ビジネス&テクノロジー

フォーティネットの調査で多くの組織のランサムウェア対策の不備を確認

投稿者 Fortinet | 2021年11月18日

ランサムウェアが組織を悩ませる割合は、増加の一途をたどっています。FortiGuard Labsの2021年上半期フォーティネットグローバル脅威レポートによると、ランサムウェアのインシデントは過去12ヵ月で約1,100%増加しています。また、フォーティネットが実施した2021年ランサムウェア調査レポートでは、驚くべきことに67%の組織がランサムウェアの被害に遭った経験があると回答しています。また、そのうち半数近くが複数回被害に遭い、6人に1人が3回以上攻撃を受けたと回答しています。

組織の94%はランサムウェア攻撃の脅威を懸念していると回答し、76%は「強く」または「非常に強く」懸念していると回答しています。また、85%は他のサイバー脅威よりもランサムウェア攻撃に対する懸念の方が大きいと回答しています。最大の懸念はデータ損失のリスク(62%)でしたが、これは当然でしょう。今日のビジネス経営はデータをベースにしています。生産性の損失(38%)と業務の中断(36%)も懸念の上位を占めているものの、データの損失に比べれば回復にかかる時間ははるかに少なくて済みます。最近注目を集めたコロニアルパイプラインへの攻撃では米国の東海岸全域の石油とガソリンの流通が大混乱に陥り、JBSフーズへの攻撃では世界的な食肉不足の不安がもたらされたことも、ランサムウェアに対する懸念が増幅する一因となっています。

ランサムウェア攻撃

もちろん、多くの組織はランサムウェアのリスクを十分に認識しています。そのため、十分な時間をかけて対策も用意しています。調査でも96%が攻撃に対して対策を用意していると回答しています。ただし、対策は用意していても、そのために導入したツールや計画はあまり効果的とはいえません。たとえば、半数以上はセキュリティシステムの脆弱性の特定に役立つネットワークセグメンテーション(48%)、フォレンジック機能(34%)、ランサムウェアからの復旧テスト(28%)、レッドチーム / ブルーチームの演習(13%)を戦略に含めていませんでした。また、多くの回答者がセキュアEメールゲートウェイ(33%)、ネットワークセグメンテーション(31%)、UEBA(ユーザーとエンティティの振る舞い分析)(30%)、SD-WAN(13%)、サンドボックス(7%)などの重要なセキュリティテクノロジーをランサムウェアからの保護に不可欠なツールとは考えていませんでした。

ランサムウェアからの保護に不可欠なソリューション

その代わりに、社員のサイバートレーニング(61%)、オフラインのバックアップ(58%)、サイバーセキュリティ / ランサムウェア保険(57%)などが上位になっています。これらの対策も重要ですが、完全ではありません。興味深いことに、組織の72%が身代金に関する方針を決めており、49%が身代金を全額支払うことを方針としていました。また、25%は身代金の金額によっては支払うと回答しています。

ランサムウェア攻撃からの組織の保護

以下のベストプラクティスは、増大する脅威から保護するための戦略の策定に役立ちます。

リスクに基づく計画の策定:組織に必要なランサムウェア攻撃戦略は複数あります。脆弱なシステムを標的にするWebベースの攻撃は深刻な被害をもたらすため、セキュアWebゲートウェイでエンドユーザーを保護する必要があります。調査では、52%の組織がこのテクノロジーをランサムウェア計画に含めていました。また、組織に侵入する手口としてはフィッシングが最も多く挙げられました。フィッシングにはEメールに不正なリンクやファイルを添付してユーザーを欺くソーシャルエンジニアリングの手法が使用されます。エンドユーザーのトレーニングはユーザーが不正なリンクや添付ファイルをクリックするのを防止するのに役立ちますが、部分的な解決策にしかなりません。最新のセキュアEメールゲートウェイでは、不正なリンクと添付ファイルを特定してサンドボックスで分析し、ユーザーがランサムウェアのダウンロードに誘導される前に無害化したり、(セキュリティの懸念が高い場合は)隔離されたブラウザ環境でリンクやファイルを参照することができます。

既知の脅威の阻止:すべての攻撃ベクトルの既知のランサムウェアを阻止するプラットフォームベースのサイバーセキュリティソリューションを導入することは重要です。そのためには、プロアクティブでグローバルな脅威インテリジェンスを活用したネットワーク、エンドポイント、データセンターの制御を含む多層型のセキュリティモデルが必要です。また、従来のセキュリティツールに加えて、侵害をすばやく特定して阻止するための振る舞い分析も含める必要があります。

新しい脅威の検知:既存のランサムウェアは絶えず変化し、新しいランサムウェアも次々と開発されているため、サンドボックスなどの高度な検知技術を導入して、同じベクトル全体で新しい亜種を特定する必要があります。また、エンドポイントでリアルタイムに振る舞いを検知する機能とエンドポイントに到達する前にマルウェアを検知する機能も重要です。

エンドポイントの保護:脅威インテリジェンスと振る舞いに基づいて不正なランサムウェアを特定するEDR(エンドポイントでの検知とレスポンス)などの新しい高度なエンドポイントテクノロジーに加え、リモートワーカーとモバイルワーカーへと保護を拡張し、セキュアなアプリケーションアクセスを提供するために、セキュアWebゲートウェイ、SASEZTNAなどのテクノロジーも導入する必要があります。

不測の事態への対応策:動的なネットワークセグメンテーションはランサムウェアのワームなどから保護するのに役立ちます。効果的なセグメンテーション戦略があれば、ネットワークの侵害を最小限に抑えることができます。また、オフラインのストレージと復旧機能を備えたデータバックアップも重要です。

必要不可欠な暗号化:時間はかかりますが、保存しているすべてのデータを暗号化すると、身代金を支払わなかった場合に犯罪者がデータをオンラインで公開したり、ダークウェブで販売したりするリスクを回避できます。

インフラストラクチャ全体の保護:従来のWAN接続は俊敏性に優れた高度なSD-WANに急速に置き換えられています。ただし、SD-WANは必ずしも安全性が高いとは限りません。そのため、SD-WAN戦略を採用しているすべての組織は、レガシーのリモート接続をクラウドにアップグレードするための主要なアプローチとして、セキュアなSD-WANソリューション(NGFWなどのセキュリティベースのプラットフォームに構築されたSD-WAN)を検討する必要があります。

サイバーセキュリティソリューションの機能の重要性

ランサムウェアは世界の懸念

ランサムウェアは世界的に大きな関心事になっています。ホワイトハウスはサイバーセキュリティ特別部隊の結成を発表しました。また、ランサムウェアの攻撃者をテロリストに指定し、サイバー犯罪を担当するリソースを増員し、罰則も厳格化しています。他の国でも同様の動きがあります。インターポールなどの警察機構もランサムウェア対策の基準を引き上げています。また、司法省は全米の連邦検察官に対し、ランサムウェア対策のために設立された新しいランサムウェアとデジタル恐喝の特別部隊と協力して調査に当たるように指示しています。

しかし、組織も傍観しているわけにはいきません。ランサムウェアの攻撃ベクトルに対応可能なセキュリティリソースを含めた効果的なランサムウェア戦略が必要です。すべての組織が戦略の構築を最優先して取り組む必要があります。

調査の詳細、および保護策と防御策の導入については『2021年ランサムウェア調査レポート』をご覧ください。