FutureVulsは、世界トップクラスのセキュリティ専門家が集う国際会議「CODE BLUE 2024」に出展し、ランサムウェアや脆弱性対策について講演しました。フューチャーはセカンドスポンサーとして協賛し、サイバー攻撃への備えやインシデント対応の重要性を紹介しています。
本記事では、講演の第二部「【ランサムウェアへの効果的な対策と脆弱性への対応】」の動画・スライド・解説をまとめました。
なお、第一部「【今やるべきBCP対策・事前対策の理想と現実】」では、EDR/NDRの導入やバックアップが本当の対策なのかなどを取り上げています。
YouTube動画はこちらです。
以下、スライドと解説です。
フューチャーの神戸と申します。
GITHUBで1万スターを超えるオープンソース脆弱性を作った“バルスの人”として活動しています。
本日は「ランサムウェアと脆弱性管理」をテーマにお話をさせていただきます。
皆さんご存じのとおり、ランサムウェアは年々増加傾向にあります。最近では企業や組織のサーバー環境が狙われやすく、被害件数が拡大し続けています。
国内外ともに、ランサムウェアの侵入経路として“脆弱性の悪用”が突出して多いというデータがあります。もちろん他にも、フィッシングやパスワード推測、メール経由など多岐にわたりますが、中でも脆弱性を狙った攻撃が一番多いというのが現状です。
ランサムウェアの攻撃には大きく以下のような段階があります。
これら全ての段階で脆弱性が悪用される可能性があります。初期侵入だけでなく、社内システムへの横移動や権限昇格、さらにファイル暗号化の際にも“古い脆弱性”が突かれるケースが多く、油断は禁物です。
「ランサムウェアグループは常に最新・最先端のゼロデイ攻撃を仕掛けてくる」と思われがちですが、実は既知の古い脆弱性も多用されています。
IBMのレポートによれば、ゼロデイ攻撃は減少傾向にあり、攻撃者はより古い脆弱性や弱い認証を悪用する傾向が強まっているとのことです。
たとえば、ハニーポットサービス「シャドーサーバー」のデータを分析すると、2018年や2021年のCVEが大量に攻撃に利用されているというトラフィックが実際に観測されています。さらに調査すると、2022年以前の脆弱性が48.5%と約半数を占める結果になりました。
“古い脆弱性”でも放置すればリスクはなくならない──ここが大きなポイントです。
具体的にどのような脆弱性が利用されているかを調べるには、アメリカのCISAが提供している「ストップランサムウェア」等の情報が参考になります。各ランサムウェアグループがどの脆弱性を利用するかがまとめられており、脆弱性の再利用度の高さがわかります。
たとえば、CISA-KEVカタログに掲載されている脆弱性の約19.8%がランサムウェアキャンペーンで悪用されているというレポートもあります。
こうした状況から、各グループの対策ページを見ると、
など、“脆弱性管理”はすべての対策の大前提として挙げられています。
CISAの2023年レポートでは、「脆弱性が公開されてから2年以内に悪用されるケースが最も多い」というデータも示されています。
“家の玄関の鍵が壊れたまま放置すれば”どんなに最新の警備システムを導入していても侵入される──これが脆弱性管理の重要性に例えられるわけです。
ランサムウェア対策における脆弱性管理の重要性はご理解いただけたと思いますが、実際には「どう管理するのか」が課題です。
この自動化を実現するためのクラウドサービスが、次にご紹介するFutureVulsです。
FutureVulsはクラウドベースの脆弱性管理サービスです。企業内に多数存在するWindowsやLinux、ネットワーク機器、OSSソフトウェアなどの構成情報を自動収集し、クラウド側で脆弱性情報や脅威情報とマッチングして脆弱性を特定します。
これにより、少人数でも効率的に脆弱性管理を回すことが可能になります。
FutureVulsには、リスクの三要素(脆弱性・脅威・影響)を総合的に判断するトリアージ手法である「SSVC(Stakeholder-Specific Vulnerability Categorization)」が実装されています。
これらを“決定木”で自動評価し、「Immediate」「Out of Cycle」「Scheduled」「Deferred」の4段階で優先度を振り分けます。
結果的に本当に対応が必要な1.5%程度まで脆弱性を絞り込めるケースがあり、運用担当者に大きなメリットがあります。
FutureVulsのSSVC機能の詳細は公式ページを参照してください。
FutureVulsにはランサムウェア対策として、ランサムウェアキャンペーンで悪用されている脆弱性を一括フィルタリングする機能があります。
ランサムウェア被害の多くは初期侵入後の横移動や昇格でも脆弱性が用いられるため、内部資産の管理にも有効です。
機能の詳細は公式ページを参照してください。
FutureVulsでは、Nessus/ASM/診断結果/Nmap/Qualys等の外部スキャン結果をインポートできます。
インポート後は、内部スキャン結果と合わせて一元管理できるため、
というように、画面上で組み合わせてリスクを可視化し、どの部署・どのサーバ・どのバージョンに影響があるのかを容易に特定できます。
機能の詳細は公式ページを参照してください。
EPSS(Exploit Prediction Scoring System)は、今後30日以内に脆弱性が悪用される可能性を確率値で示す指標です。
FutureVulsでは、SSVCの結果で漏れてしまった脆弱性や、まだCISA-KEVに掲載されていないような新しい脆弱性でも、EPSSスコアを基準に再度ソートやフィルタリングを行い、攻撃される前に優先的に対応することを促すことが可能です。
ソフトウェア横断検索機能を使うと、全社の資産に含まれるソフトウェアやバージョンを一括検索できます。
たとえば「fortinet」と入力すれば、どの部署のどのFortiGateがどのFortiOSバージョンなのかが瞬時にわかり、ニュースで話題になったタイミングでも即座に影響範囲を確認できます。
機能の詳細は公式ページを参照してください。
脆弱性管理を強化することで、ランサムウェアなどのサイバー攻撃リスクを大幅に低減できます。最新の防犯システムを導入するだけでなく、“壊れた窓・壊れたドア”を放置しないことが重要です。ぜひ一度、FutureVulsの導入を検討してみてください。
ランサムウェア対策にお困りの方は、ぜひ一度FutureVulsからお問い合わせください。