セキュリティ業界では、ランサムウェア攻撃に関する懸念が高まっています。当社が最近発表したグローバルな調査レポートである「Ransomware: The True Cost to Business（ランサムウェア：ビジネスにもたらす真のコスト）」によれば、当社が調査した1,200人以上のサイバーセキュリティ専門家のうち、81%がランサムウェアのリスクを強くまたは非常に懸念していることがわかりました。

この懸念は間違いなく、最近の多くの攻撃がランサムウェアの脅威情勢を変化させていること、また同情勢に新たな意味を与えていることを反映しています。中でも特に目立っているのが、下記に紹介する3つの攻撃です。

Revil/SodinokibiによるApple社への攻撃

我々は4月末に、REvilグループとSodinokibiグループがAppleのビジネスパートナーであるQuanta Computerを標的としていることについて書きました。この脅威アクターは、ランサムウェアモデルに従って、暗号化されたデータを復元したければ身代金を支払うよう、このラップトップメーカーを脅迫しようとしました。それが上手くいかなかったため、この攻撃者は、Quanta Computerへの攻撃により盗み出した機密データを使ってAppleを恐喝することに関心を移しました。

この事件に関与しているのは、悪意あるアクターがハイテク企業を恐喝しようとした単なるサプライチェーン攻撃ではありません。これには、テクノロジーに関するカンファレンス中に発生したデータ漏洩も関与しています。実際、REvil/Sodinokibiの攻撃者は、4月20日に開催されたAppleの「Spring Loaded」イベントまで待ってから、Appleのファイルの一部を公開しました。そして同攻撃者は、さらに多くの情報を公開されたくなければ5,000万ドルを支払うよう、この巨大テック企業に求めました。

現在、このような 二重脅迫モデルが急速に普及しています。同モデルでは、ランサムウェア攻撃者は、標的となった企業や組織が身代金の請求に応じないならば、盗み出したデータを公開すると同組織を脅します。二重脅迫モデルを利用することで、ランサムウェア攻撃者は、標的となった企業や組織がデータのバックアップを利用して暗号化されたデータを復元できた場合であっても、それらの企業や組織に身代金の支払いを迫ることが可能となります。身代金請求の実行と支払いの両方が急増していることを考えると、この手口は有効に機能しているように思われます。

Colonial Pipeline社への攻撃後に起こったパニック買い

5月初めに、DarkSideランサムウェアギャングがColonial Pipeline社のシステムへの侵入に成功した後、同社は日常業務を停止する措置を取りました。この結果、テキサス州ヒューストンとニューヨーク港の間における数億ガロンに及ぶ燃料の流れが滞ることになりました。これは基本的に、米国東海岸への燃料供給の大部分が滞ることを意味します。

その結果、多くのガソリンスタンドでは燃料が不足し、客が入手可能な燃料を求めてガソリンスタンドに殺到するという「パニック買い」が発生しました。ロイター通信によると、Colonial Pipeline社が供給を行っていないマイアミやタンパなどの地域でも、同様のパニック買いが見られたとのことです。

このような燃料に関する緊急事態を受けて、連邦自動車運送業者安全局（FMCSA）は緊急宣言を発表 しました。この緊急宣言は、17の州とコロンビア特別区に対して、自動車運送業者および運転手による石油精製品の輸送に関する一定の制限を免除するというものであり、FMCSAは、ガソリンスタンドやその他の企業が燃料を継続して受け取ることができるように、この宣言を発表しました。

ランサムウェア攻撃を受けた後に大きなビジネス上の混乱が引き起こされることは、決して珍しくありません。サイバーリーズンのランサムウェアレポートによると、26%もの企業や組織が、ランサムウェア攻撃を受けた後、ある程度の期間、業務の停止を余儀なくされたと回答しています。

CNA、身代金4千万ドルを支払う

その後、CNAが「Phoenix」という名の脅威グループに対して記録的な金額の身代金を支払ったというニュースが飛び込んできました。この攻撃を検出してから1週間以内に、この米国の商業および損害保険会社は、悪意あるアクターの請求に応じることを選択しました。

しかし、それは通常の身代金の支払い額ではありませんでした。CNAは4,000万ドルもの大金を脅威グループに手渡したのです。これは、本校執筆時点で、ランサムウェアの被害者によって支払われたことが過去に報告されている身代金額としては最高額になります。

このCNAによる支払いは、最近の身代金請求額の高騰化の傾向とも一致しています。Bloombergによれば、現在の身代金の平均的な請求額は5,000万ドルから7,000万ドルの間となっているとのことです。ただし、多くの企業はサイバー保険を利用することで、身代金の全額ではないとしてもその一部をカバーしているため、被害者が実際に支払う金額は平均で1,000万ドルから1,500万ドル程度になります。

サイバーリーズンのランサムウェアに関するレポートでは、ランサムウェア攻撃を受けた後に、サイバー保険に加入していた組織の43％が、同保険でカバーできたのはコストの一部だけだったと回答しています。

米国政府、ランサムウェアの脅威を深刻に受け止め

このような攻撃およびその他の最近の攻撃の余波を受けて、米国政府はランサムウェアの脅威を深刻に受け止める動きを見せています。米国司法省は、6月初旬に内部指針を配布することにより、ワシントンD.C.のタスクフォースと情報を共有するよう米国の弁護士に指示しました。

司法省のJohn Carlin副検事総長は、「我々は、このモデルを過去にテロに関して使用したことはあったが、ランサムウェアに関しては使用したことがなかった」と述べています（ロイター通信より）。

その直後に、バイデン大統領は、ランサムウェアアクターがクリティカルなインフラ組織やその他のエンティティを標的にし続ける場合には、米国は国家としてそれに対応するだろうとの威嚇的な声明を発表しました。バイデン大統領は記者会見で、「責任ある国は、自国の領土でランサムウェア活動を行う犯罪者に対して断固たる措置を取る必要がある」と述べました（NPRより）。

ランサムウェア攻撃から組織を守る方法

ランサムウェア攻撃から組織を守るためには、防止、検知、対応に関する「振る舞いに基づいた」アプローチが必要となります。このアプローチを採用することで、企業や組織は、ランサムウェアのペイロードが配信されるずっと前の初期段階において、ランサムウェア攻撃を阻止できるようになります。

具体的に言えば、企業や組織には、事後対応的なIOC（Indicators of Compromise、侵害の痕跡）を超えて、 IOB（Indicators of Behavior、振る舞いの痕跡）に基づいたプロアクティブな脅威ハンティングを利用するようなランサムウェア対策が必要となります。IOBとは、攻撃者がランサムウェア攻撃の成功のための舞台を整える際に見せる「悪意ある振る舞い」の微妙な連鎖のことです。このような振る舞いの連鎖は、攻撃者が暗号化プロセスをより効率化し、かつより広範囲に実行することを目的として、ネットワークへの侵入に際してある程度の時間をかけることが理由で発生するものです。

これらの振る舞いは、ランサムウェアのペイロードよりも数週間または数ヶ月先行するAPTライクな攻撃の側面の一部となるものであり、これには最初の侵入、エクスプロイト活動、データ流出などが含まれます。このような側面は、IOCベースの検知では見逃されていたものです。

このような攻撃の初期段階は、振る舞いの検知を通じて明らかにすることができます。ただしこれは、お使いのソリューションにそのような機能が備わっており、かつ重要でないと判断したデータをフィルタリングしていない場合にのみ可能となります。一部のベンダーでは、このようなフィルタリング処理のことを「スマートフィルタリング」と呼んでいますが、これはスマートであることとは一切関係がなく、実は当該ベンダーのソリューションが利用可能なすべてのテレメトリを取り込めないことと大いに関係があります。

サイバーリーズンが採用しているオペレーション中心のアプローチとは、データのフィルタリングを行うことなく、稀であるかまたは攻撃者にとって有利に働くような（それ以外の点では正常な）振る舞いの連鎖に基づいて、攻撃を早期に検知できることを意味します。Cybereasonはランサムウェアとの戦いにおいて無敗を誇っています。これは、Cybereasonが次世代アンチウイルス製品「Cybereason NGAV」、EDR製品「Cybereason EDR」、MDR製品「Cybereason MDRサービス」含め次のような多層型の防御、検知、対応機能を備えているためです。

• アンチランサムウェア機能 – 防御機能とおとり技術：振舞い検知と独自のおとり技術を組み合わせ、きわめて複雑な構造を有するランサムウェアの脅威を検知し、重要なデータが暗号化される前にランサムウェアの動きを封じます。
• インテリジェンスベースのアンチウイルス：過去に検知された攻撃に基づく、増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
• NGAV：機械学習を活用するCybereason NGAVでは、コード内に存在する悪意のあるコンポーネントを特定し、変異した未知のランサムウェアが実行されるのを防ぎます。
• ファイルレスランサムウェア対策機能：従来のアンチウイルスツールでは検知できない、MBRベースのファイルレスランサムウェアを利用した攻撃を無力化します。
• エンドポイントコントロール：セキュリティポリシーの管理、デバイスの制御の維持、パーソナルファイアウォールの実装、固定デバイスとモバイルデバイスの両方を含むさまざまなタイプのデバイスを対象としたディスク全体の暗号化を通じ、サイバー攻撃に対するエンドポイントの耐性を強化します。
• ドキュメントに隠された脅威を振る舞いで検知：非常に一般的なビジネスドキュメントのフォーマットに隠されたランサムウェアをCybereasonは検知し、その攻撃を防ぎます。このようなランサムウェアには、悪意のあるマクロや他のステルス型攻撃ベクターを悪用するランサムウェアなどがあります。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。 昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。 このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。 https://www.cybereason.co.jp/product-documents/white-paper/4806/