辻 伸弘氏×国産ベンダー6社 座談会セキュリティの脅威に
Made in Japanで挑む【後編】

辻 伸弘氏と国産ベンダー6社がサイバーセキュリティについて語る企画の最終回。今回は前回に続き各社が向き合ってきた、自社製品に関連する脅威とその対策についてご紹介します。

緊急度に応じた優先順位
脆弱性対策にも必要なトリアージ

年間4万件以上発覚するソフトウェアの脆弱性

辻氏
フューチャー社の製品は、他社の製品とは少し毛色が違い、「脅威発生の手前」をフォローする製品のように思っていますが、いかがでしょうか？

フューチャー 神戸氏
そうですね。私どもが提供している「FutureVuls」は、WindowsやLinuxベースのパッケージ製品の脆弱性や、オープンソース系のWebアプリケーションの裏側で使われている、依存ライブラリの脆弱性を検知して管理するWebサービスです。ソフトウェアの脆弱性は年間で4万件以上発覚します。大企業のサーバー環境は、数千台、数万台規模ですから、その上で動く膨大な数のソフトウェアに対して、年間4万件以上発覚する脆弱性への対応が、膨大な作業量となって押し寄せます。公表された脆弱性に該当するソフトウェアが、どのサーバーで動いているのかを把握し、日々、影響範囲をチェックしなければなりません。しかし、人間の手で対応できる量には限界があり、多くの企業・組織で対応が追いつかなくなっています。

そんな企業・組織を震撼させたのが、2021年12月に公開された「Log4Shell」と呼ばれる脆弱性です。このネットワーク越しに内部のサーバー上で任意のコードを実行できる脆弱性を放置すれば、たとえばランサムウェアに感染して情報が漏洩するだけでなく、感染したサーバーを踏み台にして次々と別のサーバーに侵入される可能性もあります。公表されたタイミングで脆弱性対策に取り組まれた企業・組織の多くが、Microsoft Excelなどによる手作業の管理に限界があると気づかれたようで、その時期に当社へのお問い合わせが急増しました。

優先度を決める参考にSSVCの評価手法

辻氏
フューチャー社の「FutureVuls」は、攻撃者によって実際に悪用されたことが確認されているセキュリティ上の脆弱性リスト、KEV（Known Exploited Vulnerabilities catalog）に掲載されている脆弱性かどうかで指標を出されていますよね。私もKEVは活用するべきだと思っていますが、近年のように脆弱性の悪用サイクルが速いと、それだけでは間に合わないように感じています。KEVに代わる、もっといい方法はないでしょうか？災害等で負傷者をケアする際に、緊急度に応じて優先順位をつけるトリアージのように、脆弱性もさまざまなソースから情報を確認して、対応の優先順位をつけることが重要だと思っています。

フューチャー 神戸氏
CSIRT（Computer Security Incident Response Team）のコミュニティが運営する非営利団体FIRST（The Forum of Incident Response and Security Teams）が管理する、EPSS（Exploit Prediction Scoring System）というシステムが公開されています。EPSSは悪用される確率を算出しますが、その計算ロジックは公開されていません。しかし、30日以内に攻撃される可能性を示唆する情報として、ぜひ一度確認することをお勧めします。

辻氏
EPSSは実用に耐え得ると思いますか？

フューチャー 神戸氏
EPSSはあくまで確率であるので、実際には攻撃に使われない可能性も考慮する必要があり、自動トリアージ機能の判断指標として利用するにはまだ課題があります。私どもが現状、自動トリアージの指標として利用しているのは、KEVのようなすでに悪用の事実が確認された情報です。

辻氏
ユーザーが最低限やるべきことは、CVSS（Common Vulnerability Scoring System）の数値（危険度）が高い脆弱性や、マイクロソフト社が公開している緊急度、それらが実際に悪用されているかどうかを確認する。そして、最低でも2週間以内、できれば1週間以内にパッチを適用する運用を実施して、余力があれば、EPSSを参考にするというのが現実的と考えたらいいでしょうか？

フューチャー 神戸氏
そうですね。EPSSは、参考情報として積極的に活用すべきだと考えます。

辻氏
ただ、実際には人的リソース不足など、さまざまな要因で対処できないユーザーが多いですよね。そういったユーザーにはどのようなアドバイスをしますか？

フューチャー 神戸氏
現在、CVSS全体の約半数が、重要性高いスコア7以上の状況です。例えば、Linuxの脆弱性をスキャンした結果が1,000件だとすると、その半数にあたる500件に対応することになります。短期間にそれだけの数をこなせば、そもそも運用が回らなくなると予想されますから、やはりトリアージが欠かせません。

そこでKEVやEPSS以外にお勧めするのが、資産の重要性と悪用されるリスクなどを考慮して脆弱性対応の優先度づけをサポートしてくれる米国のCISA（サイバーセキュリティ・インフラセキュリティ庁）などが推進するSSVC（Stakeholder-Specific Vulnerability Categorization）という評価手法です。FutureVulsを活用すれば、これら評価手法を組み合わせることで、対応する優先度が高い脆弱性を、全体の3％くらいまで自動で絞り込むことが可能です。50％は無理でも、3％であれば対応できると感じられるようです。

辻氏
徹底的に脆弱性対策を行っても、クライアントPCで侵入を止める製品は必要だと思いますか？

フューチャー 神戸氏
必要です。当社のFutureVulsは、修正プログラムがリリースされている『既知の脆弱性』に対して、効率的かつ網羅的な対策を可能にします。一方で、まだ修正プログラムが存在しない『ゼロデイ脆弱性』には、侵入を検知・防御するエンドポイントセキュリティ製品などと組み合わせることで、より強固なセキュリティ体制を構築できます。

約2万件のサンプルから判明
大半がLiving off the land攻撃

偽装工作で攻撃の発見を遅らせる

Blue Planet-works 鴫原氏
当社の「AppGuard」は、エンドポイントセキュリティにカテゴライズされる製品のため、対峙しているのは端末やサーバーまで到達した脅威です。私どもは、製品の有効性検証の過程で「AppGuard」を利用されているお客様が実際に受けた攻撃ログ約2万件をサンプル抽出して確認していますが、昨年は6～7割がLiving off the land攻撃だったと思われます。

辻氏
正規のバイナリを利用した攻撃ですね。

Blue Planet-works 鴫原氏
はい。侵入した環境の機能を利用した攻撃で、正規の用途との区別が難しく発見しづらいのが特徴です。サイバー攻撃は、必ずしも「不正な手法」や「不正なツール」が使用されるとは限りません。以前のように不正なプログラムをダイレクトに送ってくるような攻撃よりも、PowerShellなどを活用したスクリプトを作成して攻撃に利用するパターンが増えています。最近の傾向として、Windows OSのローカル検索の拡張機能、search-msプロトコルを悪用する珍しい攻撃も確認しています。攻撃の最初のプロセスにはメールが使われることが多く、メールに添付されたファイルをダブルクリックすると、search-msプロトコルを呼び出すコードが実行され、エクスプローラーが立ち上がります。エクスプローラーが表示されるのでローカル環境と勘違いする方が多いのですが、実はこのとき表示されている場所は、攻撃者が用意したWebDAVサーバーです。そこにはPDFファイルに偽装した悪意あるショートカットファイルが置かれており、ローカル環境だと思って安心してダブルクリックすると攻撃が発動してしまいます。

辻氏
ショートカットファイルが置かれた場所を気にしない人は多いと思います。

Blue Planet-works 鴫原氏
このところショートカットファイルを使う攻撃が非常に増えていますので、警戒していただきたいですね。もう一つは、正規の実行ファイルを使って悪意あるDLLファイルを読み込むDLLサイドローディングです。Microsoft OneDriveの正規の実行ファイルが攻撃の起点になっているのを見たときはびっくりしました。ファイル名は別の名前に変えられていましたが、マイクロソフトの正規の署名がついているためセキュリティツールは反応しません。

辻氏
そのファイル自体には何の害もないんですか？

Blue Planet-works 鴫原氏
ありません。正真正銘本物のMicrosoft OneDriveで利用されている正規の実行ファイルです。ただし、送られてきた圧縮ファイルには複数のDLLファイルが含まれていて、Microsoft OneDriveで実際に利用されている本物のDLLの中に一つだけ署名がついていないDLLファイルが置かれていました。これは、この正規の実行ファイルを起動すると同じフォルダ内のDLLファイルを順番に読み込んでいき、攻撃者が仕込んだ悪意あるDLLファイルも自動的に読み込まれるというインジェクション攻撃です。ログを見ても怪しまれないように悪意あるDLLファイルもOneDrive○○みたいにそれっぽい名前になっていました。ログで文字列だけを見ると、Microsoft OneDriveの関連ファイルにしか見えません。このように監視を欺いて発見を遅らせる偽装工作のテクニックを使った攻撃が増えているのも最近の傾向です。特に、マイクロソフト社やアドビ社の正規ファイルを利用した攻撃が多いということは意識していただきたいと思います。親プロセスにマイクロソフトなどの正規ファイルを利用することで、この後に呼び出される子プロセスは無視してもいいと思わせることが目的なのかもしれません。

辻氏
めちゃくちゃ高度なテクニックというより、人の目をだます、判断を鈍らせるタイプが多くなってきている印象ですか？

Blue Planet-works 鴫原氏
そうですね。ログが取られていることを前提として、それをチェックするオペレーターの目をいかに欺くかを意識しているように感じます。

辻氏
人の目を欺くといえば、ファイルとかフォルダ名が正規の名称よりスペースが1個多いといった理由で見逃してしまうというのはよく聞きます。やはり必要なのは、人に当てるパッチかもしれません。

攻撃者と内部の犯行、
両方に対応できるSKYSEA

注目度が高まるEDRを無効化する攻撃

Ｓｋｙ 小池
SKYSEA Client Viewには多くの機能を搭載していますが、マルウェアの侵入を防御する機能はありません。そのため、弊社は専門機関として最新の脅威動向を把握しているわけではなく、今回お集まりいただいた各社とは視点が少し異なります。

私は営業として愛知県を担当していることもあり、自動車業界のお客様と接点を持たせていただく機会が多いのですが、このところよく伺うのは、さまざまなセキュリティツールの稼働状況をSKYSEA Client Viewで統合的に確認できないかというお声です。特に、EDRやNGAVが正常に稼働しているか、ログがクラウドに上がるプロセスが止まっていないかを確認したいというご要望が多いと感じています。このようなご要望をいただく背景にあるのは、EDRの動きを止める攻撃の存在です。

また、サイバー攻撃の脅威ではありませんが、退職者による情報の持ち出しが増えていることから、退職予定者のログの確認強化だけでなく、操作ログから退職しそうな人を探し出せないかというご相談もいただくようになりました。辞めそうな前兆をログから見つけたいというご要望ですね。

監視アプリ登録で異常を受動的にキャッチ

辻氏
SKYSEA Client Viewって、ユーザーによって導入する主目的が違う製品だと思っています。EDRやNGAVの死活監視であれば外部脅威ですし、退職者なら内部脅威ですよね。これらに対して、コンテンツフィルターであれば攻撃者が外部にファイルを持ち出すのを制御できますが、外部への情報持ち出しに関してSKYSEA Client Viewでは、どのような対応が可能ですか？

Ｓｋｙ 小池
やはりログデータの活用です。持ち出しが禁止されているデータをコピーしてUSBメモリに保存したなど、PCで行った操作がすべて記録されています。指定したフォルダへのアクセスをアラートに設定したり、禁止することも可能です。攻撃者と内部の犯行、外的・内的両方に対応できるのが、SKYSEA Client Viewの特長の一つだと思います。

辻氏
先ほどEDRを無効化する攻撃のお話がありましたが、お客様からのEDRの死活監視ニーズはかなり増えていますか？

Ｓｋｙ 小池
このところ急に増えたと感じています。EDRを無効化する攻撃が増えたというより、注目度の高さからではないでしょうか。また、数年前に比べ、導入しているシステムが増加して、個別の確認が煩雑になっている状況もお問い合わせが増えた要因だと考えています。

辻氏
EDR自体にサービスを管理するマネージドコンソールがあるにもかかわらず、SKYSEA Client Viewで死活監視するメリットは何ですか？

Ｓｋｙ 小池
監視するアプリケーションを設定しておくことで、異常発生時に管理コンソールにアラートが表示されるだけでなく、あらかじめ設定したメールアドレスにアラート通知を送ることも可能です。受動的に異常に気づけることは、お忙しい情報システム部門の方にとって大事なポイントになっていると思います。

辻氏
確かに、使い慣れたSKYSEA Client Viewで統合管理できれば、わかりやすくなりそうですね。

ここ数年、私が意識していることはサイバーセキュリティというものの現在のフェーズです。私がサイバーセキュリティというものを仕事にしたいと朧気ながらに思い始めた2000年初頭までは、インシデントと呼べるものはあったものの、それに直面するのは一部の限られた人だったように記憶しています。それから業務に大きく影響を与えるものとなり、スマートフォンの普及により多くの人を巻き込むものとなりました。そして、今では事業継続、ひいては国家安全保障の柱の一つといっても過言ではないと感じています。詳しい人が何となくやってくれているので任せている。楽しいから趣味の延長で取り組んでいる。そういった時代はとっくに終わっています。

今回の座談会記事では「国産」という切り口でお話ししてきました。「国産」というだけでは優れていることの証明にはなりません。皆さんの環境に合う合わないもあり、性能面においても一長一短もあるでしょう。しかし、逆をいうとそれはほかに負けているという証明にはならないと思っています。想いだけではどうにもなりませんが、それはきっと製品やサービスに反映されます。私はこの座談会での6人の方々とのコミュニケーションを通じてあらためてそう感じました。同時に直接的ではなくとも、現状とその課題に一緒に悩み、解決する一助になりたいとも感じました。その「一緒」にはこの記事をお読みいただいている皆さんも含まれています。

サイバーセキュリティは全員が登場人物です。どこにいても、どんな仕事をしていても、平穏な日常を送っていても切っても切れないのですから「私たちの私たちによる私たちのためのサイバーセキュリティ」をつくっていきましょう。それは、「Made in Japan」であるはずですし、そうであるべきです。

連載一覧