FutureVulsは、世界トップクラスのセキュリティ専門家が集う国際会議「CODE BLUE 2024」に出展し、ランサムウェアや脆弱性対策について講演しました。フューチャーはセカンドスポンサーとして協賛し、サイバー攻撃への備えやインシデント対応の重要性を紹介しています。
本記事では、講演の第二部「【ランサムウェアへの効果的な対策と脆弱性への対応】」の動画・スライド・解説をまとめました。
なお、第一部「【今やるべきBCP対策・事前対策の理想と現実】」では、EDR/NDRの導入やバックアップが本当の対策なのかなどを取り上げています。
YouTube動画はこちらです。
以下、スライドと解説です。
自己紹介
フューチャーの神戸と申します。
GITHUBで1万スターを超えるオープンソース脆弱性を作った“バルスの人”として活動しています。
本日は「ランサムウェアと脆弱性管理」をテーマにお話をさせていただきます。
ランサムウェア発生件数
皆さんご存じのとおり、ランサムウェアは年々増加傾向にあります。最近では企業や組織のサーバー環境が狙われやすく、被害件数が拡大し続けています。
ランサムウェアの侵入経路
国内外ともに、ランサムウェアの侵入経路として“脆弱性の悪用”が突出して多いというデータがあります。もちろん他にも、フィッシングやパスワード推測、メール経由など多岐にわたりますが、中でも脆弱性を狙った攻撃が一番多いというのが現状です。
ランサムウェア攻撃の各段階と脆弱性の悪用
ランサムウェアの攻撃には大きく以下のような段階があります。
- 初期侵入フェーズ
- フィッシング、パスワード推測、脆弱性の悪用による侵入
- 横移動(ラテラルムーブメント)
- 内部ネットワーク内での拡散・権限昇格
- 暗号化(エンクリプション)
- ターゲットのファイルやシステムを暗号化
これら全ての段階で脆弱性が悪用される可能性があります。初期侵入だけでなく、社内システムへの横移動や権限昇格、さらにファイル暗号化の際にも“古い脆弱性”が突かれるケースが多く、油断は禁物です。
ランサムウェアグループが悪用する脆弱性とは
「ランサムウェアグループは常に最新・最先端のゼロデイ攻撃を仕掛けてくる」と思われがちですが、実は既知の古い脆弱性も多用されています。
IBMのレポートによれば、ゼロデイ攻撃は減少傾向にあり、攻撃者はより古い脆弱性や弱い認証を悪用する傾向が強まっているとのことです。
たとえば、ハニーポットサービス「シャドーサーバー」のデータを分析すると、2018年や2021年のCVEが大量に攻撃に利用されているというトラフィックが実際に観測されています。さらに調査すると、2022年以前の脆弱性が48.5%と約半数を占める結果になりました。
“古い脆弱性”でも放置すればリスクはなくならない──ここが大きなポイントです。
ランサムウェアグループが利用する既知の脆弱性
具体的にどのような脆弱性が利用されているかを調べるには、アメリカのCISAが提供している「ストップランサムウェア」等の情報が参考になります。各ランサムウェアグループがどの脆弱性を利用するかがまとめられており、脆弱性の再利用度の高さがわかります。
たとえば、CISA-KEVカタログに掲載されている脆弱性の約19.8%がランサムウェアキャンペーンで悪用されているというレポートもあります。
ランサムウェア対策において脆弱性管理は必須である
こうした状況から、各グループの対策ページを見ると、
- MFAの導入
- 強固な認証ルール
- 余計なサービスをインターネットに公開しない
- セキュリティ教育の徹底
- 脆弱性・パッチ管理を確実に行う
など、“脆弱性管理”はすべての対策の大前提として挙げられています。
CISAの2023年レポートでは、「脆弱性が公開されてから2年以内に悪用されるケースが最も多い」というデータも示されています。
“家の玄関の鍵が壊れたまま放置すれば”どんなに最新の警備システムを導入していても侵入される──これが脆弱性管理の重要性に例えられるわけです。
脆弱性管理の進化 (手動から自動へ)
ランサムウェア対策における脆弱性管理の重要性はご理解いただけたと思いますが、実際には「どう管理するのか」が課題です。
- 従来: 資産の特定・脆弱性発見・リスク判断・対応──すべて手動
- 現在: 管理工数の削減・属人化防止のため、これらを自動化する方向に進化
この自動化を実現するためのクラウドサービスが、次にご紹介するFutureVulsです。
FutureVulsの脆弱性管理の全体像
FutureVulsとは
FutureVulsはクラウドベースの脆弱性管理サービスです。企業内に多数存在するWindowsやLinux、ネットワーク機器、OSSソフトウェアなどの構成情報を自動収集し、クラウド側で脆弱性情報や脅威情報とマッチングして脆弱性を特定します。
- 構成情報を自動収集
- クラウド側で脆弱性を検知
- 自動リスク評価(SSVC)
- Ops・セキュリティ担当に通知・チケット発行
- 組織横断的な検索と指示出し
これにより、少人数でも効率的に脆弱性管理を回すことが可能になります。
SSVC - 米国政府推奨のCVSS課題を解決するトリアージ手法
FutureVulsには、リスクの三要素(脆弱性・脅威・影響)を総合的に判断するトリアージ手法である「SSVC(Stakeholder-Specific Vulnerability Categorization)」が実装されています。
- 脆弱性情報: CVSSだけでなく、脅威情報や攻撃コードの有無
- 脅威情報: 実際に攻撃が発生しているか
- 影響(ビジネスインパクト): インターネット露出の有無、当該システムの重要度
これらを“決定木”で自動評価し、「Immediate」「Out of Cycle」「Scheduled」「Deferred」の4段階で優先度を振り分けます。
結果的に本当に対応が必要な1.5%程度まで脆弱性を絞り込めるケースがあり、運用担当者に大きなメリットがあります。
FutureVulsのSSVC機能の詳細は公式ページを参照してください。
FutureVulsのランサム対策機能: ランサムウェア悪用フィルタ
FutureVulsにはランサムウェア対策として、ランサムウェアキャンペーンで悪用されている脆弱性を一括フィルタリングする機能があります。
- CISA-KEVや、Vulncheck KEV等の脅威情報を参照
- 「CISA-KEVに掲載されている」「ランサムウェアで使用されている」脆弱性を全社横断でチェック
- 外部に露出しているインターネット公開資産の脆弱性だけでなく、横移動・権限昇格対策に必要な内部資産の脆弱性も捕捉
ランサムウェア被害の多くは初期侵入後の横移動や昇格でも脆弱性が用いられるため、内部資産の管理にも有効です。
機能の詳細は公式ページを参照してください。
FutureVulsのランサム対策機能: 外部スキャンインポート
FutureVulsでは、Nessus/ASM/診断結果/Nmap/Qualys等の外部スキャン結果をインポートできます。
インポート後は、内部スキャン結果と合わせて一元管理できるため、
- 「外部スキャン列」でインターネット向きの脆弱性を一目で確認
- 「警戒情報列」(帽子マーク) で“ランサムウェアキャンペーンに使われている脆弱性”を一目で確認
というように、画面上で組み合わせてリスクを可視化し、どの部署・どのサーバ・どのバージョンに影響があるのかを容易に特定できます。
機能の詳細は公式ページを参照してください。
FutureVulsのランサム対策機能: EPSSでのソートと対応催促
EPSS(Exploit Prediction Scoring System)は、今後30日以内に脆弱性が悪用される可能性を確率値で示す指標です。
FutureVulsでは、SSVCの結果で漏れてしまった脆弱性や、まだCISA-KEVに掲載されていないような新しい脆弱性でも、EPSSスコアを基準に再度ソートやフィルタリングを行い、攻撃される前に優先的に対応することを促すことが可能です。
- EPSSの詳細は、EPSS入門:脆弱性管理を変革する新指標の理解と活用方法を参照してください。
FutureVulsのランサム対策機能: ソフトウェア横断検索
ソフトウェア横断検索機能を使うと、全社の資産に含まれるソフトウェアやバージョンを一括検索できます。
たとえば「fortinet」と入力すれば、どの部署のどのFortiGateがどのFortiOSバージョンなのかが瞬時にわかり、ニュースで話題になったタイミングでも即座に影響範囲を確認できます。
機能の詳細は公式ページを参照してください。
まとめ
- ランサムウェア対策の基本は脆弱性管理
- FutureVulsならリスクベースで脆弱性を自動判断し、“本当に悪用される5%”だけを抽出
- SSVC、EPSS、KEVカタログなど多角的な情報を組み合わせ、さらに絞り込みが可能
- 自動化と可視化で少人数でも脆弱性管理を回せるクラウドサービス
脆弱性管理を強化することで、ランサムウェアなどのサイバー攻撃リスクを大幅に低減できます。最新の防犯システムを導入するだけでなく、“壊れた窓・壊れたドア”を放置しないことが重要です。ぜひ一度、FutureVulsの導入を検討してみてください。
ランサムウェア対策にお困りの方は、ぜひ一度FutureVulsからお問い合わせください。