- 2022/04/26
- EDR
ランサムウェア対策の基本は「敵を知り、己を知れば百戦危うからず」
Post by : Cybereason Japan Marketing Team
まずはランサムウェアの最新事情について知る
トヨタ自動車は2022年2月28日、仕入先企業のシステムがランサムウェアに感染したことを受け、国内全14工場の稼働を停止すると発表しました。また同年3月には、複数の国内大手企業が相次いでランサムウェア攻撃に起因すると思われる不正アクセスを受けたことを公表しています。このように昨年から引き続き、2022年もランサムウェアが国内外で猛威を振るっており、多くの企業がその対応に追われています。
しかも最近のランサムウェアは急速にその攻撃手法を高度化・巧妙化させており、これに対抗するためには常に最新の攻撃動向に目を光らせておく必要があります。特に近年では、データを暗号化するだけでなく、データを窃取してその公開や売却をちらつかせて金銭を脅し取る「二重脅迫」の手口が目立つようになってきています。
また、企業の対応が手薄になる休日の直前のタイミングを狙って攻撃を仕掛ける手法も多用されるようになっています。ランサムウェアに感染したことがある企業に対して弊社がアンケート調査を実施したところ、全体の86%が「休日・祝日の直前に感染し、素早い対応が取れずに苦労した」と答えています。一方、36%の企業が「週末・休日の具体的な危機管理計画を策定していない」と答えていることから、多くの企業でいまだに休日のインシデント対応が手薄になっている実態がうかがえます。こうしたことから、今後も休日直前のタイミングを狙った攻撃が多発することが予想されます。
加えて、身代金を支払った企業のうち80%が「再び別の攻撃を受けた」と答えているのも大変興味深い点です。これは、いったん侵入に成功した攻撃者が、再度の侵入を容易にするためにセキュリティ設定を改ざんしたことで引き起こされていると考えられます。
また、コロナ禍以降に世界中で広がったリモートワークに特有の脆弱性を狙った攻撃も急増しています。特に、リモートアクセスのために用いられるVPN機器の脆弱性を狙った攻撃が多く見られます。実は、幾つかの代表的なVPN機器の脆弱性に関しては、これを未修正のまま放置されているサーバのリストがネット上に公開されています。攻撃者はこのリストを見て攻撃対象を絞り込むわけですが、よく見ると脆弱性が公開されてから数年間も修正せず放置しているケースもあり、中には日本企業のものと思われるドメインも散見されます。
最新のランサムウェア攻撃に対処するための基本方針
このように企業側での対応の甘さが目立つ一方で、攻撃する側から見るとランサムウェアは巨額の身代金を手に入れられるチャンスがあり、現時点では「おいしい商売」と見られているのが実情です。昨年米国で発生したインシデントでは、企業側が4億円以上の身代金を支払ったケースもありました。こうした巨額の損失を被るリスクがあるにもかかわらず、既に紹介したように企業側の対策が甘いままでは、やはり当面の間ランサムウェア攻撃が減ることは期待できないでしょう。
裏を返せば、まずは脆弱性対策をしっかり行うことがランサムウェアの被害を防ぐための第一歩だといえます。ソフトウェアや機器の脆弱性を修正するためのセキュリティーパッチを適用するための計画や方針をきちんと立て、漏れなくパッチを適用できるよう資産管理をしっかり行う必要があります。従業員が会社に無断で導入したRDPやsshなどのリモートアクセスツールの脆弱性が狙われるケースも多いため、シャドーITの防止にも気を配る必要があります。
また技術面の対応だけでなく、ビジネス面での対応も重要です。ランラムウェア攻撃を受けた際に事業活動が停止してしまう事態を想定し、事業継続計画(BCP)を見直すことも必要になるかもしれません。前述の休日対応や、サプライチェーン攻撃によって取引先に与える影響なども考慮しながらBCPを策定する必要があるでしょう。
もちろん、そうした被害を最小限に抑えるために、ランサムウェアが感染・侵入してしまった後の対策をしっかり講じておくことも大事です。具体的にはEDRに代表されるように、侵入した脅威をいち早く検知して、被害が発生する前に除去できるセキュリティ製品を導入しておくことをお勧めします。弊社が提供する「Cybereason EDR」はEDR製品として国内No.1のシェアを誇るほか、ランサムウェアの検出に特化した機能も備えており、実際にこれまで数多くランサムウェア攻撃をブロックしてきた実績があります。
ちなみに感染・侵入を前提としたセキュリティ対応への投資に、いまだに否定的なイメージを持つ方も多くいらっしゃいます。そういう方は得てして、感染が発覚すると「なぜ感染を食い止められなかったのか!」と現場を厳しく叱責する傾向にありますが、ただ叱責するだけでは現場は感染やその兆候を隠蔽するようになり、結果的に有事の際に対応が後手に回って被害を拡大させてしまいがちです。そうした組織では、まずは経営層やマネジメント層に事後対応への理解を深めてもらいつつ、会社全体のリスクマネジメントを徐々にアップデートしていく必要があるでしょう。
RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜
昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。
今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/
