暗い雨の夜。雷鳴がとどろき、稲妻が光る。予期せぬ犯罪の発生をきっかけに、陰謀と欺瞞に満ちた謎解きが始まる――。
これが小説であれば、精巧なミステリーを紐解く「犯人捜し」を楽しめることでしょう。しかし、この犯罪がランサムウェア攻撃であり、脅威アクターが組織のネットワークを侵害してすべてのファイルを暗号化し、業務を復旧させる条件として即時の支払いを求める脅迫状を電子的に残しているとしたら、事情はまったく異なります。
金銭だけではないランサムウェアの代償
2021 年にはランサムウェア攻撃の平均コストが 185 万ドルに達し、前年よりも 41% 増加していました。このコストには、身代金、ダウンタイム、個人の時間、デバイスのコスト、ネットワークのコスト、機会の損失などが含まれます。しかし、金銭的なコストや風評被害の他にも、企業があまり話題にしない別の影響もあります。それは、リーダーシップ層の離職です。最近の調査では、ランサムウェア攻撃を受けた組織の 32% で、経営幹部レベルの従業員が離職していることが明らかになっています。さらに手痛い事実として、標的となった組織の 80% は攻撃を繰り返し受けていることもわかっています。
こうした現状を受け、SANS Institute の上級インストラクター Jake Williams 氏と BlackBerry のインシデント対応およびフォレンジック担当主任コンサルタント Ryan Chapman は最近、SANS Web キャストを開催し、ランサムウェア攻撃のさまざまな段階や、組織が脆弱性を緩和するために実施できる対策について解説しました。両者の洞察は、無料のホワイトペーパー「Anatomy of a Ransomware Operation(ランサムウェア攻撃の詳細分析)」にもまとめられています。
Chapman は Web キャストで次のように述べています。「ランサムウェアはもはや、ドロップされたデバイス上で不正な処理を行うだけの、単なる実行可能ファイルではありません。それはむしろ総合的な活動であり、キーボード操作を行う人間によって実施されているのです。」
Chapman は、脅威アクターが「さまざまな行為を人手で行っている」と結論づけた上で、次のようにも語っています。「組織も同じように行動すべきです。セキュリティに長けた人材が組織に不足しているのであれば、マネージド型の検知と対応を検討しましょう。」
ランサムウェア攻撃の段階
Williams 氏と Chapman は Web キャストの中で、典型的なランサムウェア攻撃を 8 つの段階に分けた上で、以下のような話題を解説しています。
- 初期アクセス – 一般的な実現手段と、攻撃用バックドアの検知が困難な理由
- コマンドアンドコントロール – 検知のポイント
- ローカル権限昇格 – 脅威アクターがこの段階を容易に実施できる理由
- 水平展開 – この段階に対応した検知手法
- ドメイン権限昇格 – 攻撃でよく採用される戦術の上位 4 項目
- データの抜き出し – 脅威アクターが暗号化前にデータを抜き出す手口
- バックアップの検索 – 脅威アクターがバックアップの検索にかける時間
- ランサムウェアの展開 – 攻撃で最もよく使用されるツール
各段階のさらなる詳細と、組織の環境で発生したランサムウェア攻撃を阻止する機会については、Web キャストをご視聴いただくか、無料のホワイトペーパーをご覧ください。また、ランサムウェア攻撃に対する保護と予防に関する最新情報は、blackberry.com/ransomware からご確認いただけます。
BlackBerry によるサポート
BlackBerry のインシデント対応チームは、あらゆる業種のどのような規模の組織とも連携し、エンドポイントのセキュリティ体制を評価および強化し、ネットワークインフラストラクチャのセキュリティ、整合性、およびレジリエンスを積極的に維持するように支援します。緊急のサポートが必要な場合は、当社の問い合わせフォームをご利用ください。