ランサムウェア攻撃が終焉しない6つの理由

最近のニュースをご覧になって、かつてないほどランサムウェア攻撃が増大していることなど、もうご存知のことでしょう。公共部門も民間部門も、いつかは次のターゲットとなる可能性があることが周知の事実となっています。

どうしてこのような状況に陥ってしまったのでしょう?企業は、この20年間ずっと、アンチウイルスソフトを購入してきましたが、それでもこのゲームには敗北なのです。本ブログでは、ランサムウェアのパンデミックが、これで終焉するということではなく、むしろこれからが本格到来であることがわかる6つの重要な理由について説明します。

1. もともと壊れてしまっているWindowsは修正することができません

Microsoft Windowsや関連するエンタープライズソフトウェアには脆弱性が数多くあります。マイクロソフトは、過去3か月だけでも200を超えるバグにパッチを適用する必要があり、そのうち27が重大と評価され、残りの大部分は重大度が重要と評価されています。パッチのリリース前に、少なくとも6つがアクティブな攻撃を受けていました。

今年の3月、MS Exchangeソフトウェアの4つの個別のゼロデイ攻撃により、何千もの組織でセキュリティ侵害が発生しました。これらの欠陥の1つは2013年からMicrosoftExchangeに存在していましたが、他の欠陥は2016年と2019年に遡ります。

Windowsプリンタースプーラーサービスにおける最近のリモートコード実行であるPrintNightmareの脆弱性は、MimikatzやMetasploitなどの一般的なハッキングツールに即座に組み込まれてしまいました。最初にパッチが適用された後でも、研究者はすぐに完全なバイパスを発見してしまっています。FaxHell、Print Demon、Evil Printerなどの同様の脆弱性が2020年に発見され、攻撃者が、今後数年間、このような脆弱性にさらされているシステムを探し続け、見つけてしまう可能性があります。

NTLMリレー攻撃は、何年にもわたって特権昇格の脆弱性の特に大きな要因となっています。最新の改良版のPetitPotamを使用すると、攻撃者は容易に、公開されたドメインコントローラーの環境を完全に乗っ取ることができます。

いくつかのバグは、一度に数十年、さらには何年も隠されたままでした。 CVE-2021-24092は、Windows Defenderの特権昇格の脆弱性です。これは、攻撃者を寄せ付けないようにするためのMicrosoft独自のセキュリティソフトウェアです。この特権昇格のバグは、12年間パッチが適用されていませんでした。

これらすべてのバグが最終的に発見されてパッチが適用されるまでは時間の問題であるに違いないと考えたくなりますが、残念ながらそうはいきません。新しいバグは新しいコードによって導入されます。他のすべての製品と同様に、マイクロソフトはエンタープライズユーザーにとって魅力的な状態を維持するために、新しい機能を開発し、新しいコードを作成する必要があります。最近のHiveNightmare別名SeriousSAM)のローカル特権昇格の脆弱性は、実際にはバージョン1809のWindows 10に導入されています。これにより、標準ユーザーが、セキュリティチームが恐怖に慄くうちに、完全なSYSTEM特権ユーザーに昇格されてしまいました。

HiveNightmareでは、攻撃者がシステムを活用するためにシステムに足場を築く必要がありますが、この欠陥をPrintNightmareなどの他の欠陥と連鎖させると、攻撃者にアクセスと完全なアクセス許可の両方を与えることができます。

脅威アクターの手に渡ると、これらの脆弱性のいずれかを使用して、侵害を支援し、ランサムウェア攻撃を広めることができます。

2. 洗練された攻撃ならいつでも単純なセキュリティを打ち負かせます

バグはさておき、Windowsデバイスの組み込みセキュリティであるWindows Defenderは、今日の高度な攻撃を阻止するには不十分です。 NETRESECによると、OSベンダーが販売するセキュリティ製品の固有の競合は別として(セキュリティはオペレーティングシステムベンダーにとって本当にアップセルになるのでしょうか?)、最近のSunburst / SolarWinds攻撃はWindowsDefenderによって阻止することができませんでした。同サイトには、CrowdStrikeやCarbon Blackを含む一部のサードパーティベンダーでさえも、マルウェアによってバイパスされ、攻撃を検出するために必要な可視性を提供できなかったことが示されています。

もちろん、高度な攻撃は単純なセキュリティ制御を打ち負かすように設計されていますが、ビジネスにとってそれ以下のもので十分でなかった時代は、私たちの背後にあります。洗練されたツールは、もはや国家が支援する脅威アクターのみが使用するものではありません。国家がスパイしたい標的に対してのみ使用するものではないのです。

現代の金融犯罪における脅威の状況は、すべてがレバレッジに関するものです。脅威アクターは、データを販売するか、身代金を支払うか、またはその両方を行うことを望んでおり、データを取得するために必要なツールを購入、開発、および盗む力を持っています。 Shadow BrokersがNSA独自の強力なハッキングツール(WannaCryやNotPetya攻撃に関与したEternalBlueを含む)をリークして以来、犯罪ウェアギャングは、これらの特定のツールを自由に使えるようになっただけでなく、そのようなツールをどのように構築すれば良いかという知識さえ持っています。

さらに、他の人が開発した強力なツールにアクセスするにあたって、洗練された技術を持たない人のために、ダークウェブ上にエコシステム全体が存在しています。ランサムウェア・アズ・ア・サービスとして、洗練されたマルウェアの開発者が、多数のクライアントに販売することができるビジネスモデルでは、関与するものたちそれぞれが、比較的に低い金額を支払っています。これは、とても単純な経済モデルであり、脅威アクターから理解を得て、大々的に悪用されました。

ランサムウェアのアフィリエイトが、単純に制御を無効にできる強力なツールを使用して、列をなして組織にセキュリティ侵害を引き起こしているため、企業のセキュリティ担当者が、人の力に頼って手間のかかる作業を行うことができた時代などもはや過去のものです。高度な攻撃には、ランサムウェア攻撃を防ぐためにマシン速度で自律的に応答できる高度なツールが必要です。しかし、この教訓を学ぶべき組織はまだたくさんあるのです。公共部門と民間企業の両方を苦しめている注目を集めるランサムウェア攻撃が引き続き観測されています。

3. リスクよりも報酬が大きい状況

リスクが低く報酬が高い状況と相まって、バギーなソフトウェアとセキュリティ制御が脆弱な状況が、ランサムウェアを犯罪者にとって魅力的なものにしています。サイバー犯罪者は、当初、企業や組織を攻撃することで生まれる莫大な報酬に気づいていませんでした。消費者に主に焦点を合わせて、300ドルの自動支払い要求を送りつけていたのです。あるサイバーセキュリティコメンテーターは、 2010年に、次のように指摘していたものです。「インターネット上の身代金はインシデントごとに多くのお金を稼ぐことはできないかもしれない。しかし、辛抱強い強奪なら、支払う以外に解決方法のない、罪のない多くの犠牲者に広く網を投げかけることで、なんとか運用できるのだろう。」

状況はその後、どのように変化したのでしょうか。今日、ランサムウェアの恐喝犯罪者は、二重恐喝を通じてはるかに多くの収益を得ています。つまり、一方で、昔ながらのファイルの暗号化、他方ではデータの盗用や被害者への恐喝という2つ手法を組み合わせて攻撃しているのです。もうこれは数字のゲームです。REvilランサムウェアオペレーターは最近、Kaseya VSAソフトウェアのバグを悪用し、ユニバーサル復号化キーに5,000万ドルの一括払いを要求しました。昨年、すべてのランサムウェア恐喝の合計の支払い金額は、暗号通貨で合計約3億5000万ドルに達したと考えられています。

犯罪の歴史は、人々がはるかに低い報酬のために大きなリスクを冒すことを私たちに教えています。銀行強盗は終身刑を言い渡される可能性があり、失敗する可能性がはるかに高くなります。このようなコンピューター犯罪の取り締まりを特に懸念していない国の自宅から行われた米国の機関に対するランサムウェア攻撃は、公園を深夜に散歩するよりもリスクが低くなります。

結論は?私たちが心配しなければならないのは、国民国家が支援する脅威アクターだけでなく、国民国家が容認する犯罪組織でもあります。そして、西部のどこにいてもあなたの平均的なビジネスにとって、後者は非常に現実的で現在の危険です。

What is the True Cost of a Ransomware Attack? | 6 Factors to Consider
The ransom demand may be the headline figure, but it's not the only, or the biggest, cost to bear.

4.暗号通貨が支払いを容易にさせています

暗号通貨は活況を呈しています。否定論者は「暗号通貨バブル」のリスクについて話し続けていますが、犯罪者はそれを匿名性、簡単な現金送金、そして価格が高騰するにつれて富への迅速な道筋として利用できることを喜んでいます。

パンデミックが発生する前は、ビットコインは7,000ドル強で取引されていましたが、世界中で経済が閉鎖された際に、ビットコインは急成長しました。2020年12月までに24,000ドルで取引され、2021年4月に64,000ドルのピークに達し、現在は約46,000ドルで推移しています。バブルは崩壊しそうに見えません。ビジネスを恐喝するサイバー犯罪者にとって、価格が上がるたびに攻撃を続けるインセンティブが高まります。

もちろん、暗号通貨を犯罪者にとって魅力的なものにしているのは、価格の上昇だけではありません。暗号通貨は、犯罪に関与している人なら誰でも、銀行口座よりもはるかに匿名で支払いを受ける簡単な方法を提供しています。これは、暗号通貨が基盤としているブロックチェーンテクノロジーでは、所有権を記録するために人の名前ではなく公開鍵のハッシュを使用されるためです。

犯罪者の支払いを追跡しようとすることの背後には芸術と業界全体がありますが、暗号通貨からハードキャッシュへの変換である「キャッシュアウト」を曖昧にするために、犯罪者側にもたくさんの発明があります。その革新のいくつかは技術的であり、それのいくつかは、シェル企業の銀行口座を通じて資金を洗濯するための試行錯誤された方法にすぎません。この目的のためだけにサイバー犯罪者にサービスを提供している金融犯罪者のギャングは存在するのでしょうすか?きっと存在するに違いありません。

5. 固定的なビジネス慣習によりレガシーAVはなくなりません

サイバー犯罪者は最新のテクノロジーを利用していますが、大多数の企業は、はるか昔に攻撃に打ち負かされているレガシーAVテクノロジーに固執しています。ノートンライフロック、アバスト、マカフィーなどのAVセキュリティスイートは、マルウェアファイルのシグネチャとハッシュに依存した老朽化したテクノロジーで、多くの企業を数年前に他に移行できないように固めていて引き続き市場シェアを維持しています。

これらのレガシーAVセキュリティ制御が普及しているにもかかわらず、2019年だけで推定99億件のマルウェア攻撃があり、2015年の82億件から増加ています。これはサイバー犯罪者にとって大成功と見なすことができますが、サイバーセキュリティの既存のベンダーにとっては、大失敗と言えます。

ビジネスリーダーが企業を保護するためにアプローチを再考すべきだという統計があるのであれば、これよりも優れた統計など考えられません。

証拠は明らかです。脅威アクターは、セキュリティに対するこれらの古いアプローチに適応し、回避してきました。サプライチェーン攻撃、ファイルレス攻撃や、同様なセキュリティ制御のための既知のバイパスまたは回避を伴うエクスプロイトキットは、AVソフトウェアをバイパスする方法についてダークネットフォーラムでニュース、トリック、およびテクニックを交換するランサムウェアオペレーターとその関連会社の間で一般的なものです。研究コンペで賞品を提供するものさえあります。

6. 攻撃がクラウドではなくデバイスで起きている

レガシーAVがそれほど変わっていないのであれば、私たちのネットワークインフラストラクチャは確かに変わっています。オンプレミス、ハイブリッド、IaaS、PaaS、コンテナ化されたワークロードなどのクラウドは、これらの古いAVが最初に考えられて以来、従来からの認識を超えて環境を変化させてきました。これに応じて、新旧両方のベンダーが防御の目的でクラウドを悪用することを考えてきました。すべてのデバイス(物理または仮想)のテレメトリをベンダーのクラウドリソースに送信し、そこで分析できるとしたらどうでしょうか。利点は何でしょう?それは、すべてクラウドの追加された計算能力にあるのでしょう。

テクノロジーを利用して、コア防御を支援または補完することは正しいことです。しかし、エンドポイントデバイスのセキュリティの鍵となるものが、リモートサーバーやリモートで働くアナリストにある筈などありません。それでは、泥棒があなたの家に入るときに、泥棒がそこにいるかどうかリモートの警官が判断するのを待っているしか望みがないようなものです。泥棒はすでにあなたの商品を片付けているかもしれません。その間にどんな損害が引き起こされたか、誰が知ることができるでしょう。

同じことがエンドポイントのセキュリティにも全く当てはまります。従業員のWindows、Linuxワークステーション、macOSラップトップやパーソナルデバイス、オフィスのIoT、会社のサーバー(オンプレミスまたはクラウド)を保護する場合でも、エンドポイントセキュリティソリューションの中心に必要なのは、脅威に対してマシン速度で対応が可能な、デバイスに搭載された自律型のエージェントです。

ランサムウェアの暗号化速度は、犯罪用ソフトウェア(クライムソフトウェア)開発者の間で大きな誇りとなっています。それぞれの新しいサービスが、競合他社よりも速く暗号化して侵入できると主張しています。エンドポイント自体が最小限の遅延なしに自動的にインシデント対応をできない限り、ランサムウェアの問題は解消されることはありません。ベンダーが60秒または1時間後に修復について話しているタイミングは、既に終わったゲームに参加するタイミングです。マシンスピードの攻撃を打ち負かすべき時に、人の力に依存しているようでは改善策などありません。

絶望することはありません。答えはここにあります。

しかし、希望はあります。より多くの人々がこの戦いに勝つ方法を編み出しています。具体的に、その方法では、スピードが重要となります。あまりにも長い間、攻撃者にとって有利な状況が続いてきました。既に見つけられたことがある攻撃にしか防御できないセキュリティを容易に突破するか、アナリストが後で攻撃があったかどうか判断するのを待っているだけで良かったからです。

これらの方法のいずれにも問題はありません。ただし、戦場で自律的に行​​動するように訓練された、より堅牢な振る舞いAIで補完されたものであればの話です。サイエンスフィクションのように聞こえるかもしれませんが、現実にはすでにここに存在しているのです。今日、多くの世界をリードする最大の企業を保護しています。

Singularity XDRプラットフォームが、ランサムウェアの脅威から解放するソリューションの一つであると確信しています。SentinelOneがランサムウェアやその他の脅威から組織を守るのにどのように役立つかについて詳しく知りたい場合、詳細についてお問い合わせいただくか、無料のデモをリクエストしてください。