ランサムウェア攻撃は、世界のあらゆる企業を標的にしており、これには政府機関や医療機関のような規制の厳しい企業も含まれています。COVID-19のパンデミック発生以来、ランサムウェア攻撃の発生件数は急激に増加しています。Security Magazineの報告によれば、パンデミックの発生以降、ランサムウェアの攻撃数は72%増加したとのことです。ある証拠によれば、従業員がリモートワークを行っている場合、ランサムウェア攻撃が成功するリスクが大幅に高まることが示唆されています。

このようなインシデントはかつてない規模で発生しており、企業がランサムウェア攻撃の被害者となった場合、企業は膨大な量の技術的および法的な検討事項に直面することになります。ランサムウェアが原因で組織が機能しなくなった場合、次のことを自らに問う必要があります。

  • 我々はインシデントを迅速に修復するための技術的対応能力を社内に持っているか?
  • 我々は身代金を支払うべきか?もし支払う場合、その支払い方法は?身代金を支払う前に、我々はどのような事を考慮すべきか?
  • 我々はデータ漏洩を経験したことがあるか?二重脅迫を目的として、ランサムウェアギャングにより機密情報が流出させられたことがあるか?
  • 我々は法執行機関や関連する規制機関に通知すべきか?

いかに対応すべきか?

まず検討すべきは、インシデント対応チームを従業員として迎え入れることです。攻撃の発生後よりも、攻撃が起こる前に、同チームを従業員として迎え入れ、修復プロセスを指導してもらうことが推奨されます。

ランサムウェアであれ何であれ、すでにセキュリティインシデントの被害を受けている場合に備えて、このチームを自由に使えるようにしておくことが重要となります。つまり、企業や組織は、サイバーインシデント対応と調査に関する独自の経歴を持つ人材を自由に使えるようにしておく必要があります。

サイバー保険に加入している場合は、契約している補償要件をチェックし、データ漏洩時に必要となる対応会社や弁護士にアクセスできるかどうかを確認する必要があります。

身代金を支払うべきか?

身代金を支払うかどうかを決定する際には、さまざまな要因やリスクを考慮する必要があります。また、企業や組織は、攻撃を行っている脅威アクターがどの国に帰属しているかをある程度まで突き止める必要があります。これは、脅威アクターが、特定の国家に対して課される制裁の対象であるかどうかを判断するためです。

また、身代金の支払いが適用法で認められているかどうかも判断する必要があります。さもなければ、もう1つの大きなインシデントに直面する可能性があります。なぜなら、身代金を支払うことにより、意図せずして国際的な措置に違反してしまう場合があるからです。

現在、ランサムウェアが要求する身代金を支払うことは違法ではありませんが、身代金を支払うべきか否かを判断することに関しては、大きなグレーゾーンが存在します。米国財務省によれば、制裁対象となるエンティティに対する身代金の支払いを促進することは違法であり、EUにおいても同様に、サイバー犯罪集団は金融制裁を受ける可能性があります。また、英国における2000年テロリズム法(Terrorism Act 2000)では、ランサムウェアグループがテロと関連している疑いがある場合、同グループに身代金を支払うことは違法とされています。

多くの場合、ランサムウェアグループの要求に応じて身代金を支払う価値はありません。企業や組織は、今もなおランサムウェアに感染している可能性があり、その場合、さらなる攻撃が起こる前にあらゆるマルウェアを除去するためのコストがさらにかかることになります。サイバーリーズンでは、ランサムウェアが企業にもたらす真の影響をより深く理解するために、最近、第2回目の年次ランサムウェア調査結果を発表しました。

2022年版ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題した同レポートでは、1,400人を超える世界のサイバーセキュリティ専門家の経験に基づいて、2022年には73%の組織が少なくとも1回のランサムウェア攻撃を受けたことを明らかにしました。この数字は、2021年の調査では55%でした。

また、この調査では、「身代金を支払うことは被害者にとって割に合わない」ことが再度明らかにされています。なぜなら、身代金を支払った組織の80%が2回目のランサムウェア攻撃を受けており、そして68%が2回目の攻撃は1ヶ月以内に起こっており、その際、脅威アクターはより高額な身代金を要求しており、約70%の企業が2回目にはより高額な身代金を支払ったと回答しているからです。

身代金を支払うのはどんな場合か?

身代金を支払うべきかどうかを判断する場合、企業や組織は、脅威の重大度をはじめ、感染または喪失したデータをバックアップから復元できるかどうか、さらに1日あたりのビジネス損失がもたらす全体的な財務的影響を評価する必要があります。

企業や組織にとってのリスク要因として、身代金の支払いが効果的でない可能性が挙げられます。なぜなら、身代金を支払うことで、システムが正常にロック解除されるという保証はないからです。過去のランサムウェア攻撃では、脅威アクターの中には身代金を受け取った後も復号化コードを提供しなかった者がいたことや、復号化コードが単に動作しなかったことが確認されています。

たとえば、サイバーリーズンの調査によれば、攻撃後に身代金を支払ったことがあると回答した組織のうち、すべてのサービスとデータを復旧できたと回答したのはわずか42%であり、54%が一部は正常に戻ったがいくつかの問題が残った、または復号化後に一部のデータが破損していたと回答しています。

また、医療機関や電力会社のようなクリティカルなインフラを扱う組織では、人命の損失に関わるシナリオもありえます。これらの組織では、適用される司法権による制裁の可能性と、システム復旧の遅れにより負傷者や死亡者が出る可能性を比較した上で、身代金を支払うべきかどうかを判断する必要があります。

ランサムウェア攻撃は、ネットワークが侵害されたことを意味するか?

ランサムウェアに感染した企業や組織は、攻撃者によるネットワークへの侵入や、機密性の高いデータや顧客データの流出に直面する可能性が高くなります。このため、そのような組織は、さらなる法的な分析を行うことで、組織にとってのリスクを適宜評価する必要があります。

多くのランサムウェア脅威アクターは、二重脅迫と呼ばれる戦術を採用しています。二重脅迫では、脅威アクターは、流出したデータをさらに利用し、身代金を支払わなければそのデータを公開すると脅迫することで、身代金を支払わざるを得ない状態へと追い込みます。このシナリオでは、データのバックアップを保持していたとしても、危機を回避することはほぼ不可能です。このような状況では、ランサムウェア攻撃の一環としてデータ漏洩が発生したかどうかを確認した上で、それに応じて必要な措置を講じる必要があります。

法執行機関に通知すべきか?

関連する法執行機関に通知すべきかどうかを判断する場合、規制当局への通知に関する適用可能な法的要件、法執行機関に連絡することで得られるメリット、およびあらゆる契約要件のような要因を考慮する必要があります。法執行機関に連絡した場合、法執行機関と共有した情報は公開されるのでしょうか?法執行機関は、自由に使える復号化キーを公開するために、迅速に行動することを望むかもしれません。あるいは法執行機関は、単にある組織が被害を受けたことを通知した上で、重要な侵害の痕跡のような侵害に関する情報を公開するよう求めるかもしれません。

プロアクティブなランサムウェア防御策

商業的な観点からは、ランサムウェア攻撃の結果もたらされる事業継続性関連の問題は、組織によるサービス契約違反を引き起こすか、またはその他の契約上の義務の履行を遅らせる原因となるため、ランサムウェア攻撃に対する可能な限りの準備と対応策を用意しておくことが不可欠となります。

攻撃が発生してから戦略や対応を評価するのでは遅すぎます。実際に攻撃が発生する前に、ランサムウェア攻撃の可能性を考慮したインシデント対応計画を策定する必要があります。最善の策としては、常にサイバー犯罪者の一歩先を行くために、可能な限りの準備を整えておくことが挙げられます。

ランサムウェア攻撃に対する防御策として、多くの組織が攻撃後の修復のためにデータのバックアップを採用していますが、上述したように、その効果は極めて限定的です。システムやデータをバックアップすることは賢明な選択ではありますが、それは二重脅迫の問題を解決するものではありません。

効果的なランサムウェア阻止計画には、次のようなアクションを含める必要があります。

  • セキュリティ衛生のベストプラクティスに従うこと:これには、タイムリーなパッチ管理、オペレーティングシステムやその他のソフトウェアの定期的な更新、従業員へのセキュリティ啓発プログラムの実施、ネットワークにおけるクラス最高のセキュリティソリューションの導入などが含まれます。
  • 多層的防止機能を実装すること:既知のTTPとカスタムマルウェアの両方を活用したランサムウェア攻撃を阻止するために、NGAVのような防御ソリューションを、ネットワーク上のすべての企業エンドポイントに標準装備する必要があります。
  • EDRとXDRを導入すること:RansomOps攻撃のような悪意ある活動をEDRXDRのような環境全体で検知するポイントソリューションは、データの流出が起こる前、またはランサムウェアのペイロードが配信される前に、ランサムウェア攻撃を終了させるために必要となる可視性を提供します。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があるため、担当者はいつでも対応できるようにしておく必要があります。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
  • 机上演習や机上訓練を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、主要な意思決定者を含めた、部門の垣根を超えた机上演習や机上訓練を定期的に実施する必要があります。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。セキュリティチームは、ホストの切断、ハッキングされたアカウントのロック、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1回は、これらの手順を定期的または非定期的な訓練を通じてテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。
  • マネージドセキュリティサービスプロバイダー(MSP)の採用を検討すること:セキュリティチームに人員や専門知識不足の問題がある場合、MSPと協力することで、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
  • 週末や休日には重要なアカウントをロックダウンすること:攻撃者はランサムウェアをネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入します。また、セキュリティチームは、Active Directory内に安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。

    また、VPNアクセスについても同様に、業務上の必要性に応じて、週末や休日の利用を制限するなどの配慮が必要です。週末や休日に発生するランサムウェア脅威に関する詳細は、当社が作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。

最終的には、多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを阻止することで、企業や組織は、真にプロアクティブなアンチランサムウェア戦略を確立できるようになります。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/