New

April 13, 2022

-
分で読める

ランサムウェアに襲われたときにデータを守る方法

Firas Azmeh
Firas Azmeh
General Manager, Carrier Business

ランサムウェアは、新しい攻撃手段ではありません。実際、この種の最初のマルウェアは30年以上前に出現し、5.25インチフロッピーディスクを介して配布されました。身代金の支払いには、被害者はパナマの私書箱にお金を郵送する必要がありました。

現在では、ダークウェブ上でランサムウェア・アズ・ア・サービス(RaaS)キットを誰でも簡単に購入・展開できるようになり、クラウドやモバイル技術に依存した結果、攻撃者が組織に侵入する経路は無数に存在するようになりました。

ランサムウェアの攻撃を開始するには、目立たないようにアクセスすることが重要です。そして、従業員がどこからでもデータにアクセスできるようになったことで、従業員がどのようにデータにアクセスしたかを把握することができなくなりました。このような攻撃から保護するためには、単にマルウェアを探すだけでなく、ユーザー、彼らが使用するエンドポイント、彼らがアクセスするアプリケーションやデータに関する継続的なインサイトが必要です。

ランサムウェアの攻撃の解剖を視覚化し、データを保護する方法を理解するためのインタラクティブなインフォグラフィックを公開しました。このブログでは、1)2021年に200億ドルの身代金支払いが発生した情勢と、2)これらの継続的な脅威から組織を保護する方法について設定したいと思います。

どこからでも仕事ができることで、生産性と攻撃者の侵入の両方を向上させます。

データを人質に取るために使われる実際のマルウェアは「ランサムウェア」と呼ばれますが、注目すべきはそこではありません。ランサムウェアを導入する前に、攻撃者はお客様のインフラにアクセスする必要があります。

今日、ユーザーは、あなたが管理していないネットワークとあなたが管理していないデバイスを使用してデータにアクセスしており、あなたが持っていたオンプレミスのセキュリティ対策は時代遅れになっています。 

つまり、脅威者はフィッシング攻撃を仕掛けてユーザーの認証情報を漏洩させたり、脆弱なアプリを悪用したりしても、ほとんど影響を及ぼさないということです。また、一度、お客様のインフラストラクチャに侵入すると、マルウェアを迅速に展開し、持続的なバックドアを作成して、好きなように出入りできるようにします。さらに、特権の昇格が行われると、横方向に移動してデータを人質に取ることを阻止することはほぼ不可能になります。

ステップバイステップ:ランサムウェアから保護する方法

攻撃者がインフラにアクセスしてから身代金を要求するまでには、いくつかの段階があります。これらのステップの概要は、ランサムウェア攻撃の解剖インフォグラフィックに記載されていますが、ここでは、何が起こり、どのように組織を保護すればよいかを大まかに説明します。

1.フィッシング攻撃をブロックし、Web対応アプリを隠蔽する

攻撃者がアクセスする最も簡単な方法の1つは、フィッシング攻撃で認証情報を漏洩させ、ユーザーアカウントを乗っ取ることです。PCとモバイルの両方のユーザーに影響を与えるこれらの攻撃をブロックするために、あらゆるデバイスのWebトラフィックを検査できることが重要です。これにより、ランサムウェアの運営者は、アカウントを侵害することで攻撃を開始できないようにすることができます。

また、脅威者は、インターネットに面した脆弱なインフラや露出したインフラを悪用するために、ウェブをクロールします。多くの組織では、リモートアクセスを可能にするために、アプリやサーバをWeb上に公開していますが、これは攻撃者がそれらを見つけて脆弱性を探すことができることを意味します。このようなアプリを発見されないようにすることは、重要な防御戦術となります。これにより、VPNが提供する無制限のアクセスから脱却し、許可されたユーザのみが必要なデータにアクセスできるようにすることができます。  

2.異常動作の検知と対応 

攻撃者はインフラに侵入することに成功すると、横方向に移動して偵察を開始します。これは、最終的に機密データを暴くことを目的として、さらなる脆弱性を見つけるためです。攻撃者が取り得る手段としては、設定を変更してセキュリティの権限を下げたり、データを流出させたり、マルウェアをアップロードしたりすることが挙げられます。

これらの手順の中には、明らかな悪意ある行動ではないものの、異常な行動と見なされるものがあります。このような場合、ユーザーとデバイスの行動を理解し、アプリケーションレベルでアクセスをセグメント化することが不可欠になります。横方向の動きを止めるには、インフラストラクチャを自由に歩き回れるユーザがいないこと、そしてそのユーザが悪意を持って行動していないことを確認する必要があります。また、過剰な権限や設定ミスを検出し、アプリやクラウドの姿勢の変化を防ぐことも重要です。

3.プロアクティブな暗号化により、データを身代金に使えないようにする 

ランサムウェアの攻撃の最終段階は、データを人質に取ることです。データを暗号化し、管理者を締め出すだけでなく、攻撃者は、レバレッジとして使用するためにいくつかのデータを流出させ、インフラに残っているものを削除または暗号化することもできます。 

流出と影響は、通常、攻撃者が最終的にその存在を明らかにするときです。静止状態か移動中かにかかわらず、彼らがデータに加えた変更は、警鐘を鳴らし、支払いを要求してくるでしょう。しかし、セキュリティ・プラットフォームによってデータがプロアクティブに暗号化され、攻撃者に全く役に立たないようにすれば、彼らのすべての努力を無駄にすることができます。暗号化は、あらゆるデータ損失防止(DLP)戦略の重要な部分であり、文脈に応じたデータ保護ポリシーから暗号化をトリガーすることで、最も重要なデータを危険から保護することができます。    

ランサムウェア対策:ポイントプロダクトと統合プラットフォーム

ランサムウェアの攻撃は一過性のものではなく、永続的な脅威です。組織の安全を確保するためには、エンドポイント、ユーザー、アプリケーション、データで何が起きているのか、全体像を把握する必要があります。これにより、フィッシング攻撃のブロック、Webアプリケーションのクローキング、横方向の動きの検出と対応、そしてデータが流出して身代金を要求された場合の保護が可能になります。

これまで、企業は新たな問題に対処するために新しいツールを購入してきました。しかし、このようなアプローチは、ランサムウェアのような脅威には通用しません。ユーザーのアクセス状況、企業が所有するデバイスの健康状態、データの扱い方について、ある程度の遠隔測定はできるかもしれませんが、セキュリティ・チームは互いに連携しない複数のコンソールを管理しなければなりません。

Lookout では、プラットフォームアプローチの必要性を理解し、DLP、ユーザーおよびエンティティの行動分析(UEBA)、エンタープライズデジタル著作権管理(EDRM)を含むセキュリティサービスエッジ(SSE)プラットフォームを構築しています。 

組織内で起きていることすべてを統合的に把握できるプラットフォームにより、生産性を阻害することなく機密データを保護することを可能にします。当社のSSEプラットフォームは最近、2022年ガートナー社のSSEマジック・クアドラントで「Visionary」に選ばれました。Lookout 、2022年ガートナー社のSSE重要能力ランキングですべてのSSEユースケースで上位3位を獲得しています。

2021年の大規模なランサムウェア攻撃から学べる重要な教訓と、機密データを保護する方法については、ランサムウェアに関する最新のガイドをダウンロードしてご覧ください。

Tags
No items found.
No items found.