2026年4月18日 アスクルのランサムウェア攻撃の考察 [セキュリティ研究室]

日付:
 こんにちは!
 ナビゲータのEVEです。

 経営法務で新たな事実が判明・・・。
 過去問を解答しながら、見たことない問題ばかりだと思いましたが、よく考えたら、経営法務に科目合格したその年は、Studyingで、スマート問題までしか実施できていませんでした。
 Stydyingには、私が受講していた当時、講義、スマート問題、過去問セレクト、そして、過去問があるのですが、経営法務に合格した年は、スマート問題までしか解答できませんでした。
 受講開始したのは、受験日前年の10月、11月だったのになぜか???それは、財務・会計経済学・経営政策が全く理解できなかったから・・・。
 それに加えて、運営管理もところどころ何を言っているのか意味不明な点があり、一発で合格しようと努力した結果、きちんと理解できたのは、スマート問題までという状況でした。
 だから、現在見る経営法務の資料は、他の資料と比較すると脆弱で、解答する過去問は、初めて見る問題ばかり・・・。そのため、現在苦労しているようです。
 そんな状況を分析しながら、よく合格したなって驚きます。まっ、ある程度法律という分野に耐性があって、かつ、本番時、頭がさえていたから?
 ただ、確か、経営法務は、2日目で、その日は睡眠時間が3時間だったような・・・?まっ、こういうこともあるということでしょう!とりあえず、頑張ろうっと!
 では、本日は、土曜日ということで、セキュリティの日です。先週の続きの話をしましょう。

[先週までは]

 先週までは、ウイルスの権限昇格を防ぐ方法を以下のように列記し、「バックアップネットワークを分離する)」まで話をしました。本日は、先週の続きで、「サーバー間通信を“許可制(Allowlist)”にする」から話を進めましょう。

①権限設計(Privilege Design)で求められること
管理者権限を分離する(Tierモデル)
ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)
サービスアカウントの権限を最小化する
ドメイン管理者は日常利用しない
ログオンできる場所を制限する(Logon Restrictions)
 → 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。
②ネットワーク構造(Network Segmentation)で求められること
ネットワークを分割する(VLAN / セグメント)
管理ネットワークを分離する
バックアップネットワークを分離する
サーバー間通信を“許可制(Allowlist)”にする
SMB/RDPなど横展開に使われるプロトコルを制限する
 → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。

[サーバー間通信を“許可制(Allowlist)”にする]

 この内容を聞いて、パッと思い出すのは、ゼロトラスト・・・。
 ゼロトラストとは、「すべてを信じるな!」っていうことです。
 古いネットワークは、境界防御が主流でした。ペリメタリセキュリティともいい、信用できるネットワークと信用できないネットワークを分離し、その境界の防御をしっかりとしようというものです。
 しかし、近年、ハッカーたちがいろいろなルートで侵入を試みるようになり、境界防御が無意味なものになりつつあります。そのため、境界防御のいいところは残しつつ、現在のセキュリティは、ゼロトラストを中心に語られるようになりました。実は、ゼロトラストとは通信だけではなく、防御をする対象へのすべてのアクセスを指しています。USBとか、DVDとかを、例を挙げれば分かっていただますでしょうか?
 では、実際にはどんなことを言っているのか、Copilotに解説をしてもらいます。

 「サーバー間通信を許可制(Allowlist)にする」とは、サーバー同士が“勝手に通信できないようにし、必要な通信だけを明示的に許可する”という意味。
 境界防御の中でも、侵入後の横展開を止めるための“最重要ポイント”の一つです。  サーバー同士の通信を、デフォルト拒否(Deny)にし、必要な通信だけ ACL/Firewall で許可(Allow)する構造にすること。
■何をするのか?
① サーバー同士は基本的に通信できない状態にする
VLAN で分離しても、L3 で許可すれば通信できてしまう
 → VLAN で分離しても、L3 で許可すれば通信できてしまう
② 必要な通信だけを Allowlist に登録する
  • Web → AP:TCP 443 のみ
  • AP → DB:TCP 1433 のみ
  • バックアップサーバー → 各サーバー:バックアップ用ポートのみ
  • AD → メンバーサーバー:AD 必須ポートのみ
■なぜウイルス対策になるのか
侵入したウイルス(攻撃者)は、横展開のために以下を試みます:
  • SMB(445)での移動
  • RDP(3389)での侵入
  • WinRM(5985/5986)
  • RPC(135)
  • AD への LDAP/LDAPS
  • PowerShell Remoting
  • MSSQL への接続
  • SSH など
しかし Allowlist 方式では、必要な通信以外は全部ブロックされるため:
  • SMB で横展開 → 通らない
  • RDP で侵入 → 通らない
  • DB に直接アクセス → 通らない
  • AD に不正アクセス → 通らない
 結果として、侵入後の被害拡大(横展開)がほぼ不可能になる。

 以上の考え方は、ゼロトラストにのっとった考え方になるそうです。ゼロにしては、許可している通信多いけれどね(笑)。

[あとがき]

 ちょっと、お疲れモード・・・。寝不足かなっていうことで、ここ数日、睡眠時間を増やしたのですが、まだ解消していません。
 ただ、来週で、一応現在の過度なスケジュールから解放される予定です。っというのは、リスケジュールをしたのにも関わらず、忙しくしていたのは、経済学・経営政策のスケジュールを、他の教科と足並みをそろえたかったから・・・。それが、来週で、他の教科と同じレベルになるので、再来週からは、しっかり休みながら、勉強を進める予定です・・・。
 ただね、中小企業診断士試験の勉強のせいで、システム開発が遅れているんですよね・・・?そっちの遅れも取り戻さなければ・・・。再来週から、余裕のある生活ができるかどうか、システム開発の状況次第ということになりそうです。
 では、また!!!

コメント

コメントを投稿