社長｢業務を絶対に止めるな｣→サイバー攻撃で長期停止になる皮肉…｢脆弱性の放置はなぜかOK｣ 日本企業の本質的な"弱点"

● 「お客様のサービスのために、24時間365日システムが使える必要がある」
 ● 「業務に影響が出るから、今は止められない」
 ● 「次の定期メンテナンスまで様子を見よう」

こうして、脆弱性は“分かっていながら放置”される。システムの脆弱性があるということは攻撃者にとってはボーナスステージ。すぐにでも侵入できる穴がそのまま転がっている状態だ。攻撃者にとって、これほど都合のよい環境はない。

EDRが攻撃を防げない「正規の認証」

実際、アサヒビールのインシデント対応の記者会見では、「攻撃者はネットワーク機器の脆弱性を突いて侵入した後、データセンター管理者のパスワードの脆弱性を用いた」と説明された。また「EDRは全端末に導入していたが、アラートを発しなかった」とも発表された。

そもそも脆弱性を突かれたネットワーク機器が管理外の機器だった場合、そこにはEDRのエージェントはインストールされず、脆弱性の管理もされていない。

またパスワードの脆弱性とは、多くの場合、「使い回されていたパスワード」「過去に漏洩したパスワード」「推測しやすいパスワード」であることが多い。

つまりこのケースは、システム的に高度なハッキングが行われたというよりも、正規の認証情報を用いて、正規の手続きでログインされたと表現するほうが正確だろう。EDRが反応しなかったのは、製品の問題ではなく、ある意味当然だった。

ここに、現在のセキュリティ対策の大きな落とし穴がある。一度攻撃者が正規のアカウントを手に入れ、正規のアカウントで操作されてしまうと、異常として検知できないのだ。多くの製品では「不正な挙動」を検知するが、正規アカウントの動きは異常として検知できない。