ある国際海運会社が管理している大規模船団のネットワーク接続は、たびたびオフラインや制限付きアクセスの状態になります。同社の船舶の乗組員は日常的にコンピューターにアクセスするため、ネットワークに接続できない海上にいるときでもマルウェアやその他のセキュリティー・リスクに迅速に対処して内部データの損失を防ぐ方法を模索していました。

同社の課題:

  • レガシー・ソリューションでは、マルウェアやランサムウェアの検知に失敗することが何度もありました。
  • 帯域幅と接続が制限されているために、レガシー・ソリューションのシグニチャーはほぼ更新されていませんでした。
  • インターネット接続を利用できないので、24時間365日監視することはできませんでした。
  • サイバーセキュリティー・スタッフは乗船しておらず、乗務員はトレーニングを受けていませんでした。
  • 未許可のデバイスが船舶のコンピューターに接続されることがよくありました。

船舶の航海は一度で数カ月にも及ぶだけでなく、主要基地から遠く離れた海上を長期間漂うことから、非常に特殊な環境です。インターネット接続は断続的に利用可能ですが、帯域幅は乏しく費用も高額になる場合がたびたびあります。乗務員はサイバーセキュリティーのトレーニングを受けていないことが多く、マルウェアやランサムウェアが潜んだ保護されていない危険なデバイスを船上に持ち込んでしまうこともあります。また確立した船内プロセスにより、他の問題を発生させることなく外部デバイスをブロックすることはできません。このようなデバイスは通常業務に欠かせないものでもあり、さまざまな緊急事態が発生して即座に交換されることもあります。緊急事態の発生時にはレスポンス・タイムが極めて重要ですが、リアルタイムでのアクセスはほとんど不可能です。なぜなら船舶はインターネット接続状況が良好ではない環境や、孤立した海域を航行していることが多いからです。

3カ月の間にIBM Security ReaQtaは

24件
のランサムウェア攻撃を防止

攻撃を追跡して処置することで

数十件
のデータ損失を回避

検知と処置

ソリューション:

  • IBM Security® ReaQtaにより、すべての船舶のエンドポイントにインストールするソリューションを提供しました。
  • データ使用量が少ないことから、インターネット接続が利用できる状況では、地上勤務員がリアルタイムで船舶を監視して対応できるようになりました。
  • インターネット接続が利用できない間は、脅威を削除する対応や処置を自動化しました。

一連のランサムウェア攻撃を受けて船上で重大な問題が発生した後に、こちらの国際海運会社はIBMにインフラストラクチャーの保護を依頼してきました。最初の健全性検査で、既に多くの船舶が、RAT、トロイの木馬、リバース・シェルなどの多様なマルウェアに感染していることがわかりました。検出されたすべての感染を評価・削除してから、同社の仕様に合わせてReaQtaソリューションを再構成しました。同社ではインターネット接続を利用できないときに、ビジネス継続性の中断リスクを最小限に抑えつつ、データの破壊を防ぐ必要がありました。また、日常業務に不可欠な衛星回線の飽和を回避するために、データ転送を最小限に抑える必要もありました。以下の図は、この実装の構成を示しています。

美しい航跡波を描いて全速力で進むコンテナ貨物船

健全性検査

ReaQtaの初期実装の直後から各種の異常動作にフラグを立て、素早く対処・処置しました。マルウェアの大部分は乗組員によって船内に持ち込まれたもので、それ例外はインターネットに接続されたエンドポイントからダウンロードされたコンテンツ経由で感染していました。ただちに脅威ハンティング・キャンペーンが開始された結果、少数の潜伏型マルウェア・インスタンス存在することが明らかになりました。悪意のある遠隔操作者はこのマルウェア・インスタンスに接続することで、船内の感染したコンピューターを乗っ取ることができます。このマルウェア・インスタンスにも検疫処置を施し、それから7日間の観察期間を設けました。特に異常が発生しないことが確認されると、IBMはプラットフォームを再構成しました。これにより、同社の業務中は最適なデータ使用量が維持され、ビジネス継続性の中断リスクも低く抑えられるようになりました。

通常業務

船舶の管理を一元化するために、主要基地インフラストラクチャーの内部には管理ダッシュボードがインストールされていました。また船内のネットワークは統合されていたものの、インターネットにアクセスできるのは単一のエンドポイントだけで、その他は乗組員のデバイスを含めてインターネットに接続できないように構成されていました。この特殊な環境に対処するため、IBMはすべてのエンドポイントが主要基地にReaQtaデータ(これ以外は禁止)を送信できるように、安全なチャネルを作成する必要がありました。インシデントの監視と対応は、分析者チームが担当しました。

データを危険にさらす可能性がある唯一の攻撃ベクトルはランサムウェアであるため、船舶がオフラインになる予定のときはランサムウェア保護を有効にしました。またインターネットの常時接続はされていないので、RATやトロイの木馬による感染がただちに発生することはないと判断されました。それ以外の動作はすべて監視し、追跡データはローカルに保存して、インターネット回線が再び利用可能になった時点ですぐに送信されるように設定しました。

データ損失の防止

それ以降の3カ月間に、ReaQtaは合計24件のランサムウェア攻撃を防止し、数十件の多様な脅威(ほとんどがRATでした)を追跡して処置し、データ損失を防止しました。ReaQtaがなければ船舶業務に障害が発生し、乗組員にとって理想的とは言えない状況が発生して重要なデータを利用できなくなっていたでしょう。ランサムウェアが一隻の船舶に与える影響を、同社は十分に認識していました。その認識に応えるべくReaQtaは遅延の回避、データ損失の防止、費用のかかる緊急時対応業務の回避に成功しました。

この国際海運会社について

200隻以上の船舶で世界中に物品を輸送している大手の国際海運会社です。

製品・サービス
IBM Security® ReaQta

© Copyright IBM Corporation 2022. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21

2022年10月

IBM、IBMロゴ、ibm.com、IBM Securityは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。 他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、Webサイト "Copyright and trademark information"(https://www.ibm.com/legal/copytrade)をご覧ください。

本資料は最初の発行日の時点で得られるものであり、随時、IBMによって変更される場合があります。すべての製品が、IBMが営業を行っているすべての国において利用可能ということではありません。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本書に掲載されている情報は現状のまま提供され、第三者の権利の不侵害の保証、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任なしで提供されています。IBM製品は、IBM所定の契約書の条項に基づき保証されます。

適切なセキュリティーの実施について: ITシステム・セキュリティーでは、エンタープライズ内外からの不正アクセスに対して防止、検知、対応を行い、システムや情報を保護することが求められます。深刻なネットワーク障害を経験した後、トルコのIsbank社は、ビジネスのレジリエンシーを確保するために自社のサーバー、アプリケーション、データを新しいデータセンターに移行する必要があり、移行中のネットワーク運用は継続する必要がありました。完全に安全と見なすことができる IT システムまたは IT 製品は存在せず、また単一の製品またはセキュリティー対策が、不正アクセスを防止する上で、完全に有効となることもありません。IBM のシステムおよび製品は、包括的なセキュリティーの取り組みの一部となるように設計されており、これらには必ず追加の運用手順が伴います。また、最高の効果を得るために、他のシステム、製品、またはサービスを必要とする場合があります。IBM は、何者かの悪意のある行為または違法行為によって、システム、製品、またはサービスのいずれも影響を受けないこと、またはお客様の企業がそれらの行為によって影響を受けないことを保証するものではありません。