『2024データプロテクションレポート』によると、ランサムウェア攻撃を受けたことがないと確信している組織は、4社中1社(25%)に過ぎません。ここで、「確信している」という言葉が重要になってきます。というのも、これまでにあったサイバー攻撃からわかるように、多くの攻撃者は、最長で攻撃の200日前からターゲットの環境に潜入し、情報を集め、環境内を横方向に移動(ラテラルムーブメント)し、自分の権限レベルを上げて最高権限を得ようとします。あとはただ待つだけです。『2024ランサムウェアトレンドレポート』によると、攻撃の96%で攻撃者がバックアップリポジトリを標的にしていることが明らかになりました。このような攻撃者は、貴社の環境内に潜伏し、攻撃してデータを暗号化し(特にバックアップのため、貴社が対策を取ることができません)、身代金を要求する絶好のタイミングを狙っています。
このブログでは、ランサムウェア攻撃の際によく用いられる手法と、その攻撃に費やされる期間について取り上げ、最後に、ランサムウェアによる暗号化からデータを保護する方法を模索しているあらゆる規模の組織が知っておくべきトレンド、ツール、課題についてご説明します。
ランサムウェアが使用する一般的な暗号化方式
攻撃者が貴社のデータを暗号化するには、まず貴社のシステムにアクセスしなければなりません。サイバー犯罪者は、さまざまな戦術を使用して、マルウェアを介してターゲットのコンピューターを感染させます。組織のシステムにアクセスする最も一般的な方法は次のとおりです。
フィッシング:ユーザーを騙してパスワードやログイン情報を入力させる詐欺メールやテキストメッセージ。
悪質なメールの添付ファイル:マルウェアを含む添付ファイル付きのメール。
ドライブバイ攻撃:感染したWebサイトからダウンロードされたマルウェア。
ソフトウェアの脆弱性:サーバーにパッチが適用されていない脆弱性を利用して、コンピューターシステムにアクセスする。
サイバー犯罪者は、このような手口の他にもありとあらゆる方法を駆使して貴社の環境に侵入し、情報収集を行い、環境内を横方向に移動し、アクセス権をより高い権限ロールに昇格させて、より多くのデータにアクセスし、多額の身代金を手に入れようとしています。さまざまな種類のランサムウェアの詳細については、こちらのブログをご確認ください。
前述のとおり、攻撃者は多くの場合でバックアップリポジトリを標的にしています。簡単に言えば、自社のシステムを問題なくリストアできれば身代金を支払う必要はないということです。攻撃者にとって唯一の理に叶ったソリューションは、環境を侵害したことに気づかれる前にバックアップを狙うことです。
侵害から暗号化へ:ランサムウェアのタイムライン
侵害から暗号化までのランサムウェアの経路は次のとおりです。
- 最初の侵入(上記の方法で行われることが多い)
- 情報収集
- 偵察
- 最初の侵害
- 権限の昇格
- 暗号化
ステップ1と2は、攻撃の巧妙さに応じて入れ替わる可能性があります。一般的に攻撃者は、まずターゲットに関する情報を収集し、次に、フィッシングやソーシャルエンジニアリングなどの手法を用いて環境にアクセスします。それから活動拠点を作り、より重要なターゲットにアクセスするために管理者特権を入手しようとします。また、攻撃者は、ユーザー自身のセキュリティをテストするために、目標対応時間を確認する独自のテストを行うことも知られています。その後、データを暗号化し、バックアップを消去して、身代金を要求します。
現在、この規模のサイバー攻撃に費やされる期間は数か月と見られています。ただし、すべての攻撃者が同じように行動するわけではないことを強調することが重要です。タイムラインは、攻撃の種類、犯罪者の種類、使用するランサムウェアの種類によっても異なります。環境への侵入から数時間/数日以内にペイロードを開始するものもあれば、1年以上も環境に潜伏しているものもあります。
より高度な攻撃の場合、攻撃者は環境にアクセスしてその環境を調べます。攻撃者は、存在を明らかにする前に、貴社で何が起こっているのか、すべてのロジスティクスと詳細を知りたいがために観察を繰り返します。これにより、犯罪者は可能な限り最大の支払いを得ることができます。
侵害が発生したとき、攻撃者は潜んでいます(ちなみに、このような侵害は、フィッシングメールの不正なリンクをクリックすることで最も頻繁に発生しています)。潜伏期間が長ければ長いほど、環境を探索してテストできる時間も長くなります。攻撃者は貴社のシステムをテストして、あらゆる情報を収集します。パッチは適用しましたか?デフォルトのパスワードを使用しましたか?パスワードは安全ですか?基本的に、攻撃者は攻撃対象を見つけるために目を光らせています。事前にこの偵察作業を行うことで、犯罪者は基本的にすべての準備を整えます。貴社にビットコインを要求する日には、すべての引き金が引けるようになっており、侵害によって壊滅的な被害をもたらします。
最悪なのは、身代金を支払ったとしてもデータを取り戻せる保証がないことです。『2024ランサムウェアトレンドレポート』によると、身代金を支払った組織の3社に1社は、身代金を支払った後もデータを復元できませんでした。組織独自のクリーンなデータベースからデータを安全にリストアできることは、データの完全な復元を実現できる数少ない選択肢の1つなのです。身代金を支払ってデータを取り戻せたとしても、再び被害を受けないという保証はありません。
攻撃者はシステムに潜伏しながら、将来の攻撃の成功に向けて準備も進めています。サイバー犯罪者はバックエンドのパスワードや脆弱性を調査してテストし、場合によっては作成します。このような脆弱性は後で再発し、再度身代金を要求できるようにします。こうした悪質な作業はすべて、ペイロードが解放されたときに確実に身代金を受け取るために、人知れず行われます。
復号化ツールと課題
近頃は、組織がランサムウェアの標的になるかどうかが問題ではなく、いつなるかが問題になっています。事実、調査によると、ランサムウェアは「機会均等の攻撃者」であり、エンタープライズから中小企業までのあらゆる組織を比較的一貫して標的としています。突き詰めると最終的には避けられないことですから、重要な論点は、データ保護ソリューションによって迅速に復旧し、目標復旧時間と目標復旧時点(RTO/RPO)を満たしつつ、効果的なビジネス運営を維持できるかどうかということです。現在、組織がランサムウェア対策として利用可能なツールには、次のものがあります。
データの暗号化:堅牢な暗号化メカニズムを採用し、権限のないユーザーが機密データを解読できないようにすることで、転送後および転送中のデータの安全性を確保します。
ランサムウェアの特定:DLPは、不審なファイルアクティビティや不正な暗号化の試みを特定してブロックすることで、貴重なデータを暗号化し、金銭的利益のために組織を恐喝するランサムウェア攻撃のリスクを軽減するのに役立ちます。
3-2-1ルール:これは、データのコピーを3つ作成し、2種類のメディアに保存し、コピーの1つをオフサイトに保管することを推奨する業界標準のデータ保護戦略です。このルールはデータ保護の堅牢なガイドラインであり、冗長性、回復力、および予期しないイベントや災害に直面した場合でもデータを復元できるようにします。
これらのツールはそれぞれ独自の方法において効果的であり、ぜひともデータ保護のベストプラクティスの要として検討すべきですが、ITプロフェッショナルやサイバーセキュリティの専門家は、これらのツールを導入しているにもかかわらず、依然としてさまざまな課題に直面する可能性があります。
そのような課題の中で最も大きな課題は、チーム間のコラボレーションという形で発生します。必要なセキュリティ対策とプロセスを実施するには、組織のあらゆるレベルのコラボレーションと賛同が必要です。また、IT、セキュリティ、運営の各チームが連携して、セキュリティ、バックアップ、暗号化の対策を効果的に実施する必要もあります。言い方を変えれば、サイバー回復力はチームスポーツです。しかし、ほとんどの組織では、ITチーム、セキュリティチーム、リーダーシップチーム、そして法務、コンプライアンス、調達などのチームの連携が本来あるべき姿として整っていないことが判明しました。
『ランサムウェアトレンドレポート』では、3年連続で、組織の半数以上(63%)が、バックアップチームとサイバーセキュリティチームの連携を強化するには「大幅な改善」または「全面的な見直し」が必要だと考えていることが示されています。調査対象の3つの役割のうち、これらのチームの連携についてのバックアップ管理者の満足度が最も低かったことは注目に値します。このことから、バックアップは重要ではあるものの、準備戦略に十分に組み込まれていない可能性があることが分かります。さらに詳しく調べてみると、チームの連携がうまく取れていない理由を尋ねたところ、最も多かった回答は、バックアップツールとサイバーセキュリティツールの統合が不十分だという点でした。
ランサムウェア攻撃における暗号化の役割
Veeamは、攻撃前、攻撃中、攻撃後の暗号化を防ぐことを目的としています。
攻撃前:Veeamでは、インライン検出メカニズムをバックアップストリームの一部として組み込んでおり、本番環境で行われる可能性のある悪意ある活動の特定に役立てています。
攻撃中:攻撃を受けた場合に備えて、サイバー攻撃の影響を受けない、強化されたリポジトリやイミュータブルなリポジトリを提供するためのオプションを無数にご用意しています。
攻撃後:段階的リストア中や検疫リストア中に検出技術を組み込み、暗号化やマルウェアが環境に再び侵入しないようにします。
ボーナス:Veeamは、攻撃中の侵害の徴候を特定するために、SIEM、XDR、EDR、SOAR、KMSなどの、さまざまな分野のセキュリティベンダーと提携しています
Coveware by Veeamは、被害を最小限に抑えて進むべき適切な復元ルートを決定できるように設計された専門知識と特許取得済みツールに特化しており、インシデント対応におけるパートナーとなります。
今年の『ランサムウェアトレンドレポート』の時点で、85%のユーザーがイミュータビリティ対応のクラウドを利用しており、75%のユーザーがイミュータビリティのあるオンプレミスディスクを使用しています。これは、多くの組織が、より回復力のある最新のデータ保護および復元計画のために必要な基盤を実際に構築していることを示しています。残念ながら、すべての組織でイミュータビリティオプションが有効化されているわけではありません。Veeamの場合は、文字通りUIのチェックボックスにすぎません。とは言え、メディアタイプがイミュータブルであるかどうかにかかわらず、複数のメディアタイプを用意しておくという業界標準の3-2-1ルールが組織で採用されているのは心強いことです。
まとめ
ランサムウェアによる暗号化などの脅威の実態を理解することは、データ消失対策における力強い第一歩です。ランサムウェア攻撃の際によく使われる手口を理解することで、攻撃の期間、そしてすべての組織が認識しておくべきトレンド、ツール、課題が、組織の包括的なサイバーセキュリティ戦略を構築する上で重要な役割を果たします。
パズルの最後のピースは、データの取得に関して、ここで学んだことをどのように実行していくかです。データを復元するには、次のようないくつかの方法があります。
- ビットコインで身代金を支払い、攻撃者から復号化キーを手に入れて、その復元化キーが機能することを祈ります。しかし、前述したように、この計画を実行した企業の75%はデータを復元できませんでした。
- Covewareを利用します。フォレンジック分析、交渉、和解の専門知識を持つ従業員で構成されている会社で、現在はVeeamの傘下にあります。
- あるいは、身代金を支払わずに復元します。『ランサムウェアトレンドレポート』によると、サイバー攻撃を受けた組織からの回答の中では最も少ない回答です。昨年、身代金を払わずに復元した割合はわずか15%でしたが、率直に言って、これこそがすべての組織が目指すべき目標です。
要するに、貴社は誰かにお金を払わなければならないでしょう。後でビットコインを支払うよりも、前もって少額を支払う方がいいと思いませんか?別の言い方をすれば、攻撃者人に大金を支払うよりも、有能な企業に少しだけお金を払った方がいいと思いませんか?
関連リソース
ランサムウェアによる暗号化と復元[ビデオ]