「セキュリティおよびリスク管理の担当者がランサムウェアから組織を守るためには、
エンドポイントだけの対策から抜け出すことが必要になっています。」
— How to Prepare for Ransomware Attacks, Gartner
ランサムウェアは組織に重大なリスクをもたらします。この攻撃は、多くの場合、目立たないメールやリンクをクリックすることで感染し、身代金が支払われるまで事業運営を完全に停止させることもあります。そして今、ランサムウェアが世界的なセキュリティ問題に発展するという重大な局面を迎えています。さまざまな組織や国々では、金銭的被害を伴うこの脅威への有効な対策について検討が進められています。
「ランサムウェア攻撃への対策」レポートでは、Gartner のアナリスト Mark Harris 氏、Brad LaPorte 氏、Paul Furtado 氏が、ランサムウェア攻撃に対して組織がどのように対策を講じるべきか指針を示しています。
人為的に操作されたランサムウェア攻撃
Gartner はレポートの中で、「最近の攻撃は、WannaCry や NotPetya のような自動的に拡散するものから、的を絞ったものに進化しており、個別のエンドポイントよりも組織全体を狙ったものに変化している」と強調しています。最近のランサムウェア攻撃の多くの例では、サイバー犯罪者はマルウェア、認証情報への不正アクセス、またはインターネットに接続している脆弱なサービスを利用して、第一段階のアクセスを手に入れています。プルーフポイントの脅威調査では、ランサムウェア オペレーターが多くの場合、標的に侵入して得たアクセスをランサムウェア攻撃者に売ることで不正利益を得る初期アクセス ブローカーやランサムウェア アフィリエイトからアクセスを購入する様子を目撃してきました。
ランサムウェア対策に必要なのは統合的な多層アプローチ
ランサムウェア攻撃が人為的操作による攻撃に進化しているため、Gartner レポートでは、組織がランサムウェアから身を守るために多層的な戦略を強化するよう推奨しています。同レポートによると、「このような攻撃から組織を守るには、エンドポイント保護だけは不十分であり、さまざまなセキュリティ ツールやセキュリティ管理を取り入れる必要」があります。
ランサムウェア攻撃の始まりとなる最初の侵害は、フィッシングや標的を絞り込んだ攻撃であることが多く、マルウェアの配布や認証情報の盗難が行われます。Palo Alto Networks の Unit 42 が行った調査によると、メールが依然としてランサムウェアで利用される最大の攻撃経路であり、攻撃の起点の 75% 以上を占めているとのことです。メールが主な攻撃経路であることから、高度なメール セキュリティに投資し、初期アクセスを特定して阻止することが重要になります。Gartner は、フィッシングと標的を絞り込んだ攻撃は「Web分離などの技術を用いることでも影響を抑えることができる」とも強調しています。
ランサムウェア攻撃のほとんどは、ユーザーがメールで届いた悪意のあるリンクをクリックする、または添付ファイルを開くことで始まります。プルーフポイントの「2021 年 State of the Phish」によると、ユーザーの平均失格率は 11% です。そのため、Gartner レポートでは、「ユーザーのセキュリティ意識向上も重要である」と指摘しています。効果的で的を絞ったセキュリティ意識向上トレーニング プログラムを実施することで、ランサムウェアについて教育を受けたユーザーが、フィッシング報告で組織を守ることができるようになります。組織内で標的になりやすく、実際の脅威にさらされているユーザーを教育することが、ランサムウェア攻撃に対する最大の防御になります。ユーザーが組織にとって最後の砦であるからです。
セキュリティ チームは人員不足であることが多く、迅速にトリアージして調査することが求められるアラートに十分対応できていません。自動化ツールと、メールに焦点を当てたセキュリティ オーケストレーションの自動化と対応 (mSOAR) の機能を利用すれば、対応時間を改善し、セキュリティ チームの負担を軽減することができます。プルーフポイントのお客様は、悪意のあるメッセージへの対処において、調査と対応に要するリソースを最大 90% 削減できています。このお客様は、正社員を 3 年間直接雇用する人件費に相当する 34 万 5000 ドルの節約を実現できました。
Gartner はレポートの中で、ランサムウェア攻撃への対策に必要となる重要な手順を検討し、攻撃の前、最中、後でとるべき行動を紹介しています。
- インシデント前には、エンドポイント保護にとどまらない準備戦略と多層的な対策が含まれます
- インシデント中には、現在進行中の攻撃の検知と、影響を最小限に抑える軽減手法が含まれます
- インシデント後には、リカバリと根本原因解析が含まれ、結果を準備計画に反映するものとされています
支払うべきか否か?
ランサムウェアについて考えるとき、「身代金を支払うべきか」という問いに組織は向き合うことになります。Gartner レポートでは、この重要な問いについて検討しています。1 つだけ明確なのは、組織がランサムウェア攻撃に遭う前に、答えを考えておく必要があるということです。
ランサムウェア攻撃に対する対策の詳細は、Gartner レポート「ランサムウェア攻撃への対策」をダウンロードしてご覧ください。
Gartner、「ランサムウェア攻撃への対策」、Mark Harris、Brad LaPorte、Paul Furtado、2020 年 11 月 16 日
Gartner は、米国および全世界における Gartner, Inc. および/またはその関連会社の登録商標であり、Gartner, Inc. の許可を得て使用されています。All rights reserved.
※本ブログの情報は、英語による原文「Thoughts on Gartner® Report: How to Prepare for Ransomware Attacks」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。