This post is also available in: English (英語)
ホワイトハウスと米国サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)は最近、「ロシアが米国、NATO加盟国、ウクライナを支援する同盟国の組織に対し、破壊的なサイバー攻撃を行う可能性がある」と警告しました。
Unit 42でもここ1ヶ月、ウクライナで発生している関連サイバー攻撃を文書化してきました。米国当局がインテリジェンスの進展にともなう破壊的サイバー攻撃の可能性を示唆したことから、すべての組織ができるだけ早く、サイバーセキュリティポリシーとインシデント対応計画を見直し、セキュリティ体制を強化することが重要であると考えられます。
以下は、組織が今すぐ保護対策を講じるための推奨事項と、長期的に継続して実施するサイバー衛生のベストプラクティスです。
組織のニーズと潜在的なサイバーリスクのバランスを取るにはどうすればよいかを検討する必要があります。ビジネスの中断を避けるとともに、組織の警戒態勢や回復力を高めるため、セキュリティツールやセキュリティ慣行を取り入れることが重要です。そうすることが、報復的サイバー攻撃の可能性を回避し、その他の攻撃活動を防止することにつながります。
フィッシング攻撃
フィッシングやスピアフィッシングでは、脅威アクターが話題性のあるイベントを話題や誘い水に利用することが多く、Unit 42でも、ウクライナでの軍事行動が始まるまでの間に、マルウェア配布のためにウクライナの組織に対してスピアフィッシング攻撃が行われていた様子を観測しています。
防御増強のために今すぐできること
- URLフィルタリングのベストプラクティスに従う。 いくつか例を挙げます。
- すべての悪意のあるカテゴリをブロックし、Threat Adjacentカテゴリ(既知の脅威が利用するツールや手法に関連するカテゴリ。ダイナミックDNS、グレイウェア、ハッキングなど)を警告するか、ブロックするよう検討する。
- 「ゼロ号患者」となる悪質なURLに対し、インラインで高度なURLフィルタリングを行う保護への切り替えや有効化を検討する。
- DNSセキュリティのサブスクリプションを使用する。
- WildFireのURL解析を利用する。最近の攻撃は多段階で行われるため。
- 脅威防御サブスクリプションを有効にしている場合はプロファイルを作成してシグネチャを有効にしていることを確認する。
- フィッシングへの防御を強化する。
- ファイアウォールでのURLフィルタリングを有効にする。
- Microsoft Office のマクロを無効にする。
- 不審なメール、SMS、偽の支援サイトを見分けるための従業員教育を行う。
- レベル6~8を目標としてCASMMなどのパスワードセキュリティのベストプラクティスに従うとともに、多要素認証(MFA)を導入する。
- ファイアウォールにCredential Phishing Prevention(認証情報フィッシング防止)を設定し、認証情報が本来使用されるべきでない場所で使用されるのを防ぐ。
- 送信者やドメインに見覚えがない場合、とくにその人からのメッセージを受け取ることを予定していない場合は、疑わしい電子メールやファイル、リンク、プログラムを開いたり、クリックしたり、実行したりしない。認証情報を入力する前にいったん落ち着いて、表示されているのが本当に自分の意図しているページかどうかを確認するとよい。唐突に多要素認証(MFA)の画面がポップアップしてきたときは細心の注意を払う。自分のログイン試行であることが確認できない場合はMFAの許可をクリックしない。
- すべてのソフトウェアを最新の状態に保つ。インターネットに面したサービスにはすべて早急にパッチを適用する。攻撃者は日和見主義なので、組織のシステムへのアクセスを可能にする方法があればそれが何であれ利用される。開発ライフサイクル全般についてアップデートを慎重に継続して行うことも重要(たとえば隔離された開発環境でまずテストするなど)。これにより、アップデートにサボタージュが含まれないようにし、意図しない動作をしないようにする。(最近の例ではnode-ipcパッケージのアップデートに、ウクライナ・ロシア紛争に抗議する目的で、意図しない動作をするモジュールが含まれていたことがある)。アップデートは公式サイトからのみインストールする。ソフトウェア監査を実施し、使用しなくなったソフトウェアや信頼できないソフトウェアを削除することでサプライチェーン攻撃リスクを緩和する。
- Cortex XDRを使用している場合は最新のエージェントバージョンとコンテンツに更新する。ロシア・ウクライナ間のサイバー活動に対するCortex XDRの保護については最近の記事を参照のこと。
- ネットワーク上のユーザー権限を制限する。アクセス制限を最小権限の原則に基づいて行い、潜在的影響を緩和する。ネットワーク上の重要なシステムが隔離されていることを確認する。クラウド環境では人間も人間以外も含めたすべてのIDのエンタイトルメントを評価する。
- ドメインのグループポリシー設定を確認する。疑わしいポリシーや古くなったポリシーがないことを確認する。
- ただちにバックアップに時間とリソースを投資する。ワイパーやランサムウェアは増加傾向にあり、クラウド上のデータすら暗号化できる。バックアップがないことよりまずいのは、肝心のバックアップが動かないことだけなので、バックアップの復元テストの時間を作ること。(クラウド上のバックアップも含め)バックアップの暗号化を検討する。
- インシデント対応と事業継続計画のレビューを行う。そのシナリオに破壊的性質のものは含めてあるのか、指揮系統は最新かを確認。
- リテーナを準備する。インシデント対応、外部専門家による助言、危機管理広報チームを依頼するためのリテーナの交渉を事前に済ませておき、いざインシデントが発生したときに不意をつかれないようにする。すでにリテーナがある場合は、リテーナ提供業者に連絡し、警戒態勢が強化されたことを通知する。
長期的なサイバー衛生のベストプラクティス
サイバーセキュリティ態勢強化、防御増強のための提案事項を以下に示します。
- 中小企業はクラウドソリューションへ移行を: クラウドにおけるサイバーセキュリティベストプラクティスに従い、DDoS対策でWebサイトを保護する。
- ゼロトラストアプローチを採用して組織のセキュリティを確保する。
- 仕事とプライベートで同じノートパソコンやスマートフォンを使わない。
- 自社ネットワークで定期的なペネトレーションテスト(レッドチーム演習)をスケジューリングする。
- フェイルオーバーサイト、バックアップ復元、人員不足への対応、ナレッジトランスファーなど、緊急時対応計画をテストする。
- すべてのソフトウェアのアップデートを継続し、ソフトウェアのバージョン、パッチ、最後に適用されたアップデートのログを保持する。
- 基本的セキュリティ慣行についての社員教育の継続。たとえばフィッシングメールによる社員テストの実施。
- ソースコードのセキュリティ、データの暗号化、ペネトレーションテストなど、新しい製品やプロジェクトには最初からセキュリティを組み込んでおく。
今はサイバーセキュリティのベストプラクティスに従うとき
今はパニックになるのではなく、警戒を強め、確かな脅威に対する認識を高める時期です。それはつまり、セキュリティポリシーを見直し、緊急時対応計画の演習を行い、組織や業界に対する潜在的脅威を認識すべき時期です。私たちにできることはこれから起こるかもしれないことに備えることで、そこに至るには実践を重ねておかねばなりません。
追加リソース
DDoS、HermicWiper、Gamaredon、Webサイト改ざんなどロシア・ウクライナ問題関連のサイバー攻撃へ備えを
2022-03-30 11:30 JST 英語版更新日 2022-03-29 13:00 PDT の内容で初版公開