ネットワーク機器 ランサムウェア対策

ネットワーク機器 ランサムウェア対策

最近巷を騒がせているマルウェアの一種にランサムウェアが
あります。平たく言うと侵入した後、管理者権限を奪って
重要ファイルなどを暗号化したのちに身代金を要求する手口です。
単純ですが効果は抜群ですよね。

今一番多い侵入経路としてはメールやVPNなどでしょうか。
最近Fortinet社のFortiOS7.4系では一部OSからSSL-VPNが利用不可となり
FortiOS7.6系からは完全に廃止となっています。IPSEC VPNは
引き続き使えます。

IPSEC VPNがまだ多くのネットワーク機器で実装されていることを考えると
VPN自体は技術としてはまだまだ使えるのでしっかりと運用で
カバーしていくべきなのです。ただパッチを定期的に当てるのが面倒だったり
侵入されてから横移動しやすいというウィークポイントを持っているのも
事実です。ゼロトラストネットワークだと横移動しずらいのでセキュリティは
強固になるのですが導入費が跳ね上がります。

それでは既存の環境でどのような対策がとれるのか以下の観点から
考えていきたいと思います。

�@ ファームウェアの更新
�A 不要な接続の遮断
�B 認証の強化
�C アクセス制御（横展開防止）
�D 資産管理の徹底

�@ ファームウェアの更新
[目的]
既知の脆弱性を利用されないようにする(特にVPNまわり)

[対策]
・ベンダーセキュリティサイトの確認やメールの登録
・利用しているネットワーク機器に該当するパッチが出た場合は必然的に更新する
・重大度の高いパッチは優先して更新する
　→CriticalやHigh
・サポート切れ機器は利用しない
・SSL-VPNは利用しない

[ポイント]
・作業前にバックアップ取得
・本番環境でパッチを当てるまえに検証環境で実施して、通信試験
・作業手順書、運用手順書などを作成して1回の作業で終わらせない

�A 不要な接続の遮断
[目的]
攻撃される対象を極力少なくする

[対策]
・当たり前だが通信は必要なものに絞る
(以外となぜこのポートが空いてるの？って設定が入っている場合が多い)
・WAN側ポートはPING/TELNET/HTTPS接続など遮断しておく
・管理ポートに接続できる人を限定

[ポイント]
・設定、通信の定期的な棚卸しを運用で実施する
　→必要がなくなったルールなどから侵入される
・SSL-VPN装置の撤去、使っていないVPN環境の撤去
　→テレワーク時に導入したがオフィス回帰でもう利用していないなど

�B 認証の強化
[目的]
管理権限を守る、奪われない(これを奪われると大体終わり)

[対策]
・デフォルト設定の排除
　→admin/admin、administrator/password、cisco/ciscoなど安易なものにしない
・管理ポートの変更
・アカウントの管理
・MFA(二要素認証)の導入

[ポイント]
・接続できる管理者や方法などを限定的にする
・利用していないアカウントの削除
　→退職者などのアカウントは残さない
　→ユーザーやパスワードを定期的に変更する
・セキュリティ対策をしっかりする
　→証明書などを導入することで簡単には接続させない

�C アクセス制御
[目的]
侵入されても被害を広げない(横展開は絶対にブロック)

[対策]
・デフォルト設定は常にブロック
　→FWなどは基本的に暗黙のDeny設定がはいるが通信は必要なもののみ許可する
・セグメント分離
　→利用する環境ごとにセグメントは必ずわける。
・内部から外部の通信も極力しぼる
　→C2攻撃などは侵入したあと外との通信を発生させるため

[ポイント]
・必要ないものは極力ネットワークにつながない
・ランサムウェアはバックアップデータを狙ったりするので
コールドバックアップなどで絶対に手の届かない場所で管理
　→昔ワンビシって会社を利用していたことがあり決まった時間に
テープバックアップを遠隔地に運んで保管してくれるサービスがあった。
今思えばランサムにはかなり有効だよな。ちなみに今このワンビシは
株式会社NXワンビシアーカイブズという名前で日本通運ホールディングスの
完全子会社になっています

�D 資産管理の徹底
[目的]
管理側が知らない機械を作らない

[対策]
・資産管理ツールの導入
　→資産管理台帳を自動で作成(Excelなどで人が作成していると限界がくる)
・定期的な棚卸し
・ログの集中管理

[ポイント]
・資産管理ツールを導入して自動化ももちろん必須ですがなんだかんだ
人がみて確認するということも大事。知らない機械やルールが勝手に
部署ごとにあってそこから情報が洩れるということもありうる。

正直侵入や攻撃を100%防ぐのは無理です。これは断言できます。
ポイントは侵入されたあとどのような対策・対応ができるかに
かかっています。これは攻撃されてからでは遅いので普段から準備して
万全の対策を取っておく必要があります。

健康な時はわからないのですが病気になってからはじめて健康の大切が
わかります。企業だと一度情報漏洩すると信用を回復するのは並大抵の
ことではありません。高い、普段使わないならもったいないではなく
セキュリティ対策はお金を使ってでも事前にやっておくことをお勧めします。