急増するランサムウェア攻撃、 海外子会社や委託先が標的になるAttack Surfaceとは？

Panorays（パノレイズ）チームの山坂です。

ランサムウェア攻撃の被害件数が増え続けています。セキュリティ対策をきちんとしているにも関わらず、その標的となってしまう場合の多くは、国内外の取引先や委託先など、ビジネス上の密接な関係性を持つ弱点となる部分（Attack Surface）が攻撃者に狙われています。

そこで、Attack Surfaceに潜む危険性と、リスクを回避するセキュリティ対策についてご説明します。

ランサムウェアの被害状況

ランサムウェアによる被害は、日本国内でも数多く発生しています。ラックのサイバー救急センターでは、2020年以降本日まで多くの問い合わせが寄せられており、11月時点で昨年比220%の出動件数と、未だ多数の被害が発生しています。

サイバー救急センターレポート 第10号の中でも触れられていますが、ランサムウェアの侵入を許すきっかけは、リモートデスクトップサービス（RDP）が不用意にインターネットに公開されている場合や、VPN機器の脆弱性を悪用される場合がほとんどです。

リモートデスクトップサービスは、テレワークを推進する上で使用されるものですが、設定を誤れば端末へのログインを許すきっかけとなります。また、リモートデスクトップサービス自体の脆弱性が公開されているため、パッチ管理を行うことも重要です。VPN機器の脆弱性は2019年頃に大きく騒がれたので「もう昔のことでは」と考える方もいるかと思います。しかし、セキュリティ監視サービスを提供するJSOCでは、最近でも引き続き攻撃通信を観測していることから、過去のものとは言い切れません。

ランサムウェアとAttack Surface

ランサムウェアによる攻撃は、直接被害を受けたものだけでなく、海外拠点が侵害を受けたことをきっかけとした被害も散見されます。攻撃者はセキュリティ対策が進んでいる国内拠点（本社）を直接狙うのではなく、管理が進んでいないであろう海外拠点（子会社）や委託先にまずは侵入します。そこから内部ネットワークを通じて目的の情報にアクセスする場合や、侵害拠点に共有されているデータの漏洩などから、結果として本社にも被害が発生します。

このように、Attack Surfaceは国内拠点（本社）のみではなく、海外拠点というだけで管理対象にならないことからも起こります。商習慣の違いや、担当者とのコミュニケーションの問題なども、往々にしてセキュリティ対策が進まない理由として挙げられます。

Attack Surfaceの可視化

海外拠点への対応の難しさから、まずは国内拠点へのセキュリティ対策を行うといった事例をよく耳にします。国内拠点はペネトレーションテストをはじめ、標的型攻撃訓練や質問票による対策状況確認など、手厚い対策が取られています。一方で、海外拠点はペネトレーションテストができず、標的型攻撃訓練もできず、質問票は回収するものの内容の精査や活用はされていないこともあります。

このように、セキュリティ担当者が後回しにしている部分を狙って侵入し、そこから社内ネットワークを利用して攻撃の目的を達成する、といった攻撃シナリオが生み出されています。国内拠点（本社）と同じ社内ネットワークにつながる海外拠点が「リスク」となることを回避するためには、Attack Surfaceを可視化することが重要と言えます。もはや自社だけでなく、全体のセキュリティ対策が俯瞰できるような施策が必要とされる時代です。

さいごに

Attack Surfaceを把握し、ランサムウェア攻撃などサイバー攻撃に対するセキュリティ対策に取り組みたいお客様に向けて、ラックでは2022年1月末までのお申込限定で無料のオンライン個別相談会を実施しています。お客様がお持ちのサイバーセキュリティの課題に対する解決策を、セキュリティの専門家の知見を基にコンサルティングいたします。ぜひお気軽にご相談ください。