米国が主導したウクライナ侵略に対するロシアへの制裁措置は、この地域から米国や他の同盟国に拠点を置く組織への報復・波及サイバー攻撃への大きな懸念を呼び起こした。
ディスク・ワイパーやランサムウェアを使った破壊的なキャンペーンから、分散型サービス拒否攻撃、フィッシング、偽情報、誤報、影響力のあるキャンペーンまで、さまざまな攻撃が予想されます。セキュリティ専門家は、このような攻撃の一部は、国家が支援するロシアの脅威が標的となり実行されると予想しています。また、数年前のNotPetyaマルウェアのように、ウクライナから流出し、巻き添え被害を引き起こす可能性もあります。
ここでは、セキュリティ専門家が、これらの攻撃に備えるために組織が今すぐ行うべき7つの対策を紹介します。アドバイスのほとんどは、組織がすでに実施しているべき対策が含まれています。しかし、そうでない場合は、今がその対策を実施する良い機会であると専門家は述べています。
1. 誰もが同じリスクに直面するわけではありません。
ソフォスのプリンシパル・リサーチ・サイエンティストであるチェスター・ウィスニウスキーは、組織がロシアのサイバー攻撃から受ける影響は大きく異なると述べています。
ウクライナでビジネスを行っている、または行っている企業は、最悪の事態を想定し、すべてのセキュリティ管理を可能な限り最新にする必要があります。特に、クレデンシャルの不正使用を監視することが重要です。「紛争中に事業を継続するつもりなら、通信が不安定になることを想定し、他の手段で通信する方法のバックアッププランを用意しておく必要があります」とWisniewskiは述べています。
米国のサイバーセキュリティおよびインフラセキュリティ局は、ウクライナのカウンターパートと協働する組織に対し、「これらの組織からのトラフィックを監視、検査、分離」し、そのトラフィックのアクセス制御を見直すよう特別な注意を払うよう勧告しています。この勧告は、CISAが「Shields Up」という文書でまとめた長いヒントの1つです。
ポーランド、ルーマニア、エストニア、ラトビア、リトアニア、モルドバなど、ウクライナ以外の地域でビジネスを展開している組織が、ウクライナに影響を与えることを目的とした攻撃の巻き添えを食う可能性はそれなりにあります。Wisniewski氏は、木曜日にソフォスが観測した、HermeticWiperと呼ばれるディスク消去型マルウェアツールが、ウクライナの企業を標的としていたにもかかわらず、ラトビアとリトアニアのいくつかの契約者の拠点に影響を与えたという指標を挙げています。
「ロシアがNATO加盟国を直接標的にするとは思っていませんが、NotPetyaの攻撃でも同様の影響が見られました。この地域に関係のない組織は、西側諸国やロシア国家の敵とみなされる人々に被害を与えようとする、ロシアを拠点とする独立した脅威行為者の犠牲になるリスクが高まっています。私たちは紛争が始まる前からこの結果を懸念しており、Contiランサムウェアグループが表に出て『ロシア政府を全面的に支持する』と宣言していることに気づきました」とWisniewskiは述べています。
2. アタックサーフェスを最小化する
BlumiraのCTO兼共同設立者であるMatthew Warner氏は、search.censys.ioやshodan.ioなどのツールを使って、ネットワーク境界やDMZの露出を確認し、自社のセキュリティ姿勢を検証する必要がありますと述べています。
また、Sysmonを環境内に導入するのも良いアイデアだとWarnerは言う。「Sysmonは、Windowsのデフォルトのロギングでは得られない、環境全体の幅広い可視性を提供することができます。その意味で、Sysmonは本質的にEDRがやろうとしていることを模倣しているのです。しかし、多くの場合、組織はSysmonのデータを調べることで、優れた忠実度と検出率を得ることができます。「多くの場合、EDRが検出する前に、Sysmonが動作を検出します」とWarnerは述べています。
ネットワーク上のマルウェアがコマンド・アンド・コントロールの送信先に呼び出されている兆候がないか、送信トラフィックを監視する。国家レベルのマルウェアを発見することは非常に困難ですが、ほとんどの場合、マルウェアは何らかの形で通信を行う必要があるとBreachRX社は述べています。
ロシアによるウクライナ侵略の1週間前、米国家安全保障局は、シスコ製ルーターの機器設定ファイル内の認証情報を保護するために、組織が強力なパスワードタイプを使用する必要性について勧告を発表しました。
NSAは、ロシアの攻撃や現在のウクライナ紛争には一切言及せず、「近年、ネットワークインフラへの侵害が増加していることは、ネットワーク機器への認証が重要な考慮事項であることを再認識させる」と指摘した。
3. 基本を実行する
ロシアのAPTは、他の非常に効果的なグループと同様のプレイブックに従っていると、ワーナーは述べています。彼らの技術、戦術、手順(TTP)は秘密ではないと彼は指摘しています。また、ウクライナで報告されたサイバー攻撃の多く(HermeticWiperのようなディスク消去型マルウェアを含む)は、攻撃者が以前に既にアクセスしたことがあると思われるシステムを対象としていることも重要です。
したがって、こうした脅威に備えるには、いつもと同じようにセキュリティの基本に注意を払う必要があります。「残念ながら、パッチ適用、多要素認証の使用など、通常のアドバイスと変わりません」とWisniewskiは述べています。「最近、Contiのようなランサムウェアの集団が、報復としてお金を払わなければ環境を消去することを選択することさえあり、ワイパーによる活動がより多く見られることを考えると、バックアップはこれまで以上に重要であると思われます」。
Warner氏は、例えば、Microsoft 365、G Workplace、Okta、およびその他の類似の環境でMFAを有効にし、レガシー認証を無効にし、Microsoft Office環境でマクロを実行しないようにするなど、組織がWindows環境に注意を払うことを推奨しています。
SANS技術研究所の所長であるヨハネス・ウルリッヒは、ルーターが更新されていること、安全なパスワードを設定していること、管理画面を外部に公開しないことを確認するよう述べています。
Bugcrowdの創設者兼CTOであるCasey Ellisは、「ターゲットにされるかもしれないと考える企業にとっては、何らかの形ですでに侵入されたように行動する良い機会でもあります」と述べています。たとえ机上の演習であっても、ぜひ実行してください。そして、侵入者の検知とインシデント対応計画が最新のものであることを確認してください、とエリスは言います。
CISA は、サイバーセキュリティの事故またはその疑いが生じた場合の主な連絡先を定めた危機対応チームを組織するよう推奨しています。
4. B2BのVPN接続を監視する
組織が直面する大きなリスクは、ウクライナのサイバー攻撃の巻き添えを食って被害者になることです。一例として、2017年に発生したNotPetyaは、当初はウクライナを標的としたロシアの攻撃でしたが、最終的には世界中の数千の組織に影響を及ぼしました。組織がウクライナ関連の潜在的なサイバー脅威をナビゲートするためのリソースセンターを設立したSANS Instituteの新興セキュリティトレンド担当ディレクター、ジョン・ペスカトーレは、「ファイアウォールルールなどのセキュリティコントロールによってフィルターされていないB2B VPN接続は、こうした波及経路の可能性が最も高いと言えます」と述べています。SANSは、組織に対し、環境にあるすべてのB2B VPN接続を直ちに見つけ、攻撃者の最初の侵入口とならないよう対策を講じるよう推奨している、と述べています。
SANSは、B2B VPNに関するアドバイスとして、リスクの高いプロトコルをすべてブロックするか、ビジネス要件でB2B VPNでのプロトコルブロックが認められない場合は、リスクの高いプロトコルのトラフィック送信先を限定することを挙げている。また、B2B VPN のすべての出口ポイントでネットフローを監視し、何かあったときにすぐに切断できるようにしておくことも推奨しています。
「少なくとも、既知の危険なプロトコルがブロックされていることを確認し、理想的には、必要最小限のポート、プロトコル、アプリケーションのみが許可されるようにします」と、Pescatore 氏は述べています。
5. コミュニケーション
ウクライナ関連のサイバー攻撃の可能性に備えて、組織がまだ導入していないセキュリティ対策を実施することは、限られた範囲にしかなりません。そこで、高度なフィッシング攻撃、誤報キャンペーン、ロシアのサイバー攻撃者による企業システムの侵害の可能性について従業員に注意を促すことが、これらのベクトルへの曝露を減らすための鍵となります。ワーナー氏は、「全従業員に対して、より注意深く行動し、疑わしいメールやファイルがあればすぐに報告するように通達してください」と述べています。
BrightRXは、組織が潜在的な攻撃にどのように備えるべきかというブログの中で、「人が攻撃の最も可能性の高いベクトルであることを、会社全体に注意を喚起してください」と述べています。「例えば、フィッシング攻撃について注意を促し、通常とは異なる行動を報告するよう伝えるのです」。
セキュリティチームは、ロシアに批判的なソーシャルメディアへの投稿など、政治的に敏感な話題に関する経営者のつながりやコミュニケーションをチェックする必要があります。BrightRXは、「あなたのビジネスのためではなく、そのような見解からターゲットにされるかもしれません」と述べています。また、悪意のあるインサイダーが引き起こす可能性のあるセキュリティ問題に対処するために、インサイダー・プレイブックを設置することも検討すべきであると、インシデントレスポンスと準備の専門企業であるBrightRX社は述べています。
6. 変更の最小化
IT部門は変更を最小限にとどめ、新しいソフトウェアや実行ファイル、新しいアカウントの開設、環境内の高い権限を持つアカウントなどをすべて調査する必要があると、Pescatoreは述べています。また、特に特権アカウントに対する強力な認証の使用を増やし、変更管理と変更監視を強化することを推奨しています。
「この対立が経営陣の注意を引くようであれば、一時的であっても基本的なセキュリティ衛生を向上させるようにしましょう」とPescatore氏はアドバイスしています。
7. 高リスクの組織はISACへの加盟を検討すべき
石油、天然ガス、電力セクターの組織は、石油、ガス、信頼できる電力の流れを中断させることに焦点を当てた攻撃の高いリスクにさらされていると、ABSグループは今週発表しました。これらのセクターのビジネスおよび技術リーダーは、情報技術(IT)および運用技術(OT)チームと連携し、適切な業界情報共有・分析センター(ISAC)への加入を確保する必要があると、ABS Groupは述べています。ISACは、重要インフラの運用者が業界特有のサイバー脅威を把握し、それに対する備えや防御、軽減策を講じることができるよう支援することを目的としています。
また、ABSグループは、これらの分野の組織が対応手順を実践し、サイバー侵入の試みまたは確認をすべて、それぞれのISAC、組織のセキュリティ責任者、エネルギー省(DOE)または連邦捜査局(FBI)に直ちに報告することを推奨しています。
多くの組織は、自分たちがロシアのサイバー攻撃から受けるリスクは低いと思っていることでしょう。しかし、特定の標的ではないことは事実かもしれませんが、ロシアに同情的な脅威行為者による日和見的な攻撃に巻き込まれたり、NotPetyaのように巻き添え被害の犠牲者になったりする可能性は、他の組織と同様に高いのです。
だからこそ、すべての組織がセキュリティ態勢を見直し、強化することが望ましいと、セキュリティ専門家は述べています。