米国内務省は、モンテネグロに対するサイバー攻撃の報告を受けて、同国政府が、バルカン半島の国の重要なインフラに対する組織的な攻撃と見なされるものを調査するために、FBIのサイバー専門家からなる緊急対応チームを派遣したことを発表しました(AP通信の記事より)。

報道によると、この攻撃は、防衛省、財務省、内務省を含むモンテネグロの政府関連のWebサイトを標的としたものであり、モンテネグロの国家安全保障庁は、この攻撃を統括しているとしてロシアを非難しているとのことです。また、この攻撃には、ランサムウェアと分散型サービス拒否(DDoS)攻撃の両方の手法が採用されていました。

モンテネグロの行政大臣であるMaras Dukaj氏は、Twitterで次のように述べています。「NATOの同盟国は、モンテネグロがサイバー空間で直面している最も深刻な問題を克服できるよう我々を支援してくれています」。

最近、英国、ギリシャ、ルクセンブルグにおける重要なインフラプロバイダーだけでなく、コスタリカや台湾の政府も攻撃されたことを考慮するならば、モンテネグロがロシアのサイバー犯罪組織の標的となった可能性があることに関して、誰もショックを受けないでしょう。なお、ギリシャでは先週、同国最大の天然ガス供給会社がランサムウェアギャングRagnar Lockerによる攻撃を受けたことが報告されています。

コスタリカの場合、同国の大統領はランサムウェアギャングに宣戦布告し、彼らの脅迫に応じることを拒否しました。台湾では、大規模なDDoS攻撃が表面化しました。DDoS攻撃は、迅速で結果が出やすい手段であり、通常使用される手段を通じて、より深刻な攻撃を引き起こすことができます。サイバーテロリストや脅迫組織が、これらの国や重要なインフラ事業者を攻撃しているのは、彼らがそれらを脆弱であると見なしているからです。

モンテネグロに対する無謀な攻撃を考慮するならば、自国がウクライナとロシア間の紛争に地理的または政治的にどれだけ近いかにかかわらず、すべての国が厳戒態勢を取るべきです。ロシアの関与が明確でないならば、なぜFBIがサイバーセキュリティの専門家チームをモンテネグロに派遣したという報道が表面化するのでしょうか?このような攻撃は、米国や他の地域にも波及する可能性があります。

一般的に、「国が見て見ぬふりをする」タイプの犯罪組織(Conti GroupREvilLockbitClopなど)は、個人が運営しているチームです。しかし、戦時下においては、一見するともっともらしい反証などは必要ありません。ランサムウェアギャングとその仲間に警告するなら次のような内容になるでしょう。「現金を追求したいのなら誰を標的とするかに気をつけろ。その中には、お前たちが思っている以上に大きな力を持つ者もいるからだ」。

DDoS攻撃やランサムウェア攻撃から身を守るには、公共機関も民間企業も平時から準備を整え、ネットワーク接続における冗長性を確保し、緩和戦略を準備しておく必要があります。また、Volumetric攻撃に備えるだけでなく(DDoS攻撃には単純なFlood攻撃以外にも多くの種類があります)、適切なセキュリティ衛生を実践することや、OSやその他のソフトウェアを定期的に更新し、パッチを適用することも必要となります。

また、定期的に机上演習や机上訓練を実施し、セキュリティチームだけでなく、一般的な従業員から経営幹部に至るまで、すべての人々をそのような演習や訓練に参加させるようにしましょう。さらに、ネットワークへの侵入やランサムウェアの拡散を防ぐために、明確な隔離方法を確立しておく必要があるほか、可能な場合にはクリティカルなアカウントをロックダウンすることを検討する必要もあります。

なぜそのような措置が必要になるかというと、ランサムウェアをネットワーク上に伝播させるために攻撃者がよく取る方法として、管理者ドメインレベルまで権限を昇格させた後に、当該ランサムウェアを導入することが挙げられるからです。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/