かつては、従来のサイバーセキュリティ製品で組織をウイルスやハッキング攻撃から守ることができました。しかし、今日のサイバー脅威はより蔓延し、より高度化し、より破壊的になっているため、より強固なセキュリティ防御が必要です。サイバーセキュリティ企業Titaniamが木曜日に発表したレポートでは、従来のセキュリティ製品が特にランサムウェアから保護できない点について検証しています。
参照:サイバーセキュリティのプロになる方法:チートシート(TechRepublic)
Titaniamは、データ窃盗と恐喝の現状に関するレポートを作成するにあたり、CensusWideに委託し、米国のITセキュリティ専門家107名を対象に、サイバーセキュリティとランサムウェアに関する経験について調査を行いました。回答者の75%以上が、データ保護、予防・検知、データのバックアップ・復旧のためのツールを導入していると回答しました。調査対象となった専門家は、データ保護のために、保存時暗号化、転送時暗号化を含む暗号化、データマスキング、トークン化といった技術を挙げました。
データの流出は従来のセキュリティ対策を阻害する
しかし、導入されていた防御策では、組織をランサムウェア攻撃から守ることはできませんでした。過去1年間で約40%の組織がランサムウェア攻撃を受けており、過去5年間で70%以上の組織が同様の攻撃を受けています。
多くのランサムウェア集団がますます好む戦術の一つに、二重の恐喝があります。この種のインシデントでは、侵害されたデータは暗号化されるだけでなく、攻撃者によって持ち出されます。身代金が支払われない場合、犯罪者はハッキングしたデータを暗号化されたまま保管するだけでなく、公開すると誓約します。つまり、データのバックアップだけでは身代金要求を阻止するには不十分です。
データ窃盗の試みは5年前と比べて100%以上増加しており、ランサムウェア攻撃を受けた回答者の65%がデータの盗難または窃盗も経験しています。被害者の60%は、攻撃者が盗んだファイルを使ってデータ漏洩を脅迫し、さらなる脅迫を行ったと回答しています。その結果、59%が身代金を支払うしか選択肢がないと感じています。
ランサムウェア攻撃のさまざまな段階を理解する
データの窃盗や二重の脅迫が横行する中、組織はランサムウェア攻撃からどのように身を守るべきでしょうか? Titaniam の CEO 兼創設者 Arti Raman 氏が、いくつかのアドバイスを提供します。
「正しく理解していないものから身を守ることはできません。ですから、組織がまず行うべきことは、ランサムウェア攻撃の仕組みと理由を分析し、自社の状況に照らし合わせて検証することです」とラマン氏は述べた。「具体的には、ランサムウェア攻撃は、侵入、データ窃取、そして暗号化によるシステムロックという3つの異なる段階から構成されます。」
「これらのいずれかの段階で成功すれば、攻撃者は被害者から金銭をゆすり取るためのさらなる手段を得ることになり、勝利となる。」
各ステージは次のように機能します。
- 侵入:ネットワークに侵入した攻撃者は、被害者の行動を監視し、バックドアを設置することができます。この種のエクスプロイトは、情報や他の犯罪者へのアクセスとして販売される可能性があります。
- データの窃盗: 攻撃者は盗んだ情報を使用して、被害者、その顧客、パートナー、役員、さらには従業員に身代金を要求することができるため、これが最も利益を生む段階である可能性があります。
- システムのロックアップ: 攻撃者は被害者が自身のシステムにアクセスできないようにすることができ、組織に適切なバックアップおよび回復方法がない場合は特に損害が大きくなります。
「これら3つを明確に理解すると、ランサムウェアや恐喝に対する防御戦略において、それぞれを個別に考慮する必要があることが明らかになります」とラマン氏は説明した。
参照:ランサムウェア:現在の脅威情勢を踏まえ、経営幹部はどのように備えるべきか(TechRepublic)
ランサムウェア攻撃の段階に対するネットワーク防御
まず第一に、組織は侵入を軽減するための予防・検知システムに投資する必要があります。しかし、これはほんの始まりに過ぎません。攻撃者は盗んだ認証情報を利用して、こうしたツールを回避することができるからです。
データの流出を防ぐには、組織は3種類の暗号化すべて、すなわち保存時の暗号化、転送時の暗号化、そして最も重要な使用時の暗号化に投資する必要があります。利用可能な最新の保護タイプである使用時の暗号化は、構造化データと非構造化データの両方を、データが実際に使用されている間も保護します。このレベルの暗号化により、盗まれた認証情報を使用する攻撃者は、特権アクセスを持っていてもデータにアクセスできません。また、メモリからダンプされたデータやデータベースへのクエリによってデータを取得することもできません。したがって、使用時の暗号化は、ランサムウェア攻撃のデータ関連の側面に対する強力な防御となります。
攻撃者がネットワークに侵入できた場合、組織はバックアップおよびリカバリ ソリューションに投資することでシステムのロックアウトを防ぐことができます。
「今年すでに数千件ものランサムウェア攻撃が成功していることからもわかるように、1つか2つだけに焦点を当てるだけでは明らかに不十分です」とラマン氏は述べた。「包括的なランサムウェア防御戦略には、これら3つすべてを含める必要があります。」
しかし、ラマン氏によると、ランサムウェア集団はシステムのロックよりもデータの窃取に重点を置く傾向が強まっているという。攻撃者にとっては、ファイルを暗号化し、復号技術を駆使して摘発されるリスクを負うよりも、データを盗んで公開すると脅す方が簡単だと思われるかもしれない。
したがって、Raman 氏によると、企業は侵入やシステムロックアップの試みを減らすとともに、データの流出を軽減する戦略の開発に重点を置く方が良いとのことです。
