ランサムウェアオペレーション（Ransomware OperationsすなわちRansomOps™）は、ここ数年で劇的な進化を遂げています。RansomOpsは、これまで主に「迷惑な攻撃」として分類されていたものから「成熟したビジネスモデル」として分類されるものへと成長しており、イノベーションと技術的な巧妙さを実現する速度をますます速めています。

RansomOpsは、洗練された脅威アクターによる高度に的を絞った複雑な攻撃シーケンスを伴うものであり、より入り組んだ構造を持ち、かつ国家レベルの脅威アクターが実施するステルス作戦に類似しています。RansomOpsは典型的な「Low and Slow」型の攻撃であり、それはランサムウェアのペイロードが配信される前に、数週間から数ヶ月をかけて、できるだけ多くの標的ネットワークを通じて静かに拡散を続けます。

この種のオペレーションは、コモディティ型のランサムウェア攻撃とは異なっています。コモディティ型のランサムウェア攻撃は、基本的にターゲットを騙して悪意あるリンクをクリックさせたり、感染させる文書を開かせたりする、大量のSPAMキャンペーンを通じたランダムな「Spray and Pray（下手な鉄砲も数撃ちゃ当たる）」式の攻撃でした。このような攻撃は、主に個人を標的として少額の身代金を要求するものでしたが、RansomOpsは明らかに「大物狙い」であり、その身代金は巨額になっています。

RansomOpsの成功にはいくつかの要因がありますが、その成功の結果として、数百万ドルの身代金を要求するランサムウェア攻撃が大幅に増加しました。今やサイバー犯罪の世界は「ゴールドラッシュ」の時代に突入しており、受け取った不正資金のかなりの部分が、攻撃のさらなる改善のために再投資されるようになっています。

例として2021年第3四半期を取り上げましょう。Help Net Securityが発表した調査レポートによれば、この3ヶ月の間に世界のランサムウェア攻撃件数は148%増加したことが判明しています。2021年第3四半期に発生したランサムウェア攻撃件数は、全体で1億9,040万件に上りました。

この数字は、2021年の最初の第3四半期だけで記録されたランサムウェア攻撃件数である1億9,570万件にほぼ近いものです。情報セキュリティニュースサイトは、同年いっぱいの見通しとして、ランサムウェア攻撃件数は2021年末までに7億1400万件に達し、それは前年比134％増という驚異的な数字を叩きだすであろうと指摘しました。

2022年2月上旬に米国、オーストラリア、英国で発行され、サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）が公表した共同レポートでは、ランサムウェアオペレーションに見られる複雑さの増大が特に指摘されています。同レポートは次のように述べています。「ランサムウェアの戦術と技術は2021年に進化し続けており、これは、ランサムウェア脅威アクターの技術的な洗練度が増したこと、そして企業や組織に対するランサムウェア脅威が世界的に増大していることを示している」。

これらの調査結果は、2022年に向けて、企業や組織が自らのランサムウェア対策について戦略的に考える必要性を浮き彫りにするものです。この記事では、読者の皆さんが、ランサムウェアの被害者とならないようにするために、サイバーセキュリティチームに問うべき3つの質問を紹介します。

エンドポイント以外の場所でランサムウェア攻撃を検知できるか？

1つ目の質問は、可視性、コンテキスト、相互関連付けに関するものです。現実には、脅威の検知と対応に関する他のアプローチでは、ランサムウェアに対する防御能力に限界があります。そのようなアプローチの一例として、EDR（Endpoint Detection and Response）ソリューションが挙げられます。

EDRは、従来のアンチウイルスやアンチマルウェアのソリューションよりもエンドポイントデバイスに関する可視性を高めています。
しかしながら、RansomOps攻撃は、脆弱なアプリケーションをはじめ、誤って設定されたクラウド環境、パッチの適用されていないデバイス、さらには現在の分散ネットワークを構成しているその他のベクターを通じて開始される場合もあります。

いかに迅速に対応できるか？

ランサムウェア攻撃には迅速な対応が必要となり、迅速な対応にはアクショナブルなコンテキストと相互関連付けが必要となります。SIEM (Security Information and Event Management) やSOAR (Security Orchestration, Automation and Response) のようなツールを使えば、この問題を解決できると思われていましたが、結局、これらのツールでは効果的な解決を実現できませんでした。

SIEMソリューションは、イベント情報を一元管理するためにデータレイク構造とクラウド分析を必要とします。しかし、同ソリューションは、自律的な対応を可能にするための、必要なコンテキストと利用可能なイベントテレメトリ間での相互関連付けを提供しません。さらに、信頼できるデータソースを使用した場合であっても、多くのSIEMは、あまりにも多くの誤検知やアラートを生成するため、実際の脅威にタイムリーに対応するプロセスを複雑化することになります。

問題は、イベントの相互関連付けには手作業が必要となることであり、そのような手作業が、運用の非効率性をもたらし、アナリストの時間を消費し、セキュリティチームによる迅速な対応の実施を妨げていることです。そのため、企業や組織は、できるだけ早く対応できるようになるために、自らの対応能力を自動化する必要があります。このような機能は、SOARツールが提供するはずのものですが、実際にはなかなか実現できていません。

実際には、アナリストは手作業で介入を行い、SOARソリューションが提供するすべての「よく整理されたノイズ」を入念に選別することで、実際に「シグナル」を見つける必要があります。すべてのテレメトリが何を意味するか理解するために必要となる相互関連付けとコンテキストをアナリストに提供できない限り、SOARは多様なネットワークと複数のセキュリティツールにまたがる対応を効果的に調整できません。これが、SOARソリューションには、アナリストの手動介入を必要とすることなくランサムウェア攻撃への対応を効果的に自動化するオプションが存在しない理由です。

悪意あるオペレーションを阻止したのか、それとも単なるアクティビティを阻止したのか？

ランサムウェア攻撃が検知され、初期対応が決まったら、アナリストは自分がより大きなRansomOpを阻止しているのか、それとも攻撃の一面のみを阻止しているのかを理解する必要があります。エンドポイント上のランサムウェアをブロックすることは可能ですが、それにより、悪意あるアクターが後続の攻撃を行うためにネットワークアクセスを維持することは阻止できません。

たとえば、エンドポイント上でランサムウェアをブロックすることで、クレデンシャルの漏洩などの問題には対処できず、ネットワーク上のパーシステンスにも対処できません。さらには、攻撃者がLiving-Off-The-Land（LOTL）攻撃やインメモリ攻撃を行っていないことも保証できません。これが、企業や組織において、RansomOp全体を特定した上で阻止できるようなソリューションを採用するニーズが高まっている理由です。

ここで、Extended Detection and Response（XDR）ソリューションの出番です。このソリューションは、防御者にとってゲームチェンジャーとなり得えるものです。AI駆動型のXDRソリューションを使うと、複数のネットワーク資産からのテレメトリを迅速に収集し相互に関連付けることで、影響を受けるすべてのデバイス、システム、アプリケーション、ユーザーにおいて、当該攻撃シーケンス全体を根本原因から明らかにできるようになります。

XDRを使うと、防御者は対応作業を攻撃タイムラインの左側に移動させることができます。また、振る舞いの痕跡（IOB）を活用することで、悪意あるオペレーションを事前に阻止する機会を得ることができます。IOBとは、攻撃の早期発見と迅速な修正を可能にする一連の振る舞いであり、AI駆動型のXDRソリューションがもたらす主なメリットの1つです。

IOBに基づいた検知を行うAI駆動型のXDRソリューションを使うと、防御者は、すべての関連する悪意ある活動を迅速に特定した上で、それらを終了させることが可能となります。しかも、そのような活動がネットワーク上でよく見られる無害な振る舞いにより構成されている場合であっても、これが可能となります。ランサムウェアのペイロードが攻撃の終着点であるのは確かですが、RansomOpsには、最初の侵入から、その後のラテラルムーブメント、そしてコマンド＆コントロールの確立に至るまで、数週間から数ヶ月にわたる検知可能な活動が含まれています。

RansomOpsに打ち勝つためのオペレーション中心のアプローチ

サイロ化したネットワーク資産全体に関する可視性を高め、攻撃者の一連の振る舞いに基づくコンテキストリッチな相互関連付けを作り出すことが、AI駆動型のXDRソリューションの核心となるものです。また、このソリューションは、企業や組織が一丸となって攻撃者の持つ優位性を逆転させ、防御者を優位な立場に置けるようにするにはどうすれば良いかという問題における、パラダイムシフトの機会にもなり得ます。

また、このようなオペレーション中心のアプローチにより、防御者は、企業ネットワーク全体におけるその他の種類のサイバー攻撃をより早く予測、検知、対応できるようになるほか、エンドポイント、アイデンティティ、クラウド、アプリケーションワークスペースなどを保護するための迅速な修復も行えるようになります。

これこそが、サイバーリーズンがランサムウェアに対する戦いにおいて無敵を誇る業界唯一のセキュリティプロバイダーであることの理由です。サイバーリーズンは、Colonial Pipeline社の業務を停止させたDarkSideランサムウェアをはじめ、食肉加工大手のJBS社やITサービスプロバイダーのKaseya社を混乱に陥れたREvilランサムウェア、Accenture社を襲ったLockBitランサムウェア、およびその他のあらゆる既知のランサムウェアファミリーの脅威から、企業や組織を保護しています。

サイバーリーズンは、エンドポイント、企業全体、そしてランサムウェア攻撃が行われているあらゆる場所で攻撃を阻止するために、防御者と一丸となって尽力しています。

【ホワイトペーパー】ランサムウェア対策ガイド～二重脅迫型など進化するランサムウェアから情報資産を守るために～

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/