ブログ(トレンド&インサイト)

ランサムウェアの台頭 - 脅威の先を行く

公共機関は、ランサムウェアを用いる攻撃者にとって魅力的なターゲットです。実際、最新のM-Trendsレポートでは、政府、防衛、医療、教育が標的とされる業界の上位にランクインしていることが明らかになりました。これは、これらの標的となったランサムウェアインシデントが、重要な業務に破壊的な影響を与える可能性があるためです。

攻撃者は、これらの組織が収集し、保存する個人を特定できる情報や調査に基づく知的財産の価値を理解しています。例えば、今後の地方、州、国の選挙を考えてみましょう。差し迫った懸念事項の中には、以下のようなものがあります。

  • 重要なインフラに保存されている居住地、年齢、場合によっては写真付き身分証明書など、投票に関連する市民のデータ
  • 実際の投票と、そのデータの取得、送信、保存方法

もしこの情報に対して身代金を要求された場合、投票結果そのものだけでなく、重要なインフラの完全性にも疑問が生じることになります。

大都市から小さな町まで、ランサムウェアの影響を受けない政府はありません。しかし、組織が初期の侵害を迅速に検出し、修正することができれば、ランサムウェア感染による大きな損害とコストを回避することができます。以下は、組織をランサムウェアから保護するために考えておくべき予防的な保護対策について、簡単なチェックリストのガイドとなっています。

メール、エンドポイント、ネットワークの保護

Mandiantのデータによると、ランサムウェア被害の90%は、意図せずにリンクをクリックした内部者が関与しています。これは、メールセキュリティソリューションでは防げなかった可能性のある項目をキャッチするエンドポイント検知対応能力も補完した適切なメールセキュリティソリューションで防ぐことができます。ランサムウェアが発生した原因の10%は、ほとんどがパッチが適用されていない公開サーバが悪用された結果であり、最小限の検出しかできなかったことが原因でした。このような場合、定期的なパッチ適用と組み合わせたネットワークセキュリティアプライアンスが予防に優れていることが証明されています。

セキュリティツールの設定:基本に忠実に投資する

残念ながら、設定ミスやデフォルト設定への依存が問題を引き起こします。例えば、Mandiantは最近、政府のセキュリティチームがネットワークファイアウォールが実行された攻撃の24%しかブロックしていないことを発見したと報告しています。政府機関はファイアウォールの制御を最適化し、ブロック能力を 74% に向上させました。

多要素認証は最低限必要なもの

重要なシステムにアクセスするために単要素認証を使用しているのを今でも目にしますが、これにより、アクターが盗まれた資格情報を使って簡単にアクセスできるようになります。特にリモートワークが拡大する中では、あなたが知っているもの(たとえば、ユーザー名と強力なパスワード)とあなたが持っているもの(たとえば、トークンまたはPIV)、および/または自分自身(バイオメトリクスなど)を含む真の多要素を備えた強力な認証ツールを使用することが重要になります。

可視化が重要

今日、多くの組織では、オンプレミスとクラウドのリソースが混在する複雑なネットワークが存在しています。セキュリティチームは、統合された脅威インテリジェンスと、デバイスや接続の継続的な監視を備えたこれらの環境全体の可視性(資産管理など)を必要としています。ランサムウェアにとって重要なのは、ユーザーがいつバックアップにアクセスしたかをリアルタイムで検出できる可視性です。たとえば、私たちの調査によると、インシデントを自己検出した組織の滞留時間の中央値は30日でした。これは昨年よりも改善されていますが、悪質なアクターが検出されずにネットワークを探索し、足場を築くには、1ヶ月は依然として相当な時間です。公共機関は、システムの完全性と監視を確保するために、24時間体制のセキュリティオペレーションセンターか、マネージドサービスを利用すべきです。

重要データのセグメント化

私たちの脅威調査によると、ハッカーは環境を把握するためにかなりの偵察を行っていることが分かっています。これに対抗するためには、ランサムウェアが発生した際に漏洩する可能性のある最も機密性の高い情報である重要な資産を保護するための計画を立てておく必要があります。このアプローチには、アカウントをプロビジョニングする際の最小特権の原則を確立すること、管理者と通常のユーザーのアカウントアクセスの役割の違いを確認すること、管理者間(AdministratorとController)のログイン権限を区別することなどが含まれます。

インシデント対応計画を決めておく

これは、IT、コミュニケーション、経営幹部、法務、人事など、すべてのチームがインシデント対応に備えるための成熟した実践的な計画です。目標は、ランサムウェア攻撃が発生した際に、焦って決定を下すことを避けることです。そのためには、チームをコーチングして、以下のような質問をするようにします。

  • 感染ベクトルと攻撃者が活動しているかどうか?
  • 攻撃者は実際のデータを持っているか?
  • この攻撃はエスカレートする可能性があるのか?例えば、攻撃者は組織の法務部のデータを持っており、攻撃が組織全体に広がる可能性があるか?
  • どのくらいの速さで復旧できるか?テストしたオフラインのバックアップはあるか。誰が、いつ、どのようにしてバックアップにアクセスするかについての見落としはあるか。
  • サイバーリスク保険に加入しているか、加入している場合は何をカバーしているか。

結論

ランサムウェアは今後もますます巧妙化していくでしょう。政府機関、医療機関、教育機関は、保有する貴重なデータの性質上、これらのインシデントのリスクを高めています。

一回限りのアプローチはありません。むしろ、考慮すべき複数の要因や質問があります。まずは、「自身の組織は安全か?」をよく考え、もし、それに対する答えがないのであれば、変更を加えるべき時が来ています。

高額な被害をもたらす前に、環境内でランサムウェアを検出、封じ込め、修復する組織の能力を評価するMandiantのランサムウェア防御診断の詳細についてはWebサイトをご覧ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:October 13, 2020 「Ransomware Rising — Get Ahead of the Threat