- 2022/08/03
- ランサムウェア
数字で見るランサムウェア攻撃、そしてランサムウェアから身を守る方法とは
Post by : Anthony M. Freed
ランサムウェアとは、20年以上前から存在するマルウェアの一種であり、今もなお進化し続けています。ランサムウェアは、1980年代後半に初めて出現し、2010年代前半に人気が高まり、より複雑なものとなりました。その結果、ランサムウェアは、Colonial Pipeline、JBS Foodsなどの企業や、その他の重要インフラ提供者に対する攻撃で、数百万ドルの身代金を要求するという前例のないレベルにまで達しました。
ランサムウェアは、セキュリティ上の弱点をエクスプロイトすることで、政府、企業、医療機関などのデータを人質に取り、時には莫大な額の身代金を支払うよう要求することもあります。また、ランサムウェアオペレーション(RansomOps)がその洗練性を増しており、その結果、国家による支援とサイバー犯罪の境界線がさらにあいまいになっています。
このような「Low & Slow」型の複雑な攻撃は、ランサムウェアのペイロードを実行する前に、標的となるネットワーク内のできるだけ多くの部分に侵入しようとします。これは、RansomOps攻撃から身を守る作業がかつてないほど困難になっており、組織にとってのリスクが高まっていることを意味します。
数字で見るランサムウェア
当社の最近のレポート『2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜』によると、2022年には73%の組織が少なくとも1回のランサムウェア攻撃に遭ったことが明らかになりました。この数字は2021年の調査ではわずか55%でした。さらに、この調査では、身代金を支払った組織の80%が2回目のランサムウェアの被害に遭っており、68%が1ヶ月以内に2回目の攻撃を受け、脅威アクターはより高額な身代金を要求したと回答していることが明らかになりました。
また、この調査では、ランサムウェア攻撃を受けて、3分の1近く(31%)の企業が一時的または永久的な業務停止を余儀なくされたこと、40%近くの組織が攻撃の結果としてスタッフを解雇したこと、35%の企業がランサムウェアの攻撃を受けて経営管理レベルの辞任に見舞われたことが明らかになりました。
Harvard Business Reviewによると、攻撃者に支払われる身代金は2020年に300%増加したとのことです。その理由として、リモートワークの急増と脆弱なホームセキュリティの組み合わせにより、ランサムウェオペレーターが必要とする感染経路が増えたことが挙げられます。
2021年には、国内はもとより世界中の企業に対する多くの重大な攻撃が発生しました。わずか6つのランサムウェアグループが、約300件の組織のサイバーセキュリティ防御を突破し、数千万ドル以上の利益を得ていると見られています。
ランサムウェアにより包囲された医療業界
2020年にCOVID-19危機が始まると、多くのハッカーが人々の不安と混乱に乗じて、医療機関を攻撃しました。ある調査によると、 ランサムウェア攻撃は医療業界にかなりの経済的影響を与えており、2020年だけで200億ドル以上の収益減、訴訟費用、身代金の支払いが発生したとのことです。
600件以上のクリニック、病院、およびその他の医療機関が、92件のランサムウェア攻撃の影響を受けました。Johnson & Johnson社の情報セキュリティ担当ディレクターであるMarlene Allison氏は、同社が毎日155億件のサイバーセキュリティイベントを経験していると述べています。
Colonial Pipelineへの攻撃
2021年に発生したサイバー攻撃やランサムウェアの中で、4月下旬に発生したColonial Pipelineへのハッキングは最も広く報道されました。この攻撃の背後にいたのはDarkSideギャングであり、同グループはColonial社の課金システムと社内業務ネットワークを標的とすることで、複数の州で広範なガソリン不足を引き起こしました。
Colonial社は最終的に攻撃者に屈し、さらなる混乱を避けるために、同グループに440万ドルをビットコインで支払いました。幸いなことに、FBIは暗号通貨とデジタルウォレットの動きを監視することで、支払われた身代金の大部分を追跡し回収することができました。
Acerへの攻撃
2021年5月、コンピューターメーカーであるAcerへの攻撃が、REvilランサムウェアグループにより行われました。これは、ロンドンの取引所Travelexを攻撃したのと同じグループです。5000万ドルに上る身代金要求額は、これまで知られている中で最大であると言われています。REvilはMicrosoft Exchangeの脆弱性を利用してAcer社のファイルにアクセスし、表計算ソフトや財務機密文書の画像を流出させました。
JBS Foodsへの攻撃
2021年春、パンデミックの終息という明るいニュースが流れましたが、その一方で、2020年以降、増加傾向にあるサイバー攻撃は一向に沈静化する気配がありません。5月には世界最大級の食肉加工業者であるJBSフーズに対するランサムウェア攻撃が行われました。この攻撃の背後にはAcerを攻撃したのと同じロシア人グループであるREvilがいると見られています(CNNによる情報)。
CNAへの攻撃
3月21日にはCNAのネットワークが攻撃され、ハッカーグループはリモートワークを行う従業員のコンピューターを含む15,000台のデバイスを暗号化しました。この攻撃は、Evil Corpというハッカーグループと関連があり、同グループはPhoenix CryptoLockerという新しいタイプのマルウェアを使用したと報告されています。
Kaseyaへの攻撃
Acer、Quanta、JBS Foodsを攻撃したハッカーグループであるREvilが、7月にはKaseyaへの攻撃で再び話題になりました。Kaseyaは、消費者の間ではあまり知られていませんが、複数の世界最大クラスの企業のITインフラを管理している会社です。Colonial PipelineやJBS Foodsの攻撃と同様に、このハッキングは、経済の主要部門を混乱させる巨大な潜在力を持つものでした。
Kayesaによると、同社の顧客のうち約50社と、それ以外の約1,000社の企業が被害を受けたとのことです。ハッカーグループは、身代金として7000万ドル相当のビットコインを要求しました。このサイバー攻撃の影響を示す例として、スウェーデンのスーパーマーケットチェーンであるCoopが、800店舗を丸々1週間閉鎖せざるを得なくなったことが挙げられます。
ランサムウェア攻撃から身を守るには
企業や組織がランサムウェア攻撃から身を守る唯一の方法は、感染を未然に防ぐことです。これを実現するためには、 侵害の痕跡(Indicators of Compromise、IOC)に依存しないアンチランサムウェアソリューションに投資する必要があります。なぜなら、すべてのランサムウェアの攻撃チェーンがセキュリティコミュニティにとって既知ではないからです。
企業や組織には、振る舞いの痕跡(Indicators of Behavior、IOB)を利用する多層的なプラットフォームが必要となります。これにより、セキュリティチームは、ランサムウェア攻撃チェーンが未知のものである場合でも、それを検知して停止できるようになります。IOBを利用すると、攻撃の最初期である最初の侵入の段階で、ランサムウェア攻撃を検知して阻止できます。これは、二重脅迫のために機密データが流出される前に、そしてランサムウェアのペイロードが配信されるよりもずっと前に、攻撃を阻止できることを意味します。
データのバックアップを作成すること
重要な情報については、常にバックアップコピーとリカバリープランを作成しておく必要があります。これにより、ランサムウェアによりデータがハッキングされた場合はいつでも、すべてのデータストレージ領域を消去した後、バックアップを使って作業できるようになります。ランサムウェアは、ネットワークに接続されたバックアップにも影響を与える可能性があるため、重要なバックアップはネットワークから隔離することで最適な保護を実現する必要があります。
しかし、組織を保護するためには、データのバックアップだけに頼ってはなりません。ランサムウェアオペレーターは、二重脅迫スキームも実装しています。これは、一部のランサムウェアギャングが採用している戦術であり、暗号化ルーチンを開始する前に、まずターゲットから機密情報を流出させるところから始まります。その後、脅威アクターは、被害者が自分のデータをオンラインで公開されたくないならば身代金を支払うよう被害者に要求します。
次世代アンチウイルスとファイアウォールを導入すること
次世代アンチウイルス(NGAV)/アンチマルウェアソフトウェアおよびファイアウォールを導入することで、最大限のセキュリティを確保します。アンチウイルスソフトを常に最新の状態に保ち、インターネットからダウンロードしたプログラムは実行前にすべてチェックする必要があります。NGAVを使うと、インターネット上に出回っている最も一般的なランサムウェアの系統に対する効果的な保護を実現できます。
最小権限ポリシーを採用すること
必要に応じて機密情報へのアクセスを制限し、ユーザーが望ましくないソフトウェアアプリケーションをインストールし実行する能力(パーミッション)を制限します。これらの権限を制限することで、マルウェアの実行を防止できるほか、ネットワーク上でのマルウェアの拡散を制限できます。
不審なアクティビティをセキュリティチームに報告すること
不審なアクティビティを見つけた場合、直ちにセキュリティおよびサポートチームに報告する必要があります。早期の警告により、チームは迅速に対応し、マルウェアの拡散を遅らせることができるほか、完全な隔離を通じて被害を抑えることができます。
このような簡単な手順を実行することで、システムとファイルを保護し、サイバー犯罪者を撃退できます。
週末や休日には重要なアカウントをロックダウンすること
チームは、安全性の高い緊急時専用アカウントをActive Directory内に作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化された場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されるものです。VPNアクセスに関しても同様の予防措置を取る必要があります。週末や休日に発生するランサムウェア脅威に関する詳細は、当社が2021年に作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。
最終的には、多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを防止することで、企業や組織は、真にプロアクティブなアンチランサムウェア戦略を確立できるようになります。
【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜
ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。
本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/
