
セキュリティ監視・運用・診断|知る×学ぶ
WannaCryで泣かなかった会社と、WannaCryで泣いた会社
伊藤忠テクノソリューションズ(以下、CTC)のCTC-SOC(Security Operation Center)で分析しているログは、1日あたり650万件。
同社の瀧本正人氏は、そのうちセキュリティインシデントに発展する可能性があるログは45件(0.01%)で、セキュリティ攻撃による被害は、全業種で企業規模に関係なく起こり得るものだ、と語る。
攻撃の内訳を見てみると下記等の「比較的、古くからある脆弱性」を突いてくることがまだまだ多いことを挙げた。
- SQL Injection
- XSS
- Joomla Remote Code Excecution
- Shellshock
本記事では、WannaCry の被害を最小限に食い止めた方法について語られた講演の概要をご紹介する。

▼ 目次
・WannaCryの猛威
・マルウェアへの対応(デモンストレーション)
1. WannaCryの猛威
ここ最近では「WannaCry」の被害報告件数が多く、注目を集めているが、2017年3月に発見された「Apache Struts 2」の脆弱性でも大規模な被害が出ており、その事例が紹介された。
2017年3月7日、Apache Struts 2のファイルアップロード処理に起因するリモートで任意のコードを実行される脆弱性が公表されるやいなや、脆弱性を突く攻撃コードもその日のうちに公開され、攻撃者の進化・対応の速さが浮き彫りにされた。
CTC-SOCでは、この初期攻撃を検知した段階で、IPS/IDSのブロック設定をするよう対応した。
通常、IPS/IDSは、攻撃検知後にパターンファイルを配布・アップデートすることで攻撃に対処をするが、Apache Struts 2という広く使われているフレームワークの脆弱性だったということもあり、CTC-SOCでは独自の判断でIPS/IDSのブロック設定の更新を報告し、被害を最小限に食い止めることに成功した、と瀧本は語る。
2. マルウェアへの対応(デモンストレーション)
瀧本は、CTC-SOCが実際に行っているマルウェアへの対応業務の一部をデモとして披露した。
デモの内容と流れは下記の通りだ。
- ユーザーのパソコンでマルウェアを含むメールを開く
- マルウェアが実行され、攻撃者がユーザー側のパソコンを遠隔操作
- CTC-SOCが攻撃を検知し、ファイアウォールの設定を変更
- 攻撃者側の端末と侵入できていたユーザー側のパソコンとのセッションが切断
上記デモでは、CTC-SOCが攻撃を検知した後に顧客のファイアウォールの設定を変更したことで、顧客の被害を小さく食い止めることができたわけだが、瀧本は下記の点を強調した。
- 製品を入れるだけではセキュリティ対策にならない
- 適切な運用を行うことが、正しいセキュリティ対策
さいごに
ユーザーが自らログを見て攻撃の種別を判断し、それに応じた対策を打っていくのは、人的リソースにも知見的にも限界があるため、CTC MSSのようなサービスをアウトソースすることもセキュリティ対策として有効な一手と思われる。
CTC-MSS の詳細については、下記よりご覧いただきたい。