マクニカ
ゼロトラスト 2024.09.18

ランサムウェアに対抗する2つの効果的な手法 ~マイクロセグメンテーションとNDR~

3行でわかる本記事のサマリ

  • ランサムウェア攻撃がより巧妙化。対策として、マイクロセグメンテーションとNDRが注目されている。
  • 昨今のランサムウェア攻撃の特徴は、①脆弱性を突いた攻撃②ラテラルムーブメントの高速化③EDRを回避する攻撃④バックアップ攻撃の4点。
  • 対抗策として、マイクロセグメンテーションによるラテラルムーブメントの抑止、NDRによるエージェントレスな内部脅威の検知が有効。

昨今、ランサムウェアによる被害は深刻化し、企業のセキュリティにとって最大の脅威となっています。本記事では、国内ランサムウェア被害の現状を踏まえ、効果的なセキュリティ対策として、NDRとマイクロセグメンテーションをご紹介します。企業のセキュリティ担当者の皆様が、適切なランサムウェア対策を講じ、企業の情報資産を守る一助となれば幸いです。

目次

  1. 深刻化するランサムウェアの被害
  2. 昨今のランサムウェア攻撃の4つの特徴
  3. ラテラルムーブメントへの対策 「マイクロセグメンテーション」
  4. EDR回避攻撃への対策「NDR」

1. 深刻化するランサムウェアの被害

近年、日本国内でもランサムウェア被害が増加しています。情報処理推進機構(IPA)によると、ランサムウェアは毎年、国内企業にとって最大の脅威とされており、被害件数も年々増加傾向にあります。製造、金融、公共など業種を問わず、被害が報告されており、身代金の支払いやシステム停止によるビジネス被害額も高騰しています。ランサムウェア攻撃による被害は、単にサーバーが暗号化されるだけにとどまらず、業務停止やお客様情報の漏洩など、ビジネスに進行な影響を及ぼします。

スライド0.JPG

2. 昨今のランサムウェア攻撃の4つの特徴

昨今の新しいランサムウェア攻撃は、以下の4つの特徴を持っています。

スライド1.JPG

①脆弱性を突いた初期侵入

最新のランサムウェアは、VPNを始めとした外部公開資産の脆弱性を狙った攻撃が増えています。具体的には、VPNやリモートデスクトッププロトコル(RDP)の脆弱性を突いた攻撃が顕著であり、これらを踏み台にして企業の内部ネットワークに侵入するケースが増加しています。

②ラテラルムーブメントの高速化

攻撃者は初期侵入をした後に、端末、サーバー、アプリなど様々な情報資産を巧妙にすり抜けて、ネットワークの奥深くに移動します。これを"ラテラルムーブメント"と呼び、侵害範囲を段階的に広げてActive Directoryなどを経由し、あらゆる端末やサーバーを一気に暗号化します。侵入から最終攻撃の実行までの期間は数週間から、早い攻撃では数日といった事例も確認されています。

③EDRを回避する侵入

セキュリティ対策の定番になりつつあるEDRに対抗する様々な手法やツールが攻撃者側で開発されています。実際にEDRの保護機能を無効化・削除するようなテクニックや、EDRの導入箇所を回避するような動きも多数観測されています。

④バックアップへの攻撃

最後の砦であったバックアップも、データ暗号化前に攻撃されるような悪質な攻撃が増加しています。攻撃者がバックアップデータも暗号化することで、企業データは復旧不可能な最悪の状態に追い込まれます。

3. ラテラルムーブメントへの対策 「マイクロセグメンテーション」

上記のランサムウェア攻撃の特徴を踏まえると、内部侵入されてしまうことを素直に認め、仮に侵入された場合でも脅威の拡散・ラテラルムーブメントを最小限に抑えるゼロトラストの考え方を採用することが重要です。

そのようなゼロトラストなネットワークを実現する手法の1つが、"マイクロセグメンテーション"です。内部通信もゼロトラストに信用せず、サーバーやクライアント間の通信が必要最小限に抑えられていれば、攻撃者側も移動する際の手法が限定され、奥深くに侵入しにくいネットワークにすることが可能です。

スライド2.JPG

マイクロセグメンテーションのリーダー「Illumio」

企業ネットワーク内部のゼロトラストを実現するマイクロセグメンテーションの代表的なベンダーには、Illumio社があります。従来型のネットワーク機器やハイパーバイザーを用いたセグメンテーション技術とは異なり、環境非依存のホストベースのゼロトラストセグメンテーション技術を提供します。ホストに専用のエージェントをインストールすることで、企業の既存環境に左右されず、サーバー、エンドポイント、コンテナ、クラウドなどあらゆるハイブリッド環境の通信を可視化・セグメンテーションすることができます。

スライド3.JPG

4. EDR回避攻撃への対策 「NDR」

続いて検討すべきはEDRだけに依存しない、別の検知技術の検討です。昨今のランサムウェア攻撃の特徴でも述べた通り、EDRを無効化するような攻撃や、EDRを導入した箇所を回避するようなEDR対策が攻撃者側で浸透しつつあります。そこで、再度注目されている検知技術が"NDR(Network Detection and Response)"です。NDRは、その名の通り企業内を流れるトラフィック・通信に基づいて脅威を検知することができるため、ネットワーク全体を広く検知対象にすることが可能です。EDRでは検知が難しい、エージェントがインストールできない箇所など、隅々まで検知対象を拡張することが可能となります。

スライド4.JPG

NDRのリーダー 「Vectra AI」

NDRを提供する代表的なベンダーに、Vectra AI社があります。先進的なAI技術を活用したNDRソリューションのリーダー企業で、企業内部を流れるトラフィックを専用のアプライアンスを導入し、リアルタイムに解析することで、EDRでは検知対象にできなかった個所も幅広く検知することが可能となります。

スライド5.JPG

5. まとめ

本記事では、巧妙化する昨今の新しいランサムウェア攻撃に対して、多面的なアプローチが重要であることをご紹介しました。中でも、ラテラルムーブメントの抑止に有効なマイクロセグメンテーション、EDR回避型の攻撃にはNDRのような新しい検知技術について、それぞれご理解いただけたかと思います。弊社では、ランサムウェア対策に有効なセキュリティ対策を昨今の攻撃傾向を踏まえて、点ではなく面でトータルにご提案いたしますので、是非一度お気軽にお問合せください。

スライド6.JPG

【関連資料:illumio】リスクの「存在」ではなく「本質」を理解せよ

ゼロトラスト提唱者が語る、セグメンテーションを軸とするサイバー攻撃対策をご紹介します。

ホワイトペーパーのDLはこちら1.png

【関連資料:Vectra AI】EDR導入で十分と言えない3つの理由と対策法
~EDR×NDRで実現する網羅的な内部脅威対策~

エンドポイントの保護に重きを置くEDRだけでは対応しきれない攻撃への有効な対策方法をご紹介します。

ホワイトペーパーのDLはこちら1.png

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ