閉域網のセキュリティ対策  自己拡散型マルウェアの被害を防ぐには？

閉域網とは？

閉域網とは、インターネットおよびインターネットに接続されている機器には接続されておらず、外部から直接アクセスすることが不可能な通信ネットワークのことを指します。

閉域網を使用している例には、人の身体の安全や生命にかかわる病院、多額の財産を扱う金融機関、通信障害などによる遅延が許されない放送会社、マイナンバーなど重要な個人情報を扱う行政機関などが挙げられます。

また、会社のサーバと仮想ネットワークを経由してPCを接続する閉域網VPN（IP-VPN）のように、インターネットに対して、閉域網を経由して接続しているクローズドネットワークもあります。これもインターネットに直接接続するネットワークではないため、閉域網の一種として考えられています。

いずれにしても、インターネット経由の攻撃・通信傍受・データ改ざんなどから安全にネットワークを隔離することが目的で用いられています。

閉域網はどこまで安全なのか？

閉域網はインターネットから隔離されているので、Webやメールからのマルウェアの感染被害が出るものではありません。

しかし、マルウェアによる攻撃を100％避けられるということではなく、閉域網でもセキュリティ対策は必要です。

例えば、USBデバイスや、閉域網の機器をメンテナンスするための持ち込み保守端末の接続によりマルウェアに感染することがあります。また、ファームウェアにマルウェアが忍び込んでいる例もあるのです。

これらの例から、閉域網はインターネットから遮断されているから安全であるとは言いがたいことがわかります。

ランサムウェアの手口

ランサムウェアにはバリエーションがありますが、攻撃のシナリオは共通しており、以下の特徴があります。

• 入口出口ではマルウェアと検知できない亜種・新種が多く、パターンを用いるような製品での対策は難しい。
• 閉域網の内部でも拡散してしまう。
• OSのセキュリティパッチなどの適用が難しい

例えば、1本のUSBデバイスにランサムウェアの仕組まれたソフトウェアが格納されていた場合、このソフトウェアを閉域網でコピーしようとすると、どうなるでしょうか？

USBデバイスを接続した時点では何も実行されないので検知されません。ソフトウェアとしてインストールされた時点でも、一見何も問題がないように見えます。これは、タイムボムの仕組みを使ってあとから攻撃を開始するためです。時間が経つにつれに、密かにランサムウェアが実行され自己拡散し、次々とほかのPCがランサムウェアに感染していくことになります。

ランサムウェアの被害と対策

ランサムウェアは、2017年ごろを中心に急速に被害が広がった時期があります。各国のマスコミでも大きな話題になったので、耳にしたことがある人も多いでしょう。ランサムウェアはメール経由でPCに侵入することがあるほか、USBデバイスなどのデバイスからの感染もあり、ネットワークのメンテナンスのために接続された機器からの感染もあります。そのため、閉域網でのランサムウェア感染についても対策が必要になります。

ランサムウェアの被害は2種類あります。PCやデータに関する被害と金銭的被害です。

PC全体を暗号化して正常に動作させなくする暗号化ランサムウェアに感染すると、データを完全に復元することは困難となり、データの破壊、可用性の損失といった被害が生じます。

ランサムウェアは英語のRansom（身代金）に由来する名称であり、身代金の要求のように、「お金を支払えばPCを解放する」との要求が画面に表示されます。

この要求に乗ってしまうと、金銭的な損失も生じます。

現在では、「丸ごと暗号化」や「画面を暗号化」されたなどで動かなくなったPCに対しては、セキュリティベンダー各社が参加する「No More Ransomプロジェクト」において、復号化のための無償サポートが行われています。

同プロジェクトのWebサイトでは、要求された金銭を支払ってはならないことも同時に呼びかけており、技術的な対応だけでなく、啓蒙で被害を軽減・予防する活動もしています。

閉域網のセキュリティ対策

• デバイス間の通信振る舞いを監視

  自己拡散型のマルウェアの検知に関しては、監視対象をデバイス間の通信振る舞いにまで広げることが必要です。自己拡散型マルウェアに共通な振る舞いパターンを異常の検知に利用することができるためです。

• 異常を検知したデバイスの切り離し・自動遮断

  デバイス間の通信振る舞いの監視からデバイスの異常を検知した場合には、自動的に即座に切り離しを行い、攻撃による悪影響を限定させ、拡散を食い止める必要があります。