NIST CSFベースのランサムウェア対策とは ~NISTIR 8374から~(2)

セキュリティ

2024.09.27

     

本コラム第1回では、NISTIR 8374(ランサムウェアリスクマネジメント)に基づくランサムウェア対策をNIST CSF(サイバーセキュリティフレームワーク)の観点から見ていきました。これらは網羅的ではあるものの、対処事項の範囲が広く抽象的な内容も多いことから、どこから手を付けていけば良いのか判断に迷う組織もあるかもしれません。
そこで、NISTIR 8374では今すぐできる基本的なランサムウェア対策についても記載されており、これを参考にすることができます。

基本的なランサムウェア対策のヒント(BASIC RANSOMWARE TIPS)

NISTIR 8374では、今すぐできる基本的なランサムウェア対策として「BASIC RANSOMWARE TIPS(基本的なランサムウェア対策のヒント)」が記載されています。これは、従業員教育、脆弱性の回避、ランサムウェアの検知、ランサムウェアの拡散防止、復旧の容易化の5つのカテゴリで書かれています。ここではそれぞれについてご紹介します。

まず、一つ目は従業員教育により一般ユーザーでも実施すべきことを示しています。

従業員教育
  • 不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。
    アンチウイルスのスキャンを実行するか、リンクを注意深く確認しない限り実施しないこと。
  • 個人のWebサイトや個人用アプリの使用を避けること。
    仕事用のコンピューターから、個人のメールやチャット、ソーシャルメディアなどの使用を避けること。
  • 事前の許可なしに、個人所有のデバイスを仕事用のネットワークに接続しないこと。

二つ目はランサムウェアが悪用する可能性のある脆弱性の回避方法を示しています。これはランサムウェアによる侵入を防止するための防御策です。

脆弱性の回避
  • 関連するシステムに完全なパッチ適用を維持すること。
    スケジュールされたチェックを実行して利用可能なパッチを特定し、可能な限り早くインストールすること。
  • すべてのネットワークシステムでゼロトラスト原則を採用すること。
    すべてのネットワーク機能へのアクセスを管理し、可能な場合は内部ネットワークをセグメント化して、潜在的な標的となりうるシステム間でマルウェアが蔓延するのを防ぐこと。
  • 承認されたアプリのみインストールと実行を許可すること。
    承認されたアプリケーションのみを実行するようにオペレーティングシステムやサードパーティソフトウェアを設定すること。これは承認されたアプリケーションを確認してから、許可リストに追加または削除するポリシーを採用することでもサポートできる。
  • 技術ベンダーに期待を伝えること。
    ランサムウェア攻撃を阻止する対策を適用する期待を伝えること(契約文言などで)。

三つ目はランサムウェアに関する攻撃や感染を検知するための検知策を示しています。

ランサムウェアの検知
  • アンチウイルスなどのマルウェア検出ソフトウェアを常時使用すること。
    電子メールおよびフラッシュドライブを自動スキャンするよう設定すること。
  • 継続的に監視すること。
    侵害またはアクティブな攻撃の兆候を探すためにディレクトリサービス(およびその他の主要なユーザーストア)を監視すること。
  • 信頼できないWebリソースへのアクセスをブロックすること。
    悪意があるとわかっている、または悪意のあるシステム活動の兆候であると疑われるサーバー名、IPアドレス、またはポートとプロトコルへのアクセスをブロックする製品またはサービスを使用すること。これには、アドレスのドメインコンポーネント(例:hacker@poser.com)の整合性保護を提供する製品とサービスの使用が含まれる。

四つ目はランサムウェア感染の拡散や侵入の拡大を困難にするための対策を示しています。これはシステムに侵入された後の被害拡大防止のための対策です。「認証遅延」とはこの場合、規定回数を超えるログイン試行に対して結果のレスポンスを意図的に著しく遅らせる仕組みで、総当たり攻撃への対策になります。

ランサムウェアの拡散防止
  • 標準のユーザーアカウントを使用すること。
    可能な限り、管理者権限を持つアカウントではなく、多要素認証を備えた標準のユーザーアカウントを使用すること。
  • 認証遅延を導入するか、自動アカウントロックアウトを設定すること。
    パスワードを推測する自動的な試みに対する防御として上記を実施すること。
  • 組織のすべての資産およびソフトウェアの認証情報の認可を割り当て、管理すること。
    最小権限の原則に従って、各アカウントに必要なアクセス権のみがあることを定期的に確認すること。
  • データを不変形式(immutable format)で保存すること。
    新しいデータが利用可能になったときにデータベースが古いデータを自動的に上書きしないようにするため。
  • 安全な仮想プライベートネットワーク(VPN)接続を介してのみ、内部ネットワークリソースへの外部アクセスを許可すること。

最後に、ランサムウェア事故が発生した場合に復旧を容易にする方法を示しています。

従業員教育
  • インシデント復旧計画を作成すること。
    意思決定の役割および戦略を定義したインシデント復旧計画を策定し、実装し、定期的に実行すること。これは運用継続計画の一部にすることができる。インシデント復旧計画では、復旧の優先順位付けを可能にするためにミッションクリティカルなサービスやその他のビジネスに不可欠なサービスを特定し、それら重要なサービスに対する事業継続計画を策定する必要がある。
  • データのバックアップを取得し、バックアップを保護し、リストアをテストすること。
    データのバックアップおよびリストアの戦略を慎重に計画し、実装し、テストし、重要データのバックアップを保護して分離すること。
  • 連絡先を維持すること。
    法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する内部および外部の連絡先の最新のリストを維持すること。

これら基本的なランサムウェア対策には、比較的すぐに出来るものもそうでないものもあります。そのため、必ずしもすべてを一度に実装するのではなく、組織やシステムの状況に応じて出来ること・必要なことから優先順位を付けて実装していくことが望ましいです。

「Blacksuit」に対するランサムウェア対策(一部)

また、第1回でも触れたCISAおよびFBIによる共同勧告(Blacksuit (Royal) Ransomware)では「Blacksuit」に対するランサムウェア対策についても触れています。ここではすべては紹介しませんが、防御策として最も強調されている対策の一つが「フィッシング耐性のある多要素認証(MFA)」です。フィッシングとは警察庁の定義によると「実在のサービスや企業をかたり、偽のメールやSMS(携帯電話のショートメッセージ)で偽サイトに誘導しIDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口」です。
なお、多要素認証であればどのような方式でも良いというわけではありません。「フィッシング耐性のある多要素認証(MFA)」の詳細は、米CISAのCross-Sector Cybersecurity Performance Goalに以下のように説明されています。

フィッシング耐性のある多要素認証(MFA)

推奨アクション:

  • 組織は、資産に対して最も強力で利用可能な方法を使ってその資産へのアクセスに多要素認証を実装する(スコープは以下参照)。強度が高いものから低いもの順に並べた多要素認証オプションは次のとおり。
    • 1.ハードウェアベースのフィッシング耐性のあるもの(FIDO/WebAuthnまたは公開鍵基盤(PKI)ベースなど)。
    • 2.もし1.のようなハードウェアベースの多要素認証が利用できない場合は、モバイルアプリベースのソフトトークン(番号マッチングを使用したプッシュ通知が望ましい)またはFIDOパスキーなどの最新の技術が使用されているもの。
    • 3.ショートメッセージサービス(SMS)または音声によるもの(他のオプションが不可能な場合にのみ使用する)。
  • IT:すべてのITアカウントは多要素認証を活用して組織のリソースにアクセスする。主要なITシステムの特権管理アカウントなど、リスクが最も高いアカウントを優先する。
  • OT:OT環境内では、ベンダーアカウント/メンテナンスアカウント、リモートでアクセス可能なユーザーおよびエンジニアリングワークステーション、リモートでアクセス可能なHMIなど、リモートでアクセスできるすべてのアカウントおよびシステムで多要素認証が有効にされている。

共同勧告では、特に管理者アカウントへの多要素認証の適用を求めていますが、権限が大きい標準ユーザーアカウントに対しても多要素認証の適用が望まれます。

まとめ

本コラムではNISTIR 8374(ランサムウェアリスクマネジメント)から基本的なランサムウェア対策のヒントをご紹介しました。通常、セキュリティ対策にはどうしても網羅性が求められるため、これだけやれば十分というものはないのですが、組織の状況や方針によって何を重視すべきかを検討することはできます。
今後もサイバー犯罪者はあらゆる手を使って攻撃手法を高度化することが想定されます。守る側も信頼できる情報源から引き続き攻撃のトレンドを把握し対策を進化させていくことが必要です。

  • 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。

NIST CSFベースのランサムウェア対策とは ~NISTIR 8374から~(2)