ランサムウェア・パンデミックの第二波を防ぐために

The Second Wave of a Ransomware Pandemic

2021/07/19 SecurityBoulevard — 今年の1月 に、SecurityBoulevard は Ransomware Pandemic を発表した。このレポートは、増大し続けるランサムウェアの脅威と、悪質なマルウェアがもたらす被害について考察するものだ。このレポートでは、将来におけるランサムウェアの予測と、脅威の進行するかについて説明している。それから僅か6ヵ月で、これらの予測はすでに現実のものとなっている。今回は、ランサムウェアの大流行について、その動向を検証し、この継続的な戦いに、コミュニティとしてどのように立ち向かえばよいかを具体的に議論していく。

カオスの半年間

2021年に入ってから、ランサムウェアは世界ニュースの主役となっている。これまで、経験したことのない大規模なランサムウェア攻撃を目の当たりにしたことで、すでに状況が変化している。その証拠に、一連の攻撃に対応する世界のリーダーたちは政策を変更し、現実的な対応策を検討し始めている。今後の10年間で、ランサムウェア攻撃に対して費やされるコストは、世界全体で $265 billion を超え、解決策が見つからない場合は、2031年までに制御不能に陥ると推定される。

ランサムウェア攻撃では、継続して医療機関が標的とされ、アイルランドの保健省やニュージーランドの医療機関に対して、今年は大規模な攻撃が生じている。一連の侵害により、手術や予約の大規模なキャンセルが発生し、深刻なプレッシャーと混乱や滞留が生じている。2021年5月には、サイバー保険大手の AXA が、身代金の支払いをサイバー保険では補償しないことを発表したが、その1週間後に物議を醸す攻撃を受けた。

2021年6月には、世界最大の食肉業者である JBS USA Holdings Inc が、システムが侵害された後に、$11 millio の身代金要求に応じている。同社の CEO は、「犯罪者に身代金を支払うのは極めて苦痛であったが、顧客のために正しいことをした」と述べている。2021年に大きな打撃を受けた、もう1つの分野は重要インフラだ。今年5月に、米国の燃料供給会社である Colonial Pipeline がランサムウェア攻撃を受け、これまでにサイバー・セキュリティ業界が経験したことのないほどの、大きな注目を集めた。システムが侵害されて数時間後に、同社の CEO から $4.4 million の身代金が支払われ、ジョー・バイデン大統領はアメリカ全土に非常事態を宣言した。Colonial Pipeline は6日間の操業停止となり、10,600カ所のガソリンスタンドが、1週間以上にわたって燃料を供給できない事態に陥った。

現実の報復

恐ろしいことに、いまやサイバー攻撃は、国家の重要インフラや安全保障を脅かしており、それに対抗する世界の指導者たちは、重大かつ物理的な行動を検討するようになってきた。2021年3月に英国政府は、例外的に破壊的なサイバー攻撃に直面した場合、核兵器を発射する用意があると発表した。また、6月には北大西洋条約機構 (NATO) が、サイバー攻撃に対して軍事的な対応を開始する準備もあると表明した。

物理的な世界に波及するサイバー戦争は、単に恐ろしいだけではなく、近い将来においては現実のものとなるかもしれない。このアプローチには、考えるべき多くの懸念がある。たとえば、 政府による攻撃の監視や、加害者を特定する方法などが挙げられる。 また、国家による攻撃の場合であっても、具体的な攻撃者は必ずしも明確にならない。

国家に帰属する脅威グループは、攻撃を調査しても姿を変えることが多く、脅威グループと特定の攻撃との関係を、研究者たちが明確にするまでに、数か月もかかる場合がある。 多くの攻撃者は、利用可能なすべての手段と手段を使用して、身元を隠すのが常である。 これらの攻撃に対して政府が、あまりにも軽率に反応すると、壊滅的な結果を招く可能性も生じる。たとえば、核兵器の使用や、無実の国への軍事的対応などが、懸念として挙げられる。

戦い

現時点における最大の課題は、こうした攻撃に、どのように企業が対応すべきかを、正確に把握することだろう。最近では、身代金を支払った企業の 92% が、すべてのデータを取り戻せなかったことが判明している。さらに悪いことに、身代金を支払うことを選択した企業の 80% が、その後もランサムウェア攻撃を経験しており、そのうちの 46% が同じ攻撃者によるものだと考えられている。身代金の支払いに関する是非は、サイバー・セキュリティ業界で長く議論されてきた問題だが、残念ながら最近の統計では、このような攻撃に直面した場合、身代金を支払うことが最善の選択肢ではないことが明らかになっている。

Talion が実施した最近の調査では、サイバー犯罪者への身代金支払いを違法にすべきだと、一般の人々の 78% が考えていることが分かった。つまり、犯罪者の資金源となっている、この違法なエコシステムを潰すためには、資金源を断つ必要があるという考え方だろう。産業界が一丸となって身代金の要求に応じないようにすれば、長期的な解決策になるはずだ。

しかし、短期的に見るなら、そう簡単には解決しない問題であることも無視できない。現在のところ、ランサムウェア攻撃や身代金要求に組織が対応するための、法的枠組みは存在しない。以前からサイバー犯罪者がテロリズムに資金を提供している可能性があることから、身代金の要求に応じることを犯罪とすべきだという議論がある。しかし、私たちが必要としているのは、このような困難な状況に直面している組織を支援する、政府の明確な指針である。

私たちは、バーチャル無法者というイメージから曖昧さを取り除き、攻撃の影響を抑えようとする組織が、政府の支援を受けて合法的な決定をくだせる環境を必要としている。国家の重要インフラや重要サービスが標的となっている場合、組織が身代金要求に応じることを禁止すると、壊滅的な結果を招く可能性があることも考慮しなければならない。身代金支払いを望む CEO はいないはずだが、サービスや供給に影響が生じるよりも、簡単に済むケースもある。禁止措置を講じる前に、被害者をサポートする仕組みを充実させることができれば、この選択肢を成功させる可能性が高くなる。

ムーブメント

Talion の調査によると、81% のセキュリティ専門家が、攻撃を受けた企業間で情報を共有することが、より良い防御策を構築するための鍵であると考えている。これまでの何年にもわたって、企業は攻撃を受けた後に注目を浴びることを避け、情報漏えいを隠蔽し、重要な情報をカーペットの下に隠してきた。残念ながら、このような行為が、私たちが直面している、世界的なランサムウェア危機の原因となっている。

短期的には、組織が広範なコミュニティと情報を共有するよう呼びかけることが、より現実的なアプローチとして挙げられる。このような攻撃に対抗して、真の進歩を遂げようとするならば、秘密主義を否定し、透明性を歓迎する姿勢を、世界中で採用する必要がある。現在、情報漏えいは極めて一般的なものになっており、組織の規模にかかわらず、どのような組織にも起こり得る。ランサムウェアに感染したからといって、組織が失敗したわけではない。

CEO たちは、攻撃を隠すことで組織の評判を守るつもりかもしれないが、他の組織が自社の財産を守るために必要な情報を、隠していると非難されても仕方ない。コミュニティとして、私たちは成長し、失敗から学ぶべきだ。私たちは、「一人の利益を、みんなの利益を」というアプローチを採用すべきだ。国として、すべてのランサムウェアのケースを追跡できれば、脅威グループ間のつながりが明らかになり、最終的には犯罪のエコシステム全体を崩壊させることも可能だろう。

このブログを始めてから、かれこれ4ヶ月が経ちましたが、これほどまでに、ランサムウェアの被害数が多く、被害額が膨大だとは、予想もしていませんでした。おそらく、海外のインシデント情報を集めるから見えてくる、深刻な状況なのだと思っています。そして心配になるのは、日本の大手企業の中で、ランサムウェアの被害に遭ったときの対応の手順を、明確に決めているケースが、どれくらいの割合に達しているのかという点です。ランサムウェアの被害は、社会インフラを止めるような規模にまで達しています。また、人命に関わるようなケースもあるでしょう。文中にもあるように、時として、犯人に妥協する必要があるかもしれません。ただし、何が起こり、そのように対応したのかという情報は、とても重要であり、かつ、社会で共有されるべきものです。

%d bloggers like this: