ランサムウェアの被害は元に戻らないのか？

企業が受けるランサムウェアによる被害が増え続けています。大量かつ複雑なランサムウェアの攻撃から身を守り対応するために、より多くの資金、リソース、エネルギー、時間が費やされています。ランサムウェアは、ここ数ヶ月で急速に進化しています。ファイルやデータを暗号化することで広範なビジネスの混乱を引き起こすという従来のランサムウェア攻撃に対し、これまで企業は回復策として、データのバックアップという方法をとってきました。しかし残念ながら、ランサムウェアの攻撃者が与えたあらゆる被害から企業が回復するためには、データのバックアップだけでは不十分であり、ほとんどの場合、その被害は完全に元に戻すことができません。

脅威アクターは、侵入やハッキング、侵害による金銭的利益を増やすために、高度で継続的な攻撃を行い、ランサムウェアを導入してファイルの暗号化以外の攻撃も行うようになってきています。攻撃者は、ファイルの暗号化に加えて、組織のネットワーク上を移動しながら、さまざまな企業の機密情報を見つけるための偵察を行っています。Mandiant社が最近発表したレポートによると、攻撃者は契約解除、契約書、医療記録、暗号化証明書などの機密データを探していることが明らかになりました。攻撃者は、データを暗号化する前に、暗号化されたチャネルを使用してデータを流出させ、運用・維持の難しい境界防御を回避しているのです。

このようなデータ漏えいは、脅威アクターに、より大きな支配力、影響力を与え、企業を甚大なリスクに晒し、取り返しのつかない損害をもたらします。企業は、消費者の信頼、ブランドの評判、従業員の士気を失い、法的損害賠償や集団訴訟、国によっては懲罰的損害賠償の責任を負うことになります。さらに、ランサムウェアの攻撃によって、運用コストや規制コストが増大し、新しく革新的なデジタル技術の導入によって推進されるべき、ビジネスの敏捷性や競争力を劇的に低下させることにつながります。

攻撃者は盗んだデータを悪用し、Torネットワークを利用したダークウェブ上のデータ漏えいサイトや、Facebookなどのソーシャルメディアサイトを利用して、被害者を名指しで晒し上げます。攻撃者は、攻撃の効果を拡大させるために、盗んだ企業などのデータのサンプルを、主要メディアや技術・サイバーセキュリティ関連の出版物に提供して広く注目を集めることで、さらに要求をエスカレートさせることもあります。

ハッキングされたデータの流出を防ぐことはほぼ不可能であり、その被害は大半の場合、取り返しのつかないものとなります。CrowdStrike社によると、攻撃者が他の攻撃者によって盗まれたデータをホスティングすることもあり、被害者が盗まれたデータを回復したり公開を防いだりするための交渉を行うことが非常に困難になっている、ということも警告しています。

最悪のケースの１つとして、攻撃者が、盗用データから抽出した検索可能な個人情報(PII) データセットを定期的に公開することで、さらに状況を悪化させ、またメディアの注目を集め続けるということもあります。攻撃者は、社員に電話をかけて嫌がらせをしたり、取引先などのビジネス関係者に連絡し、情報漏えいに関して開示するように圧力をかけたりします。これは従業員の精神に影響を与え、取引先との関係に不信感を抱かせるための強硬手段の一例です。

ランサムウェアの被害を防ぐことはできるのか？

ランサムウェアの脅威アクターは、常に革新的な進化を遂げています。最初の侵入後にデータを流出させながらも、組織のネットワークを自由に動き回り、数日から数ヶ月かけてその環境の偵察を行い、さまざまな機密情報の収集をします。その間、暗号を使って検知を逃れるのです。Mandiant社の『M-TRENDS 2021レポート』によると、新たに追跡されたマルウェアファミリーの81％は、一般に公開されているツールやコードを使用していませんでした。これは、現代のランサムウェアの攻撃を防御するためには、シグネチャベースの予防策は不十分で効果がないことを示す結果です。それでは、防御ツールを突破された場合、攻撃をどのように阻止できるのでしょうか？ 

2020年にMandiant社が調査した侵入被害の半数以上で、攻撃者は検知を困難にするために、暗号化やエンコードなどの難読化を使用していました。従来のセキュリティツールでは、可視性が限られており、事前に定義された、信頼できるサービス、ユーザー、アプリケーションのリストに依存しています。ところが、信頼できるサービスが正常に動作しているかどうかを継続的に検証することはできないのです。攻撃者は、最初の侵害にとどまらず、複数の段階で攻撃を行うことを認識しなければなりません。これには、永続性、権限昇格、内部偵察と発見、ラテラルムーブ（横移動）、認証アクセス、C&C、防御回避、持ち出しなどが含まれます。Mandiant社の専門家によると、2020年以降のすべての脅威調査において、攻撃者の63%がMITRE ATT&CKにある手法を使用しているとのことです。

従来の予防ツールでは、攻撃の初期アクセスや侵入の段階でのセキュリティに対するカバーは限られており、しかもこれらのツールの運用・保守には継続的なマニュアル作業が必要です。その上、マニュアルかつエージェントベースであり、これはビジネスの中断を余儀なくされることで知られており、セキュリティの有効性はさらに制限されます。

組織は、デジタル攻撃の複雑さ、ランサムウェアを操る攻撃者の巧妙さ、従来のセキュリティツールの限界、サイバーセキュリティの専門家の慢性的な不足のすべてに対処する必要があるのです。

Vectra CognitoPlatformによるランサムウェアの阻止

Vectra AIのAI駆動型かつ高パフォーマンスのサイバーセキュリティソリューションは、取り返しのつかないダメージを与える前に、ランサムウェアを検知して阻止するために、多くの組織でご利用いただいています。

エージェントレスでAI駆動型のCognito Platformによって、時間、ネットワーク、アカウントやホストなどに分散した低忠実度の検知を継続的かつ自動的につなぎ合わせ、SOCチームが高度なランサムウェア攻撃の阻止に成功できるように変換するため、ランサムウェアがファイルを暗号化したり、データを流出させたりする前に阻止することができます。

今回ご紹介する動画（英語版）では、Vectra Cognito Platformがどのようにランサムウェア攻撃のすべてのフェーズを継続的に監視し、ファイルを暗号化してデータを流出させる前にランサムウェア攻撃を阻止するかを実演しています。Cognitoプラットフォームは、エンタープライズネットワークやクラウド全体のリスクのあるアカウントやホストを、自動的に表面化させ、暗号化されたHTTSトンネルを介したC&C通信、ネットワークをマッピングするためのLDAPやRPC、特権アカウントの偵察、フラットなネットワークをラテラルムーブするためのRPCなど、攻撃者の振る舞いを追跡します。

Vectra CognitoPlatformは、オンプレミスからクラウド、ハイブリッドからマルチクラウド、オフィスから在宅勤務、IaaSからSaaS、IoTからOTに至るまで、組織のデジタルネットワーク全体を包括的に可視化。攻撃ライフサイクルの複数のフェーズにおいて、脅威、ランサムウェア、攻撃者を継続的かつ自動的に監視できます。Vectra Cognitoは、業界をリードするAIを搭載したエージェントレスソリューションで、常時稼働かつインテリジェントであり、今日のランサムウェア攻撃のボリュームやそのレベルの高さを検知して阻止することができる、他にはないソリューションです。

ランサムウェアを効果的に阻止する方法について、ぜひ動画にてご確認ください。また、ご質問などございましたら、いつでもお問合せください。

‍

‍