セキュリティの
学び場

今回の解説ニュース

テレビアニメの製作会社が受けた不正アクセスについて、ランサムウェアの被害によるものであったことが発表されています。放映スケジュールに影響を及ぼす被害が発生したインシデントの内容と、その対策について説明します。

今回のインシデントは、第三者による不正アクセスにより、社内サーバやパソコン端末の一部のデータがランサムウェアに感染し暗号化されたことで、1ヶ月程度の間、通常業務及び作品製作の一部に遅延等が発生したということです。原因として、従業員が業務上必要なソフトウェアを外部Webサイトからダウンロードした際に、ランサムウェアの侵入の起点となるソフトウェアが同時にダウンロードされるよう当該サイトが改ざんされていたことが挙げられています。

対策として、不正アクセスを確認後に、社内システムの一部を停止し、外部からのアクセス制限などの対応を行うとともに、外部のセキュリティ専門会社を交え、必要な対策と調査を行っています。また、再発防止策として、従業員への情報セキュリティに関する知識向上に向けた教育と不正アクセスへの対応体制の強化などを行うということです。

対策をしても侵入された原因はどこにあるのか

一般的なセキュリティ対策をしていても、外部から社内ネットワークへ侵入される原因の一つとして、インターネットへ向けたアウトバウンドの通信が悪用された可能性があります。今回のインシデントは詳細について公表されていませんので、あくまでも一般論として説明します。

皆さんも自宅にインターネット回線を引かれている場合、おそらく、壁際にルータが設置されていて、WANやLANと書かれたポートに、それぞれケーブルが接続されているのではないでしょうか。ルータで特別な設定をしていない限り、LANからWANの方向にのみ通信を行うことができて、WANからLANの方向には通信を行うことができません。つまり、パソコンをLAN側に接続している限り、WAN側のインターネットから攻撃を受けることはありません。これが、社内ネットワークにおけるセキュリティの基本的な考え方です。

ここで発想を変えてみます。逆に、LANからWANの方向への通信は常に行うことができるため、攻撃者はこの通信を悪用できないか試みます。具体的には、何らかの方法でパソコンをマルウェアに感染させ、パソコン上で動くマルウェアからインターネットへの通信を発生させようとします。パソコン上のマルウェアはLAN側に存在しているため、マルウェアのシステムが設置されているインターネットのWAN側へ、すべての通信を行うことができるわけです。

わかりやすさを優先して技術的な説明を省きましたが、これらが、守られているはずの社内ネットワークがサイバー攻撃を受けてしまう原因の正体です。

社内ネットワーク内のPCがマルウェア感染、被害を拡大させない為には

社内ネットワークのパソコンがマルウェアに感染しても被害を拡大させないための対策として、インターネットへ向けたアウトバウンドの通信を必要最小限に制限することが有効です。また、エンドポイントのセキュリティ対策も合わせて行うことが求められます。

先ほどご説明した通り、感染したマルウェアはインターネットへ通信を行い、さらにその感染を広げようとします。今回のインシデントでも「ランサムウェアの侵入の起点となるソフトウェアが同時にダウンロード」されたことについて触れられています。最初は無害なソフトウェアを装っていても、その後に外部からマルウェアの本体がダウンロードされることがあり、現在も猛威を振るっているEmotetも同様の挙動を行うことが確認されています。

出口対策として、インターネットへ向けたアウトバウンドの通信を必要最小限に制限することが有効です。皆さんがいつも使っているのは、ほとんどがWebに関連した通信ではないでしょうか？そうであれば、アウトバウンドの通信をHTTPSに限定しておけば、マルウェアが被害を広げようとする通信を遮断できるかもしれません。

もちろん、攻撃者がさらに裏をかいて、マルウェアにHTTPSの通信を悪用させることは否めません。そのような状況を鑑みて、入口対策としてエンドポイントでのセキュリティ対策も併せて行うことが求められます。個別の説明は割愛しますが、具体的には、アンチウイルス、EDR、EPPなどが挙げられます。

今回は、社内ネットワークがサイバー攻撃を受ける原因と、その対策についてお届けしました。