有効である。
対策3:監査ログの定期チェック
ハッカーが社内に侵入した時に、標的にされる可能性が最も高いサーバの一つがActive Directoryだ。(参照:第41話 御社のADはなぜ危険なのか〜CIS Controls 06)
やはり不正アクセスをできるだけ速やかに発見するためにも、Active Directoryのログを定期的にチェックすることも有効だ。
まとめ
・ランサムウェア対策は今や不正アクセス対策も重要
・対策1:セキュリティパッチ更新
・対策2:多要素認証
・対策3:監査ログの定期チェック
【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。