2021年6月にワシントン・ポストは、ランサムウェアを巡る5つの誤解を指摘しています。この5つは、組織のセキュリティ戦略に悪影響を及ぼす可能性があると述べています。そのリストが公開されてから数か月が経過しましたが、この記事では、それらの誤解が2022年の第1四半期にどのような影響をもたらすのかについて考察します。

誤解その1:身代金の支払いに応じるのが一番費用対効果の高い解決策である

事実とはほど遠い内容です。ランサムウェア攻撃で要求される身代金の額が、2021年に今までで最も高額になりました。ブルームバーグによれば、2021年5月にランサムウェア攻撃で犯罪者が要求した身代金の額は、平均で5,000万ドルから7,000万ドルであると言います。

被害者は身代金の支払いの一部をサイバー保険で補填しているものとみられ、場合によっていは交渉により身代金の額を減らすことに成功している可能性もあります。しかし依然として、平均で1,000万ドルから1,500万ドルの身代金を支払っているのが一般的です。 この身代金は、ランサムウェア攻撃のみから生じるコストですが、これに加え、被害者が米国財務省が指定するサイバー犯罪者に身代金を支払った場合は、同省から制裁を受ける恐れもあります。

代替として使用できるデータのバックアップを用意する方法もありますが、その場合、ダウンタイムの発生に伴うコストが個別に発生します。実際、ZDNetによる2020年初めのレポートでは、企業では、ランサムウェア攻撃を受けてから平均で16.2日間のダウンタイムが発生していると伝えています。この混乱によって生じるコストは、身代金の支払いに応じるときのコストをはるかに上回る可能性があります。

それでは、身代金を支払った場合はどうなるのでしょうか。弊社がまとめた、ランサムウェアに関する最近のレポートによれば、身代金の支払いに応じた被害者の80%は同じ攻撃者のグループや別の犯罪者からさらに攻撃を受けていることが明らかになっています。さらに、被害者の約半数(46%)は、身代金を支払いデータへ再びアクセスできるようになったときに、全てでないものの、データが一部、破壊されていたと言います。

何が言いたいのか少し分かりづらかったかもしれません。
確実に言えることは、従来のデータバックアップに代わる費用対効果の高い手法を利用すれば、データを復元できるということです。たとえば、セキュリティチームが、検知のできないオーバーレイでデータのイメージを作成するという方法があると、Forbesは述べています。この場合、ランサムウェアに感染しても、攻撃者には、オーバーレイだけにしかアクセスを許しません。

元のデータは何の影響も受けていないので、セキュリティチームは、攻撃を受ける前の状態にワンクリックで情報を戻すことができます。このシンプルな仕組みなら、大きなダウンタイムも発生しません。また、身代金を支払うのに比べてコストもかかりません。

そうは言えど、この手法で復元を行う場合でも、作業には時間がかかってしまい、さまざまな問題が発生する可能性があります。そのため、まずはランサムウェア攻撃を成功させないことが理想的な対策であるのに変わりはありません。

誤解その2:ランサムウェア攻撃を受けることはめったにない

こちらも誤解です。ThreatPostが公開したレポートによれば、2021年の上半期に仕掛けられたランサムウェア攻撃の回数はグローバルレベルで151%増加し、3億470万回に上ると言います。この結果は、複数のセキュリティ研究機関が2020年全体を通じて記録している数字よりも10万回多い数字です。

このレベルのランサムウェア攻撃は2021年の第3四半期まで続きました。Help Net Securityは、この期間にランサムウェア攻撃がグローバルレベルで148%増加していると報じています。つまり、2021年の始めから9か月の間に、合計で4億7,000万回もの攻撃の試みが行われているのです。

さらには、週末や休日に攻撃が仕掛けられるケースが増加してます。そのときなら、攻撃の対応にあたる要員が最小限に限られる可能性が高いと、攻撃者は知っているのです。「【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜」というタイトルの最近の研究によれば、週末や休日での攻撃で組織が大きな影響を受けていることが明らかになっています。

この研究の調査結果を見ると、次のようなことがわかります。調査回答者の60%が、週末や休日に攻撃を受けた結果、攻撃の範囲を評価するのに時間がかかったと述べており、効果的な対応を用意するのにさらに時間を要したと、50%が回答しています。また、33%は、攻撃から完全に回復するまでにさらに長い時間がかかったと述べています。

タイムリーな対応ができなかった要因の1つとして35%の回答者が明らかにしたのは、対処するために最適なチームを作ることに時間がかかってしまったというものでした。

誤解その3:暗号化されたデータの暗号を解除する方法はない

こちらも事実ではありません。身代金を支払えば、データを復元できる復号キーを提供すると、ランサムウェアは被害者に圧力をかけます。しかし、暗号解除のユーティリティを入手するのに金銭を支払う必要はありません。ランサムウェアの暗号を解除する多くのツールが、The No More Ransom Projectから無償で入手できます。このプロジェクトでは、新たな系統のランサムウェアの出現に対応できるよう、絶えず新規のツールが提供され続けています。

しかしながら、暗号解除のプロセスでは、攻撃者から提供された復号キーを使う場合や、第三者が提供する暗号解除のツールを使う場合であれ、ランサムウェアに感染したエンドポイントごとに暗号を解除する必要があるため、長い時間が必要となります。

中規模および大規模組織の場合、これは大変な作業になります。さらに長期間にわたり業務に支障が出ることも予想されます。そのため、まずはランサムウェア攻撃を成功させないことが理想的な対策であるのに変わりはありません。

誤解その4:仮想通貨が攻撃者の攻撃意欲を高めることはない

サイバー犯罪者が自身の攻撃を容易にできる決済手段は現金やApp Store & iTunesギフトカードなどの決済手段であると論じる主張があります。しかし、RansomOps™の時代においては、これは真実ではありません。ランサムウェア攻撃の場合、攻撃者は攻撃の検知や阻止を難しくする固有のTTPで高度な標的型攻撃を仕掛け、大規模組織を餌食にします。

ビットコインなどの仮想通貨では、サイバー攻撃を容易にする疑似匿名性が一定程度確保されると、ウォール・ストリート・ジャーナルが報じています。また、ビットコインなら、従来のように銀行口座やiTunesのアカウントを利用するよりずっと容易に、多額の資金をダミー会社に移したり、ダミー会社から別の場所に移動したりできます。

仮想通貨がなければ、ランサムウェア攻撃は成り立ちません。仮想通貨における偽名での処理のおかげで、悪意のある攻撃者は、専用の決済手段を手に入れたのです。仮想通貨は彼らの悪事を比較的安全かつ容易なものにします。仮想通貨が利用できるようになる前は、クレジットカード代金を受け取るためのダミー会社を設立したり、プリペイドキャッシュカードで身代金の支払いを要求したりする必要がありました。このような方法はどちらも足跡が残ってしまいます。仮想通貨が登場したタイミングでランサムウェア攻撃の件数が爆発的に増加していますが、これは偶然ではありません。

必ずしも全員が、このような意見に同意しているわけではありません。2017年にWannaCryランサムウェアの大規模感染を阻止したイギリスの攻撃者、Marcus Hutchins氏は、CoinDeskに対し、次のような見解を述べています。「サイバー攻撃を仕掛けたいが技術スキルのない犯罪者に、仮想通貨はランサムウェアを利用するきっかけを与えてしまいました。そのため、仮想通貨は、脅威の拡散の一因になっているのです。」

Hutchins氏はまた、「仮に仮想通貨が存在しなかったとしても、”この種の攻撃はなくならなかった”でしょう」と述べ、ランサムウェアを操る攻撃者がマネーロンダリングネットワークを通じて米国ドルを活動に利用している点を指摘しています。

誤解その5:ランサムウェア攻撃はMFAで防げる

多要素認証(MFA)は、個人のアカウントやユーザーIDを攻撃から守るのに役立ちます。攻撃者はこれらのアカウントやユーザーIDを盗み取り、ネットワーク上でラテラルムーブメントを実行するときや、攻撃の過程でランサムウェアのペイロードを展開する際に悪用します。ただし、MFAが関心を払うのは、認証とアクセス権限だけであり、標的となったネットワークにランサムウェアが展開されるのを直接防ぐわけではありません。

RansomOps攻撃は巧妙で、過去の「spray and pray」型攻撃と比較してより、APTタイプのステルス型攻撃に類似しており、多くの場合、それぞれの専門分野を持つ複数の犯罪者が関与しています。MFAはやはり優れたソリューションですが、RansomOps攻撃のような多段階の複雑な攻撃が存在する現状では、MFAはランサムウェア攻撃を阻止する確実な方法とは決して言えません。

ランサムウェアを阻止する予測型の防御

いったん、ランサムウェアの侵入を許してしまうと、その影響をコントロールするのはほぼ不可能です。ランサムウェア攻撃のリスクの影響を最小限に抑える最善の方法は、一連の攻撃の流れの中で早期に攻撃を検知して阻止する方法です。
注意して欲しいのは、RansomOps攻撃で実際にランサムウェアのペイロードが投下されるのは、攻撃の最終段階になってからであるという点です。そのため、ペイロードが展開される数週間前、ときには数か月前から検知できる攻撃活動があります。つまり、攻撃の標的になっても、深刻な影響を受ける前に攻撃を阻止できるのです。

サイバーリーズンは、数々のランサムウェア攻撃を防いできたセキュリティプロバイダーです。Colonial Pipelineを操業停止に追い込んだDarkSideランサムウェアや、食肉加工大手のJBSとITサービスプロバイダーのKaseyaを混乱に陥れたREvilランサムウェア、Accentureに打撃を与えたLockBitランサムウェアを含め、あらゆる系統のランサムウェアからお客様を守ります。

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜

ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。

本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/