業界トレンド
進化するランサムウェア攻撃のトレンドに対する保護
Rise Of Ransomware
ランサムウェア攻撃は常に変化し続けており、現在も例外ではありません。昨年は、悪意のあるアクターが、医療機関、医療試験、学校、配送業者などを攻撃しました。このような最新の攻撃が、業種を問わずあらゆる組織に与える影響を考えると、セキュリティ専門家は常に新しい方法でシステム、ネットワーク、ソフトウェアを保護する準備をしておく必要があります。また、最近のFortiGuard Labsのグローバル脅威レポートによると、2020年に増加したランサムウェアは依然として大きな脅威であり、さらに破壊的な脅威となっています。エンドポイントセキュリティソフトウェアとデバイス保護ソリューションを導入することで、組織はネットワーク内外のすべてのユーザーとデバイスを高度な対応で保護することができます。
ランサムウェア攻撃はどのように起こるのか?
攻撃手法としてのランサムウェアは、甚大な被害をもたらす可能性があります。高度な攻撃は数秒でエンドポイントを危険にさらし、ランサムウェア攻撃は数秒でシステムやインフラにダメージを与えるため、組織の準備を確実に行うことが重要です。攻撃が高度化するにつれ、その影響は金銭的な損失や、システムダウンに伴う生産性の低下だけに留まりません。それどころか、身代金を要求されるだけでなく、暗号化されたデータがオンラインで公開され、身代金が支払われなければ、すべてのデータが公開されるか、買い手に売却されるという脅しを、脅威リサーチャーは目にすることが多くなりました。そのため、身代金の交渉をビジネスモデルとする組織がダークネット上に現れ始めています。また、このようなシステムは、簡単に解決できるように思えるかもしれませんが、実際には犯罪行為の常態化など、長期的な悪影響を及ぼす可能性があります。
さらに、ITシステムとOTシステムの融合に伴い、ランサムウェアの攻撃トレンドは、新しいデータやテクノロジータイプをターゲットにし始めています。フィールドデバイスやセンサーが新たな標的となり、悪意あるアクターの矛先は企業ネットワークからOTエッジへと移っています。その結果、電力網、交通管理インフラ、医療システム、その他の重要なリソースがこれまで以上に脅かされるようになりました。そしてこの変化は、機密情報以外にも影響を及ぼしています。OTエッジでは、これらの産業用IoT(IIoT)デバイスは、人々の身体的な安全にも関わっており、これらのネットワークに対する攻撃の深刻さを示しています。
難しい決断
ランサムウェアの攻撃を受けた場合、ITチームがデータの復旧に何日も費やし、その間に業務が停止してしまうよりは、お金を払ったほうが楽だと考える企業もあるでしょう。しかし、必ずしもそうとは限りません。米財務省は、被害組織が身代金を支払うことは、他のサイバー犯罪者に悪い前例を作ることになり、法的な影響を及ぼす可能性があると警告しています。また、身代金を支払ったからといって、脅威が即座になくなるわけではないことにも注意が必要です。場合によっては、組織が懸命に保護していた情報がすでに流出しており、長期的な問題を引き起こす可能性があります。
ランサムウェア攻撃を防ぐには
攻撃者は、エンドユーザーがターゲットとなる価値の高い資産であることを知っています。ランサムウェアは、ソーシャルエンジニアリング攻撃を利用して、デバイス上で悪意のあるコードを実行するための手段として恐怖心を利用します。このような観点から、サイバーハイジーンは、取締役会レベルでの話し合いから始める必要があります。
強力なランサムウェア対策を構築するためのトップダウンのアプローチには次のようなものがあります。
- ソーシャルエンジニアリングを利用した新たな攻撃手法を継続的に従業員に提供し、何に注意すべきかを把握させます。
- セグメンテーションとマイクロセグメンテーションを含むゼロトラストアクセス (ZTA) 戦略を確立します。
- データを定期的にバックアップし、オフラインやネットワーク外に保存することで、迅速な復旧を実現します。
- ネットワーク内のすべてのデータを暗号化し、漏洩を防ぎます。
- レスポンス戦略を定期的に実践することで、攻撃を受けた場合に何をすべきかをすべての責任者が把握し、ダウンタイムを削減することができます。
- 振る舞いベースのエンドポイントセキュリティを含む強固なセキュリティ対策を実施し、すでに感染しているホストであっても、潜在的な脅威をリアルタイムで自動的に検出し、防御します。
- パッチ、パッチ、パッチ。帯域外での緊急パッチは必ず発生します。企業は、変更管理プロセスを通じて、緊急パッチに対応できるような計画を立てておく必要があります。
- 従業員だけでなく、家族や学生を対象としたサイバーセキュリティのトレーニングと意識向上に真剣に取り組むことが必要です。今日、家庭は新たな拠点であり、コアネットワークへの侵入経路となっています。
ランサムウェア攻撃のトレンドを先取りするためにコラボレーションを優先する
強力なセキュリティ体制を構築するためのもう一つの重要な要素は、法執行機関を含む社内外のすべての関係者との連携です。より多くのデータがあれば、より効果的な対応が可能になります。そのため、サイバーセキュリティの専門家は、US-CERTのようなグローバルまたは地域の法執行機関とオープンに連携する必要があります。法執行機関やその他のグローバルなセキュリティ組織と情報を共有することが、サイバー犯罪グループを効果的に制圧する唯一の方法です。1つの組織で発生したランサムウェアを撃退するだけでは、業界や同業他社における全体的な影響を軽減することはできません。
サイバー犯罪者は、複数の企業、業種、システム、ネットワーク、ソフトウェアなどを標的にすることが知られています。サイバー犯罪者にとって攻撃をより困難にし、リソースを集約させるためには、官民が協力して脅威情報や攻撃データを共有する必要があります。また、官民のパートナーシップは、被害者が暗号化されたデータを復元するのに役立ち、最終的には攻撃に伴うリスクとコストを削減することになります。
民間企業と公的機関が協力することで、可視性も広がります。例えば、銀行がランサムウェアの攻撃を受けても、法執行機関と責任を持って情報を共有できない場合があります。同じサイバー犯罪グループの被害を受けたクレジットカード会社と連携する法執行機関は、犯罪組織の全容を把握するために情報を必要とします。サイバー犯罪に国境はありません。グローバルな情報を提供することで、官民ともに、後手後手の対応からプロアクティブな対応へと移行することができます。.
防御のためのプレイブックの作成
同様に、サイバー犯罪者の「指紋」を詳細に示したプレイブックを作成して共有することで、組織は対応活動を強化することができます。既知のサイバー犯罪者グループの仕組みを詳しく知ることで、防御側はより強く、より戦略的になることができます。ブルーチーム(防御側)のプレイブックは、現在および将来のサイバー攻撃に対する勝利の戦略を防御側に提供します。また、人工知能(AI)と組み合わせることで、セキュリティチームはプレイブックを活用して高度でプロアクティブな保護フレームワークを構築し、新たな脅威にリアルタイムで対応することができます。また、AIは、サイバー犯罪者と同じ速度で方法論を進化させるために必要なツールを提供し、攻撃サイクルの早い段階で、より洗練されたきめ細かい対応を行うことができます。
知識はランサムウェア攻撃のトレンドに対抗する力と保護に有効
最近のランサムウェア攻撃は、データや人命を危険にさらすものであり、企業は環境を保護するために、リアルタイムのエンドポイント保護、検知、自動レスポンスソリューションを用いて、よりプロアクティブなアプローチをとる必要があります。技術的な観点からは、サイバーハイジーン、ゼロトラストポリシー、ネットワークセグメンテーション、暗号化などが防御策として挙げられます。さらに、これらの戦略は、企業が資産の可視化ツールを活用して重要な資産を特定したときに最も効果を発揮します。データがどこに存在するかが分かれば、プロアクティブな保護戦略を立てることができます。最後に、テクノロジーと同様に重要なのが人的要素です。法執行機関との関係を築き、情報や脅威の情報を共有することは、ランサムウェア対策の最後のピースとなります。サイバー犯罪者を打ち負かす唯一の方法は、彼らと協力して戦うことです。
