Ransomware

ランサムウェアと情報漏えい対策:「検知/対応」から「防止」へのシフト・レフト

Share with your network!

ランサムウェアは新たな手口ではありません。これまでかなりの間、世界中において組織にとって重大な脅威でした。しかし、かつては比較的簡素なものであった脅威がますます複雑になっています。

従来、サイバー犯罪者は境界防御に侵入し、悪意のあるペイロードを仕掛け、問題を「解決」するために身代金を要求します。この総当たり攻撃の手法は通常、検知、封じ込め、復旧により修復されます。基本的に、システムはシャットダウンされ、バックアップが復元されます。

しかし、昨今のランサムウェアはさらに洗練され、より標的型となり、到達しやすくなっています。サイバー犯罪者は、侵入するよりもユーザーを標的にして認証情報を侵害する、間違いを起こすよう騙す、または会社に悪意のある攻撃を仕掛けるよう誘導することを試みます。

これを防御するには、サイバーチームは、攻撃チェーンの早期に「シフトレフト」(早い段階での対処) を実行する必要があります。検知と復旧からより前のフェーズである「準備」、「防止」、そして人に注力する必要があります。

図 1. インシデント レスポンス ライフサイクル (検知と分析)

準備

検知と分析

封じ込め、根絶、復旧

インシデント後アクティビティ

データの保護

ランサムウェアに対する検知と対応のアプローチは、問題が情報保護に関するものであれば十分です。しかし、身代金要求に応じる組織は少ないことから、サイバー犯罪者は、彼らの収入源を確保する戦術を変えています。

現代のランサムウェアは、産業スパイまたはデータ窃取など、しばしば最悪の事態を招くものであり、これはまさしく情報漏えい対策 (DLP) に関わる問題です。

そのため、ランサムウェアに対する効果的な防御の中核にデータを置く必要があります。これは、分類と共に始まります。リスクにさらされているデータ、これにアクセスする必要のある人、これにアクセスした人、サイバー犯罪者にとってどれほどの価値があるかを理解する必要があります。

地域やデータの場所にかかわらず分類を行う必要があります。従来の「使用中のデータと保存中のデータ」モデルでは、この目的に適していません。ユーザーがどこにいても追跡できるものが現代の DLP 戦略です。データを危険にさらすのは人 (従業員) です。

人による問題サイバー攻撃 90% 以上は人による操作を必要とすることから、ユーザーは組織に関わる最大のリスク要因となっています。

昨今、サイバー犯罪者が直接ネットワーク内に侵入することはめったにありません。代わりに、悪意をもった従業員や、従業員の不注意、または従業員の正規アカウントの侵害により、ネットワーク内に入ります。ユーザーとユーザーのアクティビティや行動を把握するほど、どのような要因であれ、攻撃の早期警告サインをより的確に検出できます。

悪意:悪意のあるユーザーは、故意に組織に危害を加えようとするものを指します。不満を抱え、報復をもくろむ、またはネットワークやデータのアクセスに対する報酬を犯罪集団によりもらっている場合があります。

悪意のあるユーザーの検知には警戒が重要です。勤務時間外のログイン、または通常とは異なるアクセス要求といった、不審な行動を検知できるソリューションを実装し、機密情報へのアクセスは最も権限のある従業員にのみ制限する必要があります。

不注意:不注意なユーザーにより、誤ってサイバー犯罪者に境界防御に侵入させてしまうことがあります。これは、会社のシステムから正しくログアウトしていない、デフォルトのパスワードを使用している、またはセキュリティパッチを適用していない場合に起こることがあります。

チームにおける不注意を特定するには、パスワードを書き留めたり、承認されていないアプリケーションをインストールしたりするといった、セキュリティ対策の甘さに注意する必要があります。

侵害:侵害されたユーザーとは、サイバー犯罪者によりデバイスまたは認証情報が乗っ取られたユーザーを指します。アカウントやデバイスは、マルウェア、フィッシング、またはその他の形態の標的型攻撃により侵害される場合があります。

残念ながら、アカウント侵害は、検知が困難なことで知られています。最高の防御は、マルチファクタ認証やサイバーセキュリティトレーニングといった保護により、最初に侵害を最小限に抑えることです。

ランサムウェアを根絶する

ランサムウェアの究極の目標は、一般的にデータ、ネットワーク、システムです。しかし、標的に到達できるのは、人 (従業員) を介してのみです。そのため、寄せ付けないための最も効果的な方法は、人的要因を完全に排除することです。

堅牢なメール保護と情報漏えい対策 (DLP) ソリューションの導入により、悪意のあるメッセージを受信前に分析、フィルタリング、ブロックすることができます。 しかし、最高の境界防御でも侵害される場合があります。

メール保護は、アクセスログやネットワーク アクティビティのテレメトリーへの詳細なインサイトと組み合わせる必要があります。データにアクセスしている人、その方法、時間、理由を把握する必要があります。より多くの情報を把握するほど、より迅速に通常とは異なる状況を検知できます。

そして最後の砦となるのは従業員です。すべてのユーザーは、ランサムウェア攻撃にさらされた場合の対処法や、これを防止できなかったことによる影響を理解しておく必要があります。最も重要なことに、自身の行動がどのようにして組織に危険をもたらすのか理解する必要もあります。

そこで、継続的な適応型セキュリティ意識向上トレーニングは、多項選択式テストと標準ベストプラクティスだけでなく多くが学べる唯一の方法です。トレーニングプログラムの究極の目標は、サイバーセキュリティが全員の責任であるといったセキュリティ文化を構築することです。

シンプルな事実として、ランサムウェアはさらに洗練されていることから従来の防御では効果的ではなく、復旧不可能であれば予防が唯一の解決策です。

ランサムウェアに対応するためのガイド「ランサムウェア サバイバル ガイド」を無料で配布しております。ぜひダウンロードしてご活用ください。

ランサムウェア サバイバル ガイド