対岸の火事ではない「ロシアからのサイバー攻撃」に対して知っておかなければならない7つのポイント

2022年2月24日にロシアによるウクライナ侵攻が開始されたことを受けて、アメリカやEU諸国は国際銀行間通信協会(SWIFT)からロシアの銀行を排除する決定を含めた強力な経済制裁に踏み切りました。これに伴って予想される、ロシアからの報復的なサイバー攻撃から身を守る方法について、専門家が解説しています。

7 Steps to Take Right Now to Prepare for Cyberattacks by Russia
https://www.darkreading.com/threat-intelligence/7-steps-to-take-right-now-to-prepare-for-cyberattacks-by-russia

ウクライナの特別通信情報保護局は2月24日に、政府関連のウェブサイトや銀行が大規模なサイバー攻撃を受けていると発表しました。過去には、ウクライナを標的にしたマルウェアの被害が世界中に拡散したこともあるため、ウクライナとは直接関係がない組織でもロシアによるハッキングとは無縁ではないと専門家は指摘しています。

ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 - GIGAZINE

サイバーセキュリティ関連のニュースサイト・Dark Readingは、今回のウクライナ侵攻に伴って懸念されるサイバー攻撃について専門家に取材した結果を、次の7つのポイントにまとめました。

◆1.誰もが同じリスクに直面するわけではない
セキュリティ会社であるSophosの主任研究員のチェスター・ウィスニウスキー氏によると、ロシアのサイバー攻撃に対するリスクは組織によって異なるとのこと。特に、ウクライナでビジネスをしている企業は最悪の事態を想定し、クレデンシャルの不正使用の監視やバックアッププランの準備を含めたあらゆるセキュリティを最新の状態にする必要があります。

ポーランド・ルーマニア・エストニア・ラトビア・リトアニア・モルドバなど、ウクライナ周辺の地域でも同様とのこと。例えば、ウィスニウスキー氏は2022年2月24日に、Hermetic Wiperと呼ばれるウクライナ企業を標的にしたマルウェアが、ラトビアやリトアニアにも被害を与えたことを確認しました。

また、これらの地域とは関係ない組織でも、西側諸国やロシアの敵に被害を与えようとするロシアのサイバー攻撃の標的となるリスクが高まっているとのこと。なお、日本もロシアに対する経済制裁に参加しています。

◆2.攻撃対象を最小化すること
セキュリティプラットフォームを提供しているBlumiraの共同設立者兼最高技術責任者(CTO)のマシュー・ワーナー氏は、IoTデバイス特化型の検索エンジン「Censys Search」や「Shodan Search Engine」を使ってセキュリティ体制をチェックしたり、システムモニターの「Sysmon」を導入したりして、攻撃にさらされるリスクを低減させる対策を講じる必要があると述べています。

国家レベルのマルウェアを直接発見することは非常に困難ですが、ほとんどの場合マルウェアは何らかの形で通信を行うため、送信トラフィックの監視でコマンド＆コントロールの兆候を関知できる可能性があるとのことです。

◆3.基本的な対策を怠らないこと
前述のワーナー氏によると、APT攻撃をはじめとするロシアの標的型攻撃が使う手口は、脅威度が高い他のサイバー犯罪組織とよく似ているとのこと。また、ウクライナで報告されたサイバー攻撃は、以前標的にされたことがあるシステムを対象とすることが多い点も重要です。

こうしたロシアのサイバー攻撃の特徴から、ワーナー氏は「特別な対策を求める人にとっては少し残念なことに、最新パッチの適用や多要素認証の使用など、ロシアからのハッキング対策についてのアドバイスは普通のアドバイスと同じです」と述べて、基本的なセキュリティ対策の重要性を強調しました。

近年はランサムウェアの脅威が高まっているため、通常の対策の中でも、特にバックアップの必要性が高まっています。また、専門家はルーターのソフトウェアを更新したり、パスワードをより安全なものに設定したり、管理者インターフェースが外部から見えないようになっているかどうかを確認することなどをアドバイスしました。

◆4.B2BのVPN接続に注意する
前述のとおり、ウクライナ以外の地域の組織にとっては、ウクライナを狙ったサイバー攻撃の巻き添えになることが最も大きなリスクです。ウクライナを狙った攻撃が波及する経路について、ITセキュリティ教育を手がけるSANS Instituteのジョン・ペスカトール氏は「最も可能性が高いのは、ファイアウォールルールなどのセキュリティコントロールによってフィルタリングされていないB2BのVPN接続です」と述べて、企業間のネットワークが特に危険だとの見方を示しました。

ペスカトール氏によると、B2BのVPNでの危険性を低減するには、リスクが高いプロトコルを全てブロックするのが最善とのこと。事業の性質によりブロックをするわけにはいかない場合は、リスクが高いプロトコルのトラフィックの送信先を制限するのも視野に入ります。同氏はまた、VPNの全ての出口ポイントをNetFlowで監視し、何かあったときにすぐに切断できるようにしておくことも推奨しています。

こうした対策をまとめて、ペスカトール氏は「最低でも既知の危険なプロトコルがブロックされていることを確認すべきでしょう。さらに踏み込んで、必要最低限のポートやプロトコル、アプリケーションのみが許可されるようになっているのが理想的です」と述べました。

◆5.組織内部でのコミュニケーション体制を整える
サイバー攻撃は、フィッシング詐欺などソーシャルエンジニアリング攻撃が糸口になることが多いとされています。そのためワーナー氏は「全ての従業員に対して、より注意深く行動し、疑わしいメールやファイルを見つけたらすぐに報告するよう通知してください」と話しました。

また、落とし穴となりがちなのが、ロシアを批判するSNSの書き込みなど、政治的にセンシティブな話題に関するつながりやコミュニティが標的選びに使われることです。プライバシーインシデント管理プラットフォームを手がけるBreachRxは、ロシアへの制裁に際して発生するサイバー攻撃への対策について、「事業の内容ではなく見方がターゲットになる可能性があります。また、悪意のある内部者がセキュリティ問題を引き起こす可能性もあるため、内部の人間によるリスクへの対策も検討しておくべきです」と述べています。

◆6.新しいものの導入やシステムの変更には慎重になること
ペスカトール氏は、「IT部門は変更を最小限にとどめ、新しいソフトウェアや実行ファイル、新しいアカウントや高い権限を持つアカウントなどを全て調査する必要があります」と述べています。とりわけ、特権アカウントの認証を増やしたり、変更管理や変更監視を強化したりするのが推奨されるとのこと。

◆7.情報共有組織への加入を検討すること
特定のセクターや業界に属する企業や組織は、セキュリティに関する情報を共有および分析する組織である情報共有分析センター(ISAC)を立ち上げて、組織を横断した取り組みを行っています。リスクマネジメントに関するサービスを展開しているABS Groupは、国際的な緊張の高まりを受けて、「石油・天然ガス・電力分野の企業は、これらの重要なインフラを絶つことを目的とした攻撃のリスクが高まっています」と述べて、サイバー攻撃の可能性が高い組織に対してISACへの加入を推奨しました。

また、Dark Readingはインフラ関連企業以外の組織についても、「多くの組織は、まさか自分たちがロシアのサイバー攻撃を受けるとは思っていないことでしょう。しかし、仮に標的でないことが事実だとしても、親ロシアのサイバー犯罪組織による日和見的な攻撃に巻き込まれたり、無差別な攻撃の巻き添えになったりする可能性は依然として高いと言えます」と述べて、あらゆる組織が対策を怠るべきではないとの見方を示しました。