ISR、ロシアのウクライナ侵攻に伴うサイバー攻撃の動向を解説
急増するランサムウェア攻撃から企業を守る取り組みなども

　株式会社インターナショナルシステムリサーチ（以下、ISR）は3日、「進化するサイバー攻撃にはスピード感を持った対策が必須～まず初めに取り組むこととは？」をテーマにした記者説明会を開催した。

　今回の説明会では、昨今の国際情勢を踏まえ、ロシアのウクライナ侵攻にともなうサイバー攻撃の動向および、コロナ禍でのハイブリッドな働き方を狙ったサイバー攻撃について解説するとともに、急増するランサムウェア攻撃から企業が身を守るためのポイントを紹介した。

　現在、ロシア軍によるウクライナ侵攻が連日報道されているが、侵攻が始まる数週間前から、すでにウクライナに対して多くのサイバー攻撃が行われていたという。このサイバー攻撃は、政府機関や国防省、銀行などを狙ったDDoS攻撃がほとんどで、ウクライナの混乱や弱体化を目的としたものとみられている。

直近数週間のウクライナへのサイバー攻撃

　その中で、ISRでは、1月13日に発生した「WhisperGate」と、2月23日に発生した「HermeticWiper」の2つのマルウェアによるサイバー攻撃に注目。政府機関を狙った「WhisperGate」は、一見ランサムウェアのように見えるが、データを暗号化するのではなく破壊することが目的のマルウェア。感染したホストのデータを修復できないほどに破壊し、最新かつ本物のランサムウェアオペレーションのようにふるまう。

　一方「HermeticWiper」は、ウクライナ国内の数百のマシンを狙ったデータ消去マルウェア。Hermetica Digital Ltd.というキプロスに拠点を置く企業に発行された本物のコードサイニング証明書を使用しており、無害なアプリケーションを装い、データを破壊する。

　米国の銀行や金融機関では、これらの破壊的なマルウェアに強い懸念を抱いており、米国とその同盟国が、ロシアに対して厳しい制裁措置を講じたことに対する報復的なサイバー攻撃に備えているという。また、CISAとFBIは、WhisperGateとHermeticWiperの2つのマルウェアについてセキュリティ対策を講じるよう米国の各機関に警告を発している。

　ISR 代表取締役のメンデス・ラウル氏は、「ロシアのウクライナ侵攻は、サイバー空間にも大きな影響を及ぼしており、国際的にサイバー攻撃の危機が高まっている。日本でも、ロシアに対して経済制裁を行っているため、今後、報復としてロシアからのサイバー攻撃が増える可能性がある」と警鐘を鳴らす。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　2月28日には、国内の大手自動車メーカーが、主要な取引先である部品メーカーがサイバー攻撃を受けたため、3月1日に国内のすべての工場の稼働を停止することを発表。ウクライナ情勢との関連性は不明だが、ウイルスへの感染と脅迫メッセージが確認されていることから、ランサムウェア攻撃が行われたものとみて捜査が進められている。こうした状況を踏まえて、経済産業省と金融庁は、金融機関や企業・団体に対し、経営者のリーダーシップのもとサイバーセキュリティ対策の強化を呼びかけ、サプライチェーン全体でのセキュリティ対策実施を要請している。

　また、日本政府では、2月25日に経済安全保障推進法案を閣議決定し、その中で、「基幹インフラ設備の事前審査」を重点施策に挙げている。これは、国外からのサイバー攻撃などにより、基幹インフラの重要設備が安定的な供給の妨害手段として使用されることを防止することを目的としたもの。電気・ガス・鉄道などの14分野のうち、影響が大きいとされる事業者を対象に、重要機器導入の際には、国が事前に審査を行い、システムの脆弱性などをチェックしたうえで、必要な措置を勧告・命令するという。

経済安全保障推進法案における「基幹インフラ設備の事前審査」の概要

　ラウル氏は、「この施策が出された背景には、コロナ禍でのハイブリッドな働き方を狙ったランサムウェア攻撃が増加していることがある」と指摘する。新型コロナウイルスの感染拡大にともない、多くの企業がテレワークを導入したが、パンデミックの長期化により様々な問題点が浮上。現在は、出社とテレワークを組み合わせたハイブリッドな働き方が主流になりつつある。そして、ここで狙われているのが、テレワークにおけるセキュリティ対策の一環として導入されたVPN機器だという。2020年以降、VPN機器を悪用したランサムウェア攻撃は増加し続けており、最近ではマルウェア「Emotet」の感染が再拡大している。

VPN機器を悪用したランサムウェア攻撃が急増

　では、急増するランサムウェア攻撃から身を守るために、いま企業は何をしたらよいのか。ラウル氏は、（1）ベンダーの選択基準を見直す、（2）安全な認証システムの導入、（3）現在のVPNの利用が抱える課題に対処する、（4）IP制限を厳格に管理する、（5）本人認証、脆弱性対策を厳格に管理する－－という5つの取り組みを早急に行う必要があると提言した。

　「ベンダーの選択基準を見直す」では、SecurityFirstの考え方で開発・運用しているベンダーを厳しく選択。そのベンダーの経営理念を確認するとともに、ゼロトラストアーキテクチャのシステム設計や開発を実施しているかを確認することが大切だという。

　「安全な認証システムの導入」では、第一ステップとしてゼロトラストに基づいたMFA（多要素認証）システムを徹底的に導入すること。ここでは、安全性を確保するために、承認時に指紋や顔などスマートフォンの生体認証を利用したMFAを導入することが重要なポイントになる。また、FIDO2対応のセキュリティキーを導入することで、MFAの強度をさらに高めることができるとしている。

ゼロトラストに基づくMFAの導入

　「現在のVPNの利用が抱える課題に対処する」については、「テレワークのアクセスで利用しているVPN機器は、データ暗号化はできるが、ユーザーを正しく特定できるかどうかは認証システム次第になる」とし、対処すべき認証システムの課題として、「パスワードのみの認証」、「PKIを利用しない弱い認証」、「新しいデバイスを登録する時のユーザーへのアラートがない」ことを挙げた。

　「IP制限を厳格に管理する」については、「ランサムウェアを含むサイバー攻撃で多いのは、まずゼロデイなど攻撃を利用して、パスワードを取得してパソコンを乗っ取る。そして、リモートでそのパソコン経由で社内のIPアドレスを利用して、ユーザーのクラウドアカウントにアクセスする手口。そのため、ゼロトラストに基づく厳格なIP制限が必要になる」という。

　「本人認証、脆弱性対策を厳格に管理する」では、「昨今のサイバー攻撃では、攻撃者はネットワークよりもアイデンティティ（ID情報）を攻撃する傾向があり、パッチが当てられていないパソコンをゼロデイを利用して乗っ取ろうとする。ぞれだけに、本人認証とともに、脆弱性対策をしっかり行うことが極めて重要になる」とした。