ランサムウェアギャングが高度な標的型攻撃への移行を続ける中で、企業は、かつてないほどに警戒を強め、ランサムウェア攻撃から身を守るために可能な限り準備を整える必要があります。今やRansomOpsは、最大規模のランサムウェアギャングが採用している手口となっており、それはゲームチェンジャーとなりつつあります。

このようなランサムウェアエコノミーの進化は、ランサムウェア攻撃を開始することがより容易になり、技術的スキルの低い自称攻撃者であっても攻撃を行えるようになったことを意味しています。

予測型のランサムウェア対策

Gartnerは、2021年に企業や組織が直面するであろう新たなリスクの第1位として、新しいランサムウェアモデルがもたらす脅威を挙げています。現在のランサムウェアや未知の脅威から身を守るための第一歩は、マルウェアの侵入を未然に防ぐことです。これを実現するには、予測型のランサムウェア対策が必要となります。

ransomware.orgは次のように主張しています。「カギとなるコンセプトは、可能な限りテクノロジーを使用して、明白な脅威を迅速かつ自動的にブロックするかまたはそれに対処するような最前線の防御を提供することです」。エンドポイント保護、次世代アンチウイルス（NGAV）、そして振る舞いの痕跡（Indicators of Behavior、IOB)を通じて悪意あるアクターを早期に発見できるAIのような防御メカニズムを適切に導入することが、ランサムウェアを防止する環境を整えるための第一歩となります。

ランサムウェアを根本的に阻止するには、エンドポイント上にAIを搭載し、異常な動作を検知することで、攻撃の進展を予測した上でそれをブロックする必要があります。次に、多層的なアプローチを通じて最も高いセキュリティを保証する必要があります。同アプローチでは、次世代アンチウイルス（NGAV）、AV、スクリプトベースやファイルレス型の攻撃に対する防御を組み合わせることで、既知および未知のランサムウェアを確実に検知できます。

最後に、カーネルからクラウドに至るまでの完全な可視性を確保することで、ランサムウェアの攻撃連鎖に沿ったあらゆる場所で侵害の兆候を見つけ、データの暗号化が行われる前に、その攻撃を食い止めることが可能となります。

オペレーション中心のアプローチ

続いて、オペレーション中心のアプローチを採用することが重要となります。これは、MalOp（悪意ある操作）に関する完全なビューを確保すること、すなわち、マルウェアの侵入から暗号化そして身代金要求書の提示に至るまでの全プロセスを把握することを意味します。これにより、ランサムウェアオペレーションを「根本原因から、影響を受けるすべてのエンドポイントに至るまで、マルチステージの視覚化を通じてリアルタイムで把握することが可能となるほか、すべてのデバイスとすべてのユーザーを通じて、ある攻撃に関するすべての詳細情報を即座に提供できるようになります」。

このような完全なビューを確保できない場合、企業や組織は、サイロ化したアラート中心のアプローチを押し付けられることになります。その結果、セキュリティチームは事後対応に追われることになるほか、ネットワーク上に死角が残されるため攻撃者が検知されないままとなります。

Forbes誌の寄稿者であるTony Bradley氏は、このモデルに対する彼自身の認識について次のように語っています。「15年前、私は、サイバーセキュリティにおける事後対応（リアクティブ）モデルが長期的に維持できないことを認識しました。サイバーセキュリティの全体的な基盤は、攻撃者が先手を打ち、その後、セキュリティベンダーが新たな脅威に対する防御策を開発し、私たち全員が指をくわえてその効果を期待するという前提のもとに構築されていたのです」。

このような「事後対応モデル」の欠点は、セキュリティスタックとネットワーク全体にプロアクティブなセキュリティ対策を配置することで軽減できます。ただし、そのためにはオペレーション中心のアプローチ（およびそれにより得られる可視性とアジリティ）が必要となります。Computer Weekly誌は次のように述べています。「これは、組織全体を通じて検知および対応能力を拡張することにより、脅威インテリジェンスのサイロを打破し、攻撃者の優位性を逆転させ、防御者にとって優位な立場を取り戻します」。

スケーリングが可能なセキュリティ

最後に、企業や組織には、スケーリングが可能なセキュリティが必要となります。IT Security Wireが2020年に行った調査によると、SOCアナリストの5人中4人が、セキュリティアラートの量が前年比で50％も増加したと回答したとのことです。さらに、同調査によれば、「セキュリティ専門家の4分の3以上（78%）が1つのアラートを調べるのに10分以上かかると回答しており、回答者の35%以上が、SOCはより多くのアナリストを雇用することで人員を増やそうとしたか、または大量のアラート発行機能をオフにしたと答えている」とのことです。

しかし、言うまでもなく、これでは攻撃件数の記録的な増大に対処できないばかりか、約120%もの二重脅迫ランサムウェアの増加にも対処できません。スケーリングを行うためには、手動による検知方法では不十分であり、自動化、人工知能（AI）、機械学習（ML）が必要となります。

Booz Allen氏によれば、AI/MLを採用している組織は、手動のみを活用した組織よりも、より微妙な攻撃を早期に検知できるとのことです。私も過去のブログ記事で、「AI/MLは、セキュリティチームが脅威アラートの洪水によってもたらされるノイズを遮断することを可能にします。これにより、セキュリティ専門家は、アラートの選別や誤検知の追求にかける時間を減らし、組織全体のセキュリティ態勢の改善に取り組む時間を増やすことができる」と述べています。これにより、企業は、自らのセキュリティチームを「置き換える」のではなく、「増強」できるようになるのです。

Group-IBのデジタルフォレンジックおよびインシデント対応チームの責任者であるOleg Skulkin氏は、TechTargetとのインタビューで「人間が操作する攻撃を阻止するには、その攻撃を監視および検知する人間がいなければなりません」と述べています。

当分の間は、人間とAI/ML手法を混合する必要性が残ることは間違いありません。しかし、「最も熟練した人間のアナリストでも、意味のある攻撃指標を発見するために、リアルタイムで利用できるすべてのテレメトリを迅速かつ効率的に照会することは不可能」なのです。AI/MLおよび自動化されたソリューションは、2022年以降に頻発するであろうランサムウェア攻撃に対応するために必要となる大規模データを、セキュリティチームに提供します。

XDRによりランサムウェア攻撃を早期に検知

ランサムウェアから身を守るために組織の準備を確実に整える最善の方法は、予測的な保護、オペレーション中心のアプローチ、スケーリングが可能なセキュリティなど、最良のテクノロジーを組み合わせることで、侵入からエンドポイントに至るまでのランサムウェア対策を提供する1つのプラットフォームを構築することです。XDR（Extended Detection and Response）ソリューションを使うと、そのようなプラットフォームを実現できます。

AI駆動型のXDRソリューションは、AI/MLを活用してプラットフォーム、アプリケーションスイート、エンドポイント、およびその他の資産におけるテレメトリを統合することで、未知のランサムウェア攻撃を特定します。同ソリューションを使うことで、ランサムウェア攻撃チェーンに関するオペレーション中心の可視性を確保できるようになります。これにより、攻撃のタイムラインを明らかにできるほか、セキュリティチームがリスクの大きさに応じてスケーリングを行えるようにすることで、ランサムウェアに強い企業体制の構築を実現できます。

従来の方法ではRansomOpsから身を守ることが難しい場合もあります。なぜならRansomOpsは従来型の脅威ではないからです。最近のレポートによると、エンタープライズSIEMツールは、MITRE ATT&CK手法に基づく検知を80%も見逃しているとのことです。また、ランサムウェアの実行ファイルの検知だけを重視するのは危険です。なぜなら、それはより長期にわたる攻撃シーケンスの最後尾に位置するものであり、攻撃者はすでにあなたの会社のネットワークに自由にアクセスできるようになっており、あなたの会社のデータを流出させている可能性があるからです。

最終的には、多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを阻止することで、企業や組織は、真にプロアクティブなアンチランサムウェア戦略を確立できるようになります。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/