2021年に小売業界は何件のランサムウェア攻撃を受けたでしょうか?Infosecurity Magazineの報告によれば、ランサムウェア攻撃件数は2020年から2021年の間に105%も増加しており、6億2300万件の攻撃が試みられています。ランサムウェア攻撃件数は特に公共部門で急増しており、政府機関が受けたランサムウェア攻撃件数は、前年比で1885%も増加しています。

公共部門以外の分野では、ランサムウェア攻撃件数はより緩やかな増加となっています。たとえば、小売業におけるランサムウェア攻撃件数は、1年間で21%増加しており、その結果、2021年を通して小売企業の44%がランサムウェア攻撃に悩まされています。

この数字は、ランサムウェア攻撃を受けた企業や組織の割合の世界平均である37%を上回っています。

小売業界がランサムウェアに狙われる理由

ランサムウェア攻撃者は、自らの業務に100%のアップタイムを必要とする企業や組織を標的にする傾向があるとZDNetは指摘していますが、小売企業はこの条件にぴったりと当てはまります。小売業界の組織は一貫して顧客にサービスを提供する必要がありますが、拡張されたサプライチェーン、サードパーティへの依存、そして常時オンの生産システムなしには、それは実現不可能です。

このような複雑さが理由で、小売業者とそのサプライヤーは、特に売上がピークに達する年末のホリデーシーズンにおいて、 ランサムウェア攻撃にとって格好の標的となります。ランサムウェア攻撃者はこのことを理解した上で、これらの組織を狙い撃ちにしています。つまり、攻撃者は、小売業者が自らの業務運営を中断するようなランサムウェアに感染した場合、彼らは攻撃者との面倒な折衝を行うのは好まず、要求された身代金の支払いに素直に応じる傾向が強いことを知っているのです。

しかし、ランサムウェアの攻撃者の小売業者に対する関心は、それだけには留まりません。たとえば、ITProは、攻撃者が小売業者を標的として、顧客のクレジットカード情報やその他の機密情報を盗み出そうとしていることを発見しました。悪意あるアクターは、そのような情報を利用することで、クレジットカード詐欺や、被害者のIDの窃取を行うほか、ダークウェブマーケットプレイスでそのデータを販売して利益を得ようとします。

同時に、ますます多くの小売業者が、セキュリティカメラ、POSシステム、生産/物流管理などのIoTデバイスを自社環境に統合しています。これらのデバイスの多くは、セキュリティに配慮して設計されていないため、これらを放置している企業や組織は、ランサムウェア攻撃を受けやすくなります。

ランサムウェアは小売企業にどんな影響を与えるか?

上記の調査では、小売業者の54%が、ランサムウェア攻撃者によりデータを暗号化されてしまったことがあると回答しました。この数字は、バックアップからのデータの復元に成功した小売企業の割合(56%)とほぼ同じです。

ランサムウェア攻撃を受けた後、被害者の約3分の1が身代金を支払うことを選択しました。しかし、これらの被害者が身代金と引き換えに取り戻したデータは平均で全データの3分の2程度であり、すべてのデータを取り戻したと回答したのはわずか9%でした。

この事実は、なぜランサムウェア攻撃後に小売企業がさまざまな被害を経験したかを説明してくれます。『【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題した当社の最新レポートでは、ランサムウェアに感染した後、小売企業の4分の3が大幅な収益減を報告したことが示されています。

小売企業の半数近く(58%)は、ランサムウェアの被害に遭った後、従業員の解雇を経験したと回答しています。一方、ランサムウェア攻撃を受けた小売企業の3分の1が、業務の一時的中断かまたは完全な停止を余儀なくされたと答えています。

最大の課題の1つとして、他の多くの分野と同様に、小売企業が複数のセキュリティツールを使用しており、それらが統合されていないことが挙げられます。実際、CyberNewsの報告によれば、小売企業の約4分の3が、さまざまな事業拠点で複数のセキュリティ技術を使用しているとのことです。このような複雑さが理由で、IT部門とセキュリティ部門は、どの部門(または部門グループ)がこれらのセキュリティツールの運用に関して責任を持つかを判断することが難しくなっています。

このような状況の中、小売企業は、セキュリティ脅威から身を守ることに苦労しています。たとえば、攻撃者はMagecartスタイルのマルウェアを使用して、eコマースサイトのチェックアウトページから顧客の決済カードの詳細やその他の情報を抜き取ります。WeLiveSecurityによれば、悪意あるアクターはWordPressプラグインの脆弱性を悪用することで、被害を受けたWebサイトのデータベースに侵入し、顧客のデータを盗み出すこともあるとのことです。

小売企業が採用すべきより良いランサムウェア対策とは?

小売企業は、ランサムウェアが業務に及ぼすリスクを認識した上で、ランサムウェア攻撃に効果的に対応し、ビジネスへの影響を最小限に抑える必要があります。それを実現するために考慮すべき主な事項としては次のものが挙げられます。

  • セキュリティ衛生を徹底すること:これには、従業員へのセキュリティ啓発プログラムの実施、OSやソフトウェアの定期的なアップデートとパッチの適用、ネットワークへのクラス最高のセキュリティソリューションの導入などが含まれます。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があります。攻撃に起因するシステムの問題で適切な担当者に電子メールが届かない場合もあれば、イベント発生時に通信を監視する必要があると想定されていないため、適切な担当者が電話に出ないということもあり得ます。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
  • 机上演習や机上訓練を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、セキュリティチーム以外のスタッフも含めた机上演習や机上訓練を定期的に実施する必要があります。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。チームは、ホストの切断、ハッキングされたアカウントのロック、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1回は、これらの手順を定期的または非定期的な訓練を通じてテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。
  • マネージドセキュリティサービスプロバイダーの採用を検討すること:これは、人材や専門知識不足の問題がある場合に必要となります。プロバイダーと協力して、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
  • 重要なアカウントをロックダウンすること:なぜなら、攻撃者はランサムウェアを被害者のネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入するからです。また、チームは、Active Directory内に安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。
  • 直ちに法執行機関に連絡すること:ランサムウェア攻撃を発見した場合、直ちに警察や地方自治体などの法執行機関に連絡する必要があります。一部のランサムウェアギャングは法執行機関には連絡しないよう被害者を脅していますが、そのような脅しに屈してはなりません。
  • 安易に身代金を支払わないこと:身代金を支払うかどうかは、慎重に検討する必要があります。身代金を支払ったからといって、データへのアクセスを回復できるとは限りません。前述した当社によるランサムウェアに関する調査では、回答者の約半数が、身代金支払い後にアクセスできるようになったデータの一部または全部が破損していたと回答しています。

「ランサムウェアの防止」と「ランサムウェアへの対応」の違い

身代金の支払いにまつわる問題は、ランサムウェアへの対応における本質的な現実を表しています。すなわち、攻撃者が自ら準備を整えており、企業や組織の対応努力を台無しにしようと意図している場合には、ランサムウェアへの対応の効果は最小限にとどまるということです。

たとえば、ThreatPostによれば、最近報告されたContiランサムウェアのバリアントは、被害者のバックアップに含まれているデータを流出させ、そのバックアップを手動で削除する機能を備えていたとのことです。Contiのようなランサムウェアギャングは、このような手口を通じて、身代金を支払わざるを得ないような状況に追い込みます。

しかし、身代金を支払ったからといって、ランサムウェア攻撃が終わることはほとんどありません。前述のレポートによれば、身代金を支払った80%が、結局は別の攻撃に遭っていることが判明しています。そのうち約半数(46%)は、同じ攻撃者が再び自分たちを標的に選んだと考えています。一方、3分の1の回答者は、別の攻撃者が攻撃を行ったと主張しており、最初の攻撃者がダークウェブ上で被害者へのネットワークアクセス権を販売していた可能性があると指摘しています。

なお、企業や組織はサードパーティに頼ることで、ランサムウェア攻撃のコストをすべてカバーできるとは限りません。アンケート回答者の半数近く(42%)がサイバー保険に加入していましたが、保険会社がカバーする損害額は一部のみであったことを明らかにしています。

企業や組織は、AI駆動型のXDR(Extended Detection and Response)ソリューションを採用することで、セキュリティチームによるトリアージ、調査、修復作業を大規模に自動化できるようになります。これにより、ランサムウェア攻撃の最も初期の段階で、攻撃を検知することが可能となります。

AI/ML駆動型のXDRを使うと、セキュリティチームは脅威アラートの洪水がもたらすノイズを遮断できるようになります。これにより、セキュリティ担当者は、アラートの選別や偽陽性の追求にかかる時間を減らし、組織全体のセキュリティ体制を改善するために多くの時間を使えるようになります。

AI駆動型のXDRソリューションを使うと、企業や組織は、大規模なテレメトリデータセットを高精度で分析することで、人間の手による分析では実現できない規模で、最も微細なIOB(Indicators of Behavior、振る舞いの痕跡)を特定できるようになります。同ソリューションがもたらす最大のメリッとして、通常は人手による分析が必要となるイベントの検知を自動化することにより、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できることが挙げられます。

ランサムウェアのオペレーターは、身代金要求額の低い大量攻撃から、数百万ドルの身代金を支払う能力があると見込まれた個別の組織に狙いをつけた、より的を絞ったカスタム攻撃へと移行しています。このような、より複雑なランサムウェアオペレーション(RansomOps)には、洗練された脅威アクターによる高度に的を絞った複雑な攻撃シーケンスが含まれています。

サイバーリーズンが最近発行した『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済~』と題するホワイトペーパーでは、より高度な標的型のランサムウェア攻撃と、それを支えるランサムウェアエコシステムの繁栄というトレンドについて詳述しています。

AI駆動型のXDRソリューションを使うと、アナリストは、悪意ある行動の連鎖や、これまで未確認のマルウェアのバリアントを素早く特定し、複雑なRansomOpsをより初期の段階で検知することにより、既知および未知の脅威を迅速に修正できるようになります。脅威が組織の利用している環境内のどこで発生したかは問われません。

サイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/