リモートワークの拡大はランサムウェア攻撃の蔓延を招く結果となりました。Cybersecurity and Infrastructure Security Agency (CISA) によると、2021 年上半期にランサムウェアの攻撃件数は前年同期比で倍増し、米国の企業は 11 秒に 1 回の割合で狙われていることが判明しました。これらの攻撃によって引き起こされる 損害や強制的なダウンタイムの世界全体での被害額は、今年、200 億ドルを超えると推測されています。
ランサムウェアの攻撃の防止・検知・対応には、包括的な戦略と複数のテクノロジーが必要です。このブログでは、多くの企業が認識していること、つまり最新のクラウドネイティブなセキュア ウェブ ゲートウェイ (SWG) が、特にWeb分離テクノロジーと組み合わせて使用した場合に、ランサムウェア攻撃を抑制するうえで重要な役割を果たすことについて説明します。
テレワークやハイブリッド ワーク モデルでは、ビジネスの大部分を社内ネットワークの外部やクラウドで行う必要があります。フィッシング攻撃やランサムウェアに感染した Web ページから、従業員を狙う脅威が拡大しています。ランサムウェアに対処するには、ランサムウェアを自社の環境に寄せ付けないことが重要です。 最初の防衛線は、ユーザーがランサムウェアの潜むサイトにアクセスしないようにし、危険性の高いアクティビティを防止することです。
信頼できるドメインであってもランサムウェアのリスクがある
ランサムウェアに対処するには、防止ランサムウェアを自社の環境に寄せ付けないことが重要です。そのため、ランサムウェア攻撃に対する最初の防衛線は、ユーザーがランサムウェアの潜むサイトにアクセスしないようにし、危険性の高いアクティビティに関わらないようにすることです。
ランサムウェア攻撃の開始方法にはいくつかのパターンがあります。まず、企業や個人のアカウントに送られたフィッシングメールや、企業や個人のメッセージングアプリに、侵害された Web サイトへのリンクが含まれている場合があります。また、ランサムウェアは、マルウェアに感染した Web ページを介してエンドユーザーのデバイスに配信される可能性があります。現在、Microsoft 365 や Google Workspace のプロパティなど、インターネット上の最も信頼できるドメインの中にも、最も危険なものがあります。一般的に、攻撃者は、正規の Web サイトにマルウェアを侵入させ、ユーザーが知らないうちにマルウェアが自動的にユーザーのデバイスにダウンロードされるようにします。
SWG とWeb分離テクノロジーを併用したり、SEG (セキュア メール ゲートウェイ) の代わりに使用することで、このようなランサムウェアの攻撃から保護することができます。SWG は、ユーザーとインターネットの間で動作し、悪意のある危険な Web トラフィックを検査およびフィルタリングして、ユーザーが Web を閲覧する際の脅威やデータ侵害からユーザーを保護します。また、ポリシーを適用することで、ユーザーの危険な行動や不正な行動を防止することができます。
ランサムウェアの攻撃者が目的を達成するのを防ぐ方法
Proofpoint Web Security などのクラウドネイティブの SWGは、リモートワーカーの Web アクティビティを管理したり、ランサムウェア攻撃を防止したりするのに特に高い効果があります。Proofpoint Web Security はすべての SSL トラフィックを検査して脅威を明らかにし、ユーザーが不正なサイトにアクセスするのを防ぎます。メール セキュリティ ソリューションや情報防護ソリューションと同様に、Proofpoint Web Security は、毎日 260 億の URL と 50 億のメールを分析している Nexus Threat Graph の脅威インテリジェンスを活用しています。
Proofpoint Web Security は、「人」を中心としてセキュリティを構築するPeople-Centricアプローチを採用しており、メール、Web、クラウドにわたって脅威を可視化します。Proofpoint Web Security は、クロスチャネルの豊富なインテリジェンスを使用して、サイトのカテゴリ、リスクスコア、地理的位置に基づいて、閲覧セッションをブロックまたは分離します。ユーザーが、一般に安全と思われるサイトの感染した Web ページにアクセスした場合、Proofpoint Web Security ソリューションは次のいずれかの処理を行います。
- ファイルタイプに基づいてあらゆるファイルのダウンロードをブロックし、ファイルをインラインのサンドボックスに誘導します。
- ファイルのダウンロードが自動的にブロックされる Proofpoint Browser Isolation にセッションをリダイレクトします。
いずれの場合も、ランサムウェアがエンドユーザーのデバイスや企業ネットワークに到達することはなく、ランサムウェアの攻撃者はその目的を実現することはありません。
しかし、ランサムウェアがデバイスに侵入すると、ランサムウェアの攻撃者のサーバーに信号が送られます。そして、次の指示を待ちます。ランサムウェアの攻撃者は、デバイスをコントロールすることで、ネットワーク全体へのランサムウェアの配布やデータの窃取など、さまざまな操作が可能になります。
Proofpoint Web Security は、こうした侵害されたサイトへのコマンド アンド コントロール接続や、データの窃取をブロックします。これにより、ランサムウェア攻撃者がデバイスを制御できなくなるため、被害の拡大を防ぐことができます。