ランサムウェアの攻撃者が定期的に技術革新を行うことは知られていますが、ここ数年は、攻撃をより効果的にするための戦術や技術の進化が加速しています。

近年、ランサムウェア開発者は、コンプライアンス違反者を狙って支払いを迫る新しい方法を見つけることに焦点を合わせています。こうした動きが二重脅迫型ランサムウェア攻撃を生み出しました。これは、多くのランサムウェアで採用されている手法で、最初にターゲットの機密情報を盗み出してから、暗号化を開始します。

その後、攻撃者は指定した期限までに身代金の要求に応じなければ、データを公開すると脅迫します。データのバックアップにより、暗号化されたファイルを回復するための複合ツールは不要になりますが、データのバックアップでは、悪意のある攻撃者が被害者の情報をWeb上に公開するのを防ぐことはできません。つまり、ランサムウェア攻撃を防ぐには、強固な防御戦略が必要です。

攻撃者は、ランサムウェアの感染を通知する方法にも、さらに工夫を凝らしています。ときには、デジタルランサムノート以外の媒体を使用して、被害者に感染したことを知らせます。最近、Egregor Ransomware集団は、Bleeping Computerの注意を引くために、感染したネットワーク上のすべてのローカルプリンターを悪用して、ランサムノートのコピーを繰り返し印刷しました。2020年12月にFBIが警告したように、DoppelPaymer Ransomwareグループが支払いに応じるように被害者に電話し始めたのも同様です。

一方、ランサムウェア攻撃は、ターゲット自身ではなく、その顧客に焦点を合わせることもあります。例えば、Clopランサムウェアは、被害者の顧客にメールで接触し始めたことで、2021年3月にニュースで大きく取り上げられました。攻撃者は、個人情報と財務情報を盗んだことを顧客に通知しました。その際、「この店に対して[自分の]プライバシーの保護を電話またはメールで依頼する」ように要請しました。

ランサムウェア攻撃を防ぐ

前述のような技術革新は、ランサムウェア攻撃の急増に拍車をかけることになり、その結果多くの企業がプレッシャーを感じています。例えば、Help Net Securityによる調査では、2020年に回答者の61%がランサムウェア攻撃を受けたと述べており、これは前年度に攻撃を受けたと報告していた企業の割合より20%高くなっています。

これらの企業は、攻撃を受けたことにより平均6営業日を失い、3分の1以上（37%）が1週間以上ダウンタイムが続いたと報告しています。ほぼ同数（34%）が、最終的に身代金を支払ったにも関わらず、二度とデータを見ることはなかったと認めています。

これは、企業が積極的な防御策によってランサムウェアから身を守る必要があることを浮き彫りにしています。データのバックアップと従業員のセキュリティ意識向上トレーニングは、その点では大いに役立ちますが、ランサムウェア攻撃の被害者にならないためには、企業がこれらの防御策を情報セキュリティプログラムの他の要素と調整し、いつでもこれらの攻撃を確実に阻止できるようにする必要があります。

これが、セキュリティオペレーションセンター（SOC）構築への投資が必要な理由です。EC-Councilが指摘するように、SOCは、ランサムウェア攻撃をプロアクティブにブロックするために必要な人材を企業に提供するという点で有効です。その方法の1つとして、企業にデジタルセキュリティの一元管理アプローチを提供しています。

例えば、ランサムウェア攻撃の場合、企業はSOCチームに依頼して、影響を受けたコンピューターを特定してワイプし、データのバックアップを有効にすると同時に、広報担当者と法務担当者に通知することができます。これによって、データの損失を防ぎ、顧客の信頼を保持し、ランサムウェアなどのセキュリティインシデントで企業が被る可能性のある潜在的な損失を減らすことができます。

ただし、これは自動的には行われません。企業は、SOCチームが最新のランサムウェアと同じくらい動的で高度なデジタルの脅威に備えていることを確認する必要があります。そのためには、人材に注目します。

最近のホワイトペーパーで次のように説明しています。

成熟したSOCは、一人を中心に置き、他の人たちと連携して、大規模に効率的なプロセスを実行します。そうなると、役立つツールはより頻繁に使用され、失敗したツールはどれだけ特別な機能を備えていても排除されます。

また、脅威検知能力を強化するために、効果的なEDR（エンドポイント検知および対応）やXDR（拡張検知および対応）ソリューションを導入してSOCの機能を拡張することも検討する必要があります。確かに、EDR/XDRが提供する機能の一部を実現する手段として、SIEMやSOARのような他のソリューションを検討することもできますが、これらのソリューションは、攻撃を早い段階で終わらせるために必要なネットワーク全体の相関関係を提供するようには設計されていないため、SOCチームにさらなる複雑さと調査作業を課すことになります。

XDRの出現を考えると、脅威に関して必要なコンテキストを提供できないSIEMやSOARなどの別のソリューションにこだわる理由はありません。アナリスト企業のESGは、ほとんどのセキュリティチームが機能を制限されたSIEMおよびSOARツールを統合型XDRプラットフォームに置き換えて、これまでのソリューションのほとんどの機能だけでなく、深いコンテキストと脅威の相関関係を提供することをすでに検討していることを認めています。この判断次第で、ランサムウェアとの戦いに費やされる貴重な時間と費用を節約できます。

鍵となる防御機能

企業にとって最高のランサムウェア対策は、まず最初にランサムウェアの感染阻止に重点を置くことです。企業は、早い段階でランサムウェア攻撃を検知して防御できるよりわずかな振る舞いの痕跡（IOB：Indicators of Behavior）も可視化する必要があります。

サイバーリーズンでは、次に示すような多層的な防御、検知、および対応を通じて大胆なランサムウェア対策を実現しています。

• エンドポイントコントロール：Cybereasonは、セキュリティポリシーの管理、デバイス制御の維持、パーソナルファイアウォールの導入、広範な種類のデバイス（固定およびモバイル）におけるディスク全体の暗号化を実施することで、エンドポイントを攻撃から守ります。
• インテリジェンスベースのアンチウイルス：Cybereasonは、過去に検知された攻撃に基づいて、絶えず増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
• NGAV：CybereasonのNGAVは、機械学習を利用してコード内の悪意のあるコンポーネントを認識することで、未知のランサムウェアのバリアントを実行前にブロックします。
• ファイルレス型ランサムウェア対策：Cybereasonは、従来のアンチウイルスツールが見逃していた、ファイルレス型およびMBRベースのランサムウェアを利用した攻撃を阻止します。
• 振る舞い検知に基づく文書保護：Cybereasonは、悪意のあるマクロやその他のステルス攻撃ベクターを活用するものを含め、最も一般的なビジネス文書フォーマットに隠されたランサムウェアを検知して、ブロックします。
• アンチランサムウェア：Cybereasonは、振る舞い検知と独自のおとり技術を組み合わせることで、最も複雑なランサムウェアの脅威を表面化させ、重要なデータが暗号化される前に攻撃を終わらせます。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/