ロシアがウクライナに侵攻し、サイバー攻撃を開始したとき、マイクロソフトのパートナーたちが立ち上がったのを見たときは、勇気づけられたものです。米国やその同盟国に対する攻撃はまだ報告されていませんが、特にロシアに対する制裁が強化される中、私たちの集団的な準備について考えずにはいられません。
米国国土安全保障省傘下の連邦機関であるCISA(Cybersecurity and Infrastructure Security Agency)は、この紛争を注意深く監視し、連邦捜査局(FBI)と協力して素晴らしい資料をまとめています。
このブログでは、CISAの主要な提言のいくつかを紹介し、Lookout を代表して、いくつかの見解を述べたいと思います。
私たちは皆、つながっている
今日、私たちは密接に相互接続された世界に住んでおり、どの国も他の国よりつながりが弱いということはありません。その結果、当初ウクライナの政府機関やインフラに向けられたサイバー脅威は、サプライチェーンへの攻撃やランサムウェアなどの高度なマルウェアの展開など、容易に他国を標的とすることが可能になっています。
5年近く前、ウクライナの団体を狙ったロシア絡みの一連のランサムウェアは 、結局60カ国以上の市民に影響を与え、49,000台のコンピュータを破壊し、船会社から病院まであらゆる規模の組織に影響を及ぼしました。ロシアが使用した武器は、ランサムウェアのように振る舞うマルウェア「NotPetya」でしたが、実際の動機はシステムを破壊することにあります。
サイバーレディネスには全体的なアプローチが必要
ロシアをはじめとする国家レベルの脅威者がサプライチェーンを侵害したり、ランサムウェアを展開したりするには、インフラへのアクセスを獲得し、横方向に移動する必要があります。
これらのリスクを軽減するには、キルチェーンの早い段階でこれらの攻撃を特定し、阻止することで実現できます。つまり、リスクの高い、または侵害されたエンドポイントやアカウントからのアクセスをブロックし、横方向の動きを止め、継続的に監視して、脅威を探し出すのに役立ちます。
フィッシング詐欺の温床
COVID-19のパンデミックと同様に、ウクライナ戦争は、攻撃者がソーシャルエンジニアリング攻撃に活用するイベントです。クリックを誘うような見出し、偽の人道的活動、メディアを装ったアカウントなど、攻撃者は、個人や企業のユーザーを騙してマルウェアをダウンロードさせたり、ログイン情報を引き渡させたりするための仕掛けに工夫を凝らすことでしょう。
戦争を魅力的なイベントとして利用するフィッシング・キャンペーンに、誰もが厳重に警戒する必要があります。 従業員に警告を発し、このような攻撃がどのようなもので、どのようにすれば従業員のデバイスを保護できるかを教育してください。また、アプリやデータの接続に使用されるすべてのデバイスにアンチフィッシングを導入することをお勧めします。
セグメンテーションは、横方向への移動に対して有効である
脅威者は、破壊を加える前に、まずインフラを横方向に移動して、さらに悪用できる脆弱性や、盗むべき機密データ、人質となるべきデータを見つける必要があります。このような理由から Zero Trustきめ細かな条件付きアクセスを導入できるアーキテクチャを構築します。
Zero Trust の考え方を効果的に適用するには、ユーザーと彼らが使用するエンドポイントのリスク評価を自動化し、感度レベルに基づいてアプリケーションとデータへのアクセスを調整します。要は、不要なアクセスは与えないということです。例えば、仮想プライベートネットワーク(VPN)を使ってユーザーにアクセスを提供すると、ユーザーは単一のアプリケーションに接続する必要があるだけなのに、ネットワーク全体にアクセスすることになります。ユーザーアカウントやエンドポイントが侵害された場合、アクセスを細分化することで横方向の動きを制限することができます。これにより、脅威者がそのアカウントやデバイスを使用して、インフラストラクチャの残りの部分を移動し、追加のアプリや機密データにアクセスすることはできなくなります。
継続的なモニタリングにより、脅威ハンティングを向上させることができる
これまで述べてきたすべてのアクティビティを継続的に監視することが重要です。ユーザーやデバイスのリスク・レベルは瞬時に変化するため、継続的にログを取得し、リスク評価を行うことで、生産性を低下させることなく、セキュリティ対策を強化することができます。
多くのインシデントは迅速に解決できますが、APT(Advanced persistent threats)を検知・阻止するためには、多くの場合、プロアクティブな脅威ハンティングが必要となります。CISAがガイダンスで指摘したように、これはウクライナとの接続を持つ組織にとって特に重要です。また、継続的にログを取ることで、何か起きたときのためにフォレンジック調査を行うための証拠も手に入れることができます。
サイバー脅威は紛争地域だけにとどまらない
相互接続された世界では、地域紛争が他の場所、特にサイバースペースで容易に広がる可能性があります。サイバー対策は、組織だけが行うべきものではありません。特に、攻撃者はこの機会を利用してフィッシング攻撃を行うので、個人も同様に準備する必要があります。