GMOサイバーセキュリティ byイエラエの阿部慎司氏が、同社の「YouTube」チャンネルでランサムウェアの実情を語る動画を公開しました。昨今の事情を含めて解説する内容に、うなずきながら拝見しました。
特に警察庁による「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の統計で出てきているように、もはやランサムウェアは中小企業の被害が多いこと、そして侵入経路はかつての電子メールやWeb経由ではなく、VPN機器やリモートデスクトップツールの脆弱(ぜいじゃく)性を悪用した侵入であることはしっかりと把握しておくべきだと思います。ぜひチェックしてみてください。
●いつまでたってもなくならないVPN機器の脆弱性 その背景にあるもの
ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。
かつてネットワークベンダーの間では「UTM」(Unified Threat Management:統合脅威管理)製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場では、パフォーマンスの問題からセキュリティに関連する機能をオフにし、高級なルーターとして使われたことが多かったとも聞いています。確かにブームの頃は、特に中小企業であればUTMを入れることで防御ができるとアピールするベンダーも多くいました。さて、今ではどうでしょうか。
大きな問題は、これらのネットワーク機器に関するアップデートが進んでいなかったことにあると思っています。恐らく、ネットワーク機器は一度動き始めれば、手を加えたくないということも大きな理由のはずです。高機能なUTMであれば、それなりにアップデートが定期的に実行されていたはずですが、それが正しく適用されていないことが、現状のランサムウェア事案の根幹にあるのかもしれません。
この他、UTM導入後、セキュリティ関連機能をオフにして使っていたにもかかわらず、コロナ禍などで仕方がないとはいえ急にリモートアクセスが必要となり、ポリシーを考えずにVPN機能をオンにしてしまったケースもランサムウェアの被害を拡大させた要因と言えるでしょう。
●“多機能であること”がセキュリティではマイナスに働いている
この他、サイバー攻撃被害が拡大する要因として製品の多機能化も挙げられるでしょう。多機能であることはコードが多いということであり、つまり脆弱性が含まれる可能性も高まるということです。Twitterの元CISOであるピーター・ザトコ氏がWithSecure主催のイベント「SPHERE 23」に登壇した際、セキュリティソリューションのコードの増大こそが攻撃の温床になっているという話をしていました。
個人的にも、特に家庭用ルーターはもっとシンプルに、セキュアになってくれないかと期待しています。しかし、そういったものがもし出てきたとしても、プロモーション的に売れるようなものになるとも思えません。企業向けの製品であればほんの少しだけ期待が持てるかもしれませんが、果たして私たちは「他の製品よりも機能が少なく、マルバツ表で劣勢に見える製品」を選択できるのでしょうか。これは、なかなか難しいでしょう。
UTMがウケたのは、まさに多機能であったことが理由でしょう。しかし、もはやセキュリティの観点では、多機能であればそれだけ、アップデートや脆弱性管理の運用保守に手間がかかると考える必要があります。私たちはそのコストをあまり考えていなかったのかもしれません。今後登場するであろう製品の機能が減ることはないと思うので、結局、正しく運用管理をするしかありません。
今できることは、冒頭の動画でも述べられている、基本ともいうべきポイントを押さえることにあります。サイバー空間の治安はこれまでにないレベルでひどい状況ですが、これが好転するとも思えません。まずは、自社が用意しているVPNに脆弱性が残っていないかを確認するとともに、侵入されている前提でいかに気付けるかを考える必要があるでしょう。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。