ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!

The Digital Pandemic – Ransomware

2021/09/19 StateOfSecurity — サイバー・セキュリティの専門家や、ビジネス・リーダーにとって、この 2021年は、背筋が寒くなるよう年かもしれない。データ分析とトレーニングを行っている CybSafe の調査によると、2021年 Q1 に報告されたサイバー・インシデントのうち、22% がランサムウェアによる攻撃だった。Information Commissioners Office から入手した数字によると、2020年と比較して 11% の増加となっている。この増加は重要であり、より詳細に調査する必要がある。

ランサムウェアとは?

ランサムウェアとは、マルウェアなどの悪意のソフトウェアの一種であり、コンピューターやデバイスに感染して、システムやファイルへのアクセスを遮断するものだ。 一般的には、システム全体またはファイルのサブセットが暗号化される。被害者でユーザーが身代金を支払うまでは、システムやファイルへのアクセスが止められ、サイバー犯罪者の支配下に置かれる。 身代金の支払い要求は、通常、Bitcoin などの匿名が約束される方式が指定される。

サイバー犯罪者は、攻撃の技術的な側面だけでなく、心理的な面からの攻撃も理解している。サイバー犯罪者は、指定した期間内に要求に応じなければ、すべてのファイルやシステムを削除または破壊すると述べ、緊急性を煽り、パニックへと陥れようとする。また、ランサムウェアが侵入したことを顧客に知らせると言い、脅迫することもある。近年では、Information Commissioners Office : ICO に情報漏洩の事実を知らせると脅迫するケースもあり、規制や法律に基づく調査に至る場合もある。

なぜこのような問題が起きているのだろうか?

ランサムウェアは今に始まったことではない。最初とされるランサムウェア攻撃は、はるか昔の 1989年に医療分野で生じている。 そして時間が下って 2019年、セキュリティ企業である Purplesec のレポートによると、モバイル・デバイス向けのランサムウェア・トロイの木馬は 68,000個あったそうだ。これほど、ランサムウェアが広まったのには、いくつかの理由があるが、それは何年も前から増加しているフィッシングと関連している。

この1年の間に、ほとんどの人が何らかのかたちで、フィッシング・メールを受け取ったことがあるはずだ。電子メールや SMS メッセージが端末に送られ、「このリンクをクリックしてください」、「この添付ファイルを開いてください」と促す。それがフィッシングの手段だがが、多くの場合、ランサムウェアがペイロードとなる。リンクをクリックすると、次に何が起こるかは、サイバー犯罪者次第である。 残念ながら、 Crime-As-A-Service が豊富に存在するため、この種の犯罪への参入障壁は大幅に低下している。

それに加えて、Palo Alto Networks Unit 42 セキュリティ・コンサルティング・グループによると、犯罪者に対して支払われる身代金の平均額は、2020年以降 82% も増加している。2020年には $170,000 に過ぎなかった平均要求額が、現在では $570,000 という、これまでの最高レベルに達している。

もちろん、常に高額な身代金が支払われるわけではなく、誰をターゲットにするかにより、かなり低くい要求額になることもある。 Crime-As-A-Service の運営者は、支払われそうな価格の上限を設定することで、ランサムウェア攻撃の実行犯を支援する。要求額が高すぎれば、無視される可能性もある。

氷山の一角

報告書や統計では、ランサムウェアが増加しているという、衝撃的な事実が語られているが、氷山の一角に過ぎないと確信できる。その理由は、被害者の多くは、ランサムウェア攻撃を受けたことを公に知られたくないからである。2019年には、Uber がサイバー犯罪者に $100,000 を支払い、盗まれた 5700万件以上の顧客とドライバーの記録を削除させたことが明らかになり、このことが浮き彫りになった。

私たちは何ができるのだろう?

重要なことは、この問題を当局や議員に任せても、うまく対処してもらえないという現実である。私たち自身が行動を起こすべきだが、思ったほど難しいことではない。予防は治療に勝るものであり、自分自身と組織を守るために、何をすべきかを説明していく。

人間が最大にして最後の防衛手段である

フィッシングとは何か? そして、どのような意味を持つのか? このような視点で、チームを教育しよう。ランサムウェアは、攻撃の原因ではなく、症状として現れることが多い。サイバー犯罪者にとって必要なことは、誰かを説得して、リンクをクリックさせることや、システムへのアクセスを提供させたりすることだ。 トレーニングと意識向上は退屈に聞こえるかもしれませんが、次のように考えてほしい。

このトレーニングと意識向上は、年に一度の受け身のイベントではなく、継続的に行う必要がある。楽しく、適切で、実用的なものにすべきだ。すべての人が、このトレーニングを必要としていることを忘れないでほしい。そう、すべての人だ。CEO や MD だけではなく、IT 部門やサイバー・セキュリティ専門家までもが含まれる。状況は常に変化し、攻撃の方法も毎回のように異なる。私たちは、初心者の考え方を取り入れ、継続的に (自分自身を) 向上させていく必要がある 。

IT チームや CEO/MD に対して、トレーニングと意識向上を約束させるには、どうしたらよいのだろう? ランサムウェア攻撃を想定した、卓上演習を行ってみてはどうだろう。顧客データベース全体が盗まれ、暗号化され、身代金を要求されるというシナリオは、経営陣の注意を喚起するはずだ。

テクノロジーの有効活用

フィッシング。メールを防ぐために、強力なスパム・フィルターを導入すれば、社員の心理的負担を軽減することで、すでにセキュリティを高めていることになる。しかし、ユーザーが悪意のリンクをクリックしてしまった場合には、ファイルの不正ダウンロードや、マシンの不正な変更などの行為に対して、検出と警告を行うツールの導入も考えるべきだ。より広範な SCM (Security Configuration Monitoring) スイートの一部として、このようなツールを導入できる。

また、メール・スプーフィングのリスクを軽減するために、DMARC (Domain Messaging Authentication Reporting Conformance) の設定を確認する必要がある。これにより、エンドユーザーに対して、「YourCEO.Company.co.uk」からのメールが表示されても、実際には、この人物からのメールではないことが確認できる。 また、すべての送受信メッセージを確実にスキャンすることで、悪意のコンテンツが含まれていないことを確認し、エンドユーザーの負担を軽減することもできる。もし、可能であれば、実行可能型のファイルが添付されたメールは、ブロックするべきだ。ただし、業務に影響を与える可能性があるため、混乱を招かないように対応すべきである。

エンド・ユーザーの負担を軽減し、人の介入を減らすことで、攻撃者を排除するための境界防御は改善される。しかし、万が一、ランサムウェアが侵入してしまった場合は、適切な技術的管理を行うことで、この脅威による被害の多くを防ぐことも可能だ。たとえば、ランサムウェアには、FIM (File Integrity Monitoring) ツールで、すぐに識別できるシグネチャや特徴があることが多い。また、ウィルス対策やマルウェア対策を実施していれば、潜在的な脅威を警告することも可能だ。

この脅威の技術的側面に対して、最も効果的なアプローチは SCM (Security Configuration Monitoring) 設備の導入である。効果的な SCM は、ネットワーク全体から情報を収集/分析し、ランサムウェアの存在を示す不審な行動や、システムの不正な変更を検出する。 ランサムウェアの背後にいる者は、被害者から金銭を搾取するために、暗号化する前にデータのコピーを取ることが多々ある。 セキュリティ設定監視ツールを導入することで、このようなデータ流出を警告することができ、迅速かつ効果的に修復計画や危機管理計画を実施することが可能になる。

導入が可能な技術的な対策については、まだまだ多くのことがあるが、最も技術的な対策であるバックアップについて触れていく。堅牢なバックアップ・プロセスを導入し、定期的にテストを行ってほしい。あなたの仕事の性質によっては、バックアップの 3-2-1 ルールを適用すると良いだろう。これは以下の通りです。

・データの3つのコピー:プロダクション・データと、2つのバックアップ・コピー
・2種類のメディア:ディスク/テープ/クラウドなど
・1つのオフサイト/オフライン・コピー:ディザスタ・リカバリのため

まとめ

悲しいことに、100% 安全というものは存在しない。 予防/検知/改善の考え方を持つことが必須となる。 上記のような対策を講じることで、攻撃が成功する可能性を減らすことはできるが、不運にもランサムウェアの被害に遭ってしまった場合でも、パニックにならないようにすべきだ。インシデント・レスポンス・プランとして、以下のステップを検討してほしい。

・インシデント・マネジメント・チームを立ち上げる
・バックアップの隔離と保護
・被害を受けたシステムやデバイスを隔離/閉鎖する
・すべての管理者アカウントを特定し、パスワードを変更する

サイバー犯罪者は「バックドア」を作成している可能性があるため、攻撃者を締め出す行動を取る前に、管理者アカウントのパスワード変更が必要である。

・法執行機関への通報
・保険会社への通知
・自身のチームへの通知
・顧客への通知
・復旧プロセスを支援を依頼

復旧プロセスを支援は、サイバー・セキュリティ専門家の導入による。

一連の行動は直線的なプロセスではなく、それぞれのステップを慎重に検討する必要があることに注意してほしい。 正常な状態に戻ったら、PIR (Post Incident Response) レビューを実施し、復旧プロセスのステップを確認し、次回に備えてより良い対応ができるようにする。これが完了したら、Root Cause Analysis (RCA) を行い、ランサムウェアが侵入した手口/経路を特定し、再び被害に遭う可能性と影響を減らすために、何ができるかを検討する必要がある。 ここには、トレーニングやテクノロジーへの投資が必要かどうかの判断も含まれる。

ランサムウェアは決してなくならない脅威である。サイバー犯罪者がランサムウェアで収益を上げるのをやめるまで、ランサムウェアはしばらくの間、私たちと共にあるだろう。 犯罪は進化するものであり、ランサムウェアは 1800年代のスリと同じように、現在の社会で流行している。攻撃に対する最良の形態は防御であり、無知や自己満足を凌駕する知識があれば、この脅威から身を守ることができまる。明日の攻撃を防ぐために、今すぐ行動を起こすべきだ。私が言いたいのは、サイバーセキュリティが一般的な議題になる前に、さっさと議論を始めよう、ということだ。

彼を知り己を知れば百戦危うからずと、孫子さんも言っているわけですから、まずは知るということから始めなければなりませんね。その意味で、この記事は、しっかりと系統立てて説明してくれるので、とても助かります。追加の情報として、「企業ネットワークに侵入した犯罪者:30分以内に 36% が横移動を開始」と、「ある CISO の証言:ランサムウェアと身代金の関係は柔軟に考えるべき?」」と、「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」を挙げておきます。よろしければ、ご参照ください。

%d bloggers like this: