IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2022」で1位となるなど、ランサムウェアによる攻撃が猛威を奮っています。
警察庁の発表では令和4年上半期のみでランサムウェアによる被害件数は114件にものぼり、実際に大手自動車部品メーカーやアパレル企業などがランサムウェアによる攻撃を受け、業務が停止するなどの被害が出ています。
対応策として多くのベンダーから脆弱性診断などのサービスが提供されており、これらを利用して対策に取り組む企業も増えています。しかしながら、一見十分に見える対策を実施していても、ランサムウェアによる被害にあってしまったケースも存在します。
本稿では大阪急性期・総合医療センターの事例をもとにランサムウェア対策で見逃されがちなポイントを解説いたします。
ランサムウェア/Emotetとは
ランサムウェアとはRansom(身代金)とSoftware(ソフトウェア)を掛け合わせた造語で、感染したサーバー/PCに特定の制限をかけ、その制限の解除と引き換えに金銭を要求するマルウェアです。感染事例が多いEmotetはランサムウェアの媒介となるマルウェアを指します。多くのケースでははじめに端末やサーバーがEmotetに感染し、そのEmotetがLAN内の様々なサーバーに感染を広げたのち、ランサムウェアが特定のサーバーに制限をかけるという形で被害に合っています。
ランサムウェアの感染経路としてはメールが多く、攻撃者は下記例のような手順を踏んで攻撃を仕掛けてきます。
- 電子メールを大量に入手
- 入手した実際のメールに対して返信を装い添付ファイルを送信
- 添付ファイルをダウンロードしたユーザーの端末に感染させる
- ネットワーク内の他のデバイスに自ら感染して組織内部で被害を広げる
- Emotetを介してランサムウェアに感染させる
- ランサムウェアによってEmotetの痕跡を消す
メール以外のケースでは、2020年頃より、「VPN機器からの侵入」が最多で41件(54%)、「リモートデスクトップからの侵入」が15件(20%)、「不審メールやその添付ファイル」5件(7%)と感染経路が多様化しており、メールセキュリティに加えてVPNの脆弱性対策が急務となっています。
VPNに潜むリスク
攻撃に悪用されるVPN装置の脆弱性の一例として、Fortinet社製FortiOSのSSL VPN機能の脆弱性 (CVE-2018-13379) が挙げられます。(出展:https://www.jpcert.or.jp/newsflash/2020112701.html)脆弱性自体はすでにセキュリティパッチが公開されていますが、セキュリティパッチを当て忘れる、バージョンアップを実施していないなどの古い機器を狙って、この脆弱性をついた攻撃は未だ猛威を奮っています。
この脆弱性は第三者が任意のファイルを読み取れるようになるものであり、VPN接続を行うユーザ名やパスワードの情報を含むファイルを窃取することが可能です。
大阪急性期・総合医療センターの事例からみる対策の落とし穴
実際にVPNの脆弱性を狙われランサムウェアの被害にあった事例としては大阪急性期・総合医療センターが挙げられます。大阪急性期・総合医療センターは2022年10月にランサムウェア攻撃を受け、電子カルテシステムなどのデータが暗号化されました。しかし、この事例の特殊性は大阪急性期・総合医療センターが保有しているVPN装置ではなく、栄養給食管理サーバーへのアクセス権をもっていた取引先A社のVPN装置が狙われ、そこから感染が広がった点にあります。
病院側はこの取引先には栄養給食管理サーバーへのアクセス権しか与えておらず、電子カルテシステムなどへ感染が広がることは想定外でしたが、取引先A社に侵入した攻撃者がネットワーク内で脆弱性がある端末を探して乗っ取ったり、侵害したアカウントより大きな権限をもつアカウントに権限昇格をさせたりすることによって攻撃を受ける範囲が広がってしまいました。
企業をまたぐアクセスを保護するHENNGE Connect
こうした攻撃を防ぐためには取引先も含めた脆弱性の診断が必要ですが、取引先のネットワーク機器の設定まで管理するのは事実上難しく、対策が進んでいないのが現状です。
このような取引先にまたがるセキュリティリスクを軽減するのはHENNGEが提供するHENNGE Connectです。HENNGE ConnectはSaaS認証基盤であるHENNGE Access Controlと連携してオンプレミスシステムへのアクセスを可能にするVPNの代替ソリューションであり、HENNGE Access Controlで提供されている証明書やHENNGE Lockアプリなどの多要素認証を使用することができます。クラウド経由で提供されるためバージョンアップなどが不要で、アクセス権限もWebサーバーごとに絞ることができる点が特徴です。
HENNGE Connectを利用することで取引先から自社サーバーへアクセスさせる際のリスクを大幅に低減することができるでしょう。
まとめ
企業間での情報システムの利用は業務効率を向上させる一方で双方での徹底したセキュリティ対策が必須となりますが、実際には情報セキュリティ人材の不足からそこまで手が回らないというケースも多いのではないでしょうか。
このようなケースに、クラウドを利用した管理コストが低いリモートアクセスのソリューションとしてHENNGE Connectの導入を検討してみてはいかがでしょうか。
