閉域網のセキュリティ対策  自己拡散型マルウェアの被害を防ぐには?

閉域網は、インターネットに接続されていないクローズドネットワークです。インターネット経由の攻撃を防ぐことができる点がメリットですが、サイバー攻撃にはインターネット経由以外からのマルウェア攻撃もあります。これらの攻撃を受けると、ネットワークと会社の財産に大きな被害が出る可能性があります。

今回は、閉域網におけるセキュリティ対策に焦点を当てて説明します。

閉域網とは  どこまで安全?

閉域網の定義や実例を踏まえて、実際に閉域網はどこまで安全といえるのか、詳しく説明します。

閉域網とは?

閉域網とは、インターネットおよびインターネットに接続されている機器には接続されておらず、外部から直接アクセスすることが不可能な通信ネットワークのことを指します。

閉域網を使用している例には、人の身体の安全や生命にかかわる病院、多額の財産を扱う金融機関、通信障害などによる遅延が許されない放送会社、マイナンバーなど重要な個人情報を扱う行政機関などが挙げられます。

また、会社のサーバと仮想ネットワークを経由してPCを接続する閉域網VPN(IP-VPN)のように、インターネットに対して、閉域網を経由して接続しているクローズドネットワークもあります。これもインターネットに直接接続するネットワークではないため、閉域網の一種として考えられています。

いずれにしても、インターネット経由の攻撃・通信傍受・データ改ざんなどから安全にネットワークを隔離することが目的で用いられています。

閉域網はどこまで安全なのか?

閉域網はインターネットから隔離されているので、Webやメールからのマルウェアの感染被害が出るものではありません。

しかし、マルウェアによる攻撃を100%避けられるということではなく、閉域網でもセキュリティ対策は必要です。

例えば、USBデバイスや、閉域網の機器をメンテナンスするための持ち込み保守端末の接続によりマルウェアに感染することがあります。また、ファームウェアにマルウェアが忍び込んでいる例もあるのです。

これらの例から、閉域網はインターネットから遮断されているから安全であるとは言いがたいことがわかります。

閉域網に対する攻撃の手口とは?

閉域網にUSBデバイスなどを利用して行われるサイバー攻撃があります。

閉域網に接続されたUSBデバイス、ファームウェアなどからランサムウェアのようなマルウェア、特に自己拡散型マルウェアが入ると、ネットワーク内部での広がりを止められません。

攻撃者は、出口も入口もない閉域網で攻撃が広がることをねらっているのです。

閉域網に対する攻撃の代表例と手口をもう少し詳しく説明しましょう。

ランサムウェアの手口

ランサムウェアにはバリエーションがありますが、攻撃のシナリオは共通しており、以下の特徴があります。

  • 入口出口ではマルウェアと検知できない亜種・新種が多く、パターンを用いるような製品での対策は難しい。
  • 閉域網の内部でも拡散してしまう。
  • OSのセキュリティパッチなどの適用が難しい

例えば、1本のUSBデバイスにランサムウェアの仕組まれたソフトウェアが格納されていた場合、このソフトウェアを閉域網でコピーしようとすると、どうなるでしょうか?

USBデバイスを接続した時点では何も実行されないので検知されません。ソフトウェアとしてインストールされた時点でも、一見何も問題がないように見えます。これは、タイムボムの仕組みを使ってあとから攻撃を開始するためです。時間が経つにつれに、密かにランサムウェアが実行され自己拡散し、次々とほかのPCがランサムウェアに感染していくことになります。

ランサムウェアの被害と対策

ランサムウェアは、2017年ごろを中心に急速に被害が広がった時期があります。各国のマスコミでも大きな話題になったので、耳にしたことがある人も多いでしょう。ランサムウェアはメール経由でPCに侵入することがあるほか、USBデバイスなどのデバイスからの感染もあり、ネットワークのメンテナンスのために接続された機器からの感染もあります。そのため、閉域網でのランサムウェア感染についても対策が必要になります。

ランサムウェアの被害は2種類あります。PCやデータに関する被害と金銭的被害です。

PC全体を暗号化して正常に動作させなくする暗号化ランサムウェアに感染すると、データを完全に復元することは困難となり、データの破壊、可用性の損失といった被害が生じます。

ランサムウェアは英語のRansom(身代金)に由来する名称であり、身代金の要求のように、「お金を支払えばPCを解放する」との要求が画面に表示されます。

この要求に乗ってしまうと、金銭的な損失も生じます。

現在では、「丸ごと暗号化」や「画面を暗号化」されたなどで動かなくなったPCに対しては、セキュリティベンダー各社が参加する「No More Ransomプロジェクト」において、復号化のための無償サポートが行われています。

同プロジェクトのWebサイトでは、要求された金銭を支払ってはならないことも同時に呼びかけており、技術的な対応だけでなく、啓蒙で被害を軽減・予防する活動もしています。

閉域網の適切なセキュリティ対策とは?

上述のように、閉域網に対する攻撃は、ひとたび組織内ネットワークに入ると大きな被害を生じさせる可能性があります。閉域網には多くの機密情報、扱いに注意を要する情報が含まれているため、適切な対策を行う必要があります。

有効なセキュリティ対策のポイントは、攻撃の入口となるデバイスの監視と異常が認められたデバイスの切り離しです。

閉域網のセキュリティ対策

  • デバイス間の通信振る舞いを監視

    自己拡散型のマルウェアの検知に関しては、監視対象をデバイス間の通信振る舞いにまで広げることが必要です。自己拡散型マルウェアに共通な振る舞いパターンを異常の検知に利用することができるためです。

  • 異常を検知したデバイスの切り離し・自動遮断

    デバイス間の通信振る舞いの監視からデバイスの異常を検知した場合には、自動的に即座に切り離しを行い、攻撃による悪影響を限定させ、拡散を食い止める必要があります。

閉域網への攻撃に万全な対策を

閉域網は、一見するとサイバー攻撃に強いように見えますが、ひとたび自己拡散型マルウェアが組織内ネットワークに侵入してしまうと、攻撃とその悪影響を容易に止めることができません。そのうえ、閉域網には多くの機密情報や扱いに注意を要する情報があるため、被害が甚大になりがちです。

そこで、適切で有効な対策を行う必要があります。有効なセキュリティ対策のポイントは、攻撃の入口となるデバイスの監視と異常なデバイスの切り離しです。

しかし、相当数のデバイスを管理する会社組織の閉域網で、すべてのデバイスを人の手で監視し切り離すことは、現実的ではないでしょう。自動で監視・遮断が可能になるソリューションでの対策が現実です。例えば、「iNetSec SF(アイネットセックエスエフ)」のようなアプライアンス製品ならば、自己拡散型のマルウェアに感染した端末の監視・遮断にも対応しており、閉域網のサイバー攻撃対策としてより強力です。

閉域網であってもサイバー攻撃と無縁ではないので、閉域網に特化したセキュリティ対策を導入し、サイバー攻撃から会社を守りましょう。

SHARE