ワームウイルスとパスワード盗難：企業にとってのリスク

ワームウイルスという名の通り、これは組織が直面し得る最も攻撃的で破壊的な脅威の1つです。ユーザーのエラーに依存する多くの攻撃とは異なり、ワームは検出されることなくネットワークに侵入し、接続されたシステム間で自己複製することによって広がります。マルウェア(新しいウィンドウ)が自己をコピーし、新たな標的を探るため、1台の感染したマシンは瞬く間に数十台になる可能性があります。

この自己増殖の振る舞いこそが、悪名高いNotPetyaのようなアウトブレイクを非常に破壊的なものにした理由です。このウイルスは、エンタープライズ環境に侵入するとシステム間を急速に移動し、サイバーセキュリティチームが対応する前に地球規模での運用上の損害を引き起こしました。

残念ながら、多くの組織は、パッチが適用されていないシステム、フラットなネットワーク、過剰な権限を持つアカウント、安全でなく追跡不可能なアカウント共有方法など、ワームが好むのと同じ弱点を未だに抱えています。ワームウイルスの攻撃は、特にワームの活動がランサムウェアや大規模な認証情報の悪用の発射台となる場合、不釣り合いなほど高いビジネスリスクをもたらします。

この記事では、ほとんどの環境で実際の露出がどこにあるのか、そして実際にはどの階層化された制御が爆発範囲を縮小するのかを説明します。また、安全なビジネス向けパスワードマネージャーによるパスワードセキュリティの強化が、どのようにその防御をサポートするのかについても検証します。

ワームウイルスとは何ですか？

ワームウイルスはエンタープライズネットワークでどのように広がるか

ワームウイルスが企業に深刻なリスクをもたらす理由

ワームウイルスのアウトブレイク防止に役立つセキュリティ実践

Proton Pass for Businessはどのようにエンタープライズのセキュリティをサポートするか

ワームウイルスとは何ですか？

コンピューターワームは、ユーザーの操作を必要とせずにネットワーク全体に広がる、自己複製型のマルウェアの一形態です。ワームウイルスという用語は頻繁に使用されますが、技術的には、これらは2つの異なる脅威です。

違いは、自律性のレベルと増殖の規模にあります。コンピューターウイルスは、正当なファイルやアプリに自身を添付し、ウイルスをアクティブにして拡散するには、通常、誰かがそのファイルを実行する必要があります。対照的に、ワームはそれ自体で移動するように設計されたスタンドアロンのプログラムであり、到達可能なシステムをスキャンし、弱点を見つけると自動的に増殖します。

ワームは、エンタープライズネットワーク内に入ると、複製を試みます。それらは、ネットワーク接続、共有サービス、公開されたポート、一般的な構成などの既存のリソースを利用することで広がります。

一部のワームは規模だけで混乱を引き起こし、パフォーマンスを低下させたり防御的なシャットダウンを強要したりするのに十分なトラフィックと処理負荷を生成します。最近のワームを利用したキャンペーンは、しばしばさらに踏み込み、ランサムウェア、リモートアクセスバックドア、ボットネットエージェント、または認証情報盗難コンポーネントなどの二次的なペイロードを配信します。

自律的な拡散と後続のペイロードのこの組み合わせが、大規模なランサムウェアのアウトブレイク、破壊的なワイパー型攻撃、大規模なボットネット感染、およびデータ盗難やドメイン全体の侵入を有効にした急速な内部ネットワークの侵害など、いくつかの主要な世界的インシデントでワームが役割を果たした理由です。

ワームウイルスはエンタープライズネットワークでどのように広がるか

エンタープライズネットワークはワームに複数の移動経路を提供し、最も効果的な株は単一の技術に依存しません。それらは通常、1つの経路がブロックされても増殖を継続できるように、自動スキャン、脆弱性の悪用、および認証情報の悪用を組み合わせます。

ワームがエンタープライズネットワーク内に入った後の被害がどれほど大きいか、誇張することは困難です。相互接続された大規模な環境は自然な拡散パスを作り出し、可視性が限られている場合、封じ込めは著しく困難になります。

既知の脆弱性のスキャンと悪用

古典的なワームのパターンは、自動スキャンから始まります。マルウェア(新しいウィンドウ)は、（インターネットに面しているか内部であるかを問わず）脆弱なサービスを公開しているデバイスをネットワークで調査し、既知の欠陥を悪用してコードをリモートで実行します。

WannaCryは、ワームを利用したアウトブレイクの最もよく知られた例の1つです。2017年、このワームは最初にEternalBlueのエクスプロイトに関連するWindows SMBの脆弱性を悪用して広がり、到達可能なシステム間で自動的に増殖しました。

関連するセキュリティの更新を遅らせたり見逃したりした組織が最も大きな打撃を受け、多くの場合、初期の侵入ポイントよりも内部での拡散の方が大きな混乱を引き起こしました。病院、メーカー、公共部門のネットワークは、一度内部に入るとマルウェアが動き続けることができたため、広範な停止を経験しました。

WannaCryのアウトブレイクは、ビジネスの世界に高くつく教訓をもたらしました。セキュリティパッチは単なる日常のメンテナンス以上のものです。それはプライマリーな封じ込め制御です。重大な脆弱性が開いたままの場合、ワームは高度な回避技術を必要としません。必要なのは、到達可能なターゲットと、それらをスキャンする十分な時間だけです。

同じEternalBlue SMBの脆弱性は、NotPetyaやいくつかの中規模ボットネットおよび暗号通貨マイニングの大規模なアウトブレイクを含む他の主要なキャンペーンでも活用されており、パッチが適用されていない単一の欠陥が、影響の大きい複数の攻撃でいかに迅速に再利用されるかを表示しています。

共有サービスと管理者ツールを通じた水平展開（ラテラルムーブメント）

ネットワーク内に侵入すると、ワームのようなマルウェアは、企業が管理と自動化に依存しているのと同じツールを悪用して、定期的に水平展開しようと試みます。明らかに悪意のあるユーティリティを投下する代わりに、多くのキャンペーンでは、組み込みのリモート実行ツールやWindows管理インターフェースを使用してシステム間を移動します。これにより、アクティビティを正当な管理者による作業と区別することが難しくなり、しばしば検出が遅れます。

NotPetyaは、このパターンの最もクリアな例の1つです。最初の侵害フェーズの後、PsExecおよびWindows Management Instrumentation（WMI）による認証情報の収集やリモート実行など、複数の水平展開技術を使用して内部的に増殖しました。これらはエンタープライズのIT運用で広く使用されている正当な管理メカニズムであるため、悪意のあるトラフィックは通常の管理アクティビティに紛れ込みました。

その結果、企業ネットワーク全体に組織全体に急速に広がり、物流、製造、およびグローバルなエンタープライズ環境で大規模な運用停止を引き起こしました。

他の主要なアウトブレイクでも、同様のアプローチが使用されています。たとえば、RyukやContiのランサムウェアキャンペーンでは、初期アクセス後にリーチを拡大するために、認証情報の盗難と正当な管理者ツールが頻繁に組み合わされました。TrickBotやEmotetの感染には、盗まれた認証情報やネイティブのWindowsツールを再利用して内部ネットワークを横断する、ワームのような水平展開モジュールも組み込まれていました。

共通のスレッドは運用上のカモフラージュです。攻撃者は、明らかに悪意のあるチャンネルではなく、信頼できるチャンネルを通じて移動します。ここで、パスワードの盗難と認証情報の漏洩が影響の中心となります。

マルウェアが管理者またはサービスアカウントの認証情報を取得できれば、増殖はより速く、より静かに、より確実になります。認証されており、承認されたツールを使用しているため、アクティビティはログ上で有効に見える場合があります。現実的に言えば、認証情報の衛生状態と特権アクセス制御が、水平展開に対する重要な保護手段であることを意味します。

パスワードの推測、認証情報の盗難、および脆弱な認証

一部のワームは、認証情報攻撃をその増殖ロジックに直接組み込んでいます。ソフトウェアの脆弱性にのみ依存するのではなく、感染したシステムからパスワードを積極的に収集しようとしたり、自動化されたブルートフォース攻撃を通じてパスワードを推測したりします。これにより、元のエクスプロイトパスが閉じられた後も拡散を続けることができます。

Confickerは十分に文書化された例です。Windowsの脆弱性を悪用することに加えて、ネットワーク全体の管理者パスワードに対して辞書攻撃を仕掛けることで増殖しようと試みました。共有リソースや管理者アカウントに対して、一般的で脆弱なパスワードの組み合わせを体系的に試行しました。

特権の認証情報が短かったり、再利用されていたり、予測可能であったりする環境では、これにより拡散率が劇的に上昇しました。Confickerはまた、侵害されたマシンから認証情報を引き出し、それらを再利用して他のシステムに対して認証を行い、エクスプロイト駆動と認証情報駆動の増殖を融合させました。

TrickBotやEmotetを含む、より最近のワームのようなモジュール式マルウェアファミリーは、認証情報ダンピングツールを使用してメモリからキャッシュされたパスワードやハッシュを抽出し、それらを水平展開に再利用しています。この技術により、攻撃者はエクスプロイトではなく有効な認証を使用してピボットできるため、セキュリティアラートが減少し、滞留時間が延長されることがよくあります。

脆弱なパスワード、多要素認証（MFA）の欠如、および過剰な権限を持つアカウントは、お客様のネットワークをワーム攻撃にさらすことになります。最初の侵入ポイントが純粋に技術的なものであったとしても、攻撃がどれだけ広がるかは、認証情報の強度、一意性、および権限の範囲によって決まることがよくあります。

構造化された認証情報ガバナンスとパスワード制御が、増殖を遅らせ、認証情報主導の拡散を制限する上で実際的な役割を果たすのはまさにこの点です。Proton Passのような安全なビジネス向けパスワードマネージャーは、強制力のあるチームポリシー、必須の2要素認証、強力なパスワードルールなどの手段を通じて、これをサポートするのに役立ちます。

リムーバブルメディアとオフラインでの拡散パス

すべてのエンタープライズの拡散が純粋にネットワークベースであるとは限りません。一部のワームは複数の増殖チャンネルを備えて設計されており、ネットワーク経路が制限されていても移動できるようになっています。スキャンやリモートエクスプロイトに加えて、USBドライブ、マッピングされたネットワーク共有、および共有フォルダーなどのリムーバブルメディアを使用して、インターネットに直接面していない、または緩やかにしか接続されていないセグメントを含む、システム間をジャンプする場合があります。

特定のConfickerの亜種は、Windowsの脆弱性を悪用したり脆弱な管理者パスワードを推測したりするだけでなく、自己複製を行い、当時一般的だった自動実行（オートラン）型の動作を利用することで、リムーバブルドライブを通じても広がりました。そのマルチベクター設計は、組織内に存続し、インターネットに直接さらされていないラボネットワークや運用ゾーンなど、部分的にセグメント化された環境間を移動するのに役立ちました。

現代のワーム機能を持つマルウェアファミリーも同様のフォールバックパスを使用しており、共有ディレクトリにコピーをドロップしたり、ログインスクリプトを悪用したり、一般的にアクセスされるファイル位置にペイロードを仕込んだりすることで、別のユーザーが開いたときに実行されるようにしています。

ワームウイルスが対応を上回るスピードで広がる理由

ワームを決定づける機能は、自動化によるスピードです。それらは、人間の行動に対する攻撃者の依存を減らすか、完全に削除します。フィッシングクリックは必要なく、悪意のある添付ファイルを開く必要もなく、ユーザーの誤った決定も必要ありません。接続性が存在し、技術的な弱点があれば、ワームはそれ自体で行動できます。

認証情報の再利用や脆弱なパスワードは拡散を加速させる可能性がありますが、それらがなくても、自律的な増殖だけで大規模なインシデントを引き起こすのに十分な場合がよくあります。

この自動化は、対応の窓口（時間）を圧縮します。十分に文書化されたアウトブレイクでは、組織は数日ではなく数時間のうちに、単一の侵害されたエンドポイントから広範な内部感染へと発展しました。監視ツールが異常なトラフィックやシステムの不安定さを警告する頃には、マルウェアはすでに複数のセグメントに存在している可能性があります。そのため、セキュリティチームは、慎重な修復ではなく、ネットワークの隔離、サービスの無効化、および緊急の認証情報リセットを実行することによる受動的な封じ込めを余儀なくされます。

運用上、ワームウイルスに備えるということは、完璧な防止というよりも、拡散を遅らせて早期に検出することにあります。異常な内部スキャンを表面化させ、水平展開を制限する制御は、対応時間を稼ぐためのものであり、特に攻撃者が盗まれたパスワードを使用して移動しようとする場合、水平展開を制限し、侵害後の被害を軽減するために、強力な認証情報の衛生状態が引き続き不可欠です。ワームのシナリオでは、時間が最も重要なリソースとなります。

ワームウイルスが企業に深刻なリスクをもたらす理由

ワーム主導の攻撃は、他のほとんどのマルウェアインシデントとは異なるリスクプロファイルを作成します。ワームは自動的に拡散するように設計されているため、通常の制御やレビューサイクルが追いつく前に、限定的な侵害をネットワーク全体の予定へと変えてしまう可能性があります。そのスピードは、ダウンタイム、認証情報の漏洩、コンプライアンスの義務、復旧費用といった、下流のすべての影響を増幅させます。

ビジネスリーダーにとっての主な違いは、爆発範囲です。封じ込められたマルウェア感染は、一握りのシステムに影響を与えるだけかもしれません。しかし、ワーム機能を持つアウトブレイクは、部門、サイト、および共有インフラストラクチャを一度に混乱させる可能性があります。これにより、インシデントの展開方法、復旧にかかる時間、そしてその過程で蓄積される運用上および規制上のリスクの量が変化します。

大規模な運用上の混乱

ユーザー主導のマルウェアの場合、混乱は最初、ワークステーション、チームの共有、または少数のアカウントのセットに局所化されます。ワームは自動的に増殖し、感染とともに停止が広がるため、その境界を削除します。

これは、共有サービスが不安定または利用できなくなり、封じ込めの為にエンドポイントがネットワークから切り離され、水平展開を止めるためにサーバーがオフラインにされることを意味します。いくつかの主要なワームによるアウトブレイクでは、病院、メーカー、物流プロバイダーなどの組織が、制御を取り戻すためだけにネットワークセグメント全体をシャットダウンするか、一時的に運用を停止しなければなりませんでした。

継続性の観点から見ると、これはセキュリティインシデントをビジネスの中断という予定へと変えます。対応は修復からトリアージへとシフトします。つまり、何をオンラインのままにしなければならないか、何を隔離しなければならないか、そして後で何を再構築できるかです。

これは、インシデント対応と事業継続の計画において、境界での侵害だけでなく、急速に拡散する内部のマルウェアのシナリオを明示的にモデル化する必要があることを意味します。

認証情報の侵害と権限昇格

ワームおよびワームのようなキャンペーンは、頻繁に認証情報の侵害と交差します。一部の亜種は認証情報を直接収集し、他の亜種は同伴するマルウェアやエクスプロイト後のツールによって収集された、盗まれたパスワードやハッシュに依存します。

いずれにせよ、有効な認証情報は拡散のスピードと成功率を劇的に高めます。システム間で共有された管理者アカウントや再利用されたパスワード、あるいは広範な常設の権限に依存するネットワーク環境は、特に危険にさらされます。

認証情報の侵害は、水平展開を「可能」から「日常的」へと変えます。攻撃者はディレクトリを照会し、管理ツールにアクセスし、信頼できる経路を使用して価値の高いシステムに到達することができます。

これが、実際のインシデントにおいてワームとパスワードの盗難が密接にリンクしている理由です。侵害されたパスワードが1つのアカウントだけで使用されることはめったにありません。多くのエンタープライズ環境では、それは攻撃者が次にどこに行けるかを示すディレクトリとなり、こここそが、認証情報のガバナンスと制御されたパスワード管理が実質的にリスクを軽減し始める場所です。

データの漏洩とコンプライアンスへの悪影響は水平展開とともに増大する

ワームのプライマリーなペイロードが混乱の引き起こしやランサムウェアの展開であったとしても、二次的なリスクはしばしばデータの漏洩となります。ワーム主導の拡散がファイル共有、コラボレーションシステム、メールストア、内部ポータル、およびデータベースに到達するにつれて、漏洩する可能性のあるレコードの数は急速に増加します。広く到達可能であることを決して意図していなかったアクセスパスが、侵害されたアカウントやピボットされたセッションを通じて到達可能になります。

規制対象の組織や信頼性の高いサービスプロバイダーにとって、そのような露出は、インシデントをセキュリティの問題からコンプライアンスや契約上の問題へと拡大させます。侵害の通知義務、顧客への報告条項、規制当局の問い合わせ、およびサードパーティの監査はすべて、確認されたデータの持ち出しだけでなく、潜在的なアクセスに基づいてトリガーされる可能性があります。

実際には、これは調査の範囲、ログの品質、およびアクセスの追跡可能性が、法的および財務的な結果に直接影響を与えることを意味します。

ワームのアウトブレイクは、ランサムウェア、フィッシングによる侵害、サプライチェーン攻撃と並んで、現代のビジネスサイバーリスクのより広範な状況の中に位置づけられますが、1つの重要な違いがあります。それは、タイムラインを圧縮することです。拡散が速いため、慎重な検証や段階的な対応の余地が少なくなり、報告エラー、指標の見落とし、および制御のギャップが生じる可能性が高まります。

これらのリスクがどのように接続しているかについてのより広範なエグゼクティブ向けの概要については、企業が直面している現在のサイバーセキュリティの脅威の内訳をご覧ください。

リソースの枯渇と隠れた損傷が復旧時間を延長する

一部のワームは、積極的に拡散するだけで物質的な損害を引き起こします。自動化されたスキャン、複製、およびリモート実行の試みは、帯域幅を飽和させ、エンドポイントを過負荷にし、重要なサービスを低下させる可能性があります。パフォーマンスが低下すると、システムは不安定になり、ITチームは広範な緊急修復を余儀なくされます。これには、大規模なデバイスグループにわたるパッチ適用、分離、再構築、および認証情報のローテーションが含まれます。

ワームのアクティビティはノイズも多いため、フォレンジックを大幅に複雑にします。症状が多くのシステムに一度に現れるため、根本原因の特定はより困難になる可能性があります。セキュリティチームは、「ペイシェント・ゼロ（最初の感染者）」や元のエクスプロイトパスを明確に特定できる前に、広範な不安定さを目の当たりにするかもしれません。その不確実性はスコープの決定を遅らせ、封じ込めの決定を長引かせる可能性があります。

要約すると、ワームのインシデントが単一障害点であることはめったにありません。それらは連鎖的な予定のように振る舞い、技術的な拡散が運用上の混乱を引き起こし、それがコンプライアンス、監査、および復旧の結果をドライブします。計画、ツール、および認証情報の制御は、最初の侵害の瞬間だけでなく、その連鎖を念頭に置いて設計する必要があります。

ワームウイルスのアウトブレイク防止に役立つセキュリティ実践

ワームに対する理想的な防御は、2つのことを行うように設計された階層型アプローチです。ワームが入力または実行される可能性を減らすこと、そして万一そうなった場合にどこまで拡散できるかを制限することです。以下は、エンタープライズネットワークにおいて最も重要となる実用的な対策です。

1. 既知の脆弱性を緊急の課題として扱うパッチ管理

ほとんどの大規模なワームのアウトブレイクは、すでに修正が公開されている脆弱性を悪用することで成功するため、技術的な解決策は、セキュリティパッチをインストールするタイミングと実行にかかっています。

パッチの遅延は、変更管理の摩擦、稼働時間への懸念、または不明確な所有権によってドライブされることがよくありますが、リスクの観点からは、露出した重大な脆弱性はアクティブなインシデントの燃料として扱う必要があります。

WannaCryは、パッチが利用可能であったにもかかわらず完全にはデプロイされていなかった環境、またはレガシーシステムにパッチが適用されないままになっていた環境において、地球規模で広がりました。

これが実際にはどのように見えるか：

• 利便性ではなく、重大度と露出度に基づいてパッチのSLAを設定する
  
• リモート実行およびネットワークサービスの欠陥への対応を早める
  
• サポートされていないシステムおよびサポート終了システムのライブインベントリを維持する
  
• パッチのバックログを単なるIT指標ではなく、リスク指標として報告する

2. 増殖を遅らせるためのネットワークセグメンテーション

ワームは、デフォルトでほとんどのシステムが他のほとんどのシステムと通信できるフラットなネットワークで最も速く拡散します。セグメンテーションによって境界が追加され、境界によって検出ポイントと制御ポイントが作成されます。

目標は制御されたリーチ（到達範囲）です。侵害されたユーザーのワークステーションが、サーバー、管理者インターフェース、およびバックアップインフラストラクチャへの直接のパスを持つべきではありません。

実用的なセグメンテーションの優先順位：

• ユーザー、サーバー、および管理者のゾーンを分離する
  
• デフォルトでラテラルSMBとリモート管理者プロトコルを制限する
  
• ジャンプホストまたはアクセスブローカーの背後に高価値システムを配置する
  
• セグメント間の管理者アクティビティをログに記録してアラートを出す

セグメンテーションですべてのワームを阻止できるわけではありませんが、急速な感染拡大を管理可能な封じ込め訓練に変えることがよくあります。

3. 強力なアクセス制御と最小特権

特権認証情報が利用可能になると、ワームの影響は急激に増大します。マルウェアが管理者コンテキストに到達すると、拡散はより簡単に、より静かに、より確実になります。特権の制限は、影響範囲を縮小するための最も効果的な方法の1つです。

単に制御を追加するだけでなく、常時保持している権限を減らすことに焦点を当てます。

価値の高い実践例：

• 管理者アカウントと日常使用するアカウントを分離する
  
• 可能な限り、永続的なローカル管理者権限を削除する
  
• 職務に関連付けられたロールベースのアクセスを使用する
  
• 特権グループのメンバーシップを定期的なスケジュールで見直す
  

アクセスは意図的なものであるべきで、可能な限り期限を設け、定期的に見直されるべきです。時間をかけて蓄積され、忘れ去られるようなことがあってはなりません。

4. 認証情報ベースのラテラルムーブメントを減らすための安全な認証情報管理

これは、ワームの増殖とパスワードの盗難を結ぶ最も直接的な架け橋です。認証情報ベースのラテラルムーブメントは、パスワードの使い回しが一般的で、共有ログインのローテーションが難しく、秘密がドキュメントやチャットスレッドに保管済みであり、誰がどのシステムにアクセスできるかを誰も確実に把握していない環境で蔓延します。そのような環境では、キャプチャされた1つの認証情報が複数のパスをロック解除することがよくあります。

実践的な制御の目標は、認証情報の設計による封じ込めです。パスワードがシステムごとに一意であり、保護された保管庫に保管済みであり、コピー＆ペーストのチャンネルの代わりに制御されたメカニズムを通じて共有される場合、単一の侵害が連鎖する可能性ははるかに低くなります。これにより、ワームによる拡散やエクスプロイト後の拡散が直接的に遅くなります。

具体的には、次のことを意味します：

• サーバーやサービス間で管理者のパスワードを共有しない
• スプレッドシート、チケット、チャットのログに認証情報を記載しない
• 権限に基づく共有を備えた保管庫ベースのストレージ
• 侵害が疑われる場合の迅速で一元化されたローテーション

Proton Passなどの安全なビジネス向けパスワードマネージャーは、強力なパスワード生成、安全なストレージ、管理された共有をデフォルトのワークフローにすることでこれをサポートします。これこそが、実際のインシデントにおいて認証情報による拡散リスクを軽減するものです。

5. 実際のワークフローに合った従業員のセキュリティ意識

ワームは常にユーザーの操作を必要とするわけではありませんが、未知のデバイスの接続、更新プロンプトのバイパス、予期しないアクセス要求の承認、または初期マルウェアを配信するフィッシングへの対応など、ユーザーの日常的な選択がワームのリスクに影響を与えます。

セキュリティ意識は、職場の習慣として扱われ、クリアなポリシーと定期的な強化によってサポートされる場合に最も効果的です。職場でのセキュリティを意識した文化の構築に関する実践的なガイドはすでに用意されています。

6. 異常な拡散を検知する監視と検出

ワームは大量の自動化されたネットワークアクティビティを生成するため、適切なシグナルを探していれば、早期に検出可能なパターンを生成することがよくあります。効果的な監視は、単一のアラートよりも、大規模な異常な内部の動作に重点を置いています。

目的は迅速なパターン認識です。ワームのような拡散の強力なシグナルとなる指標には、次のものがあります：

• 内部ポートスキャンまたは接続試行の急激な増加
• ピアシステム間の異常なSMB、RDP、またはリモート実行トラフィック
• パスワードスプレー攻撃と一致する認証失敗のバースト
• 予期しないホストから発生した新規または特権セッション
• 多くのエンドポイントにわたる同時の構成またはサービスの変更

運用の観点から、これらの検出は封じ込めプレイブックをトリガーする必要があります。初期のワーム型増殖が認識されると、対応は企業全体の混乱から、インシデントを最小化するための制御された隔離へと移行します。

7. スピードを前提としたインシデント封じ込め

ワームのインシデントは、承認に時間のかかる遅い対応モデルには速すぎます。封じ込めのプランは、急速な拡散を想定し、完全な情報よりも断固たる行動を優先する必要があります。最初の目的は、一時的な混乱を招くことになったとしても、増殖を遅らせることです。

主な封じ込めアクションには、通常次のものが含まれます：

• 影響を受けたエンドポイントとネットワークセグメントの分離
• 既知の悪意のあるトラフィックパターンとプロトコルのブロック
• ラテラルムーブメントのチャンネルの無効化または制限
• 永続化メカニズムとスケジュールされたタスクの削除
• 侵害の可能性が高い場合、認証情報のリセットを強制する

認証情報の対応は、封じ込めの主要な構成要素です。ワームを利用したインシデントには、パスワードの漏洩、トークンの盗難、ハッシュの再利用などが頻繁に伴います。つまり、一括でのパスワードのリセット、アクセスの取り消し、キーのローテーションは、その場しのぎの決定ではなく、事前に承認されたプレイブックの手順である必要があります。

同様に重要なこととして、封じ込めは技術的なものであると同時に組織的なものでもあります。チームには、事前に定義された権限、コミュニケーションパス、アクションのしきい値が必要です。役割とプレイブックがクリアな場合、応答時間は短縮されます。ワームの発生においては、多くの場合、調整のスピードが被害の拡大範囲を決定します。

Proton Pass for Businessがエンタープライズセキュリティをサポートする方法

ワーム主導の攻撃やワームのような攻撃がエクスプロイトだけで成功することはめったにありません。むしろ、それらは認証情報を介して拡散し、エスカレートします。攻撃者がパスワードを再利用したり収集したりできるようになると、ラテラルムーブメントはより簡単に、静かに、そして速くなります。そのため、最初の侵入ベクトルが技術的なものであっても、認証情報のガバナンスが実践的なコントロールポイントとなります。

Proton Pass for Businessは、そのような層の認証情報リスクを軽減するように設計されています。これは、組織がパスワードの乱立を、チームが強力で独自の認証情報を生成して安全な暗号化済み保管庫に保存する、管理された暗号化済み保管庫に置き換えるのに役立ちます。また、安全なアクセスを組織全体でデフォルトにするために、強制可能なポリシーや必須の2要素認証などの実用的なガードレールも追加します。

例えば、制御された安全な認証情報の共有は非公式なパスワードの配布に取って代わり、管理者のポリシーと使用状況ログにより、誰が何にアクセスできるかの可視性が向上します。これはパッチ適用、セグメンテーション、監視に代わるものではありません。むしろ、それらを強化します。独自の認証情報、管理された共有、迅速なローテーションにより、認証情報ベースの拡散範囲が直接的に制限され、リセットが必要になった場合の対応が簡素化されます。

Proton Passはオープンソースであり、独立した監査を受けているため、アクセスデータの検証可能な保護を必要とする組織をサポートします。階層型セキュリティモデルの一環として、認証情報の衛生管理は、迅速に改善できる最も効果的な制御の1つです。

階層型のエンタープライズセキュリティアプローチにおいて、認証情報の衛生管理は唯一の制御ではありませんが、最も効果的な制御の1つです。これにより、侵害された1つのパスワードがネットワーク全体の問題になる可能性が低くなります。

ワームの発生は急速に拡大するため、対応プランはさらに迅速である必要があります。脅威を封じ込め、行動を調整し、より少ない混乱で回復するのに役立つプレイブックを構築するために、当社のサイバーセキュリティインシデント対応ガイドを既読にしてください。