ランサムウェア被害予防と復旧への取り組み
◆目次
はじめに
今世紀始めから10 年代初頭までは社会的・政治的な主張を目的としたハッカー集団がマルウェア等の攻撃を仕掛け、その主義主張をインターネット上でアジテーションする目的が主流でした。
現在はサイバー攻撃の大半が『特定の国家』からの支援を受けた犯罪者グループが主導しており、既製ツールやペネトレーション・テスト・ツールが使用されています。こうした国家は、直接関与せず敵対国家に混乱を引き起こす手段として、ランサムウェア攻撃に活動資金を提供していることが確認されています。
サイバー攻撃の目的
単刀直入に言ってランサムウェア攻撃の目的は金銭要求です。
攻撃増加の一因として保険会社が攻撃者からの身代金要求にすぐに応じる傾向があることが挙げられ、こうした対応も激増した理由の一つです。
例えば、攻撃者が標的企業の保険契約を事前に調べ、その支払い限度額を超えない身代金を要求するケース。
「払えるお金がない」と反論しても、被害者が契約している保険の内容を調べあげ脅します。加入している保険情報を得るため保険会社をハッキングした事例が報告されています。
実例を挙げると、21 年サイバー保険を提供する米国CNA 社は、ランサムウェア攻撃を受けオンライン・サービスや事業運営に支障をきたす事態に陥り、4,000万ドルを支払いシステムへのアクセスを取り戻しました。
被害者が巨額の身代金を支払ってでも問題を解決しようとする限りサイバー攻撃は止まず、金銭的搾取を目的とした犯罪行為は増え続けます。
復旧に要するコスト・時間等の試算
平均復旧コスト(ダウンタイム、人件費、デバイスやネットワークのコスト、機会損失、支払われた身代金含む)は、1 件あたり20 年には約76 万ドル、21 年には185 万ドルと見積もられ、アナリストは全世界のランサムウェアによる金銭被害額は、10 億ドル以上にのぼると述べています。
身代金要求リスクの低下
攻撃者側から見て暗号通貨による身代金支払いが逮捕や拘束などのリスクを避け、手軽に攻撃を仕掛ける要因の一つになっています。
アナリストは『Bitcoin』等の暗号通貨資産が大企業からの巨額の身代金強奪を可能にしていると言及。こうした取引は匿名で行われるため、攻撃者が逮捕されるリスクはほとんどないのが現状です。
国際機関Ransomware Task Force(RTF)はデジタル通貨特有のボーダーレスな性質が、暗号通貨による身代金支払いを可能にし、ランサムウェア犯罪者グループの追跡を困難にしていると述べています。
被害の急増
急増の要因として挙げられるのが、防御態勢の不徹底。多くのケースで明白なセキュリティの欠陥に対処できておらず、パスワード認証、ID 管理、バックアップ・ポリシー、インシデント管理などの適切なセキュリティ対策を講じていません。システムへ侵入して攻撃を行う犯罪者集団の格好の餌食となっています。
攻撃手法の傾向
フィッシング・メールやビッシング、自動化されたシステムやツールの間隙からログイン認証情報を盗み取り、その認証情報を使いたちまち正規ユーザーになりすまして社内ネットワークにログインされてしまったケース。
よくある攻撃では偽装メールであるかも疑わず安全ではないリンクをクリックしたり、内部からの攻撃もありうる事態で油断は大敵です。
不十分なセキュリティ対策、賄賂、巧妙な心理攻撃が組み合わさりフィッシングに遭遇した従業員はアクセス認証情報を攻撃者に渡し、侵入に成功すると内部ネットワークを横方向に移動(ラテラルムーブメント)して感染対象を拡げ、ランサムウェア被害は拡大しました。
攻撃前の備え
攻撃者は事前に、標的を特定する偵察を行います。被害者側がサイバー保険に加入していれば身代金を支払う可能性が高く、狙いやすいため。次に標的のアタック・サーフェス(攻撃対象領域)を把握して弱点を探し、最適な攻撃経路を構築する方法を確かめます。
例えば小規模なISPを標的にした場合、以下の情報を調べISP への侵入経路を探り始めます。
- ソーシャル・エンジニアリングに対応するサポート・スタッフ
- スタッフが情報をやり取りする人物
- ISPで使用しているサービス、ツール、ソフトウェア等
- 公開SSL証明書から内部ホスト名
- DNS名
こうした情報を入手して内部へ侵入できれば攻撃のきっかけが掴めるのです。
攻撃を阻止するには
未然に防ぐには先手が重要であり、事前にサイバーセキュリティ計画策定が課題となります。
ここではその策定に向けた要件をお示しします。
可視化への取り組み
- テクノロジー面・ネットワーク上の接続デバイスの把握、脆弱性と脅威の確認。ロギングツールによりシステム可視化を行い、異常が発生した場合にはそれを特定できる体制の構築
- 運用面・・・・・従業員がどのような方法と理由でデータにアクセスしているのか、サイバーセキュリティのトレーニングはどのように行われているかの把握、管理体制の構築。
各デバイスごとの設定確認・見直し
例えば、ルーターやファイアウォールの適切な設定、IT システムのパッチ適用、最新バージョンへのアップグレード、ホワイトリストとブラックリストの更新、強力なパスワード・ルールや多要素認証(MFA)の導入がそれに該当します。
対象の絞り込み
攻撃対象を減らして絞り込むにはWindowsやLinuxなどのOSバージョンやアプリケーションの更新管理をできるだけ少なくさせ、効率的に管理・保守できる体制への切り替えを行うことが条件です。
攻撃コストを跳ね上げる措置
攻撃者は、標的に容易にアクセスできる経路を捜します。したがって侵入を防ぐには、他社と比較して侵入しにくい環境を構築して攻撃のコストに見合わぬものにすること。そのために以下の対策が重要です。
- ログ・イベントを一元管理できるツールの導入
- ソリューション・ベンダーと連携して、管理体制を構築しておく
計画の整備
- イベントログ分析、侵入形跡のあるシステムやユーザーの特定方法
- インシデント対応チームやインシデント対応ベンダーへの連絡体制
- インターネット接続を遮断する手順
- 機器の電源を切る手順
- 警察への連絡方法
- 経営陣・取締役会向けのインシデント・レポートの作成方法
攻撃を受けたら
例えば、攻撃者が脆弱なWordPressブログを指すDNSホストを見つけた場合、このインスタンスから侵入してホストサーバーにアクセス、そのホスト名を含むURLを利用してフィッシング攻撃が始まり、偽装されたWeb ページリンクを従業員がクリックすれば社内ネットワークやVPN認証情報などを簡単に詐取されます。
盗んだ認証情報で侵入すれば、ネットワークを移動して攻撃対象を拡げ、サーバーにアクセスして重要なデータや知的財産を盗んだり、ランサムウェア感染を広げます。攻撃は非常に素早く、わずか30 ~ 40 分で組織全体に広がります。侵入しても数週間から数か月間は攻撃を行わず、ネットワークを監視してタイミングを見計らってランサムウェアを展開するケースもよくあるケース。何も起こっていないから潜んでいないとは言えません。
攻撃からの復旧
業務停滞が長引くほど失うコストも大きくなり、損失は膨らみます。
攻撃から完全復旧するには平均287 日を要するとの調査・報告があり、こうした高いコストを考慮すると、ダウンタイムは短かければ短いほどよく迅速に回復するには、システムのクリーンアップとリストアをできるだけ早く行う必要があります。
お問い合わせはこちら
費用やスケジュール・サービス詳細に関するご不明点や疑問点などもお気軽にお問合せください。原則翌営業日までにご回答しておりますが、内容によりお時間がかかる場合も…
PlatSupplyConsulting 