はじめに
ほぼ毎日新たな事件が報告されており、ランサムウェアはセキュリティに関する議論を行う上で避けて通れない要素となっています。攻撃はあらゆる規模や業界の組織で見られ、被害者は、復旧コスト、機密情報の漏洩や販売の脅威に加えて、生産性、収益、信頼の喪失に苦しむ可能性があります。
ランサムウェアは、推奨される防御とレジリエンスの慣行とテクノロジーを採用し、警戒心のある保護・対策担当者のコミュニティ内で共有される情報とアドバイスを活用することで対処できる脅威です。
Rapid7はそのコミュニティの一員であることを誇りに思っています。当社には、ランサムウェアをめぐる会話に積極的に参加する一流の思想家、研究者、エンジニアが在籍し、できるだけ多くのセキュリティ専門家に情報を提供できるよう、当社プラットフォームの利用を奨励しています。
ランサムウェアとは
認証情報の不適切な管理が攻撃者のシステム侵入を招く一員に
2022年版のSANSレポートが発行
ランサムウェアはどのように発生しますか?
二重恐喝に関する画期的な調査
ランサムウェアの脅威への対応
ランサムウェアを防ぐための特効薬はありませんが、明るい兆しも多数あることを覚えておくことが重要です。例えば、堅実な予防計画の主な構成要素として、攻撃の数に関わらず、防御できるベストプラクティスを従業員に普及させることがなどが挙げられます。
通常は、ランサムウェアに対する堅牢な防止・修復計画は、組織の行動を導く3つの部分(攻撃前、攻撃中、攻撃後)から構成されます。
攻撃前:
防止の鍵は、悪意のある攻撃者が侵入する攻撃可能領域(アタックサーフェス)を最小限に抑えることです。具体的には、フィッシング詐欺、認証情報の盗難、侵害されたウェブサイトへのアクセスを防ぐための適切な従業員トレーニングが該当します。
また、攻撃が発生する前の時点にデータを復元できる強固なバックアップ体制を持つことも最重要です。最後に、完全なインシデント対応計画が整備されていることを確認します。これには、暗号化が行われる前にランサムウェアを特定するために講じるべき対策、侵入を食い止める方法、失われたデータを回復する方法、既存の脅威を根絶する方法などを理解し、準備状況を率直に問い直すことが含まれます。インシデント対応計画は必ず、オフラインで実施できるようにしておきます。
攻撃中:
攻撃開始後にチームが取り組むべき最も重要な目標は、影響を軽減することです。これは、インシデント対応計画を運用し、バックアップからデータを復元し、クリーンでエクスポージャーのない新しい資産を発行し、反復攻撃を防ぐために初期アクセスと実行ベクトルを修正することを意味します。
この時点で企業が直面する最大の問題に、身代金を支払うか否かがあります。この問題は、利害、視点、法的な影響がそれぞれに競合する複雑な問題です。当社でが、ランサムウェアプレイブックでこの問題を深く掘り下げ、単純に身代金を支払う以外の解決策を提案しています。
攻撃後:
最悪の事態が終わったら、チームに報告を行い、計画がどの程度うまく機能したか、また対処すべきギャップや弱点はあるかどうかを判断することが重要です。また、既知の良好なベースラインからのシステムの再構築、エンドポイントの検疫、認証情報の変更、侵害されたアカウントのロックなど、修正と緩和のための手順をいくつか実行します。
Rapid7のサービス
ランサムウェアの脅威から組織を完全に保護できる単一の解決策は存在せず、ランサムウェアからネットワークへのすべてのエントリーポイントを保護するのは非常に困難にも感じられます。ただ、ターゲットとなる可能性は誰にもありますが、皆が犠牲者となる必要はないはずです。社内外の戦術や製品には多彩なものがあり、それらを一緒に使用することで、最高の防御策を講じることができます。
攻撃者は協力して、互いに訓練し合い、知識を広め、戦術や技術を共有しています。これ対し、Rapiod7も同様のアプローチを取っています。Rapid7では、業界をリードする脆弱性リスク管理InsightVMとインシデント検知・対応InsightIDRソリューションを提供しており、攻撃対象の把握と削減、リスクの特定、ランサムウェアの検知、ネットワーク内での根絶を可能な限り迅速かつクリーンに行うことができます。ランサムウェアの脅威とともに進化するため、当社はこうしたサービスを絶えず一貫して改善しています。そうすることで、当社のソリューションはユーザー企業社内の取り組みに遅れず対応することができます。ランサムウェア対策には、社内のリソースだけでなく、当社のような社外のリソースも活用しましょう。