2026年5月30日 アスクルへのランサムウェア攻撃の考察 [セキュリティ研究室]

日付:
 こんにちは!
 ナビゲータのEVEです。

 昨日は、きっちり予定通りの行動がとれたのですが、今日は、現時点めちゃくちゃです。
 昨日と本日の相違点・・・。それは、起床時間・・・。昨日は、5:00前に起き、5:00には、デスクに向かっていました。今日はというと、6:10に起きて・・・。
 やはり、「一日の計は朝にあり 」って感じでしょうか?

 先週は、セキュリティについて、お休みをしました。その前は、アスクルランサムウェア事件について、かなり長い間話をしていて、何を話しているのわけがわからなくなったので、今まで、どんなことを話してきたのか、まとめました。

 本日は、ランサムウェア事件の話を進めましょう。

[本日の調査]

 今年3月から、今月まで、❶-4を話してきました。その中で、既に、EDR自己防御について話しをしました。
 しかし、今回の事件の大きな原因がEDRが無効化されたことが挙げられます。しかも、ランサムウェア後の対策として、再度EDR自己防御を上げています。
 そんな状況から、EDRの対策状況が気になります。
 それでは、今回は、EDRについて、以前はどんな運用をして、ランサムウェア攻撃を受けた後、どんな改善をしたのか見ていきます。

❶社内に侵入してきたランサムウェアの権限昇格を防ぐ
  1. 資格情報の保護
  2. OS・ソフトウェアの最新化
  3. 端末の暗号化(Disk / Memory)
  4. 権限設計とネットワーク構造
  5. EDR自己防御
  6. 横展開対策
  7. バックアップ分離
  8. 監視(SOC)

[EDR自己防御]

 普通ならEDRが無効化されるとは思わないのですが、どうやって無効化されてしまったのか、Copilotに聞いてみました。

  1. EDR が「停止可能な権限」で動いていた
  2. 一部拠点では EDR が未導入だった
  3. 管理者アカウントの保護が不十分だった
  4. EDR の自己防御(Self-Defense)が弱かった
  5. SMB/RDP が広く開放されていた(横展開が容易)
  6. 24 時間監視が不十分だった

 以上がランサムウェア攻撃が成功した一因となりそうです。ただ、それでもなお、ランサムウェア対策として、アスクルはEDRを上げています。どんな対策をしたのか、また、Copilotに聞いてみましょう?

  1. EDR を全拠点に導入(未導入拠点をゼロに)
  2. EDR のシグネチャ更新を即時実施
  3. 24 時間 365 日の監視体制(SOC)を強化
  4. EDR を含む多層防御の“継続的強化”を明記
  5. EDR の運用ルール(権限管理)を見直し

 現状分析をしたうえで、問題となる点を改善したようです。
 以上の改善点に問題ないのか、引き続きCopilotに聞いてみました。

  1. EDR を強化しても「EDR 依存型防御」から抜け出せていない可能性
  2. 権限設計(Tier モデル)がどこまで徹底されたか不透明
  3. ネットワーク分離(横展開防止)がどこまで進んだか不明
  4. バックアップの“論理分離”がどこまで進んだか不明
  5. 委託先アカウント(MFA 未設定)の問題が再発しない保証がない

 不透明や不明の部分は、発表されていないため、もしかしたらっていう部分でしょうか?
 気になるのは、今回の件で、はっきりしましたが、EDRのみに頼るのには問題があります。発表していないだけかもしれませんが、以下の点の見直しが必要かもしれません。

  1. Tier モデルの導入検討
  2. Logon Restrictions
  3. 管理ネットワーク分離
  4. SMB/RDP 制限
  5. サーバー間通信の Allowlist 化
  6. バックアップネットワーク分離
  7. 管理者権限の階層化

[あとがき]

 現在、攻撃する側はAIが導入しつつあり、それに対応するように防御する側もAIの導入が進んでいます。今回のアスクルでは話題になりませんでしたが、企業のセキュリティ面でAIは、以下の分野での活躍が期待されています。

  1. 攻撃予測(Threat Prediction)
  2. 脆弱性管理(Vulnerability Management)の自動化
  3. 権限管理(Identity Security)の自動最適化
  4. EDR の自動防御(Self-Defense AI) ← EDRを守る
  5. ネットワーク制御(Zero Trust Network)
  6. メールセキュリティ(BEC / フィッシング対策)
  7. バックアップ保護(Ransomware-aware Backup)
  8. インシデント対応(IR)の自動化

 AIなどの最新ツールの導入も検討し、万全の対策が各企業で求められる時代に入ったようです。
 なお、AIの業務範囲は主に監視です。設定するのは、当分の間は人間が主体となりそうです。
 以上の考察から、セキュリティのためにAIを導入したうえで、毎日監視ログを確認し、適切なセキュリティを設定すれば、情報システムのセキュリティ担当は枕を高くして寝ることができるかもしれません。

 では、また!

コメント

コメントを投稿