アスクルやアサヒも被害に遭った｢ランサムウェア攻撃｣､最近は個人の端末ではなく《"サーバーや開発者"を標的にする手口も》意識改革が必要

このようなソーシャルエンジニアリングは、GMOサイバーセキュリティ byイエラエが実施する侵入テスト（ペネトレーションテスト）でも実際に成功事例があるそうです。システムの脆弱性だけでなく、人間の「信頼」や「焦り」といった心理的な脆弱性を突く攻撃は、防御がとても難しいのが課題です。

防御の5ステップと、「ハンティング」という視点

進化を続けるサイバー犯罪の脅威に対し、企業はどのように防御網を構築すべきでしょうか。阿部氏は、5つの重要なポイントを挙げてくれました。

第1に「侵入の可能性を減らす」こと。VPNやリモートデスクトップなど、外部に公開された「入り口」を正確に把握し、セキュリティパッチを適用し続けることが重要です。これらの資産管理と脆弱性管理は基本ですが、徹底する必要があります。

第2に「侵入に早く気付く」こと。ここでEDRが活躍しますが、阿部氏は「今まではパソコンに入れていましたが、今はサーバーが狙われています。やはり、サーバーセグメントにEDRを入れておく必要があります」と、監視対象をサーバー側に広げる重要性を強調しました。

第3に「ダメージの最小化」。万が一侵入されても被害を局所化するため、ネットワークを細かく分離するマイクロセグメンテーションといったアーキテクチャ上の工夫です。

第4に「復旧スピード」。単なるバックアップだけでなく、システムを迅速に再構築するリストア戦略がカギを握ります。「IaC（Infrastructure as Code）」のように、インフラの設定をコード化しておけば、短時間で同じ環境を立て直すことも可能になります。

そして最後に「計画と訓練」です。とくに、実際にシステムが停止したことを想定した「リストア訓練」を平時から行っておかなければ、有事には動けません。

しかし、攻撃者もEDRの検知ロジックを回避する技術を日々研究しています。そこでEDRの自動検知を補完する「ハンティング」と呼ばれる領域が注目されています。