オフライン(クローズド環境)のセキュリティ対策

公開日:

更新日:

執筆者:野下 龍|

PDFダウンロード

ゼロデイ攻撃対策「Morphisec」ライターチームの野下です。

オフライン環境にあるサーバなどの端末は、社内外の機密情報を取り扱っているケースがほとんどです。

例えば、金融機関であれば決済基盤のシステム、個人情報を取り扱う製造業の工場、社会インフラにおいて重要な機能を持つ制御システム(OT:Operational Technology)です。

万が一、このような端末がウイルスに感染すると、企業にとって時間、金銭、社会の信用を失うなど大きな被害を受けてしまいます。

しかし、オフライン環境にある端末は「ネットワークに接続していないためサイバー攻撃の被害に遭わない」、「隔離されている環境のためセキュリティ対策は不要」という神話が未だに定着していて、セキュリティ対策が進みにくいことが現状です。

もう1つ、セキュリティ対策が行われにくい理由として、外部ベンダに運用を委託しているケースが多いことが挙げられます。委託先がセキュリティ技術を有していないなどの理由で、オフライン環境下にある端末のセキュリティ対策の提案がされず、導入の検討すらされないこともあります。

今回はこのような背景を踏まえて、オフライン環境のセキュリティ対策がなぜ必要かを解説します。

目次

クローズド環境とは?

クローズド環境とは、外部からのインターネット接続が制限された、または完全に隔離されたネットワーク環境のことです。

クローズド環境は、工場や病院、サーバルームなどの特に機密性が高いデータを取り扱う環境で設計され、外部との接続が最小限に制限されることで、セキュリティのリスクを低減させることを目指しています。

工場や病院の他にも、重要なデータベースや研究施設、軍事施設など、特定の情報やシステムを外部からの攻撃や侵入から保護する必要がある場合にクローズド環境が採用されることが多いです。

クローズド環境は外部のインターネットから隔離されているため、Webやメールからのマルウェアの感染被害が出にくいことが特徴ではありますが、マルウェアによる攻撃を100%避けられるということではありません。

オフライン環境への攻撃の手口は?

オフライン環境でもセキュリティ対策が必須な理由を解説

先ほどもお伝えした通り、クローズド環境のオフライン状況下でも100%マルウェアからの感染を防げるわけではありません。

もちろん、オフライン環境下はネットワークから切り離された環境のため、通常のウェブ通信はできませんが、サイバー攻撃者やマルウェアの侵入経路は残されています。

では、マルウェアやサイバー攻撃者は、どのような攻撃の手口を利用してクローズド環境に侵入してくるのでしょうか。

USBなどの外部デバイスからの侵入

USBメモリや外部ハードドライブなどのポータブルストレージデバイスは、オフライン環境にマルウェアを持ち込む主な経路でしょう。

マルウェアやランサムウェアに感染したPC端末にUSBメモリを接続すると、そのUSBメモリ自体がマルウェアに感染してしまうことが考えられます。

マルウェアに感染したUSBメモリをオフラインにある端末に接続すると、たちまちオフライン環境にあるPCにマルウェアが広がります。

PCによっては、USBメモリが接続されたタイミングで、格納されているファイル内のプログラムが自動的に実行されるケースも注意するべきです。

ソフトウェアなどのアップデート時にマルウェアが侵入

外部ネットワークに接続して、更新データをダウンロードしアップデートを適用する際に、マルウェアに感染するリスクが考えられます。

オフライン環境ではインターネットを介した自動更新ができないため、従来型のセキュリティ対策ソフトの防御性能が低下しやすいことも注意するべきです。

セキュリティ対策ソフトはシグネチャ更新を前提とした防御性能で、日々進化するサイバー攻撃には対応していないということも起こり得ます。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人間の信頼性や心理を悪用して不正なアクセスを行なったり、情報を流出させたりする方法です。インターネット接続がないオフライン環境でも、ソーシャルエンジニアリングは有効な侵入手法となり得ます。

例えば、USBドロップ攻撃という手法は、攻撃者が感染したUSBメモリを故意に会社の駐車場やオフィスのフロアに落とします。USBメモリを発見した人はUSBメモリに何が入っているか気になり、それを自分のコンピュータに接続し、マルウェアに感染してしまいます。

また、攻撃者がIT部門のスタッフを装い、セキュリティアップデートのためにコンピュータへのアクセスを求める場合があります。スタッフがこの要求を信じてアクセスを許可した場合、攻撃者はマルウェアをシステムにインストールしたり、機密データにアクセスしたりできるようになります。

オフライン環境のマルウェア被害事例

被害事例1:核施設を狙った「スタクスネット(Stuxnet)」

オフライン環境のマルウェア被害事例

最も有名な事例としては、核施設を狙った「スタクスネット(Stuxnet)」マルウェアの攻撃が挙げられます。2010年に発見されたStuxnetは、特定のオフライン環境下にあるOTシステムを狙ったマルウェアです。

このマルウェアは、ネットワークに直接接続されていない、イランの核施設の遠心分離機を破壊するために設計されていました。

攻撃者は、感染したUSBメモリを使ってStuxnetを物理的に施設に持ち込みました。このUSBメモリがコンピュータに接続されるとマルウェアは制御システムに侵入し、遠心分離機が正常に動作しないように操りました。

その結果、遠心分離機は過負荷となり、故障しました。

Stuxnetは、USBメモリなどを介して、ネットワークに接続されていないシステムにマルウェアを持ち込む方法を示しています。

これは、オフラインの環境でもセキュリティ対策が必要であることを示す強力な例となりました。

被害事例2:USBメモリからマルウェア感染した製造業の被害事例

USBメモリからのマルウェア感染により、製造ラインが停止する被害に遭った事例です。 

この企業では、外部から持ち込まれたUSBメモリを、そのまま製造ラインのコンピュータに接続する習慣があり、USBメモリに感染したマルウェアが、製造ラインのコンピュータに感染し、製造ラインが停止する被害に遭いました。

この被害により、結果として同社は約1億円の損害を被ってしまいます。

金銭的な被害だけではなく、製造ラインの停止によって、顧客への納期遅延、クレームにもつながり信用問題にも発生してしまいました。

オフラインの環境でセキュリティ対策が難しい理由

オフライン環境の特性上、インターネットを介した自動更新ができないため、従来型のウイルス対策ソフトの防御性能が低下してしまいます。

多くのウイルス対策ソフトは、シグネチャを更新し防御性能を低下させない防御手法となっているため、オフライン環境では防御性能を発揮しきれません。

また、アップデートを行うために検証環境で動作を確認し、一時的にネットワークに接続するといった作業時間も発生してしまいます。

従来型のウイルス対策ソフトの場合、アップデートに作業時間が発生してしまい最新のシグネチャが適用されていない期間で、マルウェアに感染してしまうことも考えられます。

オフラインの環境において有効なセキュリティ対策「Morphisec」

オフライン環境において有効なセキュリティ対策はMorphisec

ウイルス対策ソフトは多くありますがアップデートを行わなくとも防御性能を低下しない製品は多くありません。

しかし、当社で取り扱っているMorphisec(モルフィセック)はこの条件をクリアしています。

Morphisecは、特許技術であるMoving Target Defense(メモリのランダマイズ)という防御手法を採用しており、シグネチャに依存せず定期的なアップデートを不要とする防御手法です。

アップデートが行えない環境においても防御性能を低下させることなく、攻撃への対策が可能となります。

また、メモリランダマイズの防御手法はアプリケーションの動作が軽量で、端末負荷が非常に低いのでレガシーシステムの延命措置としても採用されています。

実際に、国内でも製造系の顧客工場内でMorphisecが採用されており、オフライン環境下で活用されています。導入前に行われたPoC(実証実験)では、問題が発生せずに導入が決定されました。

Windowsサーバだけではなく、Linuxにも対応していますので詳細はMorphisecの製品ページから問合せください。

関連記事の一覧