ランサムウェア対策はインシデントの発生前に

This post is also available in: English (英語)

最近のREvilランサムウェアギャングによるKaseya VSAへの攻撃では、Kaseyaの多数の顧客も攻撃対象となりました。Kaseyaは自社の顧客にプラットフォームの利用を停止するよう緊急提言を出し、多数の顧客がその求めに応じました。これを受け、弊社のグローバルな攻撃領域を管理するプラットフォームCortex Xpanseは、インターネット上で攻撃者の目に触れる脆弱なKaseyaサーバー数が96パーセント減少したことを検出しました。7月2日時点では約1,500台だったのが7月8日にはわずか60台にまで減少したのです。

こうした対応のおかげでそれ以上の感染を防ぐことはできたものの、同時に残念な事情も垣間見えてきました。アラートをあげて重要ソフトウェアへのアクセスを慌てて遮断するというのは拡大するランサムウェアの蔓延に対抗するうえでの最善策とはいえません。泥縄式のランサムウェア対応では事業への影響は避けられません。そもそも、目標は攻撃や事業への影響を未然に防ぐことにあるはずです。つまり、ランサムウェアへの備えをはじめるならば攻撃を受けるの今が最適なタイミングだということです。

ランサムウェアの脅威は拡大する

REvilの攻撃は、グローバルなランサムウェアギャングが質量ともに成長を続けていること、彼らがより大胆になっていること、きわめて大規模で利益率の高い攻撃を仕掛けられるよう、彼らが自らを変えつづけていること、これらを示した最新の兆候といえます。それもそのはず、投資へのリターンは目を見張るものがあり、捕まるリスクがほとんどないのです。

REvilのこの最新のインシデントで私たちはさらなる学びを得ました。それはいってみればランサムウェアの卸売とでも呼ぶべきアプローチで、彼らはKaseyaの直接の顧客を少数感染させ、Kaseya自体にたった1度攻撃を行うことで、彼らの先のクライアントの多くを感染させてしまったのです。(攻撃に関するアップデートで、Kaseyaは「60社未満」の直接の顧客が影響を受けたこと、さらにその顧客の顧客である「1,500社未満のダウンストリームビジネス」が影響を受けたことを説明しています)。このときREvilは、被害者が誰でも使える汎用の復号鍵と引き換えに、一括で7,000万ドル(日本円でおよそ77億円。その後は減額して5,000万ドル、日本円では55億円)という目を見張るような身代金を要求しました。

6年前は身代金要求額は平均で1万ドル程度でした。また去年でいえば、2021 Unit 42 ランサムウェア脅威レポートで平均身代金要求額が約85万ドルに上ったこと、その年の最高支払額が500万ドル以下だったことが報告されています。

侵害の懸念があり、弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡ください (ご相談は弊社製品のお客様には限定されません)。

ランサムウェア対策は事前準備から

火災や地震などの自然災害を想定した事業復旧計画をお持ちの方は多いと思います。ランサムウェア攻撃も自然災害に類する影響を事業に与えるものですので、自然災害同様の備えをしておく必要があります。まずは自分自身に次のような質問をしてみてください。

  • 攻撃者の立場で考えてみる。皆さんと同じくらい組織に精通している場合、何をされると一番困りますか。どのデータについて検討・保護しておく必要がありますか。
  • ランサムウェア事例の発生時に備えたインシデント対応計画やプレイブックは作成済みですか。組織の人員や新たに導入された技術などでなにか変化はありましたか。最後にインシデント対応計画やプレイブックの検証と修正を行ったのはいつですか。
  • シミュレーション、ペネトレーションテストを実施して検知機能や応答機能のプロセスを検証しましたか。計画と標準作業手順との間できちんと整合性が取れていましたか。
  • バックアップは取っていますか。最も重要なデータのバックアップはオフラインとオフサイトの両方で行われていますか。復旧テストを実施してバックアップが想定したとおりに動作することを確認しましたか。
  • 最後に、最悪の事態に備えてサイバー保険とインシデントレスポンスリテーナーを用意していますか。

重要なのは、ランサムウェア攻撃を受けた「後」に変更するであろうことを「予め」考えておき、実際の攻撃の「前」にその変更を行っておく方法を考えることです。皆さんには反撃できる力があります。でもそれは初めの備えありきです。

サイバーセキュリティの専門家チームにRansomware Readiness Assessment(ランサムウェア対応評価)を依頼することも検討しましょう。攻撃に対してどの程度の備えがあるかを診断し、机上演習を実施し、修正すべきセキュリティ問題点を特定できます。