ランサムウェアはインターネットの普及初期から懸念されてきた問題です。しかし、今日の脅威はかつてないほど大きくなっており、コストも増大しています。
実際、 IBM の最新の「データ侵害のコスト」レポートによると、 2023 年のデータ侵害の平均コストは 1 件あたり 445 万ドルでした。一方、攻撃によるダウンタイムの平均は 19 日近くに及んでいます。内部監査人協会(Institute of Internal Auditors)が昨年、「サイバーセキュリティ、ITガバナンス、データセキュリティ」を今年のトップ・ビジネス・リスクと呼んだのも不思議ではありません。
自社とデータ、そして収益を守るため、多くの企業がランサムウェア・ソリューションを見直しています。
ランサムウェア攻撃の急増
IT セキュリティ企業の Sophos 社が最新の「ランサムウェアの現状」レポートで報告したところによると、3 分の 2 の企業が昨年ランサムウェア攻撃を経験している。そのうち 84% の企業が損害を被ったと報告しています。
「有名な話ですが、Willie Sutton 氏が銀行を襲ったのは、そこにお金があるからだと言っていました」と Recorded Future のランサムウェア研究者である Allan Liska 氏は語っています。「現在、ランサムウェア攻撃は金のあるところで起こるのです」
その理由のひとつがソーシャルメディアです。多くの人が自分のプロフィールに個人情報だけでなく、勤務先の企業情報も掲載しているため、攻撃者にとってランサムウェア攻撃は限りなく実行しやすくなっています。
「攻撃者にとって最大の標的は LinkedIn です」と Liska 氏は言う。「フィッシング・メールを送ろうと思えば、会社名を入力すれば、その会社の従業員と業務内容のリストが表示されます。その会社の E メール・フォーマットを把握するだけで、フィッシング・リストを作ることができるのです」
問題をさらに深刻にしているのは、多くの企業が旧態依然としたサイバーセキュリティ対策を続けていることだと、AppViewX 社の製品マーケティング担当バイスプレジデントの Christian Simko 氏は指摘します。
「ほとんどの企業は、従来の城のようなアプローチをとっています」と Simko 氏は述べています。
「サーバー、データ、重要なビジネス・アプリケーションなど、自分の城にあるすべてのものを取り囲み、境界を強化する。クラウドやコンテナ化された環境では、境界は曖昧になっています。データやアプリケーションはあらゆる場所にあります。その境界はどこにあるのでしょうか」
進化するランサムウェア・ソリューション
Nutanix の製品マーケティング担当ディレクターである Tuhina Goel 氏は、より新しく、より洗練されたランサムウェア攻撃の標的は、企業の大切な資産である「データ」であると述べています。彼女は、企業は従業員教育や、潜在的な脅威を監視してブロックする Nutanix Data Lens のようなツールを使用するなど、データセキュリティに対する様々なアプローチを取っていると語りました。
「驚くべき統計結果と進化する脅威を踏まえ、 CIO 、 CISO 、 IT 部門は、悪質業者や内部の脅威からデータを守るため、データ・ストレージの保護強化に注力しています」と Goel 氏は述べています。
「Nutanix Data Lens を活用した当社のアプローチは、積極的な監視、検出、対応、回復を行う NIST サイバーセキュリティフレームワークに沿ったものです。このフレームワークにより、企業は攻撃の範囲を判断し、迅速に対応することで、サイバーセキュリティのリスクを管理できるようになります」
彼女は、決定的な解決策はないと言っています。
「それは多段階にわたる入念なプロセスです」と彼女は語っています。「社員のトレーニングから始まり、インシデント・リカバリ計画を立案します。ベンダーのセキュリティを確保し、定期的なセキュリティ監査を実施します。攻撃が起こるかどうかは問題ではありません。いつ起こるかわからないのです」
ウイルス対策ソフトウェアのような試行錯誤の防御策に加え、サイバーセキュリティの脆弱性を発見し、ランサムウェア防止のベストプラクティスを実施するのに役立つ倫理的なハッカーで構成される「レッドチーム」によるランサムウェア攻撃のシミュレーションに、企業の関心が高まっています。特定の脆弱性を探し出すペネトレーション・テストとは異なり、レッドチームは企業の防御のあらゆる場所に穴を見つけます。
ハイブリッド・クラウドの採用と AI 機能の向上に伴い、企業はパブリック・クラウドとプライベート・クラウド、オンプレミ・データセンターを混在させてデータを保存するようになっています。ハイブリッド・クラウドの導入により攻撃対象は増えるかもしれませんが、企業は無力ではありません。予防策として、プライベート・クラウドを利用したオフライン・バックアップの作成、一般的な攻撃ポートの無効化、多要素認証の導入などが挙げられます。
マルチレイヤーのアプリケーションやデータセンターを別の環境に移すことで、レッドチームは無停止のリハーサルを行い、クラウドの構成、セキュリティ、アイデンティティとアクセス管理などを分析できるようになります。
例えば、レッドチームのランサムウェア・アプローチでは、クラウド内のインフラ・スクリプトやセキュリティ・エンドポイントを分析すると同時に、フィッシングや ホールディングのシミュレーションを実行することができます。誤作動を発見することで、企業はランサムウェアのソリューションをリバースエンジニアリングすることができるのです。
Goel 氏によれば、クラウドベンダーもまた、モニタリングに力を入れ始めているといいます。
「サイバー・ストレージ』という新しい言葉があります」と彼女は言う。「ストレージ・ベンダーとしては、データの脅威、つまりストレージ・レベルでのランサムウェアの脅威など、あらゆる種類の脅威に対してアクティブな監視とブロック検知を提供しなければなりません。今、私たちはもっと深いところまで踏み込んでいます。ベンダーは、このようなサイバーセキュリティモデルを提供することが期待されています」
Liska 氏はもうひとつの課題について語ってくれました: レッド・チームに情報を提供する際、企業はネットワーク資産管理における何かを見落としがちです。「レッド・チームの真のテストでは、外部と内部の状況を把握してもらう必要があります」と彼は言う。「レッドチームは、あなたが知らなかったことを見つけるかもしれません」
レッドチームの最大の利点は、おそらくスピードです。「攻撃をどれだけ早く軽減できるか、あるいは根本原因を見つけられるか」と、Simko 氏は問いかけ、準備を怠ると、評判と財務の両方に大きな代償を払うことになると同氏は言います。「企業が身代金を支払うのは、それを軽減するのが大変だからです。一度侵入されてすべてを暗号化されてしまえば、そのデータを破ることはできないのです」
ランサムウェア対策のベストプラクティス
サイバー攻撃者は、「弱点があると判断した」企業を標的にする、と Simko 氏は指摘します。ランサムウェアへのレジリエンス(耐障害性)を高める方法でこれらの弱点に対処するには、テクノロジーだけでなく人材も必要です。
『Ruse: Ruse: Lying the American Dream from Hollywood to Wall Street』の著者である元企業スパイの Robert Kerbeck 氏は、このような状況を間近で見てきた人物です。大手企業は彼を雇い、ライバル企業の幹部を装って従業員に電話をかけ、ソーシャル・エンジニアリングを使って貴重な情報を引き出します。
「ソーシャル・エンジニアリングは、ランサムウェア攻撃の常套手段です」と Kerbeck 氏は言います。「サイバーセキュリティで最も弱いのは人間であり、これからもそうである」
Kerbeck 氏は、ほとんどのランサムウェア攻撃には 3 つの共通点があると指摘します。第一に、攻撃者が権力者を装っていること。第二に、緊急感を煽るような時間的プレッシャーがあること。最後に、多くの場合、FOMO(Fear of Miss Out:取り逃がすことへの恐れ)という陰湿な形があります。社員はチームプレーヤーでありたいと思い、コンプライアンス違反の影響を心配するようになります。
ランサムウェアへの回復力を高めるために、企業はこれら 3 つのレッドフラッグすべてについて 社員教育を行う必要があります。
「レッドチームが侵入テストを行っていて、ソーシャル・エンジニアリングの一部を含まないのであれば、それは時間とお金の完全な無駄です」と Kerbeck 氏は言います。
さらに、トップである CEO から現場のインターンに至るまで、チーム全体を教育対象としなければなりません。
「セキュリティーは一人の責任ではありません。「すべての人の責任です」と Goel 氏は語っています。