WannaCryで泣かなかった会社と、WannaCryで泣いた会社

 本セッションの講演者であるCTC 瀧本 正人によれば、CTC-SOC(Security Operation Center)で分析しているログは、1日あたり650万件。そのうちセキュリティインシデントに発展する可能性があるのは45件0.01%で、セキュリティ攻撃による被害は、全業種で企業規模に関係なく起こり得るものだ、と語る。

 攻撃の内訳を見てみると、「SQL Injection」「XSS」「Joomla Remote Code Excecution」「Shellshock」等の「比較的、古くからある脆弱性」を突いてくることがまだまだ多いことを挙げた。
ここ最近では「WannaCry」の被害報告件数が多く、注目を集めているが、2017年3月に発見された「Apache Struts 2」の脆弱性でも大規模な被害が出ており、その事例が紹介された。

 2017年3月7日、Apache Struts 2のファイルアップロード処理に起因するリモートで任意のコードを実行される脆弱性が公表されるやいなや、脆弱性を突く攻撃コードもその日のうちに公開され、攻撃者の進化・対応の速さが浮き彫りにされた。

 CTC-SOCでは、この初期攻撃を検知した段階で、IPS/IDSのブロック設定をするよう対応した。通常、IPS/IDSは、攻撃検知後にパターンファイルを配布・アップデートすることで攻撃に対処をするが、Apache Struts 2という広く使われているフレームワークの脆弱性だったということもあり、CTC-SOCでは独自の判断でIPS/IDSのブロック設定の更新を報告し、被害を最小限に食い止めることに成功した、と瀧本は語る。

 さらに本セッションでは、CTC-SOCが実際に行っている業務の様子がデモとして披露された。まず、ユーザー側のパソコンでマルウェアを含むメールを開いてしまったため、マルウェアが実行され、攻撃者がユーザー側のパソコンを遠隔操作できる様子を実演。次に、SOC側で攻撃を検知し、ファイアウォールの設定を変更した。

 すると、攻撃者側の端末で、侵入できていたユーザー側のパソコンとのセッションが切断された様子が映し出された。

 このデモでは、CTC-SOCが攻撃を検知した後に顧客のファイアウォールの設定を変更したことで、顧客の被害を小さく食い止めることができたわけだが、瀧本はこの様子を解説しつつ「製品を入れるだけではセキュリティ対策にならない」「適切な運用を行うことが、正しいセキュリティ対策」と述べた。

 そして、その運用の代行を可能にしたのがCTC−MSS(Managed Security Service)であり、CTC-MSSは、世界的な情報セキュリティ対策企業「BAE SYSTEMS」との提携により提供される、統合マネージドタイプのサービスで、世界6拠点を持つBAE SYSTEMSでは、グローバルレベルの分析能力を有し、常に世界6拠点での情報共有が行われている。さらに、CTC-MSSでは、次世代エンドポイントソリューション「SentinelOne」の取扱も開始したことで、クライアント向けのエンドポイントセキュリティにも対応することができるようになった。

 ユーザーが自らログを見て攻撃の種別を判断し、それに応じた対策を打っていくのは、人的リソースにも知見的にも限界があるため、CTC MSSのようなサービスをアウトソースすることもセキュリティ対策として有効な一手と思われる。CTC MSS についての詳細については、下記よりお問合せ願います。

お問合せボタン