ランサムウェア対策

ターゲットとなる可能性は誰にもありますが、犠牲者となる必要はありません

はじめに

ほぼ毎日新たな事件が報告されており、ランサムウェアはセキュリティに関する議論を行う上で避けて通れない要素となっています。攻撃はあらゆる規模や業界の組織で見られ、被害者は、復旧コスト、機密情報の漏洩や販売の脅威に加えて、生産性、収益、信頼の喪失に苦しむ可能性があります。

このような状況は改善されるべきです

ランサムウェアは、推奨される防御とレジリエンスの慣行とテクノロジーを採用し、警戒心のある保護・対策担当者のコミュニティ内で共有される情報とアドバイスを活用することで対処できる脅威です。

Rapid7はそのコミュニティの一員であることを誇りに思っています。当社には、ランサムウェアをめぐる会話に積極的に参加する一流の思想家、研究者、エンジニアが在籍し、できるだけ多くのセキュリティ専門家に情報を提供できるよう、当社プラットフォームの利用を奨励しています。

ランサムウェアとは

ランサムウェアの本質はデジタル恐喝であり、サイバー攻撃者がさまざまな戦術を使って組織の業務を妨害したり、データを人質に取ったりして、組織に対し、通常業務に復旧するための見返りとして身代金の支払いを強制します。多くの場合、同一の悪質な行為者がデータを盗み、2回目の身代金支払いが行われない場合はデータの開示や他の悪質な組織への販売を行うと脅迫します。これは二重恐喝攻撃と呼ばれます。ランサムウェアの攻撃から組織を完全に予防することはほぼ不可能ですが、攻撃を切り抜ける能力を劇的に向上させ、攻撃を受ける確率を下げ、サイバー犯罪者が攻撃を仕掛けるための費用を吊り上げ、攻撃がしにくいようにすることは可能です。

 

ブログシリーズを見る

 

認証情報の不適切な管理が攻撃者のシステム侵入を招く一員に

ネットワークへのアクセスに使用する認証情報は、悪質な行為者に対する最も重要な防御策の1つですが、残念ながら、こうしたパスワードの設定や管理がうまく行かないことも多数あります。このレポートでは、パスワード管理の状態をよりよく理解するため、Rapid7独自のハニーポットを、侵入テスト担当者や攻撃者が利用する業界標準の認証情報リストと比較しました。ここから得られた発見は、誰もが立ち止まるきっかけになるはずです。

レポート『適切なパスワードの利用で悪質なボットに立ち向かうために』の内容は、多くの人がパスワードの状態についてすでに想定していたこと、さらに自動化された攻撃者が不適切な認証情報を悪用してクラウドやリモートデスクトップネットワークにアクセスする方法を裏付けるものです。重要なインフラストラクチャへのアクセスに使用される上位のパスワードとユーザー名に加え、認証情報を改善するためのベストプラクティス(パスワードマネージャー)、ネットワーク全体で不正な信用情報を継続的に検索する方法を示します。レポートをぜひご一読ください。お使いの認証情報がリストにないことを願っています。

レポートを読む

2022年版のSANSレポートが発行

年次で発行されるSANSのレポート『Top New Attacks and Threat Report』には、業界をリードするサイバーセキュリティの専門家による重要なデータとベストプラクティスが多数掲載されています。RSAのSANS Instituteの「最も危険な5つの攻撃」パネルに基づき例年発表されている同レポートでは、攻撃者行動の傾向と、規模や範囲を超えた組織への影響を調査しています。今年のレポートでは、2022年第1四半期の脅威、攻撃、侵害に関する最新の統計に加えて、ストーカーウェアや環境寄生などの従来の脅威が、クラウドに進出する攻撃者の間により新たに悪用されている方法に注目しています。さらに、多要素認証の必要性とこれを最大限に活用する方法に関する重要なヒントに加え、例年通り、攻撃者を寄せ付けないためにセキュリティチームが知っておくべき最新のベストプラクティスをまとめています。

 

こちらでレポートを入手

ランサムウェアはどのように発生しますか?

本質的には、ランサムウェアとは、暗号化を使用してデータやシステムをロックし、これを人質に身代金を要求するマルウェアの一種で、ネットワークまたは組織内の弱点を悪用します。こうした弱点は、ネットワークのアーキテクチャ、サードパーティのエントリーポイント、さらにはユーザー企業の内部にある可能性があります。最近では、「ランサムウェア」という用語は恐喝ベースの攻撃を包括的に指すものとなっており、実際にはマルウェア自体の配信を含まない場合があることに注意が必要です。例えば、報告されているランサムウェア攻撃の中には、実際には分散型サービス拒否(DDoS)を利用しているものもあります。これは攻撃者がシステムに過大なトラフィックを与え、システムが停止するまで過負荷にするもので、マルウェアは使われません。

ランサムウェアマルウェアの最も一般的な侵入方法には、スピアフィッシング、認証情報の窃盗、VPN/リモートアクセスの悪用、ウェブブラウザやアプリケーションの悪用、リムーバブルメディアなどが含まれ、攻撃者はここからネットワークを経由してデータを暗号化し、組織から身代金をゆすり取る方法を見つけます。こうした水平展開は、コマンドラインインターフェイス/グラフィカルインターフェイス、スクリプト、ユーザー実行など、さまざまな方法で発生する可能性があります。

結局のところ、ランサムウェア攻撃に対する防御とは、たった1つの弱点を狙う未知の攻撃者から、ネットワーク全体の多くの侵入口を保護することを意味します。

 

マルウェアの基本

二重恐喝に関する画期的な調査

二重恐喝ランサムウェアは、ランサムウェアの問題を全体的に見ても比較的新しく、有害な要素です。わずか数年前のMazeランサムウェアグループによる最初の実装以降、それぞれにこの手法を使用して壊滅的な影響をもたらすグループの台頭に至るまでの間に、二重恐喝は分析が極めて重要な戦術であることが証明されています。Rapid7は、同種のものとしては初のレポートにおいて、クリアウェブ、ディープウェブ、ダークウェブからの独自データを使用し、二重恐喝ランサムウェア攻撃の開示レイヤーを分析しています。こうした分析は、敵とその戦術、戦略、異常を知ることが敵を倒すための第一歩であるために行いました。当社のアナリストは、攻撃者によって最も一般開示されやすいデータ、業界別のそうした開示の違い、さまざまな脅威アクターが開示を好むデータの種類を特定しました。ランサムウェアの二重の恐喝レイヤーをこれまでにない方法で考察しています。

レポートを読む

ランサムウェアの脅威への対応

ランサムウェアを防ぐための特効薬はありませんが、明るい兆しも多数あることを覚えておくことが重要です。例えば、堅実な予防計画の主な構成要素として、攻撃の数に関わらず、防御できるベストプラクティスを従業員に普及させることがなどが挙げられます。

通常は、ランサムウェアに対する堅牢な防止・修復計画は、組織の行動を導く3つの部分(攻撃前、攻撃中、攻撃後)から構成されます。

攻撃前:

防止の鍵は、悪意のある攻撃者が侵入する攻撃可能領域(アタックサーフェス)を最小限に抑えることです。具体的には、フィッシング詐欺、認証情報の盗難、侵害されたウェブサイトへのアクセスを防ぐための適切な従業員トレーニングが該当します。

また、攻撃が発生する前の時点にデータを復元できる強固なバックアップ体制を持つことも最重要です。最後に、完全なインシデント対応計画が整備されていることを確認します。これには、暗号化が行われる前にランサムウェアを特定するために講じるべき対策、侵入を食い止める方法、失われたデータを回復する方法、既存の脅威を根絶する方法などを理解し、準備状況を率直に問い直すことが含まれます。インシデント対応計画は必ず、オフラインで実施できるようにしておきます。

攻撃中:

攻撃開始後にチームが取り組むべき最も重要な目標は、影響を軽減することです。これは、インシデント対応計画を運用し、バックアップからデータを復元し、クリーンでエクスポージャーのない新しい資産を発行し、反復攻撃を防ぐために初期アクセスと実行ベクトルを修正することを意味します。

この時点で企業が直面する最大の問題に、身代金を支払うか否かがあります。この問題は、利害、視点、法的な影響がそれぞれに競合する複雑な問題です。当社でが、ランサムウェアプレイブックでこの問題を深く掘り下げ、単純に身代金を支払う以外の解決策を提案しています。

攻撃後:

最悪の事態が終わったら、チームに報告を行い、計画がどの程度うまく機能したか、また対処すべきギャップや弱点はあるかどうかを判断することが重要です。また、既知の良好なベースラインからのシステムの再構築、エンドポイントの検疫、認証情報の変更、侵害されたアカウントのロックなど、修正と緩和のための手順をいくつか実行します。

 

ランサムウェアハンドブックを入手

Rapid7のサービス

ランサムウェアの脅威から組織を完全に保護できる単一の解決策は存在せず、ランサムウェアからネットワークへのすべてのエントリーポイントを保護するのは非常に困難にも感じられます。ただ、ターゲットとなる可能性は誰にもありますが、皆が犠牲者となる必要はないはずです。社内外の戦術や製品には多彩なものがあり、それらを一緒に使用することで、最高の防御策を講じることができます。

攻撃者は協力して、互いに訓練し合い、知識を広め、戦術や技術を共有しています。これ対し、Rapiod7も同様のアプローチを取っています。Rapid7では、業界をリードする脆弱性リスク管理InsightVMとインシデント検知・対応InsightIDRソリューションを提供しており、攻撃対象の把握と削減、リスクの特定、ランサムウェアの検知、ネットワーク内での根絶を可能な限り迅速かつクリーンに行うことができます。ランサムウェアの脅威とともに進化するため、当社はこうしたサービスを絶えず一貫して改善しています。そうすることで、当社のソリューションはユーザー企業社内の取り組みに遅れず対応することができます。ランサムウェア対策には、社内のリソースだけでなく、当社のような社外のリソースも活用しましょう。

 

InsightVMについて   InsightIDRについて