エグゼクティブサマリー
新型コロナウイルス(COVID-19)の感染拡大により、世界中で労働者の日常生活は様変わりしています。攻撃者はこうした状況につけ込み、フィッシング、詐欺、デマ拡散といったさまざまな罠に善意のユーザを陥れようとしています。Cisco Talos としても監視を続ける中で、新たな攻撃の手口はいまだ観察されていないものの、コロナ騒動につけ込む攻撃が徐々に増え始めている現状を目の当たりにしています。このため Talos では引き続き状況を監視しながら、セキュリティ業界、お客様、法執行機関、政府/自治体との情報共有を図っています。
コロナ騒動を悪用した脅威から組織を保護するうえで、既存の強力なセキュリティインフラが頼りになるならば、それに越したことはありません。一方でセキュリティ部門には、新たなリモート環境でも既存の保護対策やセキュリティ機能が十分に効果を発揮するように万全を期す必要があります。また、脅威の概要とその特定方法をユーザが理解し、リモートワークにおけるセキュリティについてのベストプラクティスが組織全体に浸透するよう、徹底させることも求められます。
Talos の取り組み
Talos がこれまでに把握している新型コロナ関連の攻撃は次の 3 種類に大別されます。そのいずれにも既知の APT が関与しています。
- コロナ騒動につけ込むマルウェアとフィッシング戦術
- コロナ関連の調査や作業に従事する組織を標的とした攻撃
- 詐欺とデマ情報
医療用マスクの販売を謳う詐欺の Web サイト
Talos はコロナ騒動に便乗した攻撃の監視を続けながら、悪質なドメイン、スパム、フィッシング攻撃を積極的に検出し、ブロックしています。さらに、法執行機関や政府機関とのインテリジェンス パートナーシップ プログラム「AEGIS」と Cyber Threat Alliance(CTA)を通じてお客様やパートナーと情報を共有しています。また、Cisco Talos インシデント対応(CTIR)継続契約にご加入のお客様は、COVID に関連する脅威インテリジェンスもいち早く受け取ることができます。CTIR 継続契約をお持ちで、より直接的なサービスをご希望の場合は、関連攻撃への対策について Talos のインテリジェンスアナリストに直接ご相談いただけます。最悪の事態に備えて、インシデント対応計画・戦略を見直すと同時に、それらの予行演習を実施しておくこともお勧めします。
ユーザが取るべき行動
テレワークでしか起こりえないセキュリティ上の問題が浮上するなど、これまでには見られなかった新たな懸念も浮上し始めています。今、従業員に求められているのは、コロナ関連の添付ファイルやリンクが埋め込まれた迷惑メールに細心の注意を払うことです。Talos が把握する限り、悪質な電子メールの数は 1 月末以降全体的に減少傾向にあります。Necurs ボットネット撲滅運動と Emotet スパムメールの最近の活動休止が重なったことがその主因と考えられます。とはいえ、スパムやフィッシング攻撃で新型コロナウイルスが題材として悪用されるケースは急増しており、こうした動きは騒動が収束するまで続くと見られます。
従業員は自宅で仕事をする際も、オフィスで通常行っているのと同様のリスク対策を講じる必要があります。たとえば、デバイスから離れるときは画面をロックし、信頼できる安全な Wi-Fi アクセスポイントのみを使用するといった対策です。また、データの衛生状態を適度に保ち、会社のデータを会社が保護するストレージに保存するといった習慣の徹底も重要になります。そして、会社のデバイスを私用することも避けましょう。
企業が取るべき行動
企業は感染爆発に備えるべく、新たなボーダレス環境の構築に注力する必要があります。これには、以下で説明する IT 部門、可視性、および対応面での改善が含まれます。テレワークとリモートアクセスのフレームワークは、NIST SP 800-46 を活用することで構築できます。関連攻撃の発見、回避、報告を各従業員が行えるように、セキュリティ意識の向上を図る必要もあります。そして、高い専門性と豊富な経験を兼ね備えたセキュリティ部門には、コロナ騒動につけ込んだ攻撃者の行動を追跡することが求められます。
Talos が企業のセキュリティに関連して見直しを特に推奨するのは以下の点です。
リモートアクセス
Remote Desktop Protocol(RDP)をインターネットに公開しないようにしましょう。VPN への接続には、Cisco Duo などの安全な多要素認証方式を使用することをお勧めします。さらに、NAC ソリューションを活用すれば、企業環境にリモートから接続を試みるシステムが最小限のセキュリティ要件(マルウェア対策やパッチレベルなど)を満たしているか接続前に確認できます。アクセスポリシー違反の監視と是正は常時続けるようにしましょう。
ID 管理
重要なアプリケーションや一般公開されているアプリケーションは、多要素認証とそれに関連する企業ポリシーを使用して保護するようにしましょう。また、リモートアカウントとリモートアクセス端末がテレワーク環境でも想定どおりに動作することを確認しておきましょう。
エンドポイントの制御
多くの従業員がホームネットワーク経由で仕事をする可能性があるため、Cisco AMP for Endpoints などのソリューションを利用してエンドポイントの可視性、保護、被害軽減を図ることが今まで以上に重要になります。また、修復機能や再イメージ化機能がリモート環境でも想定どおりに動作するかどうかを確認しましょう。また、可能な場合はデバイスを暗号化し、接続のゲートとして NAC ソリューションにもこのようなチェックを追加しましょう。エンドポイントを保護する別のシンプルな方法は、Umbrella などにより DNS 経由で接続する方法です。DNS ソリューションは悪意のあるドメインの解決をブロックするため、ホストはそのようなドメインに接続できなくなります。
データ管理
重要データがどこに存在し、それらのデータに誰がアクセスでき、重要データが環境内で(あるいは、現在の状況下では環境外にも)どのように移動するかを、きちんと把握しておきましょう。リモートワーカーが組織のポリシーに従って安全にデータを共有できるように適切な対策を講じておく必要があります。また、ポリシー要件に反して移動される重要データを常に監視するようにしましょう。そして、オフプレミスデータのバックアップ方法を考慮してバックアップ戦略を見直すようにしましょう。
意識向上トレーニング
スパム、フィッシング、SMS 詐欺、ソーシャルエンジニアリングに関する情報や、組織内部のセキュリティ対策プロセスに関する情報をユーザと共有しましょう。また、包括的なセキュリティ意識向上プログラムを通じて、企業リソースの適切な使用方法を従業員に理解させるようにしましょう。すでに CTIR 契約をお持ちで、さらにサポートが必要なお客様は、既存の契約を活用して自社の準備度合いを評価することができます。
プロセス
現在の対応計画を見直し、1 人の従業員の順守違反が環境全体に影響するケースをすべて特定し、そのような事態に備えて計画を立てましょう。また、現在オンプレミスでしか実行できない運用機能(フォレンジック分析やデータ取得、エンドポイントの再イメージ化など)を特定し、リモート環境でも実行できるように対策を講じましょう。
Talos からの関連コンテンツ
新型コロナウイルスに関連するその他の Talos コンテンツについては、以下をご覧ください。
- 新型コロナウイルスの感染拡大に便乗する攻撃者
- 『Beers with Talos』エピソード74:新型コロナウイルスの蔓延によりリモートワークが世界中で浸透…
- 『Talos Takes』エピソード7 :コロナの恐怖につけ込む攻撃者たち
- 『Talos Takes』エピソード11:コロナ騒動が続く中でデマ情報を見抜く方法
終局はいずこ
残念ながら、コロナ騒動に便乗した攻撃は当面続くでしょう。攻撃者はパンデミックという世界的な緊急事態につけ込み、既存の手口で多様な侵入経路からユーザを狙います。防御側としては、数週間前までに導入した対策が、こうした攻撃の多くに対してなお有効であることを認識しておくことが重要です。その一方で、リモートワークが増加している今、攻撃対象領域が拡大していることも認識しておかなければなりません。こうした点を念頭に置いていない限り、仕事環境の変化にセキュリティ対策が追い付くことはありません。信頼性の高い多層防御の構築に注力しつつ、効果的なセキュリティ意識向上プログラムを設けることで、現在および将来の脅威を回避することができます。
本稿は 2020年3月26日に Talos Group のブログに投稿された「 Threat Update: COVID-19」の抄訳です。