過去数年間で、ランサムウェアは今日の組織が直面する最大かつ最も多発する脅威の1つに成長した。一般的に、どのようなデータ漏えいも、セキュリティ・チームにとっては経験したくないものです。しかし、ランサムウェアは単なるデータ侵害ではなく、ランサムウェアの被害者は、ロックされたデータの解放を確保するために法外な金額を要求する敵対者によって、しばしば公に恥をかかされます。パロアルトのUnit 42によると、2021年上半期のランサムウェアの平均支払額は570,000ドルに上った。ランサムウェアの事例に関する2021年のMimecastのレポートによると、同年末までにある保険会社はランサムウェアの支払いで4,000万ドルを支払っている。
ランサムウェアは、企業のセキュリティの大部分にも影響を与えている。ランサムウェアは、インシデントレスポンス 計画の構築方法、サイバー保険の評価方法、継続性と回復力の両方に根ざしたビジネス・プロセスの開発方法を再形成した。この影響により、企業は自社の脅威の状況をこれまでとは異なる角度から見ることを余儀なくされ、当初の計画とは異なる意思決定を迫られたかもしれない。さらに、災害を意味するものにも、復旧作業の要件にも新たな意味を与えている。ランサムウェアが世界最大規模の組織に与えた影響、特に最近のCOVID-19の大流行から生じた変化と組み合わせれば、無視することはできない。
本稿では、ランサムウェアが世界の大手企業2,000社(G2K)のセキュリティ状況にどのような影響を与えたかを検証する。ランサムウェアそのものが「ビッグビジネス」となっているため、M&A活動や業界の成長など、通常の事業運営に永続的な影響を及ぼしている。ランサムウェアはまた、連邦政府や国際的なサイバーセキュリティ政策にも広範囲に影響を及ぼしている。
私たちは、脅威の目的ではなく、脅威の行為者に主眼を置くことがよくありますが、攻撃プロファイルとしてのランサムウェアは、組織が無視するにはあまりに多発し、影響力があります。本稿で検討するように、ランサムウェアは、多くの組織のビジネスのやり方を変えた手ごわい脅威です。
昨今、ランサムウェアの脅威者は、その戦術、テクニック、侵入経路を拡大し、脆弱性やゼロデイ・エクスプロイトを素早く利用してアクセスし、最初のランサムウェアのペイロードを配信しています。このような脅威に対して賢明でない組織や、ランサムウェアのトレンドに気づかないままの組織は、不意を突かれ、すぐに利用されることになるでしょう。本稿ではG2Kに焦点を当てているが、どのような規模の組織にもお勧めしたい:
- 脆弱性やリモートアクセスソリューションなど、ランサムウェアの侵入経路に強力な監視・検知機能を導入する。
- オンプレミスとクラウドの両方で、エンドポイントやネットワークに検知機能とレスポンス 。
- 環境内でのクレデンシャルの再利用と横方向の移動のしやすさを制限するために、徹底的な防御戦略を検討する。
- ランサムウェアのターゲットとなりやすいバックアップシステムや災害復旧システムへのネットワーク接続を制限する。
- インシデントレスポンス 計画に、世間に名指しで非難された場合の対処が含まれていることを確認する。
最後に、本稿ではランサムウェアの脅威に焦点を当てているが、本稿で説明した推奨事項や緩和策の多くは、脅威行為者が達成しようとする幅広い目的に対抗するために有用であることは注目に値する。強力なリモート・アクセス要件を実装したり、横方向の移動のしやすさを制限したりすることで、多数の敵対者を足止めすることができる。ランサムウェアの敵対者は、テクニックや戦術を再利用することが多いため、セキュリティ・アナリストが侵害に至る前に攻撃を発見する機会が生まれます。
ランサムウェアによるG2K1への影響
これまで述べてきたように、ランサムウェアの影響は、あらゆる規模の組織に容易に及ぶ可能性がある。しかし、その規模と範囲を考慮すると、G2K組織は最も公表されたランサムウェア攻撃のいくつかを受けています。さらに、その豊富な収益と公的プロフィールを考慮すると、G2Kは依然として敵のターゲット・リストの上位に位置しています。G2Kは、小規模な組織には不可能なほど大きなランサムウェアの報奨金を約束します。
興味深いことに、G2K組織は十分に防御されたターゲットであるとも言える。ある程度の収益があれば、セキュリティ部門に資金が投入され(十分な資金が投入される可能性もある)、情報セキュリティは事業運営に不可欠な要素になると考えるからだ。しかし、残念ながら、私たちが何度も学んできたように、これは必ずしもそうではありません。大組織のセキュリティ・チームが良い仕事をしていないというわけではない。しかし、我々は彼らの経験から学ぶことができる。公開されているケース・スタディを検証し、そこから学ぶことで、どのようにセキュリティを実装し、より良い防御方法を確保するのが最善かを判断しよう。
顧客の信頼への影響:アクセンチュア (G2K #169)
最初のケーススタディは、ランサムウェアが組織に対するクライアントの信頼に与える影響についてです。アクセンチュアのような企業にとって、クライアントの機密保持は最重要事項であり、コンサルティング・ファームの主な差別化要因と見なされることも多い。2021年8月、アクセンチュアはランサムウェアの攻撃を受け、同社のITシステムから専有データの盗難が確認され、二重の脅威が生じた。
まず、敵がセキュリティを破り、データを暗号化し、身代金を要求してきた場合、組織はすでにパニック状態に陥り、攻撃の根本的な原因を突き止め、どのような対策を講じればよいかを判断しなければならない。しかし、組織が他人のデータの羊飼いである場合、影響を受けたり、環境から盗まれたりした特定のデータを迅速に特定しなければならない。さらに、被害を受けた組織は、"敵対者はこのデータを使ってビジネスや顧客に危害を加えることができるのか?"といった重要な質問に答えなければならない。また、敵対者が盗まれたデータを使って他の組織を標的にし、攻撃を成功させることができるかどうかも調整しなければならない。
一般的に、盗まれたデータが個人を特定できる情報(PII)または専有データであるランサムウェアのケースでは、組織は侵入を緊急に終わらせることに集中しなければならない。ランサムウェアの「注意事項」を定めたセキュリティ・プログラムがなければ、インシデントレスポンス の計画は、有害な結果を招く前にこのような攻撃に対抗したり、侵入後に組織を正常な状態に戻したりするには、時間がかかりすぎたり、十分に関与できなかったりする可能性がある。さらに、何が起こったのか、どのデータが盗まれた可能性があるのかを早期に詳細に把握することが、交渉の結果を左右する。アクセンチュアの決断は、もし大量の顧客データが持ち出されていたら、違ったものになっていたかもしれない。
結果6TBのデータが盗まれたと主張し、5,000万ドルのランサムウェアを要求。しかし、アクセンチュアは、影響を受けたシステムをバックアップから復元し、顧客データが盗まれていないことを確認した。
ランサムウェアの侵害によって顧客が離れていく、あるいは留まるという保証はない。しかし、顧客データと組織のIPを保護することは、組織の最重要目標の1つであるべきだ。ランサムウェアは、新たなセキュリティ・ポリシーや、より強力で高度なプロセスや管理の導入を推進する力となる可能性があり、セキュリティ・チームはそれを可能な限り受け入れ、展開すべきである。
グローバルサプライチェーンへの影響:JBSアメリカ(G2K #525)
2つ目のケーススタディは、ランサムウェアがサプライチェーン業務に与える影響と、サイバー攻撃が物理的な世界にどれほどの壊滅的打撃を与えるかを考察する。2021年5月、米国最大級の食肉サプライヤーであるJBS USAは、ランサムウェア攻撃により、毎日合計22,500頭の牛を処理する5つの施設の生産業務が停止したことを明らかにした。操業停止はオーストラリアの工場にも及び、JBSのシステムがいかに緊密につながっているかが浮き彫りになった。
JBSは、ランサムウェア攻撃がグローバル・サプライチェーンにどのような影響を与えるかを示す完璧な例である。食肉生産の停止は、レストラン、食料品店、畜産農家などのサプライヤーを含むJBSの顧客の長いリストに影響を与えた。この混乱により、JBSの顧客とサプライヤーの両方が他でのビジネスを求めるようになり、攻撃者がランサムウェア侵害のコストをつり上げるためのテコとなる可能性がある。さらに、生産システムが受けたダメージの範囲によっては、通常のオペレーション速度に戻すのに数日から数週間かかる可能性もある。
結果JBSは身代金の要求に屈し、脅威行為者に1,100万ドルを支払った。会社、顧客、従業員のデータが漏えいしたわけではないとのことだが、1,100万ドルの支払いは、1日以上生産ができなくなるよりはましだという経営判断だったようだ。
データの完全性と恐喝への影響:ブレンンターク(G2K #1088)
最後に、3つ目のケーススタディでは、ドイツに本社を置く化学品販売会社Brenntag社におけるランサムウェア侵害の結果、データの整合性に生じた影響について検討します。2021年5月、DarkSideランサムウェアグループが盗んだ認証情報を使ってBrenntagの北米部門に侵入したことが報告されました。攻撃の最中、敵対者は予想された暗号化ペイロードを起動し、環境から150GB近くのファイルを盗み出しました。
公開時のランサムウェア・グループによると、盗まれたデータ(敵の手元では暗号化されていなかった)には、契約書、NDA、化学式、重要な財務・会計文書などが含まれていた。敵対者が所有するデータを理解していたかどうかはわからないが、彼らはその価値と、ブレンンターグ社がそれを非公開にしたいと考える可能性を理解していた。
盗まれたデータを梃子に、当初のランサムウェアの要求は750万ドルだった。G2Kのリストによると、Brenntagは142億ドルの企業である。これは、ランサムウェアの脅威行為者がしばしば取る視点である:それはあなたの価値の非常に小さなサブセットであり、あなたのデータの安全性は、この小さな金額の価値があるに違いない。この戦略は、彼らの交渉戦術にも表れている。
結果Brenntag社は2021年5月11日、当初の750万ドルのうち最終的に440万ドルを脅威行為者に支払った。密室で行われることが多いランサムウェアの交渉プロセスも、敵対者が被害組織から最大限の金額を引き出すために時間とスキルを投資するプロセスです。
ランサムウェアがセキュリティに与える影響
わずか3つの短いケース・スタディで、ランサムウェア攻撃が顧客の信頼、グローバルなサプライ・チェーン、あるいはデータの完全性にいかに迅速に影響を与えるかを強調することができた。今回取り上げた3つの攻撃は、氷山の一角に過ぎません。ランサムウェアは数十億ドル規模の産業に膨れ上がっており、2021年には100億ドル以上に達するとの予測もある。しかし、ランサムウェアは同時に、脅威と企業のセキュリティ・ランドスケープの両方を変えたとも言える。
インシデントの検出とレスポンス
ランサムウェアが最も影響を及ぼしている分野は、間違いなく、組織がどのように検知 、インシデントに対応するかである。2010年代初頭のデータ侵害を思い返すと、私たちの世界は、金銭的な動機による侵害、知的財産/国家スパイ、ハクティビズムでほとんどが占められていた。ランサムウェアは、数百ドルを要求するだけで、多くの場合データ復旧技術で簡単に対処できる「迷惑な」脅威と見なされていた。
2021年から2022年にかけて、ランサムウェアの敵はそのスキルを磨いてきた。ランサムウェアの攻撃は、今やデータ復旧メカニズムを巧みに特定し、標的としている。敵対者がゼロからドメイン管理者や完全な暗号化まで、わずか1桁の時間で実行できるという報告も複数あり、セキュリティ・チームが脅威についていき、無力化する時間はさらに短くなっている。
ランサムウェアの背後にいる敵対者は、攻撃の暗号化後の段階に焦点を当てることで、そのスキルをさらにレベルアップさせている。交渉は、被害者と面識があり、金銭的な話し合いができ、元の身代金額よりも低い金額を受け入れる意思のある別個の当事者によって処理される。同時に、ランサムウェアの実行者が被害者を恐喝し、データ流出やその他の恥ずべき状況で脅すことは、決して悪いことではありません。
これらのパラメータは、いくつかの重要な方法でインシデントの検出とレスポンス :
- セキュリティチームは、検知 より迅速に脅威を検知できなければなりません。脅威の滞留時間を数日単位で計測すると、セキュリティ対策が遅々として機能せず、ランサムウェアの脅威行為者に行動する時間を与えすぎてしまう可能性があります。
- もはやランサムウェアのペイロードを検出することが重要なのではありません。現在では、ランサムウェアの展開に先立つ活動や技術に焦点を当てる必要がある。
- セキュリティ・チームは、これまで以上に、高度な検知・処理能力を提供するために、強力な検知・レスポンス (ネットワークとエンドポイントの両方、またはそれぞれNDRとEDRがここに該当する)テクノロジーに頼るべきである。特権アカウントを活用した攻撃への対策は、特権アカウントが現代の攻撃の中心であることを考えると、重要な検討事項である。
- インシデントレスポンス 計画には、脅威を即座に無力化する迅速なオプションが含まれていなければならない。ファイアウォールのポートをブロックするために変更チケットを提出する日々は、特にフラットなネットワークを光の速さで移動するクラフト敵対者にとって、あまりにも多くの時間を浪費します。
- インシデントレスポンス 計画には、他の「非伝統的」部門も含める必要がある。組織内のすべてのインシデントについて、法務部や広報部への問い合わせが必要になるとは限らない。しかし、ランサムウェアによる情報漏えいは、セキュリティ・チームが把握する前に公に公表される可能性がある。そのため、対外的な問題への対応に長けた関係者を追加する必要がある。
インシデントの検出とレスポンス に関して、セキュリティチームにはまたとない機会もある。取締役会や経営幹部がランサムウェア攻撃を懸念することで、特定のツールやプロジェクトに資金を提供したり、脆弱な資産をより安全な「場所」に移動したり、セキュリティチームが以前から求めていたポリシーやプロセスを最終的に導入したりするために必要なきっかけが得られるかもしれない。
興味深いことに、ランサムウェア攻撃は、必ずしも脅威行為者やその関連する目的ではなく、攻撃の結果に焦点を当てた唯一のタイプの攻撃です。これはユニークな視点であるが、基本的なセキュリティ衛生の必要性を排除するものではなく、ランサムウェアに限らず、あらゆる種類の攻撃を阻止するために大いに役立つものである。
リモートアクセスソリューション、パスワード、アクセス許可への影響
リモート・アクセス・ソリューションは、何十年もの間、通常のビジネス・オペレーションの一部となってきた。管理者が通常のITアップグレードやメンテナンスなどのためにシステムにログインすることは、目新しいことではない。残念なことに、リモートアクセス・ソリューションはランサムウェアの侵入経路の一つにもなっている。彼らは、リモートアクセス・システムや「ジャンプボックス」が、セキュリティは軽いがアクセス許可は厳しく設定されていることが多いことを知っている。
そのため、ビジネス・プロセスは、管理者にリモート・アクセスを許可するために、変更するか、まったく新しいビジネス・プロセスを模索しなければならなかった。これは単純なセキュリティ衛生のように思えるかもしれないが、ランサムウェアは、多要素認証、VPN利用の義務付け、またはリモート・アクセス・ソリューションの完全な排除を推進する主要な手段の1つとなっている。
ランサムウェアは、組織がユーザーのパスワードや権限をどのように扱うかにも影響を与えている。私たちは、あまりにも多くの権限を持ち、境界のセキュリティがほとんどなく、簡単に推測される認証情報を持つアカウントに関わるデータ漏洩を、あまりにも頻繁に目にする。G2Kの母集団の中でさえ、これは敵が悪用するのに熟した既存の問題である。さらに、敵対者が通常のトラフィックに「紛れ込んだ」場合、フォレンジック分析やインシデントレスポンス 。
しかし、ランサムウェアは、大いに必要とされる組織改革を実施するきっかけとなる可能性がある。多要素認証の導入は、セキュリティの専門家が何年も前から推奨している優れた手法である:多要素認証の導入は、セキュリティの専門家が何年も前から推奨しているグッドプラクティスである。多要素認証は、ランサムウェアや、そのような「強固な」セキュリティのハードルを越える時間のない敵からの他のタイプの攻撃を抑止することができる。
多要素認証のような単純なものが、敵の成功率を2桁も低下させる可能性があることを指摘しなければ、私たちは不注意である。かなりの数の攻撃が、リモート・アクセスのための脆弱な1ファクタ認証情報に依存している。ハードルを導入することで、敵の自動化を壊し、クレデンシャルを売る能力をなくし、そうでなければ簡単な攻撃を食い止めることができる。
脆弱性とソフトウェア開発ライフサイクル(SDLC)への影響
ランサムウェアは、脆弱性管理やソフトウェア開発のライフサイクルにも良い影響を与えている。これは、ランサムウェア攻撃が、従来のリモートアクセスやスピアフィッシングではなく、脆弱性やエクスプロイトを起源とする、最近(過去24ヶ月)の変化に起因している。広範に存在する脆弱性の迅速な武器化と悪用は、攻撃者がランサムウェアを展開するための新たなベクトルを導入しており、セキュリティ・チームが注意しなければならないもう1つの傾向となっている。脆弱性がどのように環境に接続されているかによって、敵はランサムウェアを許可付きで迅速に展開できる可能性があります。
例えば、2021年3月から4月にかけて、マイクロソフトのオンプレミスのExchange Server、バージョン2013、2016、2019に影響を与える複数の脆弱性にパッチが適用された。脆弱性の発表が行われたのとほぼ同時期に、敵はすでにインターネットに面したExchangeサーバーの脆弱性を武器化し、スキャンしていた。この時点では、スクリプトと自動スキャナーの単純な連携が汚れ仕事をこなしていた。
敵が操作を自動化できる規模になったことで、新たな複雑さが生じている。製品やソフトウェア・ライブラリに脆弱性が発表されたとき、セキュリティ・チームがその脆弱性を特定し、カタログ化するのに何日も何週間もかかるわけではない。その作業は前もって行わなければならない。資産可視化プログラムもこの議論に含めることができる。資産可視化プログラムは、セキュリティ・チームに資産に関する洞察を与え、インストール済みソフトウェアのカタログと両方の長所を組み合わせることができるからである。
閉会の辞
このホワイトペーパーでは、ランサムウェアが世界の大手企業2,000社に与える影響を調査しました。ランサムウェアの標的はこのリストよりはるかに多くの組織ですが(結局のところ、お金はお金です)、リソースを持つ企業がランサムウェアの脅威にどのように対処しているかを見てみる価値はあります。収益とサイバーセキュリティへの投資はイコールなのだろうか?組織のネットワークにより大きな標的を置くのか?その両方なのか、あるいはそれ以上なのか?
私たちは、非見識的な攻撃であるにもかかわらず、公に知られているG2Kランサムウェアの侵害から学んだ教訓は、他の組織がより強力な防御を実装するのに役立つと考えています。リモートアクセスのようなプロトコルをロックダウンし、強力な可視化と脆弱性管理プログラムを実装することは、敵の大きな抑止力になり得る。情報に精通したセキュリティ・チームは、常に「戦闘」に備え、ランサムウェアを含むあらゆる脅威に立ち向かうことができる。
---
1 小見出しのG2Kランキングは、フォーブスの2021年グローバル2000リストより抜粋。
