年末年始の休暇シーズンが近づくと、セキュリティ担当者は、自社チームに特別休暇を与えたいと思うかもしれませんが、いざ彼らを休ませるとなると、セキュリティ担当者は途端に苦境に陥る可能性があります。なぜなら、ランサムウェア攻撃者たちは、企業や組織の人的防御機能が安らかに眠ろうとしている時にこそ、大災害を引き起こすのが大好きな人たちだからです。

実際、祝日や週末に行われるランサムウェア攻撃は、警戒を怠った多くの企業や組織を襲い続けており、その結果として、攻撃の調査により多くの時間がかかり、より大きな被害をもたらしています。

このことは、サイバーリーズンが発行した休日におけるランサムウェアに関する最新の調査結果である『【グローバル調査結果】 2022年版 組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』でも明らかにされています。

1,200人以上のサイバーセキュリティ担当者を対象としたこのグローバル調査では、祝日や週末に発生した攻撃は、平日に発生した攻撃よりも高いコストと大きな収益損失をもたらすことが判明しました。祝日や週末にランサムウェア攻撃を受けた回答者の3分の1以上が、結果として損失が大きくなったと回答しており、この数字は2021年と比べて19%増加しています。

一方、この数字は、教育分野では42%、旅行・運輸業界では38%まで上昇しました。全体として、ランサムウェア攻撃は、SOCチームが最も頻繁に解決しようとしているセキュリティインシデント全体の約半分(49%)を占めるに至っています。

昨年の調査では、コストの増加は休日や週末日におけるサイバーセキュリティの人員配置レベルに関係していることが示唆されていましたが、今年の結果もそれを裏付けるものとなっています。回答者の10人に4人(44%)は、祝日や週末にセキュリティスタッフを70%削減していると回答しています。また、5分の1(21%)の回答者は、その時間帯は必要最小限の人員数で運営し、90%もの人員削減を実施していると答えています。逆に、祝日や週末に80%から100%の人員を配置していると答えた回答者は、わずか7%でした。

祝日および週末の人員配置レベル(国別)
  • ドイツ:91%が通常50%以下のスタッフを配置
  • アラブ首長国連邦(UAE):75%が通常の50%以下のスタッフを配置
  • 南アフリカ:73%が通常の50%以下のスタッフを配置
  • フランス: 72%が通常の50%以下のスタッフを配置
  • シンガポール:71%が通常の50%以下のスタッフを配置
  • イタリア: 65%が通常の50%以下のスタッフを配置
  • 米国:50%が通常の50%以下のスタッフを配置
祝日および週末の人員配置レベル(企業収益別)
  • 10万ドル未満: 50%が通常の50%以下のスタッフを配置
  • 10万~999万ドル:58%が通常の50%以下のスタッフを配置
  • 100万~900万ドル:69%が通常の50%以下のスタッフを配置
  • 1,000万~4,900万ドル:65%が通常の50%以下のスタッフを配置
  • 5,000万~9,900万ドル:61%が通常の50%以下のスタッフを配置
  • 1億~4億9900万ドル: 73%が通常の50%以下のスタッフを配置
  • 5億ドル以上: 68%が通常の50%以下のスタッフを配置

攻撃への対応に関する影響

企業や組織が、オフピークの営業時間中に、より少ないサイバーセキュリティリソースでセキュリティを運営する場合、ランサムウェア攻撃の評価と修復に時間がかかることになります。祝日や週末に攻撃を受けたことのある回答者の3分の1(34%)が、インシデント対応チームの編成により多くの時間がかかったと答えています。

また、3分の1強(37%)は「攻撃の範囲を評価するのにより多くの時間がかかった」と答えており、36%は「攻撃を阻止し回復するのにより多くの時間がかかった」と答えています。

この数字は米国でより高くなっており、44%の回答者が「休日や週末に発生したランサムウェア攻撃の評価とそれへの対応により多くの時間がかかった」と回答しています。これは、昨年の調査における米国の結果よりも19%増加しています。

また、この数字は、従業員数2,000人以上の大企業でより高くなっており、43%が「インシデント対応者の招集により多くの時間がかかった」、48%が「攻撃範囲の評価により多くの時間がかかった」、40%が「攻撃の阻止により多くの時間がかかった」、36%が「復旧により多くの時間がかかった」と回答しています。

被害は金銭的なもの以外にも及ぶ

祝日や週末に発生するランサムウェア攻撃による被害は、金銭的なものだけでなく、個人的なものにも及びます。これらの攻撃は、人々の仕事以外の生活を混乱させ、家族との時間を奪い、燃え尽き症候群を引き起こします。さらに、一部のサイバーセキュリティ担当者はこの分野から完全に離れることを余儀なくされ、その結果、サイバーセキュリティ人材の不足が悪化することになります。このような人材不足はそもそも、休日や週末におけるスタッフを削減せざるを得ない原因となるものです。

実際、回答者の88%が、ランサムウェア攻撃により、祝日のお祝いや週末のイベントのいずれかを欠席したと答えています。この数字は、国別なら米国とドイツで高く(それぞれ91%と95%)、業種別なら金融サービス業界で高くなっています(95%)。

休んでいる暇はない:サイバーセキュリティは24時間365日体制の仕事

この調査結果は、従来の月曜から金曜までの人員配置モデルがサイバー脅威とは調和しておらず、企業が土曜、日曜の期間を無防備に過ごしているという事実を浮き彫りにしています。攻撃者はもちろん、これらのオフピーク時には、企業の人的防御機能が平日よりも手薄になることを利用しています。

今年と昨年の調査結果の両方が、サイバーセキュリティの人員配置レベルと攻撃がもたらす影響との間に直接的な相関関係があることを示していることを踏まえると、企業や組織は、次の推奨事項を検討することが賢明だと言えます。

SOCアナリストとインシデント対応者のさまざまな人員配置モデルを検討すること:セキュリティリーダーは、病院の救急室を自らのSOCチームのモデルとして見ることができます。また、セキュリティリーダーは、休日や週末にどの程度の人員を配置するのが最適であるか(すなわち、リスクを軽減できる最小限の人員配置はどの程度であるか)を確認する必要があります。また、キーパーソンといつでも連絡が取れるようにしておく必要があるほか、休日や週末の攻撃に対する具体的な対応策を策定した上で練習しておく必要があります。

MDR(Managed Detection and Response)戦略の導入を検討すること:MDRプロバイダーは、脅威の監視、検知、インシデント対応機能を24時間365日体制で顧客にサービスとして提供します。MDRを採用することは、自社でSOCを構築する予算や人員が不足している中小企業にとって特に有効ですが、多くの大企業も既存のSOCを拡張および拡大するためにMDRプロバイダーを利用しています。MDRの導入を検討している企業は、プロバイダーを慎重に選択する必要があります。選択の際には、プロバイダーが検知と対応を容易にするためにいかなるソリューションを使用しているか、プロバイダーが購入者のITインフラにおけるどの側面を監視できるかを考慮する必要があります。

祝日や週末には高い権限を持つアカウントをロックすること:ランサムウェアをネットワーク上に伝播させるために、攻撃者は通常、管理者ドメインレベルまで権限を昇格させた後、ランサムウェアを導入します。これらの最高権限のアカウントは、休日や週末に必要とされることはほとんどありません。セキュリティチームは、安全性の高い緊急時専用アカウントをActive Directoryに作成する必要があります。これらのアカウントは、予防措置として他の運用アカウントが一時的に無効化された場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。

明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。チームは、ホストの切断、ハッキングされたアカウントのロック、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1回は、これらの手順を定期的または非定期的な訓練を通じてテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。

防御と検知の技術をより効果的に活用すること:今回の調査結果では、回答者の既存のランサムウェアの防御および検知技術が不十分である可能性が示唆されました。すべての回答者が、従来のアンチウイルス、次世代アンチウイルス(NGAV)EDR(Endpoint Detection and Response)のいずれかの製品を組み合わせて使用しているにもかかわらず、ランサムウェア攻撃を経験したことがあることが分かりました。注目すべきは、昨年と比較して、今年はより多くの企業が従来型のアンチウイルスソリューションを実行していると回答していることです(昨年は46%、今年は53%)。

当然ながら、従来型のアンチウイルスツールに依存する企業のほうが、ランサムウェアに対してより脆弱になります。結局のところ、ランサムウェアの攻撃を防ぐ上で、従来のシグネチャベースのアンチウイルス製品の弱点は十分に立証されているのです。より驚くべきことは、EDRを使用している回答者が昨年より減少していたことです。2021年には36%だったのに対し、今年は54%がEDRを使用していないと回答しています。

ともあれ、企業はランサムウェア対策として、振る舞いに基づくアプローチに切り替えるべき時期に来ているのかもしれません。同アプローチでは、機械学習を使用してランサムウェア攻撃にまで至るアクティビティを特定できるため、企業や組織は、ランサムウェアがエンドポイント上で起動される前の最も早い段階で、これらの攻撃を検知できるようになります。

人員配置の変更、MDRへの移行、振る舞いに基づくテクノロジーへの切り替えは、調査の回答者が脅威の高まりに対抗するために組織が採用していると答えたいくつかのアプローチよりも、ランサムウェア対策としてはるかに効果的でありかつ持続可能なアプローチです。

たとえば、回答者の27パーセントは、攻撃者に支払うための暗号資産ウォレットを組織で設定していると回答しています。また、同じく回答者の27%は、ランサムウェアの攻撃者と交渉する方法を学習していると回答しています。調査によれば、ランサムウェアアクターに身代金を支払うことは、攻撃者をつけあがらせ、彼らが再度攻撃を仕掛ける原因となることが分かっています。

十分な警戒が必要

年末年始の休暇を目前に控え、セキュリティ担当者は、今後数週間のうちにSOCの人員配置の決定を再考し、チームが最悪のシナリオにも適切に対応できるようにしておくことをお勧めします。セキュリティチームは、攻撃された場合にチームをいかにして招集し、互いにコミュニケーションを取り、ベンダーと協力し、攻撃に対応するのかをあらかじめ知っておく必要があります。

この2年連続の調査で、ほとんどの企業や組織において、休日や週末に発生するランサムウェア攻撃に対する準備がいかに不足しているかが明らかになりました。今こそ、この状況を変えるべき時です。

【グローバル調査結果】2022年版 組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜

サイバーリーズンでは、2021年に続いて2022年も休日や週末に仕掛けられるランサムウェア攻撃に関するグローバル調査を実施しました。

本レポートでは、今年のグローバル調査の結果を昨年と比較した上で、脅威アクターがいつ攻撃を行うかにかかわらず、人材配置を最適化し、ランサムウェア攻撃に対抗するための推奨事項を紹介します。
https://www.cybereason.co.jp/product-documents/survey-report/9637/