ランサムウェア攻撃の進化、第4世代へ突入

ここ数年、ランサムウェア攻撃は非常に拡大しています。現在、75%の組織がランサムウェア攻撃を受けており、それは間もなく飽和状態になる可能性が高いと思われます。しかも、攻撃者たちは現在の栄光に甘んじているわけではありません。それどころか、彼らはランサムウェアを進化させ続けており、この悪質なソフトウェアは、すでに第4世代へと突入しています。

ランサムウェアは、身代金を得るためにデータを暗号化するという単純な手口をはるかに越えて進化しています。今日、ランサムウェアは、複数のレベルの脅迫を備えてており、身代金を支払わなければ窃取したデータをネット上に公開するか、または第三者にデータを売りつけると宣言することで、企業や個人を脅すようになっています。

同時に、ランサムウェアグループがデータをより詳細に分析することも確認されており、これは企業が認識すべき非常に重要なポイントの1つです。ランサムウェアは、一定期間、休眠状態になることが多くなっています。これは、ネットワーク上でのラテラルムーブメントを通じてデータを収集し、そのデータを密かに分析できるようにするために必要となります。これは、被害者のデータファイルを見ることから、被害者が持つすべてのデータを見ることへと拡張されています。

たとえば、ランサムウェアは、被害者のクレデンシャルを取得して、より高度なアクセス権を得るために使われることが多くなっています。また、窃取したクレデンシャルをサイバー犯罪のエコシステムに売りつけることや、より高額な身代金を得るために窃取したクレデンシャルを活用することをよく見かけるようになりました。

飽和状態に達しているのは、ランサムウェアの量だけでなく、その能力も同じであると思われるかもしれません。多くのランサムウェア攻撃は、より広範囲に及んでいるため、もはやその名称にはそぐわないものとなっています。そのような攻撃には、「ブレンド型ランサムウェア」や「サイバーデータ犯罪」など、新たな名称を付けるべきです。

クラウドへの移行とランサムウェア攻撃

私たちのIT環境の範囲は急速に変化し続けており、その結果、攻撃者が侵入する新しい領域が広がっています。以前は、そのような攻撃は、侵入先のネットワーク上を横方向に移動していました。しかし、現在では、ほとんどの企業や組織がOffice 365、G-Suite、Slackなどのクラウドベースのコラボレーションツールを活用しているため、攻撃者がそれに追随して、クラウドへの侵入を試みているのは当然です。

当社では、クラウドベースのコラボレーションポイントをスキャンするランサムウェアをすでに観測しています。そのようなランサムウェアが現れたとしても、リスクは変わらないと思われるかもしれませんが、それは間違いです。ほとんどの組織では、すべてのSaaSツールがシングルサインオンプロセスにきちんと適合するとは限らないため、クレデンシャル管理は一歩後退しているのが現状です。同様に、シャドークラウドITにより、セキュリティチームが保護すべき対象を追跡することが難しくなっています。

同時に、クラウドベースのSaaSリソースは、諸刃の剣でもあります。問題とソリューションの所有者がサプライヤーであるのか、それともエンドカスタマーであるのか、必ずしも明確ではありません。一方で、進化し続ける機能は、セキュリティチームにとって、各機能の新たなリスクを把握し、それらの機能を活用するかどうかを決定する上で頭痛の種となる可能性があります。

そのような機能はデフォルトでオンかオフのどちらかになるため、セキュリティチームは、それが自分たちにとって正しい判断であるかどうかを迅速に検証しなければなりません。リスクプロファイルは常に進化しています。もしあなたがそのような進化についていけていないならば、攻撃者はあなたの一歩先を進んでいると考えて間違いないでしょう。

それはSaaSに限った話ではありません。典型的なクラウドプロバイダーであれ、その他の主要なSIやホスティングプロバイダーであれ、攻撃者は、あなたがどのようなデータストアを保有しているかを調査しています。私たちがこれまで見てきたのは、クラウドへの移行を急ぐあまり、一般に、クラウド構成の成熟度は、過去のオンプレミスのデータストアほどセキュアではなかったということです。つまり、私たちは、本質的によりオープンでありかつより複雑な空間における経験を持っていないのです。

セキュリティのどの部分に誰が責任を持つかという問題は、単純に聞こえるかもしれませんが、実際には、そのような問題を解決するアプリケーションは複雑となります。クラウドプロバイダーは顧客が利用するインフラを保護しますが、データやアプリケーションを保護するのは顧客自身です。

また、近年では、クラウドプロバイダーではなく、ビジネススタッフのみがデータにアクセスできるようにするために、独自の暗号キーの持ち込みを導入する事例も見られます。要するに、クラウドははるかに複雑であるため、セキュリティ上のミスや、攻撃者にとっての新たなチャンスが生まれる度合いが非常に高くなるのです。

私たちは、クラウドの脆弱性や設定ミスがもたらすリスクには慣れていても、クラウドの変化のスピードにはあまり慣れていません。シャドーITであれ、DevOpsチームであれ、あるいはその他の多くの可能性の1つであれ、クラウドITは極めてダイナミックに変化する可能性があります。正しいセキュリティ制御が存在していることを知らずに、それを適用することができるでしょうか?多くの企業は、クラウドの無制限なITがもたらす痛みを、使用料の請求書を受け取ったときに感じています。そして彼らは、そのとき初めて、何が必要なものであり、何がプロジェクト完了後に単に削除されなかったものであるのかを検証し始めるのです。

また、このようなランサムウェアの進化に関する議論において、サプライチェーンについて言及しないわけにはいきません。DevOpsやアジャイル開発パイプラインといった概念が世界に普及するにつれ、その複雑さは増し続けています。これは、誰がどのレベルでどのような責任を負うかという問題に関連するだけでなく、そもそも物事がどこから来たかという問題にも関連します。それはたとえば、「どのライブラリが利用されているか?」という問題です。GitHubのようなオープンソースのコードリポジトリの中には、低品質なソースコードや悪意あるソースコードが含まれているものも見受けられます。

開発チームやサプライヤーの開発チームがコードを再利用する場合、攻撃者がバックドアを埋め込んでいないことを確認するために、コードの整合性を検証する必要があります。DevOpsの概念そのものが継続的な開発を意味するため、これは継続的な作業となり、セキュリティチームが慣れていないペースで実施されるものとなります。

これらすべての領域において必要となるのが、データがどこに置かれているかを把握することです。欧州一般データ保護規則(GDPR)やその他のデータプライバシー規制の施行に向けて、企業や組織は、多くの時間とエネルギーを費やして、機密データがどこにあり、誰がそれにアクセスできるかを特定することに努めました。しかし、クラウドの急速な普及により、多くの企業や組織が後手に回り、データはより断片化され、多くが散在する結果となりました。

このことは、両側で課題を生み出しています。一方では、同じデータのコピーを複数持つことが以前より簡単になったため、データを復旧させることがそれほど難しいことではなくなりました。しかし、その一方で、次なる進化を遂げつつあるランサムウェアは、入手した機密データを公開されたくなければ身代金を支払うよう被害者を脅すことや、データの転売といった側面に重点を置くようになると思われます。各企業の課題は、データがどこにあり、誰が、どのようなリソースでアクセスできるかを把握することでになるでしょう。

クラウドに移行するランサムウェアへの対策

ランサムウェア攻撃のピークは過ぎたと言いたいところですが、1つはっきりしているのは、攻撃者は収益機会を増やし、進化するセキュリティの弱点を利用するために、絶えず自らの攻撃を適応させてきたということです。クラウドへの移行は、まだ比較的初期の段階にあります。クラウドへの移行は、従来のランサムウェア攻撃に対するデータのレジリエンスを高める一方で、その規模、範囲、複雑さが原因で、セキュリティチームが管理すべき多くの新しい脅威と、すべての企業が把握すべきリスクをもたらしています。

これに対処するためには、大きく目を開いて、間違いを犯しながらも、素早く学習し、かつ適応していくことを受け入れることが不可欠です。そうすることで、私たちは自らの現状をごまかすことなく、重要なリスク領域に集中できるようになります。

私は、我々が今後も、ランサムウェアを今と同じ名前で呼び続けるのかどうかが気になっています。私が懸念しているのは、ランサムウェアという昔から使われている名称が、企業や組織に誤った自信をもたらす可能性があることです。つまり、私たちは、多くの時間と投資を通じて、自分たちが知っているランサムウェアという問題は解決したと思い込んでいるかもしれませんが、実際には、多くの企業は、脅威がどれほど進化し変化しているのかについて単に無知である可能性が高いということです。なぜなら、ランサムウェアは、カメレオンのように環境に適応し続けているからです。

2023年サイバー脅威予測 〜2022年の代表的な脅威の振り返りと、2023年に警戒しておくべき脅威の傾向〜

本資料では、2022年に起きたサイバー空間の脅威の傾向を受けて、特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。

2022年の4つの脅威を振り返りながら、2023年のサイバー脅威予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/9838/