- 2022/01/11
- サイバー攻撃
ランサムウェアを防御するための3つの秘訣
Post by : Karishma Asthana
ランサムウェアを止めることは簡単ではありません。もし簡単ならば、これほど多くの攻撃が成功することはなかったでしょう。米国のニュースサイトThreatPostによると、今年上半期は前年同期と比較してランサムウェア攻撃が151%増加しており、100以上のさまざまな亜種が出回っています。
しかし、サイバーリーズンは、ランサムウェアの権威として、攻撃者に先んじて準備を整えるために知っておくべき全ての情報を提供することに熱心に取り組んでいます。これから、誰からも語られていない可能性のある3つの方法をご紹介します。
ランサムウェア対策としてオペレーション中心のアプローチを採用する
ランサムウェアから身を守るには、本当に防御力の高いAI駆動型サイバーセキュリティソリューションに投資すればよい、と直感的に思う方もいらっしゃるかもしれません。その方法でも効果はあると思いますが、満点の答えではありません。ランサムウェアを終わらせるには、ランサムウェア攻撃が被害者の環境に侵入してから、悪意のある振る舞いを検知して対処する時間を最小限に抑えることが重要です。何故なら、ランサムウェア攻撃は段階的に実行されるからです。
攻撃者は、被害者の環境への侵入するための最初の足がかりを得た後、バックグラウンドで静かに活動を始め、端末機器を横方向に移動してデータを盗み出し、高額の身代金を要求できるだけの貴重なデータや機密データを確保します。自分自身を守るための最善の防御策は、攻撃者が実際に暗号化段階に到達する前に攻撃を沈静化することです。
この点を考慮すると、ランサムウェアに対抗するためのサイバーセキュリティソリューションを選択する際には、アラート中心のアプローチではなくオペレーション中心のアプローチを活用した防御力の高いソリューションが必要となります。アラート中心のアプローチの場合は、影響を受けている各端末機器ごとに悪意のある振る舞いのアラートが発生します。
たとえば、侵入された端末機器が1000台ある場合、アラート中心のソリューションでは、一見すると性質の異なるイベントについて1000以上のアラートが送信されるため、これらのアラートを選別する必要があります。オペレーション中心のソリューションでは、悪意のある操作全体に対して1件の通知が送信され、影響を受けている1000台すべての端末機器の一覧が示されるため、1回のクリックで修復が可能です。
しかし、どのようにオペレーション中心のアプローチに対して信頼できますか。AIを搭載したエンドポイント保護ソリューションがあっても、独自の接続を確立し、進行中の悪意のある振る舞いについて独自の相関関係を提供するだけの製品であれば、不安に感じるかもしれません。サイバーリーズンはその点を理解し、最も人が操作しやすいエンドポイント保護ソリューションを構築しています。
サイバーリーズンでは、悪意のある振る舞いが行われていることを検出すると、一連の攻撃を視覚的に表したMalOp™(悪意のある操作)を生成します。MalOpの最も特徴的なのは、MalOpの生成につながった疑わしい行為とそれに関連した証拠による一連の流れをCybereason Defense Platformが表示してくれる点です。これによりお客様から信頼されるAI駆動型ソリューションとなっています。
ランサムウェアの増加に備える
前述のように、100を超えるランサムウェアの亜種が出回っており、その数は増え続けています。既知の亜種だけでなく、未知の亜種からも保護するソリューションに投資することが、これまで以上に重要になってきています。
幸いにも、現在の市場には、ランサムウェアの挙動パターンを学習し、これまで知られていなかった亜種を特定することができる、AI搭載のサイバーセキュリティソリューションの選択肢が数多くあります。しかし、どの製品をどのように選べが良いのか、という疑問が残ります。最強のAI搭載型ソリューションは最先端の脅威インテリジェンスチームによって支えられています。
世界トップクラスの脅威ハンティングチームであるサイバーリーズンのNocturnusチームは、攻撃者が使用している新たな手法を徹底的に調査し、どのような挙動に注意すべきかをサイバーリーズンのプラットフォームに通知します。Nocturnusチームは、中国の国家利益のために活動している脅威アクターがスパイ活動を目的として世界中の大手通信企業を標的としたDeadRingerキャンペーンを世界で初めて確認し、次から次へと現れるランサムウェアの亜種から守ってきました。
ランサムウェアだけでなくモチベーションを解決する
ランサムウェアを終わらせるには、新しい二重三重の対策を導入するだけでは不十分です。そもそも攻撃の背後にある攻撃者のモチベーションを理解し、それに基づいてランサムウェアを戦略的に終わらせることが重要です。
ランサムウェア攻撃が横行していますが、それは攻撃が成功しているからに他なりません。攻撃者は、すべての人々と同様に、自分たちの利益になること、つまりランサムウェアの身代金支払いで大金を得ることをこれからも実行し続けます。
ランサムウェアに関するサイバーリーズンの調査「Ransomware: The True Cost to Business(ランサムウェア:ビジネスにもたらす真のコスト)」によると、身代金を支払った企業の80%が再度攻撃を受けています。
考慮すべきもう1つの最重要ポイントは、二重脅迫と三重脅迫です。二重脅迫とは、攻撃者が暗号化の前にデータを盗み、被害者が身代金の支払いに応じずバックアップからデータを復元しようとした場合でも、データをオンラインで公開すると脅迫するものです。攻撃者が、盗み取ったデータを競合他社や株式の空売りを行いかねない投資家に提供すると脅迫する三重脅迫に乗り出すと、さらに深刻な事態に発展する可能性があります。
そのため、身代金を支払う必要が生じる段階に至る前に、悪意のある挙動を特定し、攻撃に対処することが重要です。これは、「非常に強力な防止機能の提供」および「検知・対処までの平均時間の短縮」というランサムウェアを終わらせるサイバーリーズンの2つの戦略的アプローチにもつながります。
【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~
近年、世界中で深刻な問題となっているランサムウェア。
このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/
