海外の1,000人を超える優秀なハッカーエンジニアが、世界中の組織や政府機関が使用する人気のネットワーク管理ソフトウェアであるSolarWindsを標的にするために精力的に活動してきました。この巧妙なハッキングはMicrosoft Exchange Serverの脆弱性を悪用し、世界中の多くの電子メールが侵害されました。
さらに悪いことに、この攻撃に他の多くのハッキンググループも追随している。誰もがMicrosoft Exchange Serverの脆弱性を悪用したいと考えています。Microsoftはパッチをリリースし、Exchange Serverユーザーに対してサーバーに早急にパッチを適用するよう促しました。
ハッキングの深刻さから、バイデン大統領は問題に対処するために緊急タスクフォースを設置した。しかし、米国サイバーセキュリティ・インフラ庁(CISA)のブランドン・ウェールズ局長代理によると、ほとんどの機関が攻撃中に失われたり侵害された機能を再構築するには12~18か月かかるとのことだ。
SolarWinds攻撃は、サイバー脅威が現実のものであり、誰もその脅威から逃れられないという重大な警告となった。サイバー攻撃にはさまざまな形態があります。ハッカーの目的は、大規模な分散型サービス拒否攻撃の場合のように混乱を招いたり、貴重なデータを盗んだり、金銭的利益を得たりすることである可能性があります。
ランサムウェアは、ハッカーが被害者を標的にして身代金を要求するために使用するマルウェアです。ランサムウェアには、Ryuk、REvil、RobbinHood、BitPaymer、SamSamなど、さまざまな種類があります。ランサムウェアはコンピュータのファイルを暗号化します。次に、ハッカーは復号キーと引き換えに身代金を要求します。身代金の支払いを拒否した場合、ユーザーはロックされたファイルを回復できなくなります。今年3月、AcerがREvilの攻撃を受け、5,000万ドルの身代金を要求されたと報じられた。身代金の額は将来さらに高くなる可能性があります。
最近では、新しい種類のランサムウェア「DearCry」が登場しました。これまでのところ、ほとんどのランサムウェアはコンピュータ システムのファイルを暗号化しますが、暗号化されたファイルはストレージ ドライブの同じ論理セクターに残されます。しかし、DearCryはファイルを暗号化して、 違う 論理セクター。さらに、DearCryは元のファイルも上書きします。新しく悪名高いランサムウェアは、パッチが適用されていないMicrosoft Exchange Serverの脆弱性を悪用して、さらに多くのシステムに感染し、身代金を要求しています。
攻撃に対抗する方法
サイバー脅威は動く標的です。金銭を稼いだり、貴重なデータを盗んだりできる限り、ハッカーは新しいマルウェアを忙しく発明し続けるでしょう。今日安全なシステムが明日は安全ではないかもしれません。企業、企業、政府機関は常にハッカーの標的となっており、24時間365日サイバー脅威に直面しています。それで何ができるでしょうか?
軍隊の防衛と同様に、部隊は十分な訓練を受け、適切な装備を備え、迅速に展開できる必要があります。サイバーセキュリティを実現するには、次の3つの基本的な要素が必要です。
- • サイバーセキュリティの考え方
- • 適切なツール
- • サイバー脅威対策プロセス
サイバーセキュリティの考え方
増え続けるサイバー脅威に対抗するには、新たなサイバーセキュリティの考え方が必要です。サイバーセキュリティとは単にIT部門がスキャン ソフトウェアを時々実行することであり、サイバーセキュリティの責任はすべてIT部門にあると企業が考えていた時代は終わりました。
今日の組織は、CEO、CIO、セキュリティ責任者の指揮の下、サイバー脅威の猛攻に対抗するための明確なビジョンとリソースを備えている必要があります。サイバーセキュリティ チームは、社内スタッフで構成されている場合でも、外部委託されている場合でも、十分なトレーニングを受け、十分な資金を確保し、いつでも展開できる態勢を整えておく必要があります。ハッカーは待ってくれないから、企業のサイバーセキュリティ部門は高度な可視性とサポートを備えている必要がある。
適切なツール
適切なテクノロジー (システム、ソフトウェア、ハードウェア) を導入することが重要です (下記の「知っておくべきこと」を参照してください)。
サイバー脅威対策プロセス
現代のサイバー脅威はますます深刻化しています。攻撃の頻度、激しさ、巧妙さは増しています。脅威に対抗するには、脅威対策プロセスを導入することが重要です。このプロセスには次の手順が含まれます。
- 1. 専門家レベルの脅威監視および検出機能を導入します。これには、継続的な監視、スキャン、ウイルスの検出、疑わしいネットワークおよびシステムの動作のフラグ付けが含まれます。
- 2. 攻撃に対応するための安全なシステム アーキテクチャ設計を確立します。侵害が発生した場合、システムはさらなる攻撃を防ぐために特定の機能をブロック、隔離、およびロックダウンする必要があります。少なくとも、攻撃者にとって可能な限り困難なものにしてください。被害と混乱を最小限に抑えることが目標です。
- 3. ITチームとサポート チームは十分なトレーニングを受け、侵害が発生したときにどのように対応するかについて他のスタッフや従業員をトレーニングする準備ができている必要があります。今はパニックになる時ではなく、被害を抑えるために必要な措置を講じる時です。森林火災の消火と同様に、船長は常に火災と戦い、火災がさらに広がるのを防ぐ計画を立てています。
知っておくべきこと
サイバー脅威に対抗する準備に役立つ重要なリソースを以下に示します。
1) 最も効果的なサイバーセキュリティ技術
サイバーセキュリティを実現することは、多くの考慮事項を伴う複雑なプロセスになる可能性があります。Dark Reading 2020年戦略セキュリティ調査レポートでは、従業員100人以上の企業のITおよびサイバーセキュリティの専門家190人を対象に調査が行われました。調査によると、最も効果的なサイバーセキュリティ技術のトップ8は、エンドポイント保護、次世代ファイアウォール、VPN、データ暗号化、電子メール セキュリティ/スパム フィルタリング、脆弱性評価/侵入テスト、ウイルス対策/マルウェア対策、およびID管理です。下の表に示すように、技術的な考慮事項は他にもたくさんあります。
2) ハードウェアセキュリティ
サイバーセキュリティ保護の責任は、シリコン ビルディング ブロックを含むハードウェアにますます大きくかかっています。サイドチャネル攻撃やRowhammer攻撃などの攻撃から保護するには、暗号化アクセラレーション、真性乱数ジェネレーター、メモリ暗号化、セキュア ブートなどの セキュリティ ソリューション を検討してください。
3) セキュリティ標準とコンプライアンス
国際標準化機構 (ISO) や国際計測制御学会 (ISA) などの標準化団体が、組織や開発者がサイバー犯罪と戦うための国際標準を策定するケースが増えています。
たとえば、ISA Global Cybersecurity Alliance (ISAGCA) は最近、産業用制御システムに重点を置いたISA/IEC 62443シリーズの標準をリリースしました。これはこの種のものとしては初めてのものです。さまざまな役割を担うセキュリティ専門家に、産業オートメーションおよび制御業界における脅威から保護する方法を学習するための概要とガイドラインを提供します。さらに、リスク評価ガイドラインに従って、産業オペレーションにサイバーセキュリティを適用するための包括的かつ体系的なアプローチとともに、ソフトウェア パッチを推奨しています。ASIL/ISO 26262、DIS ISO/SAE 21434、SAEのJ3101 (自動車用)、ISO 14971:2019 (医療用) などの他の標準も利用できます。
これらの標準に従うことで、サイバー脅威に対抗する能力が大幅に向上します。
4) MITREからのサポート
MITREは、サイバー脅威に関する知識を共有することで、公共部門および民間部門と連携してランサムウェアの脅威と戦う、非営利の連邦政府資金による研究開発グループです。その豊富な知識には、人工知能、直感的なデータサイエンス、量子情報科学、宇宙安全保障、健康情報科学、サイバー脅威とサイバーレジリエンス、健康情報科学が含まれます。
5) 5G時代のサイバーセキュリティ
5Gのメリットは、産業界、政府、学界だけでなく、サイバー犯罪者にも共有されます。ワイヤレス接続が普及し、高速化するにつれて、サイバー犯罪活動も増加するでしょう。
業界団体である5G Americasは、南北アメリカ全土における5Gの推進を提唱し、5G関連の設計やシステムアーキテクチャの確保方法などの情報を提供しています。同組織は、IPアドレス層から教師なし機械学習層に至るまでの7層の脅威インテリジェンス アプローチを推奨しています。追加のガイドラインについては、「5G時代のセキュリティに関する考慮事項」ホワイト ペーパーを参照してください。5Gに関連するシステムの設計に実用的な支援を提供します。
6) IoTサイバーセキュリティ強化法
こうしたサイバー攻撃活動が続く中、政府はこの問題に真っ向から取り組むための措置を講じている。2020年にIoTサイバーセキュリティ強化法が可決されました。アメリカ国立標準技術研究所 (NIST) は、エッジ コンピューティングのセキュリティに関する政府向けの推奨事項を策定する予定であり、これは民間部門にも役立つでしょう。
7) 自分に合ったサイバーセキュリティ計画の実施
すべては「ゼロ トラスト」から始まります。企業やネットワーク オペレーターの場合、接続しようとしているネットワーク ノードやデバイスは、実際に認証または検証されるまで信頼できません。デバイス開発者の場合、デバイスのブートROMは「信頼のルート」で保護される必要があります。つまり、ブート コードは安全であり、第三者によって改ざんされることはありません。ブートROMがマルウェアに感染したケースが複数あります。一度感染すると、システムの起動後はハッカーのソフトウェアが制御権を握るか、マルウェアが休眠状態になり、将来の混乱に備えます。したがって、信頼のルートを正しく開発することが重要です。そうしないと、システム全体が危険にさらされます。達成する必要のある目標をサポートする適切なテクノロジーや信頼できるサードパーティ コンサルタントを見つけます。
ネットワークを分離することが重要です。攻撃が発生した場合、分離アプローチの設計により、ネットワークのさまざまなセグメントをロックダウンして分離し、さらなる被害を防ぐことが容易になります。
結論
前述したように、脅威対策プロセスを導入した後は、次の手順を定期的に実行してください。
- • スタッフがセキュリティに関して十分なトレーニングを受けていることを確認してください。彼らはフィッシングに対処する方法を知っておく必要があります。さらに、スタッフが、システムが攻撃されたりブリッジされたりした後に適切な手順を実行する方法を知っておく必要があります。
- • 既存のシステムをすでに市場にある既知のマルウェアでテストし、既存のシステムが安全で堅牢であることを確認します。
- • 異常なシステム動作を常に監視し、潜在的な脅威をスキャンして追跡するための予防的なセキュリティ手順を用意します。また、マルウェアに対するソフトウェア パッチを効率的に更新する手順も用意してください。企業がソフトウェアパッチのインストールに1か月以上かかることも珍しくありません。それほど時間がかかると、Microsoft Exchange Serverのハッキングの場合のように、ハッカーが既知のソフトウェアの脆弱性を悪用する機会が生まれます。
- • 定期的に消火訓練を実施してください。サイバー攻撃のシナリオを作成し、全スタッフに実際の攻撃であるかのように演習を実施してもらいます。
最後に、常に警戒を怠らないでください。
