今回はいよいよ企業グループにおけるランサムウェア対策のポイント第3回、最終回です。

ここまでのポイントとして、
第1回「予防」：PCのOSやソフトウェアを最新化するポイントをお伝えしました。
第2回「端末における検知」：PCの挙動をログとして記録し分析するEDRを導入することで、潜伏期間の長いランサムウェアを水際で検知する有効性についてお伝えしました。

そして今回は、「端末以外の検知」。端末の挙動以外からどうランサムウェアを検知するかについて、考えたいと思います。

ネットワークのログを検知する重要性と効果

ここであらためて、ランサムウェア対策においてネットワークのログを収集、分析することの有効性についてご説明します。

ログ検知の重要性と必要な理由

ネットワーク機器のログ分析は、ランサムウェアの感染を早期に発見するための重要な手段です。前回もご説明しましたが、ランサムウェアは潜入してすぐにデータを暗号化するわけではありません。典型的なランサムウェアの挙動は、感染後ネットワーク内部で広がり目的を達成しようとするのです。

ネットワーク機器のログには、重要な記録が残っています。そのため、ネットワーク機器のログを監視し異常なトラフィックや通信パターンを検知することで、感染の初期段階でランサムウェアを発見し、対策を行うことが可能となります。

一例として、以下のようなランサムウェアの振る舞いについてログを分析することにより早期に気づくことができます。

【例1】外部との通信

• 不審なIPアドレス/ポートとの通信がある。
• 通信トラフィックが急増した。
• 異常なDNSリクエスト

ランサムウェアはしばしば攻撃者とのコミュニケーションを行います。不信なIPとの通信はその兆候かもしれません。トラフィック事態が理由なく増えれば、そうした兆候の可能性を調査するべきです。DNSへの不信なリクエストも典型的な手口です。

【例2】内部探索

• ポートスキャン

ランサムウェアは感染を広げる際、他の機器に対してポートスキャンを行うことがあります。これは、内部に潜入して探索をするためにポートスキャンをしているのです。計画にないポートスキャンのログがあれば、いち早く気づき調査するべきです。

このようにログを分析することにより、効果的にランサムウェアの振る舞いを検知することができるかもしれません。このほか、攻撃者のIPアドレスやプロトコル、シグネチャ情報や、使用した手法を特定することも有効です。これにより、今後将来の攻撃に備え、どのように防御を強化していくのかという対策のための情報を得ることができるでしょう。

ネットワークのログでランサムウェアに気づく仕組み

ネットワークのログでランサムウェアに気づく仕組みをご紹介します。

• CCサーバとの通信
  • 既知のC&C IPアドレスリストとの突合せ
  • web proxyを通らない通信
  • 定期的に発生する同一IPアドレスへのアクセス
• ポートスキャン
  • 同一IPアドレスからの複数ポートアクセス(指定期間、ポートの種類数などがパラメータになりうる)
• DNSクエリ
  • 大量のDNS通信（件数、容量）

ログの統合管理はランサムウェアに有効

攻撃を受けた後、ネットワーク機器のログを含めた各種のログを相関的に分析することで、どのような攻撃を受け、何が起こったのか、どのような被害があったのかを明らかにする方法をご紹介します。ログの統合管理がランサムウェア検知に有効であるというご提案です。

以下に把握すべき事項と情報が含まれているログ種の例を示します。参考にしてみてください。

• どの端末からのアクセスがあったのか
  →ファイアウォール/プロキシ/DHCP/AD
• 感染した端末で何が起きたのか
  → EDR/AV/資産管理
• 感染後どのような動きがあったのか
  → AD/ファイルサーバログ/メールログ
• データの流出はあったのか
  → ファイアウォール/プロキシ/DNS

これら相関性が明らかになったログは法的な証拠としても利用できます。

法的な証拠として提示すべき項目は一般的に、攻撃があったことの証明、被害の範囲、攻撃の手法、防御策の状況などが考えられますが、ログを収集しておけば、証拠として重要な役割を果たします。

企業グループ全体でのログ統合がもたらすメリット

ランサムウェアは同一企業内で、同時多発的に起こるサイバー攻撃です。企業内でどこまで攻撃されていて、深刻度がどうなっているかという観点では、単一のログだけを分析していてもわかりません。 NW機器、EDRなどのセキュリティ機器のログを統合して監視することは、マルウェアの被害を防ぐためには重要な視点です。

ここでは、企業グループ全体でのログ統合がもたらすメリットというテーマでご紹介します。

【メリット1】システム全体状況が一元管理できる

ログを統合し、さまざまな角度で分析することで、システム全体の状況を一元的に把握することができます。

例えば、感染が疑われる端末のログとその端末と通信している機器のネットワークログがあれば感染範囲が特定できるかもしれません。また同一の通信が他のセグメントで発生していないかを確認することで全社・グループ全体でどのような状況になっているかを確認することができます。

個々の機器やシステムだけでは見えてこない、「システム全体でのマルウェアの活動状況を把握すること」が万が一感染した後、早期に対処するための有効な手立てとなります。

【メリット2】ログの統合監視によって複数の効果が得られる

ログの統合監視により、マルウェアの感染初期の微細な兆候や痕跡を早期に検知することもできます。早期に検知することで、マルウェアによる被害を大きく抑えることができます。実際にデータが暗号化されてからでは手遅れです。内部探索の段階で、検知する、また同様の事象が起こっていないかをすぐに確認できるようにするという視点でログを統合し分析する基盤は重要です。

ログを統合的に監視することで、ほかにも以下のメリットがあります。

• 複雑な攻撃パターンを検知することも可能となります。
• 問題が発見された際に、その原因や影響範囲を迅速に特定し、対応策を素早く実行することが可能になります。
• 攻撃後にログを分析することで、攻撃の原因や進行経路を詳細に調査し、今後の防御策を強化するための情報を得ることができます。

まさにランサムウェア対策としてログの統合は最後の砦ともいえるわけです。

企業グループ全体を守るセキュリティシステム構築・導入の注意点

最後に、「企業グループ全体を守る」という視点でこれらの仕組みを導入する際、注意したいポイントをご説明します。
グループ内で企業ごとにログを分析する仕組みを導入すると、高コストになるだけでなく、分析・運用担当者の人材不足などの理由で仕組み自体の維持ができません。ログの収集分析基盤を本社側で入れ、企業グループ全体でその基盤を共通化することで、分析ナレッジ共有やグループ全体の相関分析などを推進することができるようになります。

ランサムウェアは対策が十分に行われていないグループ企業から侵入してくる可能性があることは第1回でもお伝えしたとおりです。グループ全体をカバーできるログ管理基盤を是非とも検討してみてください。

まとめ

3回にわたって、ランサムウェア対策についてご説明をさせていただきました。「予防」と「検知」にまずはテーマを絞って、現状の対策を見直してみてください。

「予防」は「できること、すべきこと」ができているかという確認でもあります。
「検知」は「気づかなければ対策のしようがない」ということです。

企業グループ全体で予防・検知について共通のインフラを導入し、蟻の一穴とならないようにランサムウェア被害に備えてください。必要に応じて外部の実績のあるベンダーの知見も利用することで、よりいっそう強固なセキュリティ基盤が構築できるでしょう。