FBIの報告によると、2021年には2,048件ものランサムウェアに関する苦情が登録されており、金融犯罪取締ネットワークは同年に68種類のランサムウェアが存在し、身代金の支払いは5億9,000万ドルを超えたと指摘している。
最近、全米で4番目に大きいコモンスピリット・ヘルス・システムをはじめとする医療システムが、テキサス州とシアトルの他の病院を含む複数の医療機関で、ランサムウェア攻撃の疑いのある攻撃を受けました。ニューヨーク州サフォーク郡政府のコンピュータネットワークも、ここ数ヶ月で同様の攻撃により停止しました。標的のリストは膨大です。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
ジャンプ先:
- ランサムウェア攻撃から身を守る方法
- すべてのランサムウェア攻撃に共通するものは何ですか?
- システムを改善し、ランサムウェア攻撃を防ぐ方法
- サイバーセキュリティ対策のメリット
ランサムウェア攻撃から身を守る方法
サイバー脅威から組織を守るのは、孤独ではありません。MITRE ATT&CKフレームワークは、敵対的な行動、脅威モデル、そしてランサムウェアの手口を認識する方法に関する文書化された情報を収録した、無料のグローバルリソースです。
MITREは、収集したデータに基づいた緩和策も提供しています。これには、このような攻撃に見られる8つの共通点の認識も含まれます。これらの戦術を理解することで、組織は最悪のシナリオを検知し、回避するためのより適切な計画を策定できるようになります。
すべてのランサムウェア攻撃に共通するものは何ですか?
データを暗号化する
すべてのランサムウェアペイロードは暗号アルゴリズムを適用します。つまり、ユーザーファイルとシステムファイルを暗号化するアルゴリズムを使用します。この暗号化に一般的に使用される手法は、MITREフレームワークの「Impact」戦略に詳しく記載されています。
検出を回避する
ペイロードが成功するには、既に導入されている可能性のある既存のセキュリティ制御を回避する必要があります。「防御回避」戦術では、システムユーティリティの名前変更、インジケータの削除、イベントログの消去、不正使用プロファイルインストーラの使用、セキュリティツールの無効化など、こうした手法がいくつか挙げられています。
横方向に移動する
このシナリオでは、ハッカーは侵害したホストから抽出した有効なアカウントを使用してリモートネットワークにアクセスし、複数の機能にアクセスします。ランサムウェアは、あるコンピュータステーションから別のコンピュータステーションへと移動することもあります。このカテゴリは、MITRE ATT&CKの戦術「ラテラルムーブメント」に分類されます。
システム防御と回復努力を無効にする
この場合、攻撃者は破損したシステムの復旧を支援するために設計されたシステム データを削除し、オンラインに戻るための取り組みを妨害します。
権限を昇格する
これを実現する方法は数多くありますが、多くのペイロードで共通して使用されるのは、スケジュールされたタスクの悪用とレジストリキーの作成です。これらの手法は、MITRE ATT&CKの戦術「権限昇格」で説明されています。
持続しようとする試み
上記と同様に、システム防御が侵害されると、ソフトウェア内で利用可能なシステムとユーザーへのさらなる感染と無効化が試みられます。これらの手法は、MITRE ATT&CKの「Persistence(持続)」戦術に含まれています。
データを盗み出す
ペイロードは、被害者のデータを暗号化する前に、DNSトンネルとアプリケーション層プロトコル(HTTP/HTTPS、または代替プロトコル)を使用して、ビジネスクリティカルなデータを被害者のネットワークから脅威アクターへと転送します。これらのアクションは、MITRE ATT&CKの戦術「コマンド&コントロール」および「データ流出」に分類されます。
身代金を要求する
そのため、「ランサムウェア」という名前が付けられました。FBIのテロの定義によれば、要求された身代金を支払うことは違法です。
システムを改善し、ランサムウェア攻撃を防ぐ方法
企業のサイバーセキュリティ対策を強化するための第一歩は、サイバー攻撃に対して脆弱な、時代遅れのレガシーコンピュータシステムをアップグレードまたは交換することです。企業や政府機関で長年有効に機能してきたシステムが、今ではマルウェア攻撃を防ぐのに十分ではない可能性があります。
データ侵害が公表された場合、ダウンタイムや顧客を失うコストに比べれば、交換コストは取るに足らないものです。既存の防御を突破しようとする攻撃や一連の試みを検知できる、強化された監視システムを導入し、付与される管理者権限の数を制限しましょう。
次に、従業員のトレーニングを改善して、今日のオンラインの世界に実質的に存在する組織にとって、データ セキュリティが主な責任であることを階層のあらゆるレベルの全員が理解できるようにします。
明確な組織ポリシーを策定し、これが組織の最優先事項であることを明示することで、これを促進します。不審なメールへのリンクをクリックすることから始まるフィッシング攻撃を避けるよう、従業員に常に注意喚起してください。これは、ハッカーがコンピュータネットワーク全体への侵入口を得ることになりかねません。
単純に聞こえるかもしれないが、小学校や地方自治体を含む大小さまざまな組織が標的となるため、必ずしも「他人事」や「自分には起こらない」とは限らないことを認識する必要がある。
サイバー保険は利用可能であり、保険会社はインシデント対応、情報損失、コンプライアンス/規制コストの請求をカバーする前に、サイバーセキュリティの実装の改善を要求しています。
サイバーセキュリティ対策のメリット
ランサムウェア攻撃は必ずしも避けられないものではありません。これらの攻撃に共通する点を認識することで、オペレーティングシステムのアップグレード、セキュリティ監視手順の強化、そして常に進化するスキルセットを持つ従業員による監視体制の強化につながる可能性があります。
経験豊富なハッカーが定期的に自らの洞察力を磨き直そうとしている現状では、最新のサイバー攻撃の傾向を認識して一歩先を行き、データを保護し、場合によっては単に事業を継続することが、あらゆる規模の組織、機関、企業にとって必須となっています。
ジャヤント・クリパラニは、Splunk、Cisco、Rapid7、Wiproといった世界的なセキュリティ企業で20年の経験を持つサイバーセキュリティのプロフェッショナルです。コンピュータエンジニアリングの学士号に加え、複数の業界認定資格を取得しています。SOCチームとの幅広い協業経験があり、現在はサイバーセキュリティ戦略とコンサルティングを専門としています。
