2021年におけるランサムウェアの攻撃件数は、かつてないほど多くなりました。たとえば、セキュリティ研究者によれば、今年の第3四半期に1億9040万件のランサムウェア攻撃が試みられたとのことです。Help Net Securityの報告によれば、2021年第3四半期におけるこの数字は、過去最高の記録的な件数であるとのことです。前年の最初の9ヶ月間に記録されたランサムウェア攻撃件数が1億9570万件であることを考えると、この四半期間における数字がいかに驚異的であるかが分かります。

このレポートでは、2021年全体におけるランサムウェア攻撃の試行回数は7億1400万回に上ると予測されており、これは対前年比134%増に相当します。これらの調査結果を考慮すると、さまざまな分野におけるほとんどの企業や組織が、将来的にランサムウェア攻撃の標的になるであろうことが予想されます。HealthITSecurityの指摘によれば、これらの企業や組織の半数以上(57%)がそのような見解を持つに至った理由として、ランサムウェアアクターがすでに業界の他の多くの組織を標的にしていることを挙げています。

たとえば、StateScoopの調査によれば、地方公共団体のIT管理者の48%、および中央政府の回答者の63%が、将来的に自分たちの企業、組織がランサムウェアに感染すると予想していると回答しています。また、別の調査によれば、医療機関の63%が、ランサムウェアアクターがいつかは自分たちを標的にされると考えていることが判明しています。

サイバーリーズンが実施した「【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜」と題する調査によれば、66%の組織がランサムウェア攻撃後に大幅な収益減を被ったと報告しているほか、53%の組織が攻撃の成功によりブランドと評判が損なわれたと回答しています。このように、ランサムウェア攻撃は、ビジネスの存続に大きなリスクをもたらすことが明らかにされています。

ランサムウェアへの対応に注力

企業や組織は、ランサムウェアがビジネス運営にもたらすリスクを認識した上で、ランサムウェア攻撃への効果的な対応を行い、ビジネスへの影響を最小限に抑える必要があります。そのために企業や組織が考慮すべきこととして、次の例が挙げられます。

  • 優れたセキュリティ管理を実施すること:これには、従業員を対象としたセキュリティ啓発プログラムの実施、OSやソフトウェアの定期的なアップデートとパッチ適用、クラス最高のセキュリティソリューションをネットワークに導入することなどが含まれます。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があります。攻撃に起因するシステム上の問題が原因で、適切な従業員にメールが届かなくなる場合や、イベント発生時に通信を監視する必要があると想定されていないために、従業員が電話に出ない場合があります。このような場合、時間外のセキュリティインシデントに対するオンコールの任務割り当てを明確にしておくことが不可欠です。
  • 定期的な机上演習を実施すること:円滑なインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、セキュリティチーム以外のスタッフも含めた机上演習や訓練を定期的に実施します。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を防ぐことを目的としています。チームは、ホストの切断、ハッキングされたアカウントのロックダウン、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1度は、これらの手順を定期的または非定期的に訓練してテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。
  • プロバイダーが提供するマネージドセキュリティサービスオプションを評価すること:人材不足や専門知識不足などの問題を抱えている組織では、同オプションを評価することで、事前に合意した対応手順を確立できます。これにより、合意した計画に従って即座にアクションを起こすことが可能となります。
  • 重要なアカウントをロックダウンすること:その理由は、攻撃者がランサムウェアをネットワーク上に伝播させる際に通常取る方法として、管理者ドメインレベルまで権限を昇格させた上で、ランサムウェアを導入することが挙げられるからです。チームは、Active Directoryにおいて安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが用心のために一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。
  • 直ちに法執行機関に連絡すること:ランサムウェア撃を発見した時点で、すぐにFBIや自治体などの法執行機関に連絡する必要があります。一部のランサムウェアギャング(Grief Gangなど)は法執行機関に通報しないよう被害者に伝え始めていますが、被害者は法執行機関への連絡を直ちに実施する必要があります。
  • 身代金を支払うかどうかに関しては慎重に検討すること:身代金を支払うことで、被害者が自らのデータへのアクセスを取り戻せるとは限りません。前述のランサムウェアに関する調査によれば、回答者の約半数が、支払い後にアクセスできるようになったデータの一部または全部が破損していたと回答しています。

「ランサムウェアへの対応」と「ランサムウェアの防止」の違い

身代金の支払いに関する問題は、ランサムウェアへの対応における本質的な現実を浮き彫りにしています。これは、攻撃者が自ら準備を整えており、組織による対応努力を台無しにしようと意図している場合には、ランサムウェアへの対応が持つ効果は最低限に留まることを意味します。

たとえば、Threatpostの報告によれば、最近発見されたContiランサムウェアのバリアントは、バックアップからデータを流出させ、そのバックアップを手動で削除する機能を備えているとのことです。Contiのようなランサムウェアギャングは、被害者を支払いに応じようとする状況に追い込むために、このような戦術を採用しているのです。

一方、身代金を支払ったとしても、ランサムウェアのインシデントが終了することはほとんどありません。前述のレポートによれば、身代金を支払った被害者のうち80%が、結局は別の攻撃を受けることになったことが判明しています。そのうちの約半数(46%)は、同じ攻撃者が再び自分たちを標的に選んだと考えています。また、3分の1の回答者は、別の脅威アクターが攻撃を行ったと答えており、最初の攻撃者がダークウェブ上で被害者のネットワークへのアクセス権を販売していた可能性があると指摘しています。

なお、企業や組織は、ランサムウェア攻撃がもたらすコストをすべてカバーするために、必ずしも第三者に頼ることはできません。アンケート回答者の約半数(42%)がサイバー保険に加入していましたが、保険会社がカバーしてくれた損害額は、彼らが被った損害のうちほんの一部であったことを明らかにしています。

最近では企業や組織が、人工知能(AI)と機械学習(ML)を搭載したXDR(Extended Detection and Response)ソリューションを採用し始めています。これにより、セキュリティチームが、トリアージ、調査、修復作業を大規模に自動化することが可能となり、その結果、ランサムウェア攻撃を初期段階で検知できるようになります。

AI駆動型のXDRソリューションを使うと、セキュリティチームは、大量の脅威アラートがもたらすノイズを遮断できるようになります。これにより、セキュリティ担当者は、アラートの選別や誤判定の追跡にかかる時間を減らし、組織全体のセキュリティ体制を改善する作業により多くの時間をかけることが可能となります。

また大規模なテレメトリーデータセットを高い精度で分析した上で、人間が行う手動分析では決して敵わない規模で、最も微細な「振る舞いの痕跡(Indicators of Behavior、IOB)を特定できるようになります。これにより、通常は人手による分析が必要となるイベントの検知を自動化できるようになるほか、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できます。

さらに、アナリストは、悪意ある振る舞いの連鎖や、これまでにないマルウェアのバリアントを迅速に特定し、複雑なランサムウェア攻撃(RansomOps)を早期に検知することで、脅威が組織環境内のどこで発生したかにかかわらず、既知および未知の脅威を迅速に修正できるようになります。

サイバーリーズンは、Google Cloudと共同開発した「Cybereason XDR」を、2022年夏より日本の企業・組織向けに提供予定です。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/