前へ 1 2 次へ

第11回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

古いOSで動くPCやサーバーこそセキュリティ強化が必要、そこで役立つ「FortiEDR」

工場の“サポート切れOSパソコン”がランサムウェアの感染源に! ……どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

■今回のセキュリティ事故:

 中堅精密部品メーカーのQ社は、高度な技術力と“職人的な品質へのこだわり”を持つ会社として、業界内では古くから知られた存在だ。他のメーカーから「うちの技術では無理だが、Q社さんなら……」と推薦されるようなケースもしばしばで、部品発注元となる大手企業からの信頼も厚い。

 もっとも、多くの日本企業がそうであるように、Q社でも近年の「人手不足」には頭を悩ませていた。少ない人員でも、品質への職人的こだわりを維持しながら部品製造を続けるためには、大幅な生産性の向上が必要だ。そう考え、製造ラインの制御システムやセンサーからデータを収集/分析して、製造プロセスの最適化に取り組んでいた。

 取り組みのスタートからおよそ半年、データ分析に基づく製造プロセス改善は徐々に成果を上げつつあった。これまでの製造工程にいくつかの無駄な工程があることが分かったほか、製造装置の稼働率をさらに高める方策も見つかった。こうしたデータはクラウドのBIツールを使って可視化し、製造関連のスタッフと共有することで、現場での具体的な改善策を検討、試行していく流れが出来ていた。

 順風満帆かと思われていた、そんなときにセキュリティ事故が起こった。工場内にある1台のPCがランサムウェアに感染し、そこから工場ネットワーク経由で複数台のPCに感染が拡大。データが完全に暗号化されてしまい、システムが起動できない状態になった。その結果、工場の製造ラインが2週間にわたり、完全に止まってしまう事態となった。部品の納入を待つ取引先を含め、混乱の影響はサプライチェーン全体に及んだ。

 Q社の工場ネットワーク(OTネットワーク)は、セキュリティ対策のために、オフィス側のITネットワークとはファイアウォールで隔離されている。オフィス側から工場ネットワークへのアクセスは制限(ブロック)されており、サイバー攻撃による侵入は起こるはずがない、と思われていた。

 攻撃侵入の原因となったのは、“サポート切れOS”のPCと小さなUSBメモリだ。工場内で最初に感染したPCは、製造装置の一部として納入されたシステム制御用のPCであり、そのOSは2020年にサポートを終了したWindows 7だった。また、ウイルス対策ソフトがインストールされていたものの、そのバージョンは古いままで更新が停止していた。

 ある社員が、分析用の大容量データをコピーしようとUSBメモリをPCに挿したところ、Windows 7の脆弱性を突くマルウェアがUSBメモリからPCに感染。それを“突破口”として、攻撃者は遠隔操作ツールやランサムウェア本体などを次々と送り込み(ダウンロードさせて)、ランサムウェア攻撃を成功させたのだった。

 Q社の工場内には、最初の感染源となったこのPC以外にも、Windows 8.1、Windows Server 2008といったサポート切れOSのマシンが数多くある。ただし、いずれも製造装置やライン監視装置などに組み込まれた特殊なシステムなので、OSのバージョンアップは困難だ。また、ネットワークを完全に遮断して運用するならば、ここまで進めてきた製造プロセス改善の取り組みはあきらめなければならない。……このセキュリティ事故は、どうやったら防げたのだろうか?

※このストーリーはフィクションです。実在する組織や人物とは関係ありません。

Windows 7、Windows Server 2008…… “レガシーOS”を使い続ける理由

 2025年10月14日、Windows 10がサポート終了を迎えた。この日以降、Windows 10には無料のセキュリティ更新プログラムが提供されなくなる。OSに脆弱性が発見されても修正されなくなり、セキュリティリスクが高まる。そのため、まだWindows 10を使っているPCでは、Windows 11への早急なバージョンアップが求められている。

 ただし、今回取り上げた事例のように、やむを得ない理由でOSがバージョンアップできないケースもある。たとえば工場の製造装置、病院の医療機器、電力や上下水道といった社会インフラ設備など、特定の機器を制御するための専用システムを動かすPCは、しばしば装置や機器と一体のものとして設計/開発されている。OSのバージョンアップによって、アプリケーションの安定稼働に影響が出たり、周辺機器との接続に不具合が出たりするおそれがあるため、簡単には対処できないのだ。

 こうしたシステムでは、OSのバージョンアップは装置や機器そのもののリプレースを待つことになり、長年にわたって古いOSのまま使い続けられることになる。実際、今回挙げた例のように、Windows 10よりもさらに古いサポート切れOS(Windows 7/8/8.1、Windows Server 2008/2012/2012 R2など)、いわゆる“レガシーOS”が、現在もまだ利用されているケースは少なくないと言われる。

 脆弱性を抱えたサポート切れOS/PCを運用し続けるうえでは、通常よりもさらに注意を払って、十分なセキュリティ対策を行う必要がある。たとえば、ネットワーク接続を完全に遮断(もしくは大幅に制限)して運用する、ウイルス対策ソフト(EPP:エンドポイントセキュリティ)を導入して常に最新の定義ファイルで運用する、USBメモリなど外部メディアの接続を禁止する、といった対策を多重に行うことが考えられる。

 とはいえ、今回の事例のように「機器で取得したデータを分析したい」といったニーズが高まれば、ネットワークや外部メディアの接続制限を緩和せざるを得ないことも増える。どんなに対策を重ねてもセキュリティリスクがゼロになることはないと理解しつつ、セキュリティ対策を最新のものに“バージョンアップ”し続けるしかない。

サポート切れOSマシンのセキュリティ強化にも適した「FortiEDR」

 PCやサーバーといったエンドポイント端末の新たなセキュリティ対策製品として、近年注目を集めているのが「EDR」だ。調査によって数字は異なるが、すでに30~50%の国内企業がEDRを導入していると見られる。

 従来のEPPは、ウイルスなどの脅威の侵入を検知、ブロックすることを目的とした“システムの門番”のような存在だが、それをすり抜けて侵入するサイバー攻撃もある。EDRは、PC上で実行されるあらゆるプロセスを継続的に監視/記録し、サイバー攻撃が疑われる不審なふるまいを検知して警告する、“システムの監視カメラ”のような役割を持つ。

 EDRは、今回のようなレガシーOSのセキュリティ強化にも効果を発揮する。たとえば今回の事故でも、EDRが導入されていれば、たとえ最初のウイルス感染を許してしまったとしても、ランサムウェアのダウンロードや実行といった攻撃行動を検知して、実害の発生を未然に防げた可能性が高い。もっとも、そのためにはEDR側がレガシーOSに対応している必要がある。

 フォーティネットの「FortiEDR」は、その要件を満たしたEDRである。対応するOSは、Windows XP/7/8/8.1/10/11、Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2/2016/2019/2022/2025と、かなり古いOSも含まれる(ほかにmacOS、Linux、VDIの仮想マシンにも対応している)。

 監視対象のPC/サーバーにインストールするエージェントソフトは軽量だ(CPU負荷は1~2%)。加えて、FortiEDRはEPP(NGAV:次世代アンチウイルス)の機能も統合しているので、複数のエージェントソフトをインストールする必要もない。そのため、古いシステムであっても稼働にほとんど影響を与えず、EDRによる保護を実現する。

FortiEDRは、サイバー脅威の侵入前(予防)から侵入後(検知、無効化、対処、修復など)まで、幅広い機能を提供する

 サポート切れOSの保護という観点で、FortiEDRが備える重要な機能のひとつが「仮想パッチ」だ。これは、システムやアプリケーションの脆弱性を悪用しようとするネットワーク経由の攻撃に対して、通信をブロックすることで攻撃を防ぐ機能である。そのため、セキュリティアップデートが提供されなくなったレガシーOSでも、攻撃リスクを低減させることができる。

 またレガシーOSは、インターネットと隔離されたネットワーク内で運用されていることが多いが、FortiEDRは、そうした環境でも運用できるよう設計されている。具体的には、FortiEDRの管理サーバーは、クラウド環境だけでなくオンプレミス環境にも配置することができる。さらには、クラウドとオンプレミスの管理サーバー間を連携させて、ハイブリッド型の統合管理環境を構成することも可能だ。

「FortiEDR」の管理画面(ダッシュボード)。発生しているセキュリティイベントやそのリスク度などが、日本語で分かりやすく表示される

FortiEDRの管理サーバーは、クラウド/オンプレミス/ハイブリッドで配置できる

前へ 1 2 次へ
Fortinet トップへ

この記事の編集者は以下の記事もオススメしています