二重脅迫型ランサムウェアの増加

攻撃者が何百行ものコードを解読してネットワークに侵入しなければならなかった時代は過ぎ去りました。今日の脅威アクターは侵入するのではなく、ログインします。

現在、サイバー犯罪者が集まるマーケットプレイスでは240億を超えるユーザー名とパスワードのセットが公開されています。脅威アクターは正規の資格情報を利用してログインし、ネットワーク全体を水平移動してデータストアにアクセスすることができます。攻撃者は正規ユーザーを装って、あらゆる規模の組織にたやすく侵入できます。さらに悪いことに、多くの場合、この種の攻撃は検知されないままとなります。

システムに侵入した悪意あるアクターはしばしば、二重脅迫として知られる手法に頼ります。二重脅迫はランサムウェア攻撃の一種で、昨年120%増加しています。二重脅迫は2段階攻撃となっていて、攻撃者はデータを暗号化するとともに、追加的手段としてデータを持ち出します。

かつては、悪意あるハッカーは重要データを暗号化し、復号鍵との引き換えに身代金を要求していました。セキュリティ/ITチームが事前にデータをバックアップしておけば、必要なのはただバックアップを復元することだけでした。しかし今日の二重脅迫では、攻撃者がシステム内のデータを使えなくするだけでなく、データを窃取して、そのデータを「売る」「公開する」などといって脅迫します。このようなケースでは、バックアップの活用だけでは十分ではありません。

二重脅迫からデータを守るには、二面的なサイバーレジリエンスのアプローチをとってデータセキュリティを確保する必要があります。避けられないものであるサイバー攻撃から守るための事前防止策に加え、セキュリティ/データガバナンスチームはレジリエンスと復旧に関する戦略を策定しておくことが重要です。

二重脅迫型ランサムウェアとは?

二重脅迫型ランサムウェアはサイバー脅威の特に脅迫的な形態です。単に被害者のデータを暗号化するだけだった従来のランサムウェア攻撃とは異なり、二重脅迫型ランサムウェア攻撃ではさらなる脅迫のステップを講じています。この種の攻撃において、サイバー犯罪者は被害者のデータをロックして利用できなくするだけでなく、データを窃取します。この2本柱のアプローチにより、攻撃者は身代金要求に応じさせるためのさらに強力な手段を手に入れ、各セクターに非常に大きな脅威をもたらしています。その危険性は、重要データへのアクセス喪失と機密情報の漏洩の可能性という二重のリスクにあります。

二重脅迫や類似の脅威により、組織の半数がデータ損失を経験しています。

二重脅迫型ランサムウェアの手口

二重脅迫型ランサムウェアは被害者への脅威を増大させる2段階のプロセスで行使されます。最初に、サイバー犯罪者はさまざまな手法(フィッシングメールや弱いパスワードへのブルートフォース攻撃など)を用いて、被害者のネットワークに侵入します。

サイバー犯罪者は侵入後すぐに、ファイルを暗号化するランサムウェアを起動させたりはしません。代わりに、この悪意あるアクターはまずネットワークから重要データを抜き取ります。この重要データには、顧客情報、財務情報、知的財産などの価値の高い機密データが含まれている可能性があります。

データを窃取してから、攻撃者はランサムウェアをデプロイして被害者のファイルを暗号化するという攻撃の第2段階に取りかかります。これにより、被害者は自組織のデータにアクセスできなくなります。

その後、被害者は、暗号化されたファイルへのアクセスを回復しなければならない、また盗まれたデータが不正な用途(一般への流出やダークウェブでの販売など)に使用されることを阻止しなければならないという、二重の脅威に直面することになります。サイバー犯罪者は、復号鍵と、盗んだデータを公開しないという約束の両方と引き換えに、身代金を(通常は暗号通貨で)要求します。

このデータ暗号化とデータ窃取の組み合わせにより、「二重脅迫」と名付けられ、特に危険なサイバー攻撃の一形態となっています。

二重脅迫型ランサムウェアが今日のクラウドベース企業に与える影響

現代の企業は日々、膨大な量の重要データを生成しています。このデータはさまざまな部署、オフィス所在地、クラウドのリージョン、SaaSアプリケーションなどに分散しています。現代は「データの民主化」の時代であり、組織はデータを必要とするすべての従業員、そして関係のあるサードパーティーベンダーや請負業者が保有データにアクセスできるようにすることを目指しています。

データの民主化と今日のクラウドベースの企業モデルのために、IT/セキュリティチームにとっては、ネットワーク上にあるすべてのデータを追跡することはますます困難になっています。開発者やデータサイエンティストは頻繁に新しいデータストアをスピンアップし、機密データの移動、変更、複製などを、多くの場合、セキュリティチームやITチームが知らないうちに行っています。これにより、ユーザーが複数のデータストアに機密データをばらまく(多くの場合、故意ではない)可能性がもたらされ、そのデータにアクセスできるユーザーが増える可能性があります。

絶えず変化しているクラウド環境により、攻撃対象領域は大幅に拡大していることから、脅威アクターにとって、二重脅迫型ランサムウェア攻撃の実行、ユーザーの資格情報の悪用、クラウドストレージの侵害、そして最終的には組織の機密データ、および組織が把握していない「シャドー」データを悪用することは容易となっています。攻撃者がデータの窃取に成功すれば、企業は多くの財務的、風評的、法的な被害に直面する可能性があります。

Rubrikの「Ransomware in Focus」の調査結果によれば、CISOは以下のような理由により、ランサムウェア(二重脅迫型ランサムウェアを含む)について懸念しています。

  • 機密データの流出

  • ランサムウェア攻撃を受けた後の事業の復旧や修復にかかる莫大なコスト

  • 事業中断による収益損失

  • ブランドの評判に関わる損害

ランサムウェアはビジネスへの重大な影響を引き起こすため、ほとんどのCISOはランサムウェアを最も深刻な脅威と捉えています。

マインドセットを変える:サイバー防御からサイバーレジリエンスへ

二重脅迫型ランサムウェアに対応するには、企業はサイバーセキュリティについての考え方を変える必要があります。

従来のサイバーセキュリティのアプローチでは、脆弱性や設定ミスに対するパッチ適用や異常の修正、不正なネットワークユーザーを排除することなど、防止対策に重点を置いています。しかし、今日の脅威アクターは通常、一時的なクラウド環境では「見過ごされてしまう」、ささいなミスを利用します。

たとえば、機密データへのアクセス権を持つ従業員がフィッシング詐欺に引っかかって、自身の資格情報を明かしてしまうかもしれません。あるいは、開発者が手っ取り早く問題を解決しようとして、機密情報をパブリックアクセス設定になっているS3バケットにうっかりコピーして、あとで削除することを忘れてしまうかもしれません。

攻撃者がシステムに侵入するのを防ぐだけでは十分ではありません。今日の企業は、セキュリティインシデントは発生するものと想定して対策を立てることも必要です。侵入者からデータを守り、事業運営をできるだけ早く復旧させるための行動指針を策定する必要があります。

「議論の枠組みを変える必要があります。防止対策は確かに重要ですが、それにのみ依存して計画を立てることはできません。攻撃は避けられないということを前提とした戦略的なサイバー防御構想を持つことが必要です」。– Bipul Sinha(Rubrik CEO)

サイバーレジリエンスへの多角的アプローチ

二重脅迫型攻撃に対するサイバーレジリエンスの強化においては、次のような多角的アプローチが必要になります。すなわち、堅固なデータ保護とサイバーリカバリ機能によるデータ削除への対応策、データセキュリティ態勢管理(DSPM)によるデータ窃取の防止などです。

Rubrik Security Cloudでは、完全に隔離されている、書き換え不可のアクセス制御されたバックアップと、侵害が成功した場合の復旧ワークフローにより、データの保護と復元を実現します。さらに、Rubrikの一員であるLaminar Securityにより、データセキュリティのベストプラクティスを適用し、データ脅威検知、データオブザーバビリティを備えたDSPMソリューションが提供されます。Laminarのプラットフォームは以下をサポートします。

  1. 冗長データの排除:Laminarは冗長データの特定と削除に関して組織を支援します。冗長データの排除により、組織環境の攻撃対象領域を縮小し、監視・保護しなければならない機密データ量を減らせることで、データ侵害リスクを最小限に抑えられます。

  2. DAGによる最小権限の原則の適用:Laminarのプラットフォームは、過剰なアクセス権の付与に伴うリスクの軽減において何よりも重要な最小権限の原則を適用します。DAGによって、ユーザーおよびマシンによる機密データへのアクセスを制御し、最小権限の原則を確実に遵守することで、データの露出を抑え、データ流出の副次的影響を制限します。こうすることで、ユーザーおよびシステムはタスクの実行に必要なアクセス権限のみを持つようになり、データセキュリティ全般を強化できます。

  3. データ検知・対応(DDR)機能による損害の最小化:高度な脅威検知機能を備えていることで、Laminarのプラットフォームは異常なデータアクセスや疑わしいアクティビティなどのデータ脅威の可能性をすばやく特定できます。DDRアプローチを採用することで、組織に対して侵害の可能性についてのアラートをリアルタイムで発するため、組織は脅威をすばやく封じ込め、損害の可能性を最小限に抑えることができます。

RubrikとLaminarは連携して、攻撃にリアルタイムに対応し、できるだけ早期に復旧して稼働するのに必要なサポートを組織に提供します。

サイバーレジリエンスに向けて次のステップに踏み出す用意はできていますか?

DSPMによって、どのようにプロアクティブなサイバーレジリエンスの構築がサポートされ、企業が機密データの安全を確保できるように支援されるのかについてご確認ください。