2019/07/23

データ漏えいでも生かされる「時は金なり」の教訓

身代金 札束 ランサム ランサムウェア ドル 札

2019 年 7 月 23 日 Stephen Helm 著

ランサムウェアは 2017 年に世界中を大混乱に陥れ、多くの企業、病院、政府機関でビジネスや業務が一時停止に追い込まれることになりました。何千もの企業や組織がファイルの復号化と引き換えに身代金を要求する不吉なメッセージを受け取り、攻撃のニュースが攻撃そのものと同じ位速く、報道されました。しかしながら、ランサムウェアのニュースが毎日のように報道されるようになったことで、情報漏えいが深刻であれば、その事実がすぐに広まってしまうことを多くの人が知るようになったのは良いことです。

もちろん、ランサムウェアが脅威でなくなったわけではありませんが、重要なのは、多くの攻撃でランサムウェアが利用される理由を理解することです。ビットコインによって、匿名での金融取引が可能になった一方で、サイバー犯罪者が攻撃を簡単に収益化できるようになりました。これは、金融取引の記録を最小限にしつつ、攻撃を現金化できることを意味します。感染したマシンで自らの存在を外部に知られてしまうことは、存在をできるだけ知られないようにし、捕まるリスクを少なくしたいと考えるハッカーの通常の動作に反するものです。

タイムリーに脅威に対処できるかどうかが、迅速な修正を可能にするか、あるいは重大なセキュリティインシデントに発展してしまうかの分かれ道になる可能性があります。脅威が検知されない時間が長くなるほど、その脅威によってもたらされる被害が大きくなる可能性があります。たとえば、クリプトジャッキングマルウェアは、実行中にエンドポイントの CPU の平均 25% を使用し、わずか 1 ビットコインの生成に 1 万ドル近くかかることがあります。電力料金が高くなったのにマシンの速度が低下したならば、不審に思うかもしれませんが、その情報だけで脅威を特定し、対策を実行するのは、多くの組織にとって簡単なことではないでしょう。

事実、企業が違反を発見するまで平均で 197 日(1) もかかっており、それは、多くの攻撃者が攻撃を隠す方法を心得ているからです。小規模の組織の場合はさらに深刻で、検知まで平均で約 800 日(2) もかかっています。

回避能力のある脅威に直面した場合に、いくつかの原則に従うことで、検知と修復を加速させることができます。

  • 未知を知る
    ゼロデイマルウェアがマルウェア全体に占める割合が驚くほど大きくなっています。OS ベンダのウイルス対策と単純なパケットフィルタリングに頼っている場合、未知のマルウェアが大きな損害をもたらす恐れがあります。ネットワークセキュリティにおいて「未知を知る」とは、最良の脅威インテリジェンスを入手し、可能な限り多くの相関付けを実行し、セキュリティ情報を実用化し、人工知能を導入することで新しい脅威を学習することです。
  • 相関付けの重要性を認識する
    適切に実装されたセキュリティシステムでは、膨大な量のデータが処理されます。相関付けによって、複数のソースからのセキュリティ情報を同時に確認できるため、ユーザが不正サイトに接続しようとしていて、ユーザのエンドポイントがホストファイルを変更しようとしていることをネットワークデバイスが検知でき、ボットネットの存在の手掛かりになるでしょう。
  • 闇に光をあてる
    暗号化された接続の影に脅威が隠れている可能性があります。ネットワークトラフィックの 90% 以上が暗号化されるようになり、攻撃者は、HTTPS を使って命令やペイロードを送り込むようになりました。このトラフィックを検査する機能は、すべての組織にとって、「あれば望ましいもの」ではなく、「必須であるもの」と考えるべきでしょう。
  • クラウドを常に選択肢として検討する
    クラウドは、セキュリティの強力なプラットフォームです。クラウドによって、より多くの脅威データをより迅速に処理できます。分断されたテクノロジを連携させることで、セキュリティの状態をより完全に把握し、従来の境界だけにとらわれない、迅速かつシームレスな保護が可能になります。
  • フィッシング対策に取り組む
    サイバー犯罪者は、疑うことを知らないユーザを初期段階の攻撃ベクトルとして悪用します。事実、今日のサイバー攻撃の 90% は、組織のいずれかのユーザが、最初に送信されるフィッシングメールに騙されてしまうことで開始します。インフラストラクチャへの不正接続をブロックし、接続を試行するプロセスを強制終了することで、ユーザが不正リンクをクリックして重大なセキュリティ問題に発展するのを防ぐことができます。そして、これらの攻撃を発見する方法を従業員に周知することで、攻撃者に誘導されてユーザが不正リンクをクリックするのを完全に防止できます。

ウォッチガードによるセキュリティ侵害の迅速な検知の詳細については、ウォッチガードの Threat Detection and Response 脅威の検知とレスポンス のページをご覧ください。