2024 年 8 月 8 日(木)に、ニチイホールディングスの子会社のニチイケアパレスの PCがランサムウェアに感染していることが確認され、ニチイホールティングおよびニチイ学館で使用する PC においてもデータが暗号化されていることを確認され、約2万6000ファイルが暗号化され、開封が不可能となっていることが確認されました。暗号化されたファイルには、採用候補者・現従業員・元従業員の個人情報が記載されたファイルが含まれていることが判明しました。
また、6月6日に新日本製薬がランサムウェアの攻撃を受け、同社サーバに保管されていた業務関連データ等の一部が暗号化されるなどのランサムウェアによる攻撃にあい、これもライフサイエンス業界にニュースとして駆け巡りました。その後7月5日の続報では、対策本部を設置、外部専門機関の協力を受け、原因究明や被害状況の調査を進めた結果、サーバーに保管されていた業務関連データの外部への漏洩は確認されていないと発表があり、不幸中の幸いのニュースとなりました。しかし、ここ3ヶ月の間でも様々な日本企業が被害になっており、特に9月に入ってから急増しており、警察庁によりますと、今年6月までの半年間に全国で114件の被害が確認されたと発表されましたが、公開されている被害を以下にまとめましたが、非常に増えていることが見て取れます。
上記の例は、氷山の一角に過ぎず、ライフサイエンス業界におけるサイバー攻撃、特にランサムウェアに代表されるマルウェアへの対策が益々重要となっています。今回は、深層防御の次の技術に関して解説いたします。前回までは、CDR(脅威除去)やマルチスキャンをご紹介しましたが、今回は効果的にマルウェアを解析する次世代型サンドボックスを紹介しようと思います。そもそもサンドボックスとは、主にITセキュリティの分野で使用される概念で、未知のや任意のプログラムやコードを他のシステムから隔離して実行する安全な環境のことを指しますが、主に未知のプログラムや疑わしいコードやファイルを隔離された仮想環境で実行し、悪意のある動作がシステム全体に影響を与えないようにします。具体的には、マルウェアの動作を分析する際に、サンドボックス環境で実行することで、他のシステムに感染するリスクを避けることができます。
それでは、このサンドボックスをどのように活用するのでしょうか。初回の原稿で記載したとおり、現在1時間に14,000もの新しいマルウェアが生み出されており、年に換算すると1億900万個のマルウェアが作り出されております。特に、マルウェアの作成はAIを活用することにより高度化しており、またコーディングが機械化されたりし自動的に且つ膨大な数が生み出されております。我々は、正に技術的な軍拡競争の中に置かれているようなものです。悪意のある脅威アクター*1は、企業や団体のセキュリティ対策を回避する巧妙なマルウェアを作成するために、絶えずその技術を向上させています。マルウェア解析システムは、こうした回避的で巧妙な脅威をうまく解析しなければなりません。この種の分析は、先制的なブロック対策のために埋め込まれた侵害指標 (IOC)*2 を抽出し、積極的な脅威ハンティングのための侵害を検出することにより、侵害後のシナリオで実用的である必要があります。
一般的に、サンドボックスは、ネットワーク IP、URL、ドメインなどの重要な IOC を抽出するための動的分析のために、高度に難読化および暗号化されたマルウェアを隔離された環境内で実行することが理想で、静的解析と仮想OSベースのサンドボックスシステムの両方の要素を持ち合わせることが理想的ですが、現在のサンドボックスは、幾つかの課題や問題点が散在します。
第一に、サンドボックス回避のマルウェアが多く出現しており、脅威アクターは、サンドボックス環境での検出を回避する技術を開発しています。マルウェアがサンドボックス環境にいることを認識し、実際の環境でのみ悪意のある動作を実行するような仕組みが実装されることがあります。具体的には、マルウェアは、サンドボックス特有の環境を検出しようとし、例えば、CPUやメモリの使用量、仮想マシン上で動作しているかどうかなどを確認して、サンドボックス内で実行されていることを検知することがあります。
第二に、タイミング攻撃*3のように、サンドボックス環境は短時間でマルウェアの挙動を観察することが多いので、マルウェアは数分から数時間後に悪意のある動作を開始し、サンドボックスが終了するまで静観していることがあります。
第三の問題として、従来のサンドボックスを使用すると、システムリソース(CPU、メモリ、ストレージなど)を大量に消費することがあります。特に大規模なネットワークや組織で多くのマルウェアサンプルを分析する場合、サンドボックスのパフォーマンスがメールなどのシステム全体に悪影響を与える可能性があります。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント