マルウェア「Emotet」など
激化するサイバー攻撃に備えるために

サイバー攻撃の激化に伴い、ランサムウェアやマルウェア「Emotet」などに関するニュースを目にすることが多くなった。そこで今回は、比較的簡単に導入でき、万一の際のインシデント発生時に役立つサービスを紹介しておきたい。

EPPでは検知できないケースも増加

 昨今、ほとんどの企業・組織がマルウェアを検知・隔離する「Endpoint Protection Platform」(EPP)、いわゆるアンチマルウェア製品を導入しているだろう。しかし、ご存知の通りEPPは100%マルウェアの侵入を防いでくれるものではない。実際に、最近の「Emotet」のようなマルウェアは、ファイルレスでの侵入やPowerShell、Regsvr32.exeといったOS標準機能の悪用などEPPのガードをすり抜けるように高度化しており、EPPでは検知できないケースも増えてきている。

 EPPのみでの対策に不安を覚え、「常に端末の状態を監視し、侵入されたことを検知できるようにしておきたい」と思う企業・組織のセキュリティ担当者も多いだろう。このような場合に有効となるのが、マルウェアが侵入してしまった時の調査や対処を支援する「Endpoint Detection and Response」(EDR)だ。最近は導入している企業・組織も増えてきている。中には、EDRがなくてもEPPで事足りるのではないか、先ほど例に挙げたPowerShell、Regsvr32.exeを悪用した攻撃も、該当機能の実行をEPPで禁止できるのではないかと思う人もいるかもしれない。しかしPowerShellのようなOSの標準機能は業務で使用される可能性があり、簡単に一律禁止できないのが実情だ。そのため、マルウェアの侵入に備えたEDRの導入が重要性を増しているのだ。しかし、EDRの導入には、費用面と運用面でハードルがある。

感染時に必要となる作業の流れと課題

 EDRの機能や、導入に当たっての課題を説明する前に、Emotetを例にマルウェア感染時の一般的な作業の流れを時系列で説明する。

1.感染の発見
・社外からの不審メール受信により発見
・Emotet感染確認ツールなどにより発見

2.端末の隔離
・該当端末をLANから切り離し封じ込める

3.実行ファイルの削除
 1.Emotet感染確認ツールなどにより、実行ファイルを特定
 2.タスクマネージャを開き、実行プロセスを停止
 3.エクスプローラーから実行ファイルを削除
 4.最新のパターンファイルでフルスキャン

4.感染状況の確認
 1.社内ネットワークに接続されている全ての端末で、実行ファイルを検索
 2.見つかった場合、それぞれの端末で削除

 これらの作業は、オフィス内で対応した場合を想定している。しかし、多くの企業・組織でリモートワークが適用されている中、ITに詳しくない人を含む全員がリモート環境で上記作業を行えるのか不安ではないだろうか。そこで、EDRの出番だ。EDRは主に以下のような機能を持つ。

1.端末上の振る舞いなどの記録と可視化
2.マルウェア侵入原因の調査支援
3.マルウェア侵入経路の調査支援
4.影響範囲の調査支援

 これらの機能を使いこなすことができれば、Emotet感染時の対応にも役立てることができるが、実際に使いこなすだけの知識を持ったセキュリティ人材の確保が難しい企業も多いだろう。そこで、是非お薦めしたいのが「MDR(Managed Detection and Response)サービス」の活用だ。MDRサービスはEDRの運用だけでなく、Emotetなどのマルウェア感染時に発生する煩わしい作業を代行するため、リモートワークが拡大してからニーズがさらに高まっている。MDRサービスを利用した場合の対応作業の流れを以下に示す。

1.感染の発見
サービス担当者が各端末を遠隔で監視し、Emotetなどのマルウェアを検知した場合には、セキュリティ担当者に報告。検知の報告と並行して、検知した脅威情報を調査し、調査結果も報告。

2.端末の隔離
遠隔より該当の端末をネットワークから切断し封じ込める。

3.実行ファイルの削除
Emotet実行ファイル本体はもちろん、そこから派生したファイルやレジストリキーも削除。

4.感染状況の確認
感染した端末への侵入経路や影響範囲を調査して報告、さらに感染拡大した端末についてもEmotet関連ファイル、レジストリキーの削除処理を実施。

5.感染端末の詳細調査
感染端末またはHDD/SSDを預かり、情報漏えいや不正アクセスの痕跡の有無を調査して報告。

 このように、マルウェア侵入後の対策としては、端末にEDRを導入しMDRサービスを契約することが理想的だ。ただ、費用の問題は否めない。マルウェア(ランサムウェアを含む)に感染した場合の損害とセキュリティ人材の育成費や作業工数を考慮した場合、EDRやMDRサービスの費用は高いものではないと思うが、インシデントが発生していない状況ではこれらの製品・サービスの必要性を上層部に理解してもらうことは難しいかもしれない。その場合、「サイバー保険」を提案してみてはどうだろうか。

感染時対応にかかる費用を保険で支払う

 サイバー保険とは、マルウェア感染やサイバー攻撃などのセキュリティインシデントが発生した際、その対応にかかる費用を保険で支払うというものである。EPPやUTM(Unified Threat Management)などとセットでサブスクリプション料金に保険費用を追加し契約することが多い。費用面は比較的安価であり、EPPやUTMと一緒に費用申請できるため、稟議が通りやすいのではないだろうか。サイバー保険により、インシデント発生時のどのような費用がカバーできるのか、例を紹介する。

■対策方針策定支援
セキュリティのプロによる現地での各種初動対応支援

■侵害調査
マルウェアによる侵害状況調査

■コンピューターフォレンジック
マルウェア感染や情報流出などの痕跡調査

 なお、ランサムウェアによる身代金の支払いまではサイバー保険ではカバーされないことが多いので注意してほしい。上層部への説明と契約の前に、ぜひ確認いただきたい。

 以上のように、端末のマルウェア対策には、いくつかの選択肢がある。EDR+MDRサービスも、サイバー保険もマルウェアの侵入を前提にした考え方であるが、EDR+MDRサービスは、侵入されたことを早期に発見しダメージを減らす対応、サイバー保険はダメージを受けることは前提に、収束に必要な調査を安価に行う対応と言える。

 マルウェア感染のリスクに対し、守る対象となる事業やシステム、データの重要度を整理し、BCP(Business Continuity Plan:事業継続計画)を考慮した上で、どのような対応とするか選択していただきたい。

master:
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏