ランサムウェア、ビジネスメール詐欺(BEC)、情報漏えいは、皆さんが想像する以上に頻繁に発生しています。
ランサムウェアは流行し始めた段階ではなく、もはや広く蔓延していると言っても間違いないでしょう。日常生活に及ぼす影響は以前よりも大きく、どの組織も攻撃を受ける可能性があります。プルーフポイントの『2022 State of the Phish』(2022年フィッシング攻撃の全容)によると、グローバル組織の68%以上がランサムウェアに感染しています(メールから直接感染したケースもあれば、後続段階のマルウェアの配信や、その他の侵害で感染したケースもあります)。インターネットに接続していれば、いつランサムウェアの被害者になっても不思議はありません。
ランサムウェアの潜在的な被害者数が増えているだけでなく、攻撃者のビジネスモデルも拡大しています。最近では二重(あるいは三重)の脅迫が一般的な手口となっています。大量の機密情報を盗み出し、持続的なアクセスを可能にすることで、攻撃者は身代金や脅迫の手段を増やすことに成功しています。
身元が特定されたり、刑事告訴されたりすることを警戒するランサムウェア グループは、ファイルをロックするロッカーマルウェアを完全に放棄しています。その代わりに、大量のデータを盗み出し、データの販売と破壊に対する身代金を提示します(買い手は特に後者に着目しています)。
攻撃者は自分たちのビジネスモデルを進化させているようですが、標的の環境に不正に侵入するという目標に変わりはありません。データを使えないようにロックする手法から情報窃取に変わっても、脅迫には変わりありません。また、BEC攻撃の手段が、給与支払や税金詐欺から企業間(B2B)取引の金融詐欺に変わっても、BECに変わりはありません。さらに注目すべきは、未払いの請求を狙うBEC攻撃者もデータを盗み出すランサムウェア(サイバー脅迫といったほうが適切かもしれません)グループも、金銭を得る方法に関係なく同じ技術を利用している点です。
認証情報の窃取、なりすまし、ユーザーが有効にするマルウェア、情報窃取など、似たようなツールや技術が何年も使用されています。脅威状況が変化しても、ランサムウェア、情報窃取、BEC、情報漏えいの主要なリスクカテゴリを別のカテゴリとして捉えるのは適切ではありません。見方を変えれば、これらのツールや技術を攻撃者が使用できないようにすることで、複数のタイプの攻撃を防ぐことが可能になることは防御側の利点と言えます。
新しい敵は古い敵と同じ
データ窃取としてのランサムウェア
ほぼすべてのランサムウェア インシデントでデータの窃取と脅迫が行われています。事実、多くのランサムウェア グループは情報窃取自体を目的とし、暗号化や情報の破壊は行っていません。
しかし、これは安心できる状況ではありません。データはすでに防御体制の外側にあるため、データを取り戻せる保証はありません。仮に取り戻せたとしても、すでに転売されていたり、一般に公開されたり、何らかの方法で悪用されている可能性もあります。これは、身代金の支払いに応じるかどうか以上に悩ましい問題です。
多くの組織は身代金の支払いに応じていませんが、この状況が別の問題を生み出しています。身代金を支払わない組織が少ないということは、サイバー犯罪者が金銭を手に入れるために別の方法で攻撃を仕掛けてくることを意味します。サイバー保険会社からランサムウェア攻撃に対する保険金が支払われないケースも増えています。
このため、多くの攻撃者がとる戦略は、大量のデータを盗み出してダークウェブで販売すると同時に、データ侵害を公表しないために身代金を要求する、というものになるでしょう。
短期的には、潜在的な攻撃を検出し、データの持ち出しを未然に防ぐのが最適な防御策となるでしょう。
二重、三重の脅迫を行う悪質な攻撃者:
- BlackCat/ALPHVツール:攻撃者の手元にデータのコピーを残し、盗み出したファイルを破壊します。
- Black Basta:機密データを暗号化し、支払いに応じなければデータを公開すると、二重の脅迫を行います。
- LockBit :三重の脅迫を行い、身代金の支払いに応じるように被害者に圧力をかけます。
- BlackByte :支払いに応じればダークウェブからデータを削除する、別の攻撃者にダークウェブ上でデータを販売するなど、ダークウェブを使って被害者を脅迫します。
- Yanluowang(LAPSUS$に関係):従業員の仮想プライベートネットワーク(VPN)アカウントを乗っ取り、55 GBのデータを盗み出したと脅迫しました。
ランサムウェアとBEC
これまでは、BECの攻撃者とランサムウェアの攻撃者は別のグループと認識されていました。しかし、この見方では、すでに複雑になっている脅威状況をさらに複雑なものにしてしまう危険性があります。
確かに、どちらかの攻撃に特化した人材、スキルセット、インフラを使用しているグループも存在します。しかし、攻撃で使用されている基本的な戦術と技術に変わりはありません。
防御側から見ると、ランサムウェアとBECの攻撃者の特徴に若干の違いがあるものの、多くの部分は重なっています。
ほぼすべてのケースで、このタイプのサイバー犯罪者が環境に侵入するために使う手法は次のようなものです。
- フィッシングメール
- リモート デスクトップ プロトコル(RDP):コンピューターをリモートから制御できるようにします。
- スティーラーマルウェア:認証トークン、Cookie、認証情報を収集します。
また、BECとランサムウェアの攻撃者がスレッドハイジャックによって正規の通信に割り込むことも少なくありません。
しかし、どのような手口が使われていても、それが類似したものであれば、防御側にとって非常に有利になることは確かです。
攻撃者がどのように金銭を得るかに関係なく、最終的には同じ活動を阻止することになります。
この点を理解すれば、脅威の阻止と情報の保護が別の課題だと考えることはできなくなります。現行の防御体制を見直すことで、現在サイバーセキュリティの最大の課題であるBEC、ランサムウェア、情報窃取をより効果的に検出し、阻止することができるようになります。
日々の攻撃に対する防御策を構築する
これまでの脅威対策と情報漏えい対策のソリューションでは、攻撃者がアカウントを侵害してデータを盗み出す現在の脅威シナリオに対応することはできません。データ分類ルールを使用して侵害の痕跡を見つけ出すツールでは、その目的を十分に果たすことはできません。
防御側は、現在の攻撃者の挙動に対応するシグナルを検知しなければなりません。たとえば、同じセッション Cookie でログインが複数回行われた場合、漏えいした認証情報が悪用されている可能性があります。その後、同じユーザーのエンドポイントで、7zipやWinRARと異なる一般的でないアーカイブツールのインストールが確認された場合や、攻撃者がよく使うクラウド上のファイル共有サイト(Megaなど)に大量のデータが転送された場合は、インシデント レスポンスをすぐに開始しなければなりません。
現在のランサムウェアの攻撃者は日和見主義者です。最終的な結果に関係なく、セキュリティ コントロールが脆弱な組織を探し、成功するまで繰り返し攻撃を仕掛けてきます。攻撃者は、インターネットに接続している脆弱なVPNデバイスや、開いているRDPポートを探します。また、フィッシングメールのリンクをクリックしたり、添付ファイルをダウンロードしやすいユーザーも探しています。攻撃者は、この最後の要素が最も簡単に見つかることをよく知っています。
ランサムウェア、情報窃取、BEC攻撃はすべて、認証情報の窃取、なりすまし、ユーザーによって有効化されたマルウェアなど、同じ手法を利用しています。こうした攻撃を阻止するには「人」を保護することが重要になります。不正なペイロードのほとんどはソーシャル エンジニアリングによって配信されて、攻撃に成功するには「人」の介入が必要になります。「人」を保護することで、セキュリティ耐性を強化し、サイバー攻撃の機会を減らすことができます。
サイバー犯罪者が組織内に侵入できなければ、ファイルが暗号化されることも盗まれることもありません。業務が中断することもないでしょう。サイバーセキュリティに確実な方法というものはないかもしれませんが、その中でも、「人」を保護することで侵入を未然に防ぎ、データを保護することが最も効果的な方法といえます。
プルーフポイントでランサムウェアを阻止する
プルーフポイントの包括的な統合プラットフォームは、多層的なコントロールで最初の感染を防ぎ、情報漏えいを阻止します。これにより、ランサムウェア攻撃のリスクを軽減できます。
プルーフポイントがランサムウェアを阻止する方法については、こちらをご覧ください。
● あわせて読みたい
