ランサムウェア攻撃の余波:回復と改善に向けて

ランサムウェア攻撃が増加しています。ITの責任者は、システムが危険にさらされる可能性があること(「もし」ではなく「いつ起こるか」の問題)を理解し、連携して回復の見込みを立てながら、この種の攻撃の急増に備えておく必要があります。

FacebookTwitterLinkedIn
ransomware-attack-recover-better-prepare

2021年に起きたKaseyaVSAランサムウェア攻撃は、約60のMSPおよび1500のクライアントシステムを侵害し、100万以上に及ぶロックアップをもたらしました。この前代未聞の攻撃の影響が、たとえ組織に及んでいなくても、警戒を怠ってよい理由はありません。2020年だけでも世界中で3億400万件の攻撃が発生しており(2019年から64%増加)、ランサムウェア攻撃の蔓延が近年危惧されています。

また、コストにおいても無視できません。2019年から2020年の間にランサムウェアに関する支払いが171%増加しており、その傾向は今日も続いています。この攻撃はダウンストリームに影響を及ぼすため、多くの人々が注目していますが、標的となるネットワークや身代金の額に関係なく、疑いを持たない(多くの場合は訓練も受けていない)従業員が利用されることで、ランサムウェア攻撃が増加しているのです。これには消費者レベルの詐欺よりも大きな労力が使われています。ランサムウェアの影響は大きくなってきており、初期のセキュリティでは、攻撃者が脆弱性を悪用するので注意が必要です。

Kaseyaの攻撃については、未だに問われる質問として次のものがあります:攻撃は終わったのでしょうか?脅威アクターが再び活気づくのを阻止しているものは何ですか?

脅威アクターは倫理を持ち合わせているわけではないとみなす必要があります。彼らはすでにあなたの環境に足がかりを作っているかもしれないのです。彼らは経済的な動機で動いています。ITの責任者は、システムが危険にさらされる可能性があること(「もし」ではなく「いつ起こるか」の問題)を理解し、連携して回復の見込みを立てながら、この種の攻撃の急増に備えておく必要があります。

回復、そして万全の対策を行う方法とは

修復が必要な場合、インシデント対応チーム(DFIR)は平常通りに対処し、ランサムウェアによる初期の侵入方法と悪用された後の手法について情報提供が必要とされます。どのような攻撃を受けたかを詳しく知るために、回復後は次のことに留意してください。

  1. 最初の侵入:攻撃者はどのようにしてシステムに侵入しましたか?通常はフィッシングか、またはリモートアクセス制御を弱くする形で侵入してきます。ここで、ランサムウェアは最終的なペイロードであることを思い出す必要があります。ランサムウェアを配備する前に、まず侵入し、次にツールを使って横方向に移動し、それからネットワーク情報を偵察・恐喝の重要なデータとして盗み出します(最近の場合)。攻撃者の動きを理解することで、今後のセキュリティ対策に備える必要があります。

    先を見越した対策:セキュリティ認識、安全な電子メールゲートウェイ、多要素認証などの基本的な機能でリスクを軽減しましょう。リモートアクセスを制限し、リモートエントリポイントを細かく監視することで、修復に向けて、悪意ある人物を早めに特定するための堅固な基盤も築くことができます。欺瞞技術は、悪意があると見られる挙動を早期に特定するための有効な方法でもあります。

  2. 悪用された後:攻撃を受けた直後には何をすべきでしょうか?悪用された後30日間は、ランサムウェアの配信メカニズムとして使用されたために休止状態であると考えられるマルウェアの検索に焦点を当てましょう。様々なマルウェアがありますが、最近では、Dridex、Trickbot、Emotet、Qakbotなどのモジュラーマルウェアが検索されており、これらが根絶していなければ、攻撃者は再びバックドアとして使用し、多くの損害を与えることができてしまうのです。同じバックドア技術による最初の攻撃から6か月後に新しいランサムウェア攻撃が発生したこともありました。同じグループの場合もあれば、別のシナリオの場合もあります。後者の例では、ダークウェブ上で「この被害者が支払うことを100%保証する」と言われて、侵害を受けたデバイスが金銭的動機のある悪者に販売されたのです。リモートアクセス型のトロイの木馬、または他の攻撃者が侵入した場合、今後の被害を減らすための対策を講じることができます。

      先を見越した対策:

    • ウイルス対策は、他の方法よりも弱く以前からある手段ですが、基本的な防御層を提供します。更新されていること、常に有効(オンの状態)であることを確認してください。
    • パッチの適用は絶対的に重要です。パッチ管理プログラムの現状はあまり良くありません。積極的な監視と更新がなされていない場合、脆弱なシステムが最初に標的にされてしまう恐れがあります。
    • アプリケーションの監査に投資します。アプリケーションの「正常」の状態を理解しておくと、疑わしいときに適切な警告を発することができます。アプリケーションをホワイトリストに登録すると、ITチームから懸念されるかもしれませんが、どのアプリが実行中であるか、そしてビジネスの観点で必要なアプリは何なのかを企業自身が管理できていれば、セキュリティは真の脅威を見逃さないで済むかもしれません。監査によって自信がつけば、ホワイトリストに登録されているアプリとそれ以外を取り巻く重要なコンテキストを確認できるようになります。
  3. 不正行為の監視:検討が及んでいない部分はどこでしょうか?環境における不適切な箇所が削除されたら、同様の脆弱性を回避するための予防的な措置を取る必要があります。攻撃方法について考えることで、以前からあるセキュリティで、止めるべきものを適切にマッピングしたり、それ以外のセキュリティを修復したりすることができます。

    先を見越した対策:これまでのところ、テクノロジーによって、適応性や創造性を持ち、かつ洗練された攻撃者からの保護を受けていました。継続的な脅威ハンティングに投資することで、悪者の考え方を学ぶことができます。悪者のやり口のパターンに気がつくこと、現実に起きたイベント同士のつながりを見つけること、ダークウェブでのやり取りを調査すること、そして他のアラートやソリューションが見逃してしまったものを捕らえること。これらは、脅威ハンターの機知に富んだ精神と深い専門性によってなされているのです。

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

※ 当記事は、Trustwave(トラストウェーブ)社のブログからの転載です。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。