ランサムウェアは、脅威アクターにとってリスクがほとんどない、非常に儲かるビジネスモデルとして発展してきました。このような経緯に加えて、被害者である企業や組織の多くが、身代金の支払いにより事業が正常な状態に戻るのならば喜んで身代金を支払おうとする傾向が相まって、結果的にさらなる攻撃を助長しています。そして現在、多くの企業や組織が、簡単には解決できない大きな問題に直面しています。

2021年に、弊社は『【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題したレポートを発表し、ランサムウェア攻撃の被害に遭った後に企業や組織が直面するさまざまなコストを明らかにしました。同レポートにおける最も重要な調査結果としては、次のものが挙げられます。

  • ランサムウェアの被害者の3分の2が、攻撃後に大幅な収益減少に見舞われたと回答しました。
  • ランサムウェアに感染した後、半数以上(53%)がブランドと信用が失墜したと回答しました。
  • ランサムウェアに感染した3分の1が、攻撃の余波で経営幹部を失ったと回答しました。
  • 10社中3社が、ランサムウェア攻撃の結果もたらされた経済的圧迫が理由で、従業員の解雇を余儀なくされたと回答しました。
  • ランサムウェアの被害者の4分の1が、業務を停止せざるを得なかったと回答しました。

このような損失が広がっている原因としては、ランサムウェア攻撃の件数が増えていることに加えて、ランサムウェアオペレーターの手口がより巧妙になっていることが挙げられます。ほとんどのランサムウェアアクターが「Spray and Pray(下手な鉄砲も数撃ちゃ当たる)」式の戦術を利用していた時代はもう終わりを告げました。かつてのランサムウェア攻撃は、単一の被害者を標的とし、被害者を騙して悪意あるリンクをクリックさせるか、または兵器化された文書をオープンさせた後、少額の身代金を要求するものでした。

より洗練化されたランサムウェアオペレーション(RansomOps)とは、高度に標的化された複雑な攻撃であり、攻撃者がランサムウェアのペイロードを実行する前にできるだけ多くのネットワークへのアクセス権を取得しようとする点では、APT作戦により近いものです。攻撃者は、このような攻撃を行うことで、自らの攻撃の効果を最大限に高め、より高額な身代金の支払いを要求できるようになります。

弊社が最近発行した『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜』と題したホワイトペーパーでは、ランサムウェアオペレーションが、ここ数年で、主に迷惑な攻撃を行う小規模な家内工業から、非常に複雑なビジネスモデルへと劇的に変化していることが示されています。このビジネスモデルは、極めて効率的かつ専門的であり、イノベーションと技術的洗練化がますます進んでいます。

この文書では、ランサムウェアオペレーターが、身代金要求額の低い大量攻撃から、数百万ドルの身代金を支払う能力があると見込まれた個別の企業や組織を対象とした、より集中的でカスタムな攻撃に移行していることを検証しています。

ランサムウェアが株価に与える影響は一時的なものである

上記のような被害状況を見ると、RansomOpが成功すれば、被害を受けた企業の株価は長期的に影響を受けると考えがちです。しかし、この問題を調査したいくつかの研究によれば、実はそうではないことが判明しています。

たとえば、2021年9月にComparitechが発表した分析によれば、ランサムウェアの被害者となったある企業の株価は、同社がランサムウェア攻撃に遭ったことを公にした後、24時間で22.9%下落したものの、その落ち込みは長く続かなかったことが示されています。この調査によれば、同社の株価は翌日にはほぼ回復し、ほとんどの場合、攻撃から10日後にはさらに株価が上昇していることが確認されています。さらに、攻撃から6ヶ月後には、同社の平均株価は攻撃前より11.9%も高くなりました。

2021年10月にMagnify Moneyが発表した調査でも、同様のストーリーが浮かび上がりました。この分析のために、研究者は2018年から2021年の間にランサムウェア攻撃を受けたことを発表した上場企業10社の取引高を調査しました。その結果、これらの企業のランサムウェア発表当日に取引量が平均118%増加したことが確認されました。そのうち3社はさらに大きな取引量の伸びを示し、1社ではアクティビティが733%も跳ね上がりました。

株価自体については、被害者となった企業がランサムウェア攻撃を受けたと発表した日に平均で3%下落しました。しかし、そのわずか1週間後には、株価は平均1%の変動にまでに回復しました。これは、ランサムウェア攻撃により、被害者の取引量や株価が長期的に大きく損なわれることはなかったことを意味しています。

ランサムウェアに関する重要な注意点

ランサムウェア攻撃は、金融市場における企業の価値を直接的に弱めることはないかもしれません。しかし、これは、ランサムウェアアクターが他の方法で企業の地位を弱める可能性がないという意味ではありません。実際、一部のランサムウェアギャングは、盗み出した被害者企業のデータを競合他社や投資家に提供することで、その企業の株式を空売りすると脅す二重脅迫の手口を利用しています。

このような手口は、ランサムウェアに対する防御がどの程度変化する必要があるのかを浮き彫りにしています。攻撃の最後の段階(つまりランサムウェアのペイロードの実行)に注目が集まりすぎる一方で、攻撃の初期段階に数週間から数ヶ月かけて行われる、ネットワーク上での検知可能なアクティビティにはほとんど注意が払われていないのです。

企業や組織は、ランサムウェアのペイロードが業務を中断する前に攻撃を終わらせたいならば、進行中のRansomOps攻撃の主要な指標(最初の侵入、ラテラルムーブメント、ユーザークレデンシャルのハッキング、権限の昇格、コマンド&コントロール、データの流出など)を検知する能力を開発する必要があります。また、データの窃取を防ぎ、データが二重脅迫に利用されないようにするには、企業や組織は、攻撃の初期段階やキルチェーンの複数の段階で攻撃の指標を検知できる必要があります。

RansomOpsから守るには

企業や組織がRansomOpsから自らを守る唯一の方法は、早期にそれを検知し、データの流出や重要なファイルやシステムの暗号化が行われる前にそれを終わらせることができるようにすることです。明らかに、ランサムウェア攻撃に関しては、マルウェアの最終的なペイロードが身代金要求書を表示する際以外にも、検知すべきアクティビティが数多く存在しています。

問題は、他の環境での攻撃から導出された後ろ向きの「侵害の痕跡(Indicators of Compromise、IOC)」を利用することでは、企業や組織は、高度な標的型RansomOps攻撃の初期段階に関する可視性を必ずしも実現できないことです。なぜなら、そのようなRansomOps攻撃で用いられるツールや手法は、個々のターゲット環境に固有のものである可能性が高いためです。

これを実現するには、企業や組織は、影響を受けるすべてのデバイスとアカウントにわたって攻撃を根本原因から理解できるようになる「オペレーション中心のアプローチ」を採用する必要があります。そのようなアプローチでは、IOCと振る舞いの痕跡(Indicators of Behavior、IOB)の両方を活用することでこれを実現します。IOBとは侵害の微細な兆候であり、IOBを利用することで、企業や組織は、ネットワーク環境において振る舞いが単独では一般的であるかまたは予測されるものである場合でも、極めて稀な状況を生み出すか、または攻撃者にとって明らかに有利な状況を生み出す振る舞いの連鎖に基づいて、潜在的なセキュリティインシデントを識別できるようになります。

そのため、IOBは斬新な攻撃やこれまで検知されたことのない攻撃チェーンに対するインサイトを提供できます。RansomOps攻撃から守るには、企業や組織には、IOCとIOBの両方を追跡することで得られる可視性が必要となります。

また、多くの企業や組織が、人工知能(AI)と機械学習(ML)を搭載したExtended Detection and Response(XDR)ソリューションを採用することで、自社のセキュリティチームによるトリアージ、調査、修復作業を大規模に自動化し、攻撃の最も初期の段階でRansomOpsを検知できるようにしています。

AI/ML駆動型のXDRを使うと、セキュリティチームは、脅威アラートの絶え間ない洪水によりもたらされるノイズを遮断できるようになります。これにより、セキュリティ担当者は、アラートの選別や誤検知の追跡にかかる時間を減らし、組織全体のセキュリティ体制を改善するためにより多くの時間をかけることが可能となります。

AI駆動型のXDRソリューションは、大規模なテレメトリデータセットを高精度で分析することにより、人間の手による分析では到底対応できない規模で、最も微細な「振る舞いの痕跡(IOB)」を特定できます。これにより、通常は人手による分析が必要なイベントの検知を自動化できるほか、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できるようになります。

AIの適用は問題解決の特効薬ではないため、当面は人間とAIが協力して働く混合環境が間違いなく必要となります。それでもなお、AIはセキュリティチームのすべてのメンバーの効率を高めると同時に、セキュリティスタック全体の有効性を増幅させることでしょう。

弊社ではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

また弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/