- 2021/05/20
- ランサムウェア
ランサムウェア対策戦略を構築するための3つのヒント
Post by : Cybereason Security Team
以前のブログ記事で述べたように、ランサムウェアの攻撃は、より頻繁でかつよりコストのかかるものになっています。報告によると、2020年におけるランサムウェア攻撃の発生件数は3億400万件であり、2019年のランサムウェア攻撃の総数よりも62%増えたことが明らかになっています。同時期に、それらのインシデントに伴う推定コストは115億ドルから200億ドルに増加しました。また、平均的な身代金に伴うコストは、この2年間で5,900ドルから8,100ドルに上昇し、関連するダウンタイムに伴う損失も141,000ドルから283,000ドルに拡大しました。
このような傾向は、企業や組織が単にランサムウェア攻撃に対応するだけでなく、攻撃を未然に防ぐ準備を整えていなければならないことを浮き彫りにしています。これを実現するためには、下記に示す3つのヒントを参考にして、効果的なランサムウェア防止戦略を構築することをお勧めします。
ヒントその1:堅牢なデータバックアップ戦略を構築すること
ランサムウェアには、大きく分けて「ロッカー」と「暗号化マルウェア」の2種類があります。前者は、画面をロックすることで、被害者がコンピューターを使用できないようにしたり、データにアクセスできないようにしたりするものです。一方、後者のランサムウェアは、暗号化を利用することで、被害者が、復号化キーを持っていない限り自らのデータにアクセスできないようにするものです。
このような違いがあるにもかかわらず、どちらのランサムウェアも、「被害者が金銭を支払うまで、情報にアクセスできないようにする」という点では共通しています。そのため、ランサムウェアに感染した場合、企業や組織は自らのデータを復旧する方法が必要となります。適切なデータのバックアップがあれば、企業や組織は、身代金を支払う必要なしに、ランサムウェアが除去されたコンピューターや新しく購入した代替デバイス上で情報を復元できます。
組織およびユーザーは、データのバックアップに「3-2-1ルール」を適用することを検討してみると良いでしょう。Network Worldによれば、同ルールには、少なくとも2つの異なるメディア(ハードドライブとオンライン)に、少なくとも3つの異なるデータバージョンまたはデータコピーを保持することが含まれています。
また、このルールには、災害などの物理的な破壊的インシデントでデータが失われた場合に、組織およびユーザーが情報を回復できるように、オフサイトに1つのバックアップバージョンまたはバックアップコピーを保持することも含まれます。
ところで、データバックアップ戦略は、一度用意すれば終わりというものではなく、継続的なプロセスです。組織やユーザーは、ランサムウェア攻撃や同様のインシデントで自らの情報を失うことがないように、バックアップが確実に機能することを確認する必要があります。そのためには、バックアップを定期的にテストする必要があります。
しかし、企業や組織は、データのバックアップだけに頼ることはできません。ランサムウェアの攻撃者は、支払いを確実にするために「二重脅迫」のスキームを使用することが増えています。二重脅迫とは、ランサムウェアが暗号化ルーチンを起動する前に、まず被害者のマシンに保存されている情報を盗み出すという手口です。
ランサムウェアは通常、被害者のデータを暗号化した上で、復号化ツールと引き換えに身代金の支払いを要求します。しかし、二重脅迫の場合は、それに加えて、自らのデータをオンラインで公開されたくなければ身代金を支払うよう被害者を脅迫します。
ランサムウェア攻撃者は、二重脅迫を利用することで、企業や組織がデータのバックアップを使って情報を回復できる場合であっても、身代金の支払いを迫ることができるため、企業や組織は、堅牢なデータバックアップ戦略を構築した上でさらに、ランサムウェア感染を未然に防ぐことに注力する必要があります。
ヒントその2:セキュリティ意識を高め優れたエンドポイント保護を採用すること
データのバックアップは、ランサムウェア攻撃から回復するためには不可欠なものですが、それだけでは攻撃を防ぐことはできません。これは特に、上述のような二重脅迫が行われる場合に当てはまります。ランサムウェア攻撃を検知することから、攻撃を未然に防ぐことへと変わります。
企業や組織がランサムウェア攻撃を防ぐ方法の1つとして、ランサムウェアの最も一般的な配信ベクターについて従業員を教育することが挙げられます。電子メールほど一般的な配信ベクターはありません。たとえば、あるレポートによると、マネージドサービスプロバイダー(MSP)の54%が、フィッシング詐欺がランサムウェア感染の最も一般的な原因であると回答しています。
このような調査結果に対応するために、企業や組織は、フィッシングシミュレーションを利用して、従業員にフィッシング攻撃に対する知識を身につけさせることができます。また、企業や組織は、並行して脅威情報を利用することで、セキュリティ研究者が発見した最新のフィッシング攻撃について従業員を教育することもできます。
また、すべてのエンドポイントに堅牢な防御ソリューションを導入することも重要です。価値あるソリューションは、脅威インテリジェンスに基づいた行動分析、機械学習アルゴリズム、およびディセプション手法を提供する必要があります。これらが一体となって機能することで、既知および未知のマルウェアを検知できるようになります。
さらに、悪意ある実行ファイルを静的および動的に検知する機能をはじめ、ゼロデイエクスプロイト、ファイルレス攻撃、.Netの悪用、文書内の悪意のあるマクロ、およびその他の困難な脅威をブロックする機能も必要となります。すべてのエンドポイントにこのような多層型の防御アプローチを導入することは、ランサムウェア攻撃によるクリティカルな務への被害や障害を未然に防ぐために不可欠です。
ヒントその3:攻撃チェーン全体を可視化する機能に投資すること
実際のところ、すべてのフィッシング攻撃やランサムウェアの系統がこれまでに特定されているわけではありません。これは企業や組織にとっての問題です。IOC(Indicators of Compromise、痕跡情報)やその他の脅威インテリジェンスが存在しない場合、企業や組織は何を探せばよいのかわからず、適切なセキュリティ保護措置を講じることができません。
これが、企業や組織が、誰かがそれを以前に検知したかどうかにかかわらず、進行中の攻撃を特定できるようにしなければならない理由です。これを実現するには、EDR(エンドポイントの検知および応答)ソリューションに投資することで、IOCだけに頼るのではなく、より微妙なIOB(Indicators of Behavior、振る舞いの痕跡)に基づく検知も活用する必要があります。
IOBを活用する効率的なEDRソリューションは、マシン間の相関関係を利用した行動分析や、すべてのエンドポイントからの充実したデータをリアルタイムで活用することにより、高い精度で脅威を迅速に特定できるほか、複数の脅威を相関させることにより、攻撃の全体像を即座に提供できます。
Cybereasonが持つ強み
サイバーリーズンでは、企業や組織を二重脅迫のリスクにさらす可能性のあるランサムウェア感染やデータ流出を未然に防ぐために、次に示すような多層的な防止、検知、および対応を通じた大胆なランサムウェア対策を実現しています。
- エンドポイントコントロール:Cybereasonは、セキュリティポリシーの管理、デバイス制御の維持、パーソナルファイアウォールの導入、広範な種類のデバイス(固定およびモバイル)においてディスク全体の暗号化を実施すること通じて、エンドポイントを攻撃から守ります。
- インテリジェンスベースのアンチウイルス:Cybereasonは、過去に検知された攻撃に基づいて、絶えず増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
- NGAV:CybereasonのNGAVは、機械学習を利用してコード内の悪意あるコンポーネントを認識することで、未知のランサムウェアのバリアントを実行前にブロックします。
- ファイルレス型ランサムウェア対策:Cybereasonは、従来のアンチウイルスツールが見逃していた、ファイルレス型ランサムウェアやMBRベースのランサムウェアを利用した攻撃を阻止します。
- ふるまい検知に基づく文書保護(Behavioral Document Protection):Cybereasonは、悪意あるマクロやその他のステルス攻撃ベクターを活用するものを含め、最も一般的なビジネス文書フォーマットに隠されたランサムウェアを検知してブロックします。
- アンチランサムウェア機能による防止とおとり技術:Cybereasonは、ふるまい検知と独自のおとり技術を組み合わせることで、最も複雑なランサムウェアの脅威を表面化させ、クリティカルなデータが暗号化される前に攻撃を終了させます。
サイバーリーズンは、エンドポイントから企業まで、あらゆる場所を標的とするサイバー攻撃を収束させるために、防御者と一丸となって注力しています。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/
