ランサムウェアからソフトウェア開発企業を守るためのガイドライン-CSAJ
一般社団法人コンピュータソフトウェア協会(CSAJ)は、被害が急拡大しているランサムウェアから、ソフトウェア開発企業を守るための注意喚起とガイドラインを発表。ソフトウェア開発企業の経営者、システム管理者、開発担当者を対象に、ランサムウェアへの注意を改めて呼びかけている。
ソフトウェア開発企業でサイバー攻撃によるインシデントが発生すると、顧客のみならず、ソフトウェア・サプライチェーン全体に多大な影響を及ぼすことは情シスの皆様なら既に常識であろう。
特に、最近被害が急拡大しているランサムウェアは、開発途中のソースコードやデータベースを暗号化し、身代金要求したり、攻撃者の意にそぐわない場合は、データの公開をするなど、極めて悪質化している。
最近、猛威を振るっているマルウェアEmotetは、主に電子メールを使って侵入し、Office文書のマクロ、コマンドラインインターフェースやPowerShellなどのスクリプトを使い、外部からランサムウェア本体を呼び込む。この際、ユーザーの権限が管理者特権であると攻撃を拡大させる。
また、REvilと呼ばれるランサムウェアはコロナ禍での在宅勤務で利用するVPNサーバーの脆弱性を悪用し組織内に侵入する。ネットワーク関連システムの脆弱性修正プログラムは適用がされない、もしくは優先度が低いことが多く、被害を拡大させる結果となった。
一方で開発環境では、ランサムウェアが悪用するコマンドラインインタフェースやPowerShellなどを管理者特権で利用する必要があり、その意味でソフトウェア開発企業はランサムウェアに対して極めて脆弱であるといわざるを得ない。加えて、従来の境界防御型のセキュリティに依存する企業では、在宅勤務時のVPNの利用は拡大しており、欠かすことはできない。そして急にゼロトララストモデルを導入するというのも難しい状況にある。
今回CSAJは、被害を最小限に抑えることを目指し、以下の10ヶ条からなる対策手法を策定。一般業務環境と開発環境を分離するなど、ソフトウェア開発会社に最適化したガイドラインを提案している。
この記事の目次
ランサムウェアからソフトウェア開発企業を守る十か条
- 開発端末での電子メール閲覧の禁止
- 一般業務と開発業務の端末・ネットワークの分離と脆弱性管理
- 開発業務でのコミュニケーションにはビジネスチャットを利用
- Officeマクロ(VBA)、PowerShellスクリプトへの電子署名とポリシーの適用
- ソースコード、重要データのバックアップと分離
- ローカルAdministratorのパスワードはすべてユニークに設定
- 一般業務での管理者権限の利用禁止
- アンチウイルスソフトのクイックスキャン、完全スキャンの定期実行と脆弱性修正プログラムの適用訂正の整備
- ユーザ教育・社内啓発
- 管理端末のネットワーク分離
1. 開発端末での電子メール閲覧の禁止
ランサムウェアの侵入元は大半が電子メールであると言って過言ではない。マルウェアのEmotetなどは電子メールの連絡先を窃取し、社内から送信されたメールに見せかけユーザーを油断させるラテラルフィッシングの手法を用いて電子メールの添付ファイルを開かせようとする。そのため、開発環境から電子メールとの接点を分離することが最も有効であり、且つ、最も簡単である。
2. 一般業務と開発業務の端末・ネットワークの分離と脆弱性管理
電子メールの閲覧は一般業務ネットワークに接続された端末、もしくはHyper-Vなどの仮想端末からのみ許可とし、開発業務ネットワークからインターネットへのゲートウェイでは、POP、SMTPを禁止する。
更にブラウザメールの使用が考えられることから、就業規則で開発環境(開発端末・開発ネットワーク)からのブラウザメールの使用を明確に禁止する必要もある。
また、VPNやネットワークの脆弱性を利用する攻撃も増加していることから、以下の対策も併せて実施する必要がある。
- VPNの脆弱性対策
- VPNを含めたネットワークの認証情報の管理
- 不用意に露出しているRDPやSSHなどを把握
- 意識的に露出させている場合にはセキュリティが十分かの確認(脆弱性対策、複雑なパスワード、二要素認証やIPによるアクセス制限などの追加のセキュリティ)
- 公開サーバ(Webアプリなど)の脆弱性対策
- ネットワーク内部での不審な活動を可視化するネットワークとエンドポイントの監視と、それらの証跡を横断的に判断できる対策手法の確立
3. 開発業務でのコミュニケーションにはビジネスチャットを利用
社内及び顧客とのコミュニケーションには、電子メールを使用せず、Chatwork、Slack、Teamsなどのビジネスチャットを多要素認証と共に活用することを前提とし、電子メールの使用を最小限にすることが必要です。
また、暗号化を前提に一時的な開発関連のデータやファイル共有を行い、最終的にはGitHub等を利用して履歴管理を行います。
尚、ビジネスチャットにはマクロ付きOffice文書のアップロードを禁止する運用ルールも求められます。
どうしても顧客がビジネスチャットを利用できない場合は、ファイル転送ソフトを利用し、電子メールへの添付は明確に禁止することが、一番の対策となります。
4. Officeマクロ(VBA)、PowerShellスクリプトへの電子署名とポリシーの適用
業務で使用するOfficeマクロ(VBA)、PowerShellスクリプトには電子署名を行い、ポリシー(※1)で電子署名のないマクロ、スクリプトの実行を禁止します。
5. ソースコード、重要データのバックアップと分離
重要な情報資産は確実にバックアップを取得しておきます。
バックアップ先は一般業務ネットワーク内のサーバーとせず、開発業務ネットワークのサーバーもしくは、必要に応じてクラウドを利用し、インシデントの影響を受けないバックアップデータを確保することが重要です。
ソースコード、開発用ドキュメントは、ランサムウェアの被害を防ぐため、IDEと一般業務ネットワークから分離されたソース管理サーバーもしくは、GitHubなどを多要素認証を前提に連携させ、リモートリポジトリを確保することを検討してください。
6. ローカルAdministrator のパスワードはすべてユニークに設定
攻撃者が万一、侵入した場合を想定し、リスク低減のためネットワーク内の水平展開を防止するため、ローカルAdministratorはすべて一台一台、ユニークなパスワード設定にしておくことが必要です。
マイクロソフトの無償ツールLAPS(※2)を利用すれば、ドメインに所属するすべてのPCのローカルAdministratorのパスワードをシステム管理者がリモートで設定できます。
7. 一般業務での管理者権限の利用禁止
一般業務端末・ネットワークでは標準ユーザーだけの利用とします。
管理業務やアプリケーションのインストールをする際は、電子メール、Webの閲覧を停止した上で、管理者特権を利用することが必要です。
Windowsドメインの場合、ローカルAdministratorsにドメインユーザーを所属させないようにします。
アプリケーションプログラムのセキュリティ修正プログラム適用の際にローカルAdministratorの資格情報が必要になるため、システム管理者はローカルAdministratorの資格情報候補をユーザーに開示します。
前項のLAPSの導入が困難な場合は、以下を参考にローカルAdministratorの資格情報管理規程の策定を行い、運用を管理します。
- システム管理者は各PCのローカルAdministratorの資格情報(パスワード)候補を紙媒体に印刷しユーザーに配布する
- ユーザーは鍵のかかるロッカー等に紙媒体を保管する。PC本体への保存は禁止する
- ローカルAdministratorの資格情報は、定期的に変更し、過去24か月以内に使用した資格情報は使用しない
8. アンチウイルスソフトのクイックスキャン、完全スキャンの定期実行と脆弱性修正プログラムの適用訂正の整備
クイックスキャンは昼休みなどを利用し日次で実施し、完全スキャンは週次で行います。
完全スキャンが重いという場合は、SSDへの換装を検討します。
OS、アプリケーション、ルーター、VPNの脆弱性を悪用するランサムウェアもあるため、脆弱性修正プログラムは発表後、1週間以内に適用できるようにテスト体制を構築します。
9. ユーザー教育・社内啓発
全社員に、ランサムウェアの攻撃ベクトル(※3)についての理解を深めます。侵入経路や攻撃に使用するテクノロジーを理解することで、より注意深い運用が実現できます。継続的に安全なソフトウェア開発環境の人的品質(運用)の維持・向上を計りましょう。
10. 管理端末のネットワーク分離
サーバーやドメインコントローラーは、一般業務端末からリモートデスクトップで接続せず、専用のネットワークから専用の管理端末で接続します。
管理者のID、パスワードは、それぞれユニークなものとし、可能な限り多要素認証を導入し、クラウド環境では多要素認証を必須とします。
<注釈>
※1
https://docs.microsoft.com/ja-jp/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.1
https://docs.microsoft.com/ja-jp/deployoffice/security/use-digital-signatures-with-office
※2
https://msrc-blog.microsoft.com/2020/08/26/20200827_laps/
※3
https://www.softwareisac.jp/ipa/index.php?・攻撃ベクトルの研究
この10か条すべてを実施するにはコストも労力もかかる。
しかしながら、被害に逢ってしまえば、その影響は計り知れない。
日本IBMは2020年8月、日本企業が情報漏洩した際に被る損失額が1件当たり約4億5000万円に達したとの調査報告書を発表している。
情報漏洩の平均総コスト(国・地域別)(出典:米IBM)
海外旅行に行く際には旅行保険に入るのではないかと思うが、何もなければ無駄と思うかもしれない。
しかしながら、旅行先での怪我や病気を経験した人は間違いなく旅行保険に加入するに違いない。
この十か条を徹底して実践することが、情報セキュリティの”保険”の一つであることは間違いない。
尚、これらの10ヶ条それぞれについて「対策を実施した場合の業務への影響やコスト」「リスクを受容する場合の理由、補助的な対策」「設定予定日・完了日」「経営者の承認」を確認できるチェックシートも併せて公開している。
対象の事業者はガイドラインを活用し、自社の対策に不備や不足が無いか見直しを行うと良いであろう。
本レポートは、CSAJ様のニュースリリースの内容を元に作成しております。
ソース:https://www.csaj.jp/NEWS/pr/1208_ransomware-measures.html