FutureVuls Blog

脅威となるサイバー攻撃・ランサムウェアに備える脆弱性対策とは | CODEBLUE 2024

はじめに

フューチャー株式会社とフューチャーセキュアウェイブ株式会社 ( 旧ディアイティ) は、世界トップクラスのセキュリティ専門家が集う国際会議「CODE BLUE 2024」に出展し、ランサムウェアや脆弱性対策について講演しました。

本記事は、CODEBLUE 2024にて行われた講演「脅威となるサイバー攻撃・ランサムウェアに備えるインシデント発生現場の裏側から学ぶ──【前編】」の内容をまとめたものです。
後編(こちらでは、脆弱性管理の具体的手法を中心に解説していますので、合わせてご覧ください。

YouTube動画はこちらです。

以下、スライドと解説です。


セッション概要

  • テーマ: サイバー攻撃、特にランサムウェアへの備えと、そのインシデント発生現場で起きているリアルな課題
  • 講演構成: 前編(本記事)ではインシデント初期対応の現場やEDR/NDRの実状、ステークホルダー対応など「攻撃後に何が起こっているか」を詳しくお伝えします。後編では脆弱性管理をはじめとする具体的な対策にフォーカスします。

p1


登壇者紹介

aoshima

今回は、フューチャーグループで長年インシデント対応に携わっている株式会社ディアイティ(※2025年より「フューチャーセキュアウェイブ株式会社」へ改称)のCTO青嶋 信仁が登壇。
中央官庁や日本年金機構など大規模インシデント現場の対応を手がけてきた豊富な経験をもとに、事件・事故の“裏側”を解説しました。

p2


インシデント初期対応のリアル

p3

UNKNOWN(原因不明)の増加

p4

近年はランサムウェアの流行に伴い、外部からのリモート攻撃や脆弱性の悪用、ID流出など、さまざまな侵入経路が報告されています。しかし、実際の統計を見ると「侵入原因がわからない(UNKNOWN)」ケースが急増しているのが実態とのこと。

  • 脆弱性が悪用された可能性はあるものの、どの脆弱性か特定できない
  • 不正に使われたIDがどこで入手されたのかわからない
  • ログが保存されていない/証拠が暗号化で消されてしまった

などが主な理由として挙げられます。

ランサムウェアによる証拠隠滅

p5
p6

ランサムウェア攻撃のゴールは、身代金目的だけではありません。攻撃者は自分たちの痕跡を消すためにサーバー内のログやファイルを暗号化し、証拠を隠滅することがよくあります。

  • 侵入経路の特定に必要なログが暗号化・削除され、原因調査が進まない
  • そもそもログ取得をしていない企業も多く、後手に回るケースが頻発

このように初期対応の時点で混乱する現場が少なくありません。


EDRやNDRの導入状況と限界

p7
p8

EDR導入の落とし穴

攻撃初期段階を検知・防御する手段として注目されるEDR(Endpoint Detection and Response)。しかし、講演内では以下のような課題が指摘されました。

  • クライアントPCには導入しているが、サーバーには未導入
    • 結果として、サーバー側のデータ暗号化を止められない
  • ランサムウェア自体は防げても、ビットロッカー等の標準暗号ツールを悪用される
    • 「これは正当なシステムの動作だ」と判断され、検知されない
  • 高度な手法(コマンド操作など)を用いられると一部検知漏れが発生
    • とはいえ、EDR回避には大きなコストがかかるため、脆弱性やID管理が甘い環境ほど攻撃が成功しやすい

NDRでのネットワーク監視

ネットワーク内部の振る舞いを可視化するNDR(Network Detection and Response)も導入が進んでいますが、ポートスキャンを時間間隔を空けて行うような「静かに侵入する」攻撃手法だと検知を逃れることもあるといいます。
一方で、明らかに不審な通信(高頻度のポートスキャンなど)は比較的検知しやすいため、環境に応じたチューニングが重要です。

p9


ステークホルダー(取引先・親会社)への報告と波紋

p10

攻撃を受けた組織が“攻撃者扱い”される現実

インシデントが発生すると、当事者である組織は被害者であるはず。しかし、近年では取引先や親会社、監査法人などのステークホルダーがリスクを恐れるあまり、被害を受けた側に厳しい要求を突きつけるケースが増えています。

  • 「本当にネットワークは安全なのか?」
  • 「復旧したデータにマルウェアが潜んでいないか証明せよ」
  • 「原因が脆弱性放置なら、今後も取引を続けていいのか?」

p11

謝罪会見のシミュレーション

p12

大規模な情報漏えいやランサムウェア被害が起きれば、経営層による謝罪会見は避けられません。マスコミの追及は基本的な部分を徹底的に問い、回答内容によっては大きく炎上するリスクも。

  • 「なぜ脆弱性を放置していたのか?」
  • 「いつからログを取っていなかったのか?」

こうした質問に答えられないと、企業の信用は一気に失墜。講演では、事前に謝罪会見のシミュレーションをしておく重要性が強調されました。


まとめ:脆弱性対策を怠ると“あとが大変”

p13

  1. UNKNOWN(原因不明)ケースが増えている背景

    • ログの不備、ランサムウェアによる証拠隠滅などで特定が困難
  2. EDRやNDRの導入メリットと限界

    • 一定の効果はあるが、すべての攻撃を検知・防御できるわけではない
    • 特に、サーバー未導入やビットロッカー悪用など、盲点が存在
  3. ステークホルダー対応の厳しさ

    • 攻撃を受けた被害企業が逆に「信用に値しない」と疑われる
    • 謝罪会見のシミュレーションも含め、予防策の段階から備えが必要
  4. 脆弱性管理は必須

    • 「パッチ未適用」や「脆弱性放置」は誰もが理解できる落ち度であり、不信感を拭えなくなる
    • 結果として事業継続に深刻な影響が出る

「脆弱性対策やID管理など“基本のキ”を疎かにすると、EDRやNDRを回避されてしまうリスクも高まる。
そしてその先には、ステークホルダーからの厳しい追及が待っている」


ランサムウェア対策やインシデント対応にお困りの方は、ぜひ一度お問い合わせください。

お問い合わせはこちら