すべてのセキュリティチームがランサムウェア対策で実現すべき3つの事項

2021年6月8日掲載

■本記事は、サイバーリーズン・ジャパンのWebサイトからの転載です。

今やランサムウェア攻撃が急激なペースで増加していると聞いて、ショックを受ける人はほとんどいないでしょう。しかし、より懸念される傾向として、混乱を引き起こしてビジネス活動を麻痺させることに関して、ランサムウェアが高い有効性を持つようになっていることが挙げられます。

洗練されたランサムウェアの攻撃には、ファイルレス型の侵入、ステルス性の高いコマンド＆コントロール（C&C）アクティビティ、そして最終的には機密データの暗号化が含まれます。機密データには、標的となった企業や組織に対して身代金を要求できるほど高い価値があります。ただし、サイバー攻撃者が倫理的に行動することはまずないため、身代金を支払ったからといってデータが無事に戻ってくるという保証はありません。

ランサムウェア攻撃は、データの暗号化を超えた影響を及ぼすことがあります。その一例として、ランサムウェア攻撃が原因で2020年にドイツの病院が診療を停止した事件が挙げられます。この事件は、入院患者は治療のために別の病院に移送されましたが、そのような移送された患者のうちの一人がランサムウェア攻撃に直接関連した最初の死亡者になるという悲劇的な出来事をもたらしました。

ランサムウェア攻撃が増えている理由

ランサムウェアが増えている背景として、過去数年間に比べて、スキルの低い攻撃者が導入や利用を開始するためのハードルが低くなっていることが挙げられます。今や、サイバー攻撃者は、過去に開発済みのランサムウェアをサービス付きで展開できます。これは、マルウェアがコーディングや配布の観点からもサポートされていることを意味します。

ランサムウェアは、サイバー攻撃者にとって利益をもたらすものであり、効果的でより簡単に利用できることから、ランサムウェア攻撃は今後も継続し、さらに進化して、より洗練されたものになることが予想されます。ランサムウェア攻撃に対する情報セキュリティ戦略を頻繁に評価して調整することが、規模の大小を問わず、あらゆる企業や組織に対して強く推奨されます。

これには、復旧戦略の再評価も含まれます。具体的に言えば、クリティカルなデータをオフサイトにバックアップしておくことで、身代金を支払わずにデータを復元し、ランサムウェア攻撃から迅速に復旧できます。しかし、残念ながら、攻撃者もこの戦略を同様に認識しているため、彼らは被害者に身代金を支払わせるための追加の「インセンティブ」を見つけています。

攻撃者に関する注目すべき傾向として、「二重恐喝」手法を用いることが挙げられます。攻撃者は、暗号化する前の段階で被害者の機密ファイルや情報を盗み出し、身代金の要求に応じなければそれらのデータを公開すると脅すケースが増えています。これは、効果的な多層型のランサムウェア対策機能がかつてないほど重要になっていることを意味します。

すべてのセキュリティチームが実現すべき3つの事項

将来の成功を可能にするような基準を確立すること：測定されていないものを改善することは困難です。モダンなエンタープライズ環境は非常に複雑であり、複雑さが増すにつれ、大量のノイズの中に攻撃者が紛れ込む機会も増えることになります。現在お使いの環境で、次の点をチェックしてみてください。

可視性を提供せず、情報セキュリティチームから制御されない環境の割合はどの程度ですか？
すべてのエンドポイントが監視されていますか？
ブロッキングポリシーやファイアウォールのポリシーは、最新の脅威インテリジェンスに対応していますか？
あなたのチームでは、予防、検知、および対応をMITRE ATT&CKのナレッジベースに対してどの程度対応付けていますか？
パッチの適用は必要な頻度で行われていますか？

セキュリティ体制の評価は、本質的に「粒度の細かさ」を必要とするため、すでに過大な負担を強いられている情報セキュリティチームに負担をかけないためにも、可能な限り外注すべきです。

サイバーリーズンはさまざまなセキュリティ体制評価を提供することで、ほぼ即座のタイムトゥバリューを実現します。これにより、お客様の環境に潜む脅威を迅速に検知して修正すること、およびエンドポイントの制御を評価して調整することを通じて、信頼性の高いセキュリティ体制を構築できます。

ITインフラに対する攻撃に備える

Microsoft Exchangeサーバーに4つのゼロデイエクスプロイトが仕掛けられていた最近のHAFNIUM攻撃に見られるように、既存のITインフラのエクスプロイトをランサムウェア攻撃の発射台として利用することが、残念ながらサイバー攻撃の新しいトレンドとなっています。組み込み型のITアプリケーションやシステムには、組み込み技術の提供者によってセキュリティが組み込まれているため、多くの場合、それらは本質的にセキュアであると信頼されがちです。

しかし、そのような信頼があてになったことはこれまで一度もないため、情報セキュリティチームは、アプリケーションやITインフラにおける既存のエクスプロイトがいずれ攻撃者に暴露され、エンドポイントでの攻撃に利用されることを覚悟しておく必要があります。

アプリケーションのセキュリティとパッチの適用は当然考慮すべきですが、長期的な成功にとっては、エンドポイントでのファイルレス攻撃に対応した行動ベースの防御機能が不可欠となります。Cybereasonは、企業データの行動ベースの分析に基づいた、エンドポイントでの脅威の防止と検知に優れた能力を発揮します。

これにより、防御者は、悪意あるアクターが採用する微妙な戦術、手法、手順に基づく強化された相関性のある検知を通じて、攻撃を特定できるようになるほか、侵害の初期の兆候にも対応できるようになります。

振る舞いの痕跡（IOB）に基づいて検知戦略を確立すること

ランサムウェア攻撃が標的に達した際に、それがどのようにパッケージ化されているかを予測することは困難です。ランサムウェアは、多数のファイルやプロセスを模倣し、ほぼ正常で疑う余地のないようなやり方で動作します。

このような事実が、「検知と対応」への二元的なアプローチを通じて、ランサムウェアを予測することを困難にしています。一方、ランサムウェアの挙動やバックエンドの疑わしい手口は、はるかに追跡が容易であり、ランサムウェアに関連する悪意あるものとして容易に特定できます。

これには、不審なプロセスからのファイル暗号化の試みや、Windowsイベントログの異常な消去などが含まれます。すべての企業データを集約し、疑わしい悪意ある操作の戦術、手法、手順を前提とした特別な分析を行うことで、二次的な侵害アクティビティがエスカレートする前に「無害な脅威」を発見し、それに対応できるようになります。

SHA1ハッシュを集計し、接続されているエンドポイントから既知の「悪者」を排除することは、既存の脅威を排除するための最初の手段としては有効であるものの、それだけでは高度なマルウェアを見逃すことになります。

より適切なアプローチとしては、一般ユーザーが参加することはないが、悪意のある振る舞いの痕跡となり得るエンドポイントのアクティビティを調査することが挙げられます。そのようなアクティビティの例としては、Windowsイベントログの消去や、疑わしいプロセスからのPowershellの起動と利用などが挙げられます。これらはどちらもCybereasonにより検知できます。

Cybereasonの持つ強み

Cybereasonは、多層的な予防、検知、対応を通じて、大胆なランサムウェア対策を提供します。これには次のものが含まれます。

エンドポイントコントロール：Cybereasonは、セキュリティポリシーの管理、デバイス制御の維持、パーソナルファイアウォールの導入、および固定/モバイルを問わず幅広いデバイスタイプにおけるディスク全体の暗号化を強制することなどを通じて、エンドポイントを攻撃から守ります。
インテリジェンスベースのアンチウイルス：Cybereasonは、過去に検知された攻撃に基づいた拡大し続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
NGAV：CybereasonのNGAV機能は、機械学習を利用してコード内の悪意のあるコンポーネントを認識し、未知のランサムウェアのバリアントを、それが実行される前にブロックします。
ファイルレス型のランサムウェアに対応：Cybereasonは、従来のアンチウイルスツールが見逃していた、ファイルレス型のランサムウェアやMBRベースのランサムウェアを利用した攻撃を阻止します。
ふるまいに基づいて文書内にある脅威を検知：Cybereasonは、最も一般的なビジネス文書フォーマットに隠されたランサムウェアを検出してブロックします。これには、悪意あるマクロやその他のステルス攻撃ベクターを利用するものが含まれます。
ふるまい検知と独自のおとり技術によるランサムウェア対策：Cybereasonは、ふるまい検知と独自のおとり技術を組み合わせることで、最も複雑なランサムウェア脅威を特定し、クリティカルなデータが暗号化される前に攻撃を防ぎます。