セキュリティの
学び場

今回の解説ニュース

ランサムウェア攻撃の被害を受けた組織から続報が発表されており、感染原因として「閉じられていなかったポート」が挙げられています。ランサムウェア攻撃の被害を防ぐためにセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、顧客からシステムの利用ができない旨の連絡があり、原因を調査したところ、ランサムウェア攻撃が判明しました。今回の続報で、ランサムウェアの感染原因について、閉じられていなかったポートに対する不正アクセスにより攻撃された可能性が高いと発表されています。

再発防止策として、現在までにサーバへの不正アクセスを防止するセキュリティ強化の対策措置を実施済みで、サーバ運用に関わる体制や手順の見直しも実施されています。また、強化したセキュリティ対策に関して第三者機関による安全性診断を実施中で、安全性が確認され次第、システムを再開する予定であるということです。

「ポートが閉じられていない状態」の危険性

閉じられていなかったポートとは、ランサムウェア攻撃の被害を受けたシステムが、ネットワーク経由で使うことができるサービスを制限していなかったということです。内容について、できるだけわかりやすく説明します。

ポートとは、コンピュータ同士がネットワーク経由でデータを送受信する際に使われる論理的な接続口です。コンピュータのプログラム単位にポート番号が割り振られ、IPアドレスとともに、どのプログラムがどのプログラムと通信を行っているか判断される材料の一つとなります。

IPアドレスとポート番号を建物に例えると、IPアドレスは住所、ポート番号は部屋番号に置き換えられます。例えば、皆さんが初めて友達の家に行くとき、建物の住所と部屋が何号室であるかを確認されると思います。もし、住所はあっていても部屋番号を間違えてしまえば、別の人に遭遇してしまいますね。コンピュータでも同じように、ポート番号が違えば、別のサービスに接続されてしまいます。

ポートが閉じられていない状態というのは、部屋のドアに鍵がかかっていない状態です。皆さんのお家でも、本人が不在ならばドアには鍵がかけられているでしょうし、在宅中だとしても来訪者がその人本人であることを確認してから家に招き入れるはずです。ポートが閉じられていないということは、すべてのアクセスを受け付け、誰の侵入も許してしまう状態であったため、ランサムウェアにも感染してしまったことが考えられます。

ちなみに、IPアドレスは建物の住所に当たりますので、ネットワーク経由で通信を行うすべてのコンピュータに必要とされます。サイバー攻撃の場合、住所に相当するIPアドレスは特定せず、無作為に攻撃が実行されています。

ポートを閉じる「単位」ごとに異なるメリットとデメリット

ポートを閉じるためには、ネットワーク単位で行う場合と、ホスト単位で行う場合があります。それぞれのメリットとデメリットについて説明します。

ネットワーク単位での制限は工数削減のメリットも

ネットワーク単位でポートを閉じる場合、境界型セキュリティと呼ばれるネットワークの境界に置かれたルータやFirewallによって制限します。メリットとしては、多くのホストがあるネットワークでも漏れなくポートを閉じられることです。ホストごとに設定を変更する必要もないため、作業や運用にかかる工数も最小限で済みます。デメリットとしては、ホスト自体のポートは閉じていないので、ホストがマルウェアに感染するなどして、同じネットワークからのサイバー攻撃には無力であることです。

ホスト単位の制限は脆弱性の影響を軽減できる場合もあるが

ホスト単位でポートを閉じる場合、ホストごとの設定を変更したり、ホスト型のFirewallで制限します。メリットとしてはネットワーク単位の逆で、同じネットワーク内でサイバー攻撃が発生したり、ホストが別のネットワークに持ち出された場合も、同じレベルでセキュリティを担保することができます。また、ホスト自体でサービスを無効化してポートを閉じることで、脆弱性の影響を軽減することができる場合もあります。デメリットは、ホストごとに設定を変更する必要があるため、作業や運用にかかる工数が膨らむことです。

従来は前者の境界型セキュリティが主流とされていましたが、徐々にホスト型やエンドポイントのセキュリティが必要とされるようになった背景として、在宅勤務やリモートワークが広まる現状があります。近年、ランサムウェア攻撃の被害が増えているのも、従来の境界型セキュリティでは新しい働き方にともなうセキュリティの脅威に対応できなくなったことが原因であると考えられますので、今後も気になるセキュリティニュースについて取り上げていきたいと思います。