BLOG | OFFICE OF THE CTO

プロアクティブなサイバーセキュリティに対するニーズの増大

Aditya Sood サムネール
Aditya Sood
Published February 28, 2022

ウクライナで進行している危機は、国家の紛争の新たな側面を露呈し、その影響は隣接する地域をはるかに越えて拡大しています。当社はグローバル企業として、進行中の攻撃により被災した方々、避難された方々など、多数のF5ファミリーを含む被害を被ったすべての方々に深く共感しています。当社は、ロシア・ウクライナ紛争の極めて現実的かつ人間的な側面を見過ごすことなく、最近の状勢を踏まえて、今後多発するであろうサイバー攻撃についてガイダンスを提供するようお客様からお問い合わせを受けています。そこでここでは、そのようなお問い合わせにわかりやすく、丁寧に、そして実践的にお答えしたいと思います。

国家間の紛争においてサイバー攻撃は、多くの組織が対処したことのない規模で新たなサイバーセキュリティ上の懸念を生み出し、プロアクティブなサイバーセキュリティ戦略によって高度な攻撃を防御することの重要性をさらに浮き彫りにしています。

インターネットの進化に伴い、グローバルな事業展開は大きく変化しています。デジタル トランスフォーメーションが急激に進み、テクノロジーの進化とサイバー攻撃の高度化に等しく拍車をかけています。それらと並行して、今日の組織は、金銭を目的とした従来の攻撃者だけでなく、より大きな目標を持つ国家的攻撃者や大義を掲げた攻撃者にも対処しています。サイバー攻撃の高度化に伴い、それに対抗する対策も定期的に見直す必要があることは言うまでもなく、今日の経済状況では、既知の(あるいは未知の)脆弱性を利用したエクスプロイトを開発する国家的攻撃者に遭遇する可能性がはるかに高くなっています。

実際、国家的攻撃者は他国のインターネット(および重要なサービス)インフラストラクチャを標的としたエクスプロイトを継続的に開発しています。最も差し迫ったシナリオとして国家間の地政学的紛争が思い浮かびますが、同じ原則の多くが、従来の企業のセキュリティ対策にも広く適用されなければなりません。特に国家的攻撃者は、紛争の手段として政府と民間の両方のインターネット リソースを標的とすることが多く、標的型サイバー攻撃は国家の保全だけでなく、標的となった地域と、またはその地域内で関連事業を行おうとしている人々にも大きな脅威をもたらします。このため、あらゆる組織においてプロアクティブで継続的なサイバーセキュリティの必要性が高まっています。

標的型サイバー攻撃

大まかに言えば、国家の敵対者はそのインフラストラクチャの機能を著しく低下させ、インターネット システムの機能を破壊し、ひいては金融インフラストラクチャや軍事インフラストラクチャに影響を与えるような標的型サイバー攻撃を仕掛けてきます。図1は、標的型攻撃(この場合はフィッシング)の例を示しています。

標的型フィッシング攻撃が行われる仕組みの図
図1:標的型フィッシング攻撃が行われる仕組み

標的型サイバー攻撃は、ステルス作戦を行うために設計された悪意のあるコードを用いて実行されます。悪意のあるコードの例としては、エクスプロイト(脆弱性を悪用)、ルートキット(カーネルやユーザー モードを改ざんして不正な操作を行う)、リモート管理ツールキット(侵害されたシステムを操る)、ワイパー(システムのマスター ブート レコードを破壊)、ランサムウェア(機密データを暗号化して身代金を要求)などがあります。一般にはサイバー攻撃と呼ばれますが、これらの個々の手口を「デジタル兵器」と見なすこともあります。

インフラストラクチャを狙う国家的攻撃者:増加するデジタル兵器

国家間の紛争において、敵はさまざまな攻撃を仕掛けてきます。従来の物理的な脅威に加えて、デジタル脅威も存在します。現在の国家的攻撃者は、複数のサイバー攻撃を行うことに精通しており、その代表的な例を以下で説明します。

  • 国家間の紛争では周到な戦略として、インターネット上のさまざまな場所から分散型サービス拒否(DoS)攻撃を仕掛けて、重要なインフラストラクチャや通信ポータルを停止させるという戦略が用いられます。例えば、敵対者は公式の通信を妨害することを目的として、内政を処理するための軍事関連のWebサイトにダメージを与える場合があります。金融機関のWebポータルも一般的に、銀行業務や金融業務にダメージを与えるための標的となります。
  • ドライブバイ ダウンロード攻撃は、悪意のある高度なコードを拡散し、データ破壊攻撃を誘発します。悪意のあるコードは、侵害されたWebポータルにホストされているか、フィッシング メール(標的型)に添付されており、ソーシャル エンジニアリングを利用し、Webポータルやフィッシング メールを介して標的のユーザーと対話し、悪意のあるコードを標的のシステムにインストールします。インストールされた悪意のあるコードは、データを削除し、システムを使い物にならなくすることで、システムを完全に破壊する機能を備えています。
  • 紛争時に知的財産(IP)を盗むことも敵対国の主要な標的の1つです。その理由は一般に、国家のインフラストラクチャが既に侵害されている場合、後でさまざまな目的に使用できるIPを盗むチャンスであるためです。

これに関連して、国家間の紛争で「デジタル兵器」として使用される可能性のある主なサイバー攻撃について簡単に説明します。

サイバー攻撃の種類 悪意のあるコードの名前
(「デジタル兵器」)
特徴
分散型サービス拒否(DDoS) 未知のボットネット サービス拒否:金融機関や軍のWebポータルなど、重要なインフラストラクチャの可用性を低下させる。
マルウェアの拡散 Whisper Gate データを破壊しシステムを動作不能にする:侵害されたシステムのマスター ブート レコード(MBR)を破壊し、機密性の高いファイルを暗号化する。
マルウェアの拡散 Hermetic Wiper データを破壊しシステムを動作不能にする:侵害されたシステム上の機密性の高いファイルを破壊し消去する。

表1:国家間の紛争時のサイバー攻撃で使用される可能性がある悪意のあるコード

国家的攻撃者は、政府や組織が所有するインフラストラクチャに深刻な影響を与えることを目的として、上記のようなデジタル兵器を用いて熾烈な攻撃を仕掛ける可能性があります。これは通常、国家の自由な通信能力を混乱させ、インフラストラクチャ内のアクティブなシステムの完全性、可用性、機密性を巧みにすり抜けて金融システムや軍事システムをその場で破壊する、より大規模な戦略の一部として使用されます。

ここでもこれらが直接関係するのは紛争中の国家であるように見えるかもしれませんが、これらの攻撃で使用されるツールやエクスプロイトがより大きな脅威情勢に持ち込まれることで、そのリスクが広範囲に及ぶことになります(過去の例としては2017年のNotPetyaのバグがあります)。

重要なインフラストラクチャの保護

プロアクティブなサイバーセキュリティは、必須のアプローチとして主流になっています。重要なインフラストラクチャ(軍事用WebポータルやSCADAインフラストラクチャを含む金融機関のWebサイトなど)を継続的に監視し、サイバー攻撃から保護することは一般的に政府の責任ですが、公共部門と民間部門のセキュリティの境界はより曖昧になりつつあります。全体的に見ると、ネットワーク インフラストラクチャと配備されたアプリケーションを保護することは、DDoSや通信回線上に拡散された悪意のあるコードなどのネットワーク攻撃を回避し、可用性に影響を与えずにインフラストラクチャ リソースの整合性を維持するために不可欠です。また主要なアプリケーションをHTTP攻撃から保護することも必要であり、さらには、インターネットを介した通信が中断されないようにすることが最も重要です。そのため、組織はサイバー攻撃に対抗するためのセキュリティ メカニズムをインフラストラクチャに組み込む必要があります。

プロアクティブなサイバーセキュリティの実現に向けた第一歩

デジタル トランスフォーメーションの加速により、政府や組織は業務の効率化を実現するために最新のアプリケーションを導入しています。しかし、これらのアプリケーションは高度なサイバー攻撃から保護する必要があり、攻撃は標的型攻撃である場合も、広範囲に及ぶ攻撃である場合もあります。必要不可欠なアプリケーションを確実に利用できるようにすることは、国家間の紛争時にはより重要な意味を持ちます。政府とすべての組織は、次のことを考慮し、警戒を怠らないようにしなければなりません。

  • WebアプリケーションとAPIは今日のデジタル環境に広く浸透しています。これらのアプリケーションを悪用や攻撃から保護することは、ポジティブ セキュリティ体制の維持に最も重要です。Web App and API Protection(WAAP)などのサービスやソリューションは、Webベースの攻撃に対する防御を提供するだけでなく、ネイティブのセキュリティ機能を備えています。
  • 攻撃手段は搾取や悪用だけではありません。サービス拒否攻撃は、重要な資産へのアクセスを妨げる可能性があります。プロアクティブなサイバーセキュリティ戦略には、重要なアプリケーションを確実に利用できるようにするために、アプリケーションベースのDoS攻撃を回避する機能も含める必要があります。
  • プロアクティブな戦略を講じるには、攻撃の予兆を見極める能力も必要です。ほとんどの組織では、すべてのアプリケーション、インフラストラクチャ、環境を十分に可視化できていないため、攻撃を早期に検出できません。デジタル資産の健全性はデジタル信号によって決まり、これはプロアクティブなサイバーセキュリティの土台となる要素です。潜在的な攻撃の早期検出を可能にする可観測性戦略により、攻撃に迅速に対応し制圧することが可能になります。

強力で堅牢なサイバーセキュリティ体制を構築するには、重要なアプリケーションが攻撃を受けても使用できるようにする、つまり可用性を高める必要があります。脅威(およびその対策)の進化は止まらないという認識の下で、弾力性と中断のない可用性を備えたセキュリティを実現することがプロアクティブなサイバーセキュリティの基準となります。