セッション2「迫りくる嵐に備える」サイバー事故対応組織CSIRTを、フルに生かすための知的武装

インシデントレスポンス支援について現場ではどのようなものが求められているのか、PwCサイバーサービス合同会社シニアマネージャー薩摩貴人が、現場から見たサイバー攻撃の備えるべき観点について紹介しました。

PwCサイバーサービス合同会社シニアマネージャー薩摩貴人

WannaCryとPetya

今回話題となったランサムウェアWannaCry（ワナクライ）の特長は、インターネットを経由して脆弱（ぜいじゃく）性のある端末やサーバを見つけて感染させていることと、感染スピードが非常に速いことです。WannaCryの被害は150カ国で計30万件といわれていますが、日本国内の被害は2桁台と小さい被害で済んでいるようです。

WannaCryはファイル共有やプリンタ共有に使われるSMBのプロトコルの脆弱性を使って感染を拡大していましたが、445番のポートを止めることで被害の拡大を防ぐことが可能でした。また、Microsoftが提供した3月の月例パッチで対処可能だったこともあり、パッチを適用できれば大きな脅威ではありませんでした。それらのことから、日本での被害は少なかったと推測されます。

しかし組織やシステムが大きくなればなるほど、パッチを完全に適用することが難しくなってきます。なぜなら、検証して動作に支障がないと判断できなければ、パッチも当てることができないシステムや環境が多々あるためです。そのため、パッチが適用できないシステムや制御系の機器などに対する危機感は潜在的に残ったままです。

WannaCry事案におけるインシデント対応観点からの「難しさ」

強い感染力を持つランサムウェア

過去にもワーム機能を持つランサムウェアは存在しましたが、感染力はWannaCryと比べ物になりません。一度侵入を許すと、脆弱性を有するWindows OSに対して感染を止めることは困難です。

【追加】
6月27日現在、世界的に感染が拡大しているランサムウェア「Petya」の亜種は、メール添付での侵入や WannaCry で使われた経路とは別の感染手段を備えています。

ウィークポイントである週末に猛威を振った

日本時間の5月13日（土）に海外での被害が報道された後、5月14日（日）にJPCERT／CCがホームページやメールなどで注意喚起。

週末の脆弱性対応方法が規定されていない組織では、不安な週末を過ごされたのではないでしょうか。

週明けから別のマルウェア感染をもくろむ迷惑メールが大量に届く

週明けの5月15日から、「Ursnif」や「Jaff」という別のマルウェアに感染させる迷惑メールが大量に届きました。一説には迷惑メールをばらまくボットネットが復活したことに関係するといわれています。WannaCryと迷惑メールを同時に対応しなければならない状況となりました。

ランサムウェア「WannaCry」に関する注意喚起

引用元：JPCERTコーディネーションセンター「注意喚起」

同時期に猛威を奮ったPetya（ペチャ）の亜種に関しては、さまざまな情報が飛び交っています。WannaCryの騒動が発生した週明けから、別のコンピュータウイルス感染を目的とした迷惑メールが大量に送られており、WannaCryと迷惑メール、両方の対処に追われたところが多かったようです。

Petyaの亜種についてはメールによる感染も問題になっていることもあり、引き続き注意が必要です。

WannaCryはSMBのプロトコルの脆弱性を突くものになっていますが、それに対してPetya亜種は感染した端末上の認証をつかさどるプロセスのメモリダンプからWindowsの管理共有をスキャンし、管理者権限のアカウントを取得してコンピュータウイルスを送りこんで感染を広げていきます。

Petya亜種の感染速度はWannaCryと比べれば遅いものの、破壊行為のレベルはWannaCryより非常に高いものです。

サイバー攻撃の被害を最小限にするためには

WannaCryでの事案から見ると、強い感染力を持ったランサムウェアによるインシデントが発生した時の対応は、非常に困難だということが分かりました。では、そのためにどうすれば良いのでしょうか。

CSIRT（Computer Security Incident Response Team：シーサート）のような組織を作るのは最初のステップとなりますが、システムで不審な動きが察知されたら、速やかにネットワークから排除・遮断してもらうことを全社員に周知することも一つの手段として挙げられます。もし対処が遅れて感染が広がってしまうと、組織レベルでネットワークを遮断する必要性が出てくる可能性もあります。そのため、インシデントが発生した時には、あらかじめネットワークをどのようなルールで遮断するのか手順を決めておく必要があります。

システム障害の対応は事業を継続されることが目的ですが、サイバー攻撃による障害の対応は感染被害を最小化する、もしくは感染を止めることです。ネットワークの遮断でピンポイントに止めることができれば良いのですが、それが難しい場合はシステム全体を止めることになります。

システムを止めるとビジネス（事業）も停止することになり、企業の存続にもかかわってくるため、どのような時にどう止めるのかは経営側の判断となります。

実際にいくつかの大規模サイバー攻撃を受けた反省から、サービス停止基準を作った企業もあります。インシデントが発生した時にシステムを止める基準が事前に定められていると、止めるべきかどうかで悩んだり調整したりすることもなく、速やかに対処することができるのです。

インシデント発生時は初動対応が重要ですが、もっとも難しいのは「どのような状態になれば再開して良いのか」という判断です。コンピュータウイルスに感染したようなインシデントでは、システムにコンピュータウイルスがいない状態を作り出さなければ再開できません。最悪の場合、全てのPCをクリーンインストールすることにもなりかねません。一度に数千台から数万台のPCをセットアップするとなると、非常に多くのコストと労力がかかります。

また、インシデントが発生した時にベンダーが動いてくれるかどうかも重要です。実はインシデント対応は契約に盛り込まれていないため、ベンダーに支援してもらえないケースが圧倒的に多いのが現状です。WannaCryは週末に猛威を振るいましたが、契約外の週末ということでベンダーが動いてくれないことも多かったと聞きます。ベンダーとサポートや対応に関する契約を締結する際には、インシデント復旧の対応に関する事項なども協議して、盛り込むようにしたいものです。

「事業継続」観点におけるインシデント対応の要点

サイバー攻撃は「止める」ことが最優先

システム障害対応は冗長化対策を講じることで、単体の障害によるシステム停止を未然に防ぐのがセオリーです。しかし、サイバー攻撃はそもそも冗長化が対策にはなりません（例えば、脆弱性を突く攻撃の場合は全ての冗長系が攻撃対象となります）。

封じ込めの対処が取れなければ、システムやサービスの停止またはネットワーク遮断を経営判断で進めていかなければなりません。

最も難しいのは「再開」の判断

システム障害対応は動作検証結果が正常であれば再開できますが、サイバー攻撃の場合はインシデント原因（マルウェアなど）の除去が確実に行われていなければ、再開した後に再び被害が発生するおそれがあります。

インシデント原因の完全な除去が保証できない場合、あるいは除去に相当な時間がかかることが予想される場合は、クリアインストール＋バックアップデータ復旧を選択せざるを得ません。

要件においてインシデントからの復旧対応を想定しておく

通常、システム障害対応は運用契約に含まれており、システムに障害が発生した場合は迅速に動けるようになっていますが、サイバー攻撃によるインシデント対応は運用契約に含まれていないことが多く、その場合は保守対応となります。インシデント対応に係る費用について円滑に調整ができなければ、初動はもちろんのこと復旧すらままならないです。

「事業継続」観点におけるインシデント対応の要点

PwCではさまざまなサイバー攻撃やインシデントに関する情報や確認ポイントなどをノウハウとして蓄積しており、多くのお客さまのシステムを安全に運用できるよう活用しています。信ぴょう性のない情報だからといって無視するのではなく、あらゆる情報を集めて正しい判断を行えるように活用しています。

私たちは情報を武器にして、さまざまな可能性を踏まえて真贋（しんがん）を見極めながら適切に対応していけるように支援しています。

またPwCにはチームとしてセキュリティに関するスペシャリストをグローバルネットワークで約3,500名の体制で対応しておりますので、さまざまな部門と連携しながらインシデントに対処していくことが可能です。実際にPetya亜種についてはPwCイギリスで解析を行い、どのような動きをするのか情報を詳細に調査したうえで、対処方法を提示します。

コンピュータウイルス解析の第一人者や安全保障のスペシャリストなど、サイバーセキュリティの関する専門家集団を擁しており、万が一インシデントが発生した時でも対処法や的確なアドバイスを提供できる体制を持っているのがPwCの強みだといえるでしょう。

本セッションについてのご質問やご相談、資料などをご希望の方は、ページ末尾の「Contact Us」より、お問い合わせください。