SecurityDays 2024 「脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは」

２０２４年１０月２４日 フューチャー株式会社 株式会社ディアイティ

株式会社ディアイティ 2

株式会社ディアイティ 3

悪意 感染症 対策 ITBCP サイバー攻撃 テロ 対策 封じ込め/復旧 BCP 災害 対策 株式会社ディアイティ 可用性 ＋ 機密性・完全性 4

MITRE ATT&CKモデル 参照元；MITRE ATT&CK®フレームワーク 一部変更 IT-BCP実施 暗号化 身代金 対象 ランサム ウェア事案 情報漏洩事案 不正アクセス事案 侵入 対策 侵入前提対策 事後対応体制 侵入されない 被害を減らす／被害を限定する 封じ込め/復旧 株式会社ディアイティ 5

IT-BCP実施 暗号化 身代金 脆弱性対策 CSIRT フォレンジック ID管理 通信・サー ビス制限 EPP 通信・サービス制限 EDR・NDR 暫定対策 ステークホルダー 侵入 対策 侵入前提対策 事後対応体制 侵入されない 被害を減らす／被害を限定する 封じ込め/復旧 株式会社ディアイティ 6

株式会社ディアイティ 7

数多くのインシデント対応を経験しているチームによる本物の 攻撃と守りでEDR・NDR製品の検知力を確認したい。。。 （過去のテレビ番組「〇こ×た〇」を模してガチンコ実施） ディアイティ内参加組織 RED Team VS BLUE Team Network Design Team 株式会社ディアイティ 8

・EDRとNDRともに学習・チューニングは長期実施 ・検知できていない項目は複数あるが大人の事情で割愛 戦術 主な項目 EDRの検知結果 NDRの検知結果 初期アクセス フィッシングによるマルウェアのダウンロード ○ ○ 実行 端末内探索ツールの実行 ○ ー 防御回避 CSCコマンドの悪用 ○ ー 認証情報アクセス Mimikatzによる資格情報のダンプ ○ ー ネットワークスキャン × ○ Webアプリケーションスキャン × ○ SSH, FTP, RDPに対する認証試行 × ○ C2フレームワークを使用した情報収集 ○ × SSHポートフォワーディングを利用したスキャン △ × ビーコン通信 × ○ 攻撃ツールのファイル転送(http, curl, powershell, scp) ○ × マルウェアを利用したデータ持ち出し △ 〇 探索 水平展開 探索/水平展開 C＆C 持ち出し 〇：検知 △：条件によって検知 ×：未検知 ー ：未実施 株式会社ディアイティ 9

検出箇所で侵攻レベルを把握 暗号化 身代金 攻撃者は多様な回避方法を実践 サーバ含め幅広い導入が前提 コマンドやツールは種類限定 BitLockerの暗号化は対応不可 チューニングが重要 遮断判断がすぐにできる体制 ゆっくりスキャン回避可能 通信・サービス制限が必要 学習期間とチューニングが重要 株式会社ディアイティ 10

３．事後対応対策 株式会社ディアイティ 11

被害組織の意識 サイバー攻撃者 脅 威 ステークホルダー サイバー攻撃 被害組織 自組織事業継続 ステークホルダーの意識 サイバー攻撃者 サイバー攻撃 被害組織 脅 威 株式会社ディアイティ ステークホルダー ステークホルダー側の事業継続問題 12

責任者は謝罪会見に対応できるのか 株式会社ディアイティ 13

種類 目的 技術対策評価 マネジメント対策評価 脅威ベースペネトレー ション（TLPT） 事前対策評価・事 後対応の技術対応 力確認 突破できるか 検知、分析できるか 報告評価 CSIRTペネトレーション 事前対策評価と事 後対応全般の評価 突破できるか 検知、分析できるか ネットワーク・機器隔離 判断可能か CSIRT/関係部署/社外連絡の動き /報告書等評価 （謝罪会見シミュレーション） （By ディアイティ） ・担当者は対策事項の運用を実施しているか ・外部委託先は契約どおりの防衛や対応が可能か ・ステークホルダーが安心できる報告できるか 株式会社ディアイティ 14

株式会社ディアイティ 15

ステークホルダーが気にするのは侵入原因と情報管理 脆弱性対策 ID管理 通信・サービス制限 攻撃全行程で関係する最重要基本対策・社内脆弱性対策 権限に関係する情報管理の基本・侵入範囲限定 侵入行動限定・迅速な脅威範囲隔離・暗号化/復旧範囲限定 ・脆弱性対策ができていないとID管理をしていてもIDの奪取が可能 ・EDRは脆弱性対策とID管理が強力だと侵入者の試行錯誤が多くなり検知しやすい ・NDRは通信経路や利用範囲の限定で学習効果を発揮しやすく遮断判断がつきやすい ⇒ 侵入前提対策のEDR・NDRがより効果的な働きを実現可能 株式会社ディアイティ 16

基本対策実施は単なる〇ではなく、運用含めた強固な〇にする 脆弱性対策 脆弱性管理システム ペネトレーション ID管理 IDアセスメント ID管理システム 通信・サービス制限 FW/Switch/EPポリシー設定 ログチェック 株式会社ディアイティ 17

脅威となるサイバー攻撃・ランサムウェアに 備える脆弱性対策とは ～ 事業継続に不可欠な「事前対策と事後対応」～ フューチャー株式会社 18

サイバー攻撃のターゲット ✓ ランサムウェア攻撃では幅広い業界がターゲットとなっている ✓ 大企業だけでなく、中小企業も攻撃の対象で、被害の約半数が中小企業 ✓ 閉域網がネットワークつながったり、リモートワークやDX化など業務の形が変わってきたことも背景 ランサムウェア被害の企業・団体等の 業種別報告件数 ランサムウェア被害の企業・団体等の 規模別報告件数 ※参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について 19 19

サイバー攻撃の原因と対応状況 ✓ ランサムウェア攻撃の根本原因の1位は「脆弱性の悪用」で36%を占める ✓ 一方で、対応できている脆弱性は全体の1/10程度で、対応できる脆弱性には限りがある ランサムウェア攻撃の根本原因 月ごとの脆弱性への対応数 ※参考：SOPHOS「ランサムウェアの現状2023年版」 出典：Cyentia Institute The Hidden Complexity of Vulnerability Remediation: Bridging the Gap between Data and Common Advice 20 20

脆弱性検知ツールを自社で開発 ✓ 自社システムに関係ある脆弱性を検知して、通知するツールをフューチャーで開発 ✓ アプリケーションのライブラリからOSパッケージ、ネットワーク、コンテナまで検知 管理下のシステム ソフトウェア情報 ✔ ✔ ✔ 脆弱性情報 Redhat Ubuntu 関連付け FreeBSD ・・・ e-mail、slack等で 脆弱性情報を通知 日本の脆弱性 データベース (JVN) 米国の脆弱性 データベース (NVD) 各ベンダーの 脆弱性データベース （OVAL） ・ ・ ・ 21 21

VULS VULnerability Scanner 脆弱性 スキャナー 22

2016年4月、Vulsを GitHub公開！ 23 23

世界１位（/約3,000万）に！ 24 24

年々増加する脆弱性の数 ✓ 公開される脆弱性の数は年々増加しており、2024年は4万件に達する勢い（前年比+約40%） 25 25

26 26

脆弱性検知後も含めた管理・対応システムを開発 ✓ 脆弱性の検知にとどまらず、検知後の管理・対応までできるシステムを開発 ✓ 大量にある脆弱性のリスクを自動で優先度付したり、検討に必要な情報を提供 ✓ 構成管理やEOL検知なども対応 脆弱性情報 収集 検知 調査、 優先度付け 対策検討 Update 27 27

FutureVulsの仕組み ✓ クラウドに脆弱性情報をアップして脆弱性情報を関連付けるだけでなく、優先度付、タスク管理も実施 ✓ 他のクラウドサービス等と連携して、検知の強化や対策検討に必要な情報を収集 FutureVuls 脆弱性データベース、 攻撃コード情報、 CERT注意喚起 脆弱性情 報の取得 集計、タスク化、 優先度付 連携 アプリケーション・ ライブラリ脆弱性検知 連携 ソフトウェア 情報の収集 ユーザー企業 Trend Micro Deep Security IPS/IDSルール最適化 運用者 高リスクな脆弱性の 対応指示と 対応状況の追跡 専門家情報参照、 対応ステータス入力、 アップデート ・・・ CSIRT 28 28

FutureVulsでやっていること 資産管理から脆弱性検知、社内情報共有など脆弱性管理・対応に必要なプロセスを一元的に管理 29 29

現状の脆弱性管理の課題 ✓ 本当に自社に取ってリスクの高い脆弱性を素早く、継続的に対応することが重要 → 現実的に対応できる脆弱性の数まで絞り込む必要がある 攻撃に利用される高リスクな脆弱性 CVSSスコアごとの件数 2.24% 約4,615件 約1.4万件 ※NVDのうちCVSS v3.0のスコアがついている138,873件の脆弱性を集計 課 題 ✓ ✓ CVSSスコアでは対応可能な数に絞り込めない ✓ 攻撃に利用される脆弱性はごく一部で CVSSスコアに関係ない Exploit公開情報やCISA-KEV、JPCERT/CCの注意喚起等で絞りこむにも知識と手間が必要 30 30

優先度付けの考え方 ✓ リスクの3要素は「脆弱性」「脅威」「影響」であり、重大な脆弱性、実際に悪用されている、 ビジネスに影響の大きいもの、から優先的に対応していくのが理想。 脆弱性 脅威 影響 31 31

SSVCを用いた優先度付け ✓ SSVCという脆弱性管理の優先度付けをするフレームワークをFutureVulsに組み込み、自動化 ✓ 「リスク = 脆弱性 x 脅威 x 影響」のSSVCの決定木に基づいて自動で対応の優先度付けを実施 SSVCとは Depoyerツリー（運用者向け） SSVC (Stakeholder-Specific Vulnerability Categorization) は、2019年に カーネギーメロン大学が提案 ✓ 「脆弱性管理で優先順位付け」をするための フレームワーク ✓ いくつかの決定木が用意されている ⚫ CERT向けの「coordinator tree」 ⚫ 運用者向けの「deployer tree」 ⚫ PSIRT向けの「supplier tree」 ✓ 32 32

SSVCによる絞り込みの効果 「4,716件」の脆弱性をSSVCで分類してみたところ、 immediate と out-of-cycle が現実的に対応できる数に絞り込めていることを確認。 CVSSスコア：7.0以上 は2,863件、8.0以上 は990件 SSVC：immediate 16件、out-of-cycle 50件 Immediate out-of-cycle immediate/outof-cycleの割合 scheduled defer インターネット公開の「超」重要システム 16 2100 44.8% 2600 0 インターネット公開の重要システム 16 50 1.4% 4650 0 社内NWの基幹システム（販売管理など） 0 16 0.33% 4700 0 業務影響が小さい社内システム(勤怠管理など) 0 0 0% 4716 0 閉域網の「超」重要な基幹系システム 0 16 0.33% 4700 0 33 33

優先度付けだけでなくその後の追跡も実施 ✓ 検知した脆弱性を４つの優先度に振り分け、タスク対応期限等の指示まで自動化。 後日Exploitが公開されて「脅威」が変化した時点で自動再評価してくれるので追跡可能。 対応期限などを自動設定して対応指示 SSVC決定木 構成情報 脆弱性情報 脆弱性 検知処理 defer タスク - ステータス - 対応期限 - 優先度 - 担当者 - コメント 脅威の変化で再判断 immediate SSVC結果が変更されたらタスクを自動で再設定 34 34

実際の脆弱性運用イメージ 運用者は immediate 検知の通知受けてログインし、決定木、プロセスやPort開放状態、 IPSルール有無、脆弱性情報、CERT注意喚起、Exploit情報等を画面から確認して対応 対象機器や対応期限等 「脆弱性情報」 「CERT注意喚起」 「Exploit情報」 「ソフトウェア名」 「プロセス有無」 「Port開放状況」 決定木の判断理由 攻撃がアクティブかつ、 インターネット公開システムかつ、 RCEかつ、重要システムなので immediate と判断された 35 35

日々の脆弱性管理 CSIRTは全社横断で immediate と out-of-cycle の対応状況を追跡。 対応期限が超過したタスクには一括で対応を催促できるので、日々の工数を削減。 immediate に分類されたタスクのうち 「未対応」かつ「対応期限が超過している」 などでフィルタ タスクの担当者に対応を催促。 一つの操作で全社の担当者に指示 36 36

今後求められるサイバーセキュリティ対策 ✓ 経産省からSBOMに関する手引が出たり、EUでもサイバーレジリエンス法（CRA）で SBOM作成が求められるなどSBOMへの対応が求められている ✓ 脆弱性への迅速な対応やアップデート対応などが求められるため、脆弱性管理の必要性増大 背景 ✓ 脆弱性の多さに対し、セキュリティアップデートの 提供が不十分 ✓ セキュリティに関する情報提供が不十分であり、 製品選定する際に、安全性を判断する材料が少ない CRAのポイント ① 規定されたセキュリティと脆弱性対応要件への適合 ✓ SBOMを作成し、迅速に脆弱性情報連携と アップデート対応を行う必要がある ② 報告義務 ✓ 脆弱性の悪用やインシデントを発見後、 24時間以内にENISA報告する必要 ③ 適合性評価の実施（第三者認証など） ④ 違反時の高額な罰金（最大1,500万ユーロ） 37 37

生成AIによる脆弱性への対応 今後、生成AIによるソースコードが 増えてくる可能性があるが、 そこにも脆弱性が含まれているため、 管理が必要 参考 : <https://www.itmedia.co.jp/enterprise/articles/2402/26/news045.html> 38 38

まとめ ✓ 幅広い業界の企業が大小関わらずランサムウェアの攻撃のターゲットとなっているが、 根本原因の第一位は脆弱性 ✓ 対応できている脆弱性は10%程度 ✓ 対応できてない要因としては、脆弱性の数が多すぎてどれが本当に対応すべき脆弱性か分からない上、 対応する人も不足している ✓ CVSSスコアだけでは現実的に対応できる脆弱性の数に絞りきれないため、 本当に対応すべき脆弱性を絞るにはSSVCを使うのが有効 ✓ 今後、サイバーレジリエンス法や生成AIなどますます脆弱性管理が必要となる 39 39