ランサムウェア攻撃からの防御は、今や、IT管理者、CISO、CEOだけでなく政府やあらゆる個人にとって最優先事項となっています。ランサムウェアは、決して新しい問題ではありません。しかし、ここ数ヶ月の一連の容赦ないランサムウェア攻撃がもたらした破壊的な影響により、この問題は、再び全世界から着目されています。
攻撃手法が巧妙化、高度化する中で、企業は、修復不可能な損害がもたらされる前に、包括的な予防と保護を行えるように、セキュリティ戦略の抜本的な見直が迫られています。
ランサムウェア – 依然として被害は拡大の一途でとどまることを知りません
2021年3月、ニューヨークでは、バッファロー公立学校が、システムに対するランサムウェア攻撃により1週間閉鎖されてしまいました。その月、台湾を拠点とするPCメーカーも攻撃を受け、攻撃者から5,000万ドルの身代金が要求されました。米国最大の保険会社の1つであるCNAも、ランサムウェア攻撃に見舞われ、ブルームバーグによれば、攻撃者に4,000万ドルの身代金を支払っています。また、アイルランドの公衆衛生サービスは、ランサムウェア攻撃の結果、ITシステムが遮断され、医療サービスに大きな混乱を引き起こしました。このような傾向が続いた後に、かの悪名高いコロニアルパイプライン攻撃では、米国東海岸の大部分への燃料供給が数日間中断され、さらには、米国の大手牛肉メーカーであるJBSは、全世界で操業停止に追い込まれました。その後も、全世界で多くの被害が続いています。
この前例のないランサムウェア攻撃の急増に対応して、米国政府では国家のサイバーセキュリティの改善に関する大統領命令を発行し、米国の企業や政府に対して横行するランサムウェア攻撃への包括的な対応を行うために省庁間のタスクフォースが結成されています。その内容としては、ランサムウェア攻撃の識別、抑止、保護、検知、対応の機能の開発が挙げられています。具体的な対策としては、ランサムウェア攻撃の原因となるサイバー犯罪活動の積極的な阻止、身代金を支払うための暗号通貨の使用制限、ゼロトラストアーキテクチャの採用のように攻撃を阻止するためのより優れたセキュリティアプローチの義務付けなどの戦術が掲げられいます。
攻撃者の初期侵入の方法
ランサムウェア攻撃や、その他のほとんどのマルウェア攻撃を防御するには、攻撃者がネットワーク上に足掛かりを作ろうとしているのを、防御側が阻止していく必要があります。足掛かりとなるのは、言うまでもなくエンドポイントです。兆候を知るためにネットワークトラフィックや、ネットワーク上のデバイスのさまざまなログをとっていたとしても、それらはあくまでも断片的な情報でしかなく、分析調査して検知するのは困難です。最終的には、エンドポイントでの振る舞いが鍵なのです。つまり、エンドポイントのセキュリティの防御、検知、そして修復が最も重要な戦略なのです。
大まかに言えば、攻撃者は通常、次の2つの戦術のいずれかを使用してネットワークに対して初期侵入を行います。
- 被害者のネットワークの脆弱性の悪用:脆弱性を悪用するということは、悪意のあるコードを展開するために利用できるソフトウェアの欠陥やバグを見つけることや、攻撃者にコードを展開するためのエントリポイントを与える構成の誤りを発見することを意味します。このような脆弱性は、たとえばクラウドリソースの設定ミスや、サードパーティの依存関係によって発生する可能性があり、サプライチェーン攻撃による侵害につながる可能性があります。
- 有効なアカウントへの不正アクセスの取得:有効なアカウントへの不正アクセスは、ソーシャルエンジニアリングを介してユーザーアカウントへの資格情報を窃取することによって実現されます。
従来型のエンドポイントセキュリティ製品を利用している限り、攻撃者は容易に初期侵入を行うことができてしまうため、ランサムウェア攻撃が急増している中で、データを安全に保護することが非常に難しくなっています。攻撃者は、今まで通りの方法で、さまざまな工夫を凝らして、悪用する脆弱性とだまされるユーザーを探して見つけていくだけです。
多層アプローチによる侵害の防止
次世代型のユーザー認証プラットフォームとAIベースのエンドポイント保護なら、ランサムウェアに対するより優れた対策が可能になります。パスワードベースの認証やAV署名に基づいて構築されたエンドポイント保護のような、従来型の旧世代のソリューションは、今日のランサムウェアを阻止することは不可能です。防御にとって一番重要なのは、初期侵入を阻止することにあります。それでは、この次世代型のセキュリティソリューションが、ランサムウェア対策でどのような効果があるのか具体的に説明します。
戦術#1:攻撃に強いユーザー認証プラットフォームの展開
ランサムウェア攻撃の多くは、有効なアカウントの資格情報の解読や窃取により、被害者のネットワークに最初の足がかりを作ります。これを効果的に防ぐには、堅牢なユーザー認証クレデンシャルが必要です。これは、推測や解読、窃取が困難なクレデンシャルです。
たとえば、コロニアルパイプラインに対する今年初めの攻撃では、有効なアカウントへのアクセスにより攻撃者が初期侵入を行っています。同様に、MAZEやその他の人間が操作しているランサムウェアの攻撃エントリポイントは、多くの場合、RDPを介してアクセスされているか、もしくは、弱いパスワードでCitrixWebポータルアカウントにログインするインターネット向けシステムに使える窃取されたパスワードが利用されています。
従来の多要素認証(MFA)アプローチは、パスワードに固有のセキュリティの脆弱性に対処するのに役立ちますが、だとしても、基本的に人間のユーザーが覚えておくことに依存しており、携帯電話ベースのアプローチは100%安全とは言えません。さらに重要なことに、MFAの追加のセキュリティには、ソリューションの所有と運用に多大なコストがかかり、ユーザーに大きな不安がもたらされます。
パスワードレスのMFAなら、資格情報の盗難を防ぐことが可能で、さらに攻撃者がパスワードを推測できないようにできます。パスワードレスのMFAでは、複数の認証要素が使用されますが、従来のパスワードは除外されます。パスワードレスのMFAで最も一般的に使用される認証要素は、ユーザーの登録済みモバイルデバイスと、デバイスの組み込み指紋センサーを介したユーザーPINまたは指紋です。従来のようなパスワードを必要としないようにすることで、即座にセキュリティが抜本的に改善されて、ユーザーエクスペリエンスも向上し、コストも抑えられます。
戦術#2:ランサムウェアの即時検知と検疫、駆除
現実的には、いくら予防策を講じたとしても、攻撃者が境界に侵入してユーザーのデバイスにアクセスすることがないという保証はありません。次善の防衛線は、ダウンストリームのデータ損失や、経済的損失、時間のロスが発生する前に、マシン速度で、エンドポイントレベルで疑わしい振る舞いを検知して封じ込めることができる自律的な保護、検知、対応メカニズムです。
最新のExtendedDetection&Response(XDR)ソリューションなら、ローカルのプロセスをリアルタイムで監視し、その振る舞いを詳細に分析することで、非常に高い精度で悪意のあるコードを特定し、即座に緩和策を講じることができます。このようにして、攻撃が開始された瞬間、つまり攻撃者がコードをローカルメモリから実行したか、もしくはリモートから実行したかにかかわらず、目的のターゲットにアクセスできるようになる前に、攻撃を停止することが可能です。
技術的に見ると緩和策にはさまざまな選択肢があります。状況や組織のポリシーに応じて、システムが、コードのソースを削除したり、関連するすべてのプロセスを強制終了したり、疑わしいファイルを隔離したり、影響を受けたエンドポイントをネットワークから完全に切断したりすることが可能となります。
進行中の攻撃を阻止することは、XDRソリューションの最も重要なタスクですが、役割はそれだけではありません。進行中の攻撃を阻止するための重要な手順を実行した後、ITチームとセキュリティチームは、マルウェアのアクティビティのタイムライン、そのエントリポイントと攻撃ベクトル、影響を受けるすべてのファイルとネットワークのリストを含む詳細なフォレンジックビューを取得する必要があります。管理者は、攻撃を分析して将来の脅威に備えることが可能となり、上司、法執行機関、保険会社にすべての関連データを提供できるようになります。
戦術#3:ランサムウェアによるシステム変更のロールバック
この多層アプローチの3番目の要素は、ランサムウェアの影響を受ける人々にとっておそらく最も重要な要素です。つまり、時計を元に戻し、すべての資産と構成を攻撃前の元の状態に復元すると言う画期的な機能です。この非常に重要なステップにより、攻撃の範囲と深さに関係なく、迅速な復旧が可能になり、完全なビジネス継続性が保証されます。
これまで知られていなかったマルウェアや新しい攻撃戦術は、検知コンポーネントによって自動的に捕捉されたり、ブロックされたりしない可能性があるため、そのアクションを元に戻すことが唯一の安全策です。さらに、リスクはファイルが暗号化されたり削除されたりするだけではありません。マルウェアが、その後の攻撃で利用するために、アクセス許可とセキュリティ構成を変更してしまっている可能性もあります。
このようなマルチステップ攻撃は、企業ネットワークや公共インフラストラクチャを標的とするハッカーによってごく一般的に採用されており、特にリスクの高い脅威をもたらします。これらの長期キャンペーンでは、多くの場合、最初の段階は、休日や重要なビジネスイベントの前後など、特定の日付に攻撃を簡単に実行するための種を撒くことだけを目的としています。攻撃者は、気づかれないようにじわじわと侵入していき、最終的には、被害者を驚かせ、防御側の準備不足をうまく利用して、身代金の全額を支払う以外の選択肢を与えないのです。
悪意のあるコードや疑わしいコードによって実行されたすべての変更を自動的に元に戻すことで、どんなに小さなコードであっても、管理者にセーフティネットを提供し、サイバー攻撃の成功による悲惨な結果から管理者とドメイン全体を保護します。
ランサムウェア防止のための広範なセキュリティスタック
これまでの話を要約すると、サイバーセキュリティアーキテクトとエンタープライズネットワークの防御者の主なゴールは防御することであり、ランサムウェアに関して言えば、防御とは、攻撃者が企業のあらゆる部分に最初に侵入することを徹底して排除することにあります。包括的な戦略として、ユーザー認証攻撃に対する耐性を高め、脅威を即座に検知して駆除し、最後の砦として、検知できなかった攻撃については、攻撃者とそのマルウェアが実行したすべてのアクションをロールバックできるようにすることが重要となります。
ランサムウェア攻撃やその他のセキュリティ侵害は、すべてがエンドポイントから始まっています。エンドポイントの本質的なセキュリティ機能こそが重要なのです。 LenovoのThinkShieldなら、SentinelOneと共に、サプライチェーンセキュリティとOSより下層のセキュリティ機能を組み込んであるため、企業をより適切に保護することが可能になります。 SentinelOneの主要なXDRプラットフォームであるSingularity™なら、リアルタイムでマシンの速度で、エンドユーザーのエンドポイントだけでなくクラウドワークロードのエンドポイントにおけるランサムウェア攻撃を阻止することができます。次世代認証プラットフォームと統合すれば、パスワードへの依存を排除することでユーザーの記憶に頼ることがなくなるので、攻撃者は、ブルートフォースや窃取されたクレデンシャルを使用して認証してネットワークに足がかりを作れなくなります。組織の攻撃対象領域の防御戦略を強化できる非常に説得力のある統合的なソリューションが実現します。