2021年には、小売業界者の約半数がランサムウェア攻撃の被害を受けたことが判明しました。残念なことに、被害者の54%がデータを暗号化され、58%が攻撃に遭った後、従業員の解雇を実施せざるを得なかったと報告しています。

ITProは、攻撃を受けた小売企業の3社に1社は身代金を支払うが、すべてのデータを回復できたのは10%未満に過ぎないと指摘しています。そして、身代金を支払った被害者の80%は、結局、別の攻撃を受けたと最近のレポート『2022年版ランサムウェア 〜ビジネスにもたらす真のコスト〜』で明らかになりました。では、小売企業をランサムウェア攻撃から守るにはどうすればよいのでしょうか?

小売業界がランサムウェアにとって格好の標的である理由

小売業界がランサムウェアの格好のターゲットとなる理由は何でしょうか?それには、次のようないくつかの理由があります。

  • 「常時オン」は交渉する時間がないことを意味する:ZDNetが指摘するように、小売企業がランサムウェアオペレーターにとって魅力的な点として、小売企業が正常に業務を行うために100%のアップタイムを必要とすることが挙げられます。小売企業の場合、自社サイトが1秒でも停止すれば、その分、損をすることになります。小売業界にとっては時間が非常に重要となるため、このようなプレッシャーを加えるほど、被害者が身代金を支払う可能性が高くなります。
  • 機密性の高い消費者情報が狙われる:攻撃者は多くの場合、支払いに使われるクレジットカード情報を狙っており、オンライン小売業界ほどカード情報が豊富なところはありません。さらに、小売企業のデータベースから得られる配送先情報、電子メールアドレス、およびその他の個人を特定する要素などの機密データは、攻撃者が二重脅迫のために悪用したり、他の悪意あるアクターに転売したりするための重要なペイロードとなります。
  • IoTを多用したビジネス運営:小売業界は、クラウドの導入をはじめ、より便利なPOSシステム、セキュリティカメラ、消費者向けアプリ、およびショッピングをシームレスにするためのその他のIoTデバイスを導入することによりモダナイゼーションを進めている一方で、不注意にも自らのアタックサーフェスを拡大し、脆弱性を高めているのが現状です。多くのIoTデバイスはセキュリティを考慮して設計されていないため、潜在的な脆弱性やパッチが適用されていないバグにより、ネットワークのセキュリティが脅かされる可能性があります。

小売業界に影響を与えるランサムウェアのトレンド

今後、小売業界に影響を与えるであろう、注意すべきランサムウェアのトレンドを下記に紹介します。

  • サプライチェーン攻撃:大規模小売チェーンの絶え間ない生産を支えているのは、サプライヤー、メーカー、出荷業者、サードパーティベンダーなどから構成されるネットワークですが、これらの構成要素は、それぞれ異なるレベルのサイバーセキュリティを有しています。このような環境では、サプライチェーン攻撃のリスクは高く、ランサムウェア攻撃の侵入経路が増えるだけでなく、最初の被害者以外に被害が拡大する可能性も高くなります。たとえば、REvilによるKaseyaへの攻撃は、最終的に 1,500社の上流の顧客に影響を与えました
  • 二重脅迫およびより危険な脅迫手法:二重脅迫はもう古いニュースかもしれませんが、今年もこの手口は多く見られることでしょう。攻撃者は、暗号化する前の機密データを流出させ、身代金を支払わなければデータをインターネット上に公開すると被害者を脅すだけでなく、機密の財務データを競合他社や株の空売りをしている投資家に漏洩すると被害者を脅すような、さらなる脅迫スキームも存在します。
  • RaaS(Ransomware as a Service):デジタルトランスフォーメーションは、私たち全員に変革をもたらしましたが、攻撃者もまた、よりハードにではなく、よりスマートに仕事をする時代が来たと判断しています。RaaSとは、まさにその名の通り、ビジネスとしてのランサムウェア攻撃プラットフォームを提供する仕組みです。これにより、攻撃が容易になるだけでなく、最低限のスキルしか持たない悪意あるアクターも参入できるため、より一般的なものとなっています。RaaSグループの例としては、REvilNetwalkerGriefなどが挙げられます。
  • パッチが適用されていないシステム:ランサムウェア攻撃者は、依然として「簡単にハッキングできるシステム」を利用しています。古い、バグを持つレガシーシステムや、パッチの適用されていない脆弱性を持つ新しいシステムが存在しているため、攻撃者にとってネットワークへの侵入はあまりにも簡単な作業となっています。

ますます複雑化するランサムウェアの攻撃シーケンス

現在、ランサムウェアは、巧妙に仕組まれた攻撃の最終段階に現れることが多く、ランサムウェアは、私たちがこれまでに見た中で最も悪質かつ広範で専門的な形態を取るようになっています。

APT(Advanced Persistent Threat)は多くの場合、国家的な攻撃と関連付けられますが、こうした複雑な「Low & Slow」型のキャンペーンは、より大規模なランサムウェアオペレーション(RansomOps)において見受けられることが多くなってきています。 RansomOpsは、可能な限り高額な身代金を得るために、ターゲットとなるネットワークのできるだけ多くの部分に侵入することを目標としています。
最近では、外国為替サービスの小売業者であるTravelex社が、自社システムを復旧させるために230万ドルを支払いました。また、アジア最大の小売業者の1つであるDairy Farm Groupは、二重脅迫攻撃によりメールシステムを乗っ取られた結果、3000万ドルの身代金を要求されました

ランサムウェア攻撃から身を守るには

予防は常に治療よりもコストがかかりませんが、ランサムウェアに関しては正にそれが当てはまります。効果的なランサムウェア阻止計画には、次のようなアクションを含める必要があります。

  • セキュリティ衛生のベストプラクティスに従うこと:これには、タイムリーなパッチ管理、オペレーティングシステムやその他のソフトウェアの定期的な更新、従業員へのセキュリティ啓発プログラムの実施、ネットワークにおけるクラス最高のセキュリティソリューションの導入などが含まれます。
  • 多層的防御機能を実装すること:既知のTTPとカスタムマルウェアの両方を活用したランサムウェア攻撃を阻止するために、NGAVのようなソリューションを、ネットワーク上のすべての企業エンドポイントに標準装備する必要があります。
  • EDRXDRを導入すること:RansomOps攻撃のような悪意ある活動を環境全体で検知するポイントソリューションは、データの流出が起こる前、またはランサムウェアのペイロードが配信される前に、ランサムウェア攻撃を終了させるのに必要となる可視性を提供します。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があるため、担当者は一日中いつでも対応できるようにしておく必要があります。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
  • 机上演習や机上訓練を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、主要な意思決定者を含めた、部門の垣根を越えた机上演習や机上訓練を定期的に実施する必要があります。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。セキュリティチームは、ホストの切断、ハッキングされたアカウントのロックダウン、悪意あるドメインのブロックなどに習熟している必要があります。
  • マネージドセキュリティサービスプロバイダー(MSP)の採用を検討すること:セキュリティチームに人材や専門知識不足の問題がある場合、MSPと協力することで、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
  • 週末や休日には重要なアカウントをロックダウンすること:攻撃者はランサムウェアをネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入します。また、セキュリティチームは、Active Directory内に安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。また、VPNアクセスについても同様に、業務上の必要性に応じて、週末や休日の利用を制限するなどの配慮が必要です。週末や休日に発生するランサムウェア脅威に関する詳細は、当社が2021年に作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。

最終的には、多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを阻止することで、真にプロアクティブなアンチランサムウェア戦略を確立できるようになります。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/