野村総合研究所（NRI）のグループ会社であるNRIセキュアテクノロジーズ（NRIセキュア）では、さまざまな機器のログを監視することで迅速なサイバー攻撃の検知を可能にする「セキュリティログ監視サービス（NeoSOC）」を提供しています。このサービスに携わり、サイバー攻撃の動向に詳しいNRIセキュアの天野一輝と筒井友梨恵が、昨今のセキュリティトレンドやログ監視の重要性を語りました。

マルウェアの感染拡大に使われる最新の手口

サーバーへの不正アクセスによる情報漏えい、あるいはファイルを勝手に暗号化して身代金を要求するランサムウェアなど、サイバー攻撃によって被害を受ける企業が続出しています。このような被害を避けるために必要となるのはセキュリティ対策ですが、一方で攻撃の手口は進化し続けているため、状況に即した対策を適切に講じることが必要です。

では、実際にどのようなサイバー攻撃が発生しているのでしょうか。天野が注目するのは、2019年10月から2020年2月にかけて流行し、さらに2020年7月以降に再流行した「Emotet」と呼ばれるマルウェアの被害です。

「Emotetはメールを使って拡散するマルウェアです。昨年12月には『賞与支給』などの件名で、本文に記載されたURLをクリックしたり、添付ファイルを開封したりするとEmotetに感染する不審メールが大量に送付されました。ちょうど賞与の支払時期と重なったこともあり、多くの人がメールの内容を信用し、その結果感染が拡大してしまいました」

また、天野は最近の新たなトレンドとして、パスワード付きzipファイル形式のマルウェアをメールに添付して送りつける手法を挙げます。

「zipファイルにパスワードを付ける形式は多くの企業がファイルをやり取りする際に使っているため、拡張子の規制では制限しづらいのが実情です。さらに文面も流ちょうな日本語で、ビジネスでのやり取りを装うように工夫されているため、つい記載されたパスワードを入力して、zipファイルの中にあるファイルを開いて感染してしまうという事例が多発しています」

近年、サーバーやセキュリティ機器、従業員が利用するパソコンなどのログを監視し、サイバー攻撃の発生、あるいはその兆候を迅速に検知するセキュリティオペレーションセンター（SOC）に対して、自社のセキュリティログの監視業務を依頼する企業も増えてきています。NRIセキュアのSOCアナリストである筒井は、マルウェア感染を検知するケースが少なくないことを指摘します。

「現在、平均して1カ月で10件程度のマルウェア感染、または感染未遂が発生しています。10件というとあまり多くない印象かもしれませんが、NRIセキュアのSOCを利用しているお客様は情報セキュリティ対策をしっかり行っているケースがほとんどです。そのように対策を行っていても、およそ3日に1回の間隔で感染・感染未遂が発生しており、頻度が高いと感じています」

サイバー攻撃の迅速な検知を実現するログ監視

2020年は新型コロナウイルスの感染拡大対策として、多くの企業でテレワークが取り入れられました。テレワークを行う際に、自宅などから企業ネットワークに接続するために使われるVPNの装置も攻撃対象になっていると天野は警告します。

「VPNで接続するための装置の脆弱性を悪用して、不正アクセスを行う攻撃が増えつつあります。こうした装置はインターネットからアクセスできる位置に配置されるため、脆弱性が残されていると簡単に攻撃されてしまいます」

こうしたサイバー攻撃を防ぐ上で、重要になるのがログ監視です。さまざまな機器のログを集約・監視し、サイバー攻撃の兆候をいち早く検知することができれば、被害の拡大を防ぐことが可能になります。

一方、ログを監視するための体制を整えるのは容易ではないことを筒井は指摘します。

「サイバー攻撃はいつ発生するのか分からないため、ログを監視し続けなければなりませんが、そのための体制を構築するのは容易ではないでしょう。また実際にログをチェックしようとしても、自社の環境にとっての“重要なログ”を定義して、それを抽出できるようにチューニングをしておかないと、大量の不要なアラートが発生して継続的な監視に疲弊してしまうといったことが起こりえます」

こういった課題を解決するために、NRIセキュアで提供しているのが「セキュリティログ監視サービス（NeoSOC）」です。これは日米印の拠点に配置した高度セキュリティ資格を持つセキュリティアナリストが、24時間365日体制でログを監視するものです。また、新たなサイバー攻撃が現れた際には、それを検知するためのルールを迅速に投入するなど、お客さまに負担をかけることなく高度なセキュリティ運用を実現します。

さらにNeoSOCでは、「スレットハンティング」と呼ばれる取り組みも行っていると筒井は説明します。

「スレットハンティングは、リアルタイムのアラートのチェックだけでは検知することが難しい脅威を発見するために、長期的な視点でログを分析し、異常が発生していないかを確認する活動です。このスレットハンティングと、複数のログを複合して脅威を検知する相関分析を組み合わせ、脅威の検出率を高めています」

セキュリティの取り組みはWAF（Web Application Firewall）などの機器を導入して終わりではありません。適切な機器の導入運用に加えて、セキュリティ監視対策としてどのようにログを活用し、継続的に監視を行うかを含めて設計することが必要です。ただ、そのための体制を整えたり、セキュリティのスキルを持つ人材を採用したりすることが難しいのも事実でしょう。外部のリソースを有効活用しながら、サイバー攻撃によって深刻な被害が発生する前に、こうした課題の解決について検討を進めておくことが、今後ますます重要になりそうです。