ロックアウトされ、身代金要求のための質に：ある市当局とサイバー犯罪との戦い

このケースの市当局はやや幸運に恵まれたと言えます。セキュリティチームは、攻撃の開始直後にその攻撃を捕らえたため、影響を受けたネットワークセグメントを分離して被害を限定することができました。 

攻撃が開始された部署はテクノロジーを使用しない（彼らの言うところの）「時代遅れ」の働き方に戻る必要がありましたが、他の部署はほぼ無傷で逃れることができました。しかし、リカバリには数週間かかり、ダウンタイムによってこの部署がコミュニティに提供する極めて重要なサービスが利用できなくなりました。

攻撃者はどのようにして市当局のネットワークにアクセスしたのでしょうか。フォレンジック分析により、攻撃者は侵害されたベンダーアカウント（HVAC ベンダーを覚えていますか？）を使用して、市当局の VPN を利用し、HVAC システムのエンドポイントにアクセスできたことがわかりました。接続した後、ハッカーは特権のある認証情報を取得して高い権限を獲得し、被害者のコンピューターを使用してネットワーク全体でラテラルムーブメント（横方向の移動）を実行することができました。 

悲しいことに、このようなことは一般的に発生しています。データ漏えいやランサムウェア攻撃は、多くの場合、ベンダーのアクセス認証情報が侵害されて開始されます。ベンダーに対するハッキングは、1 つの組織を侵害して複数のターゲットの認証情報にアクセスできる可能性があるため、ランサムウェアグループにとって利益の出やすい選択肢となり得ます。

このアクセス方法は、最近ではかなり一般的になっているようですが、唯一の侵入方法ではありません。従来から、フィッシングメールとリモート・デスクトップ・プロトコル攻撃の 2 つが、ランサムウェアの脅威の主要な感染経路となっています。

フィッシングは今でも非常に効果的です。テクノロジーにより、フィッシングメールがますます見分けにくくなっているからです。熟練したプロフェッショナルでも、このような巧妙に作られた本物のようなメッセージにだまされる可能性があります。拙い「ナイジェリア詐欺」の時代は終わりました。

どういう理由か、リモート・デスクトップ・プロトコル接続がインターネットに公開されていることがとても悪いことだとは考えていない組織がいくつかあります。攻撃者はそれを極めて迅速に発見し、強引にシステムに侵入します。その後、身代金を要求されることになります。 

脅威アクターは、ソーシャルエンジニアリング、認証情報の窃取、侵害された USB ドライブの設置など、実績のある方法を使用して侵入することもできます。

ランサムウェアは過去 10 年間で劇的に進化し、単純なファイルロック型マルウェア（CryptoLocker）から、影響と利益を最大にするように企てられた高度な攻撃に変化しています。ランサムウェア攻撃者は、以前は 1 つのシステム上で被害者のファイルを暗号化し、復号キーと引き換えに身代金を要求していました。 

これが、バックアップシステムとリカバリシステムを含むネットワーク全体を侵害し、被害者のリカバリ能力を制限するように進化しました。 時間の経過とともに、組織はサイバーセキュリティ態勢を強化し始め、バックアップを堅牢にするなどして、暗号化ベースの攻撃による影響を大幅に軽減しました。

哀れなならず者はどうしたのでしょうか？テーブルの上にあるお金はとても多いので、あきらめて帰ることなどできません。サイバー犯罪者はそうではなく、新しいランサムウェアソリューションを組み込んで、「二重脅迫」と呼ばれる新しいタイプのランサムウェアの時代を切り開きました。

二重脅迫型ランサムウェアは、2 つの明確な脅威を伴うユニークなランサムウェア感染です。重要なデータを暗号化して、その暗号化されたファイルを窃取し、身代金を支払わなければ機密情報をリークすると脅迫します。 

この戦術により、被害者に対するプレッシャーは大幅に高まりました。ランサムウェア攻撃が、主に運用上の懸念から重大なデータ漏えいリスクに変化し、法的および規制上の影響を受け、評判が失墜する可能性があるためです。 

この記事の市職員のケースはこれでした。攻撃の暗号化フェーズを開始する前に、ランサムウェアグループは数 GB のデータを窃取し、要求が満たされない場合にはダーク Web 上でこのデータをリークすると脅しました。

これは難しい問題です。地方当局や FBI、CISA など、どのレベルの法執行機関も、身代金を支払わないよう助言します。基本的には、Microsoft などのオペレーティング・システム・ベンダーやウイルス対策／マルウェア対策ベンダーなど、すべてのセキュリティプロフェッショナルも同じように助言するでしょう。 

このように助言する理由は簡単です。組織が支払いを続ける限り、サイバー犯罪者はサイバー攻撃を続けるからです。ビットコインなどの暗号資産（仮想通貨）を使用して身代金を支払ったとしても、復号キーが提供される保証も、復号ツールが機能する保証も、再び標的にされない保証もありません。 

実際にはその反対であり、攻撃者は環境内に足がかりを残している可能性が高いです。また、一度身代金を支払った組織は、再び支払う可能性が大いにあります。 

複数のセキュリティ組織は、身代金を支払う組織の約 78% が再び標的にされると報告しています。それなら、身代金を支払ってはならないと思いますよね。しかし実際には、それほど単純なことではありません。攻撃の重大度によっては、組織は身代金を支払わないと、復旧できない場合があります。 

攻撃者がバックアップにアクセスできる場合、必ずバックアップは暗号化されます（攻撃はバックアップから始まります）。バックアップがないと、インフラを復元できません。実行可能なバックアップが存在しても、多くの組織はすべてを最初から再構築するためのコストと時間に苦しみます。 

大規模な組織では、環境の再構築と復元にかかるコストは、身代金よりもはるかに高くなる可能性があります。このような場合、支払いを拒否する余裕はありません。 

また、時間的要因も見過ごせません。復旧には数週間から数か月かかる場合があります。その間、組織の関係者が日頃利用している極めて重要なサービスは利用できません。これらのサービスを復旧するプレッシャーは計り知れないものとなる可能性があります。 

復元プロセスは話の半分にすぎません。前述のとおり、ほとんどのランサムウェアギャングは現在、二重脅迫型マルウェアを使用しています。最初にすべてのデータを盗んでから暗号化します。 

組織は、機密情報が白日の下に晒されるという脅威に直面します。その結果、組織のブランドは傷つけられ、信頼を失ない、罰金や他の刑罰が科される可能性があります。被害者は、プライバシーに関する法律を遵守しない場合、罰金を科される可能性があります。また、侵害により情報を窃取された人々にクレジットモニタリングを提供しなければなりません。

被害者がすでに支払った修復費用にこれらの費用が加わると、悪夢のような財務状況に陥る恐れがあります。場合によっては、悲惨な結果となり、組織はどうしても攻撃から回復できないこともあります。 

2022 年、イリノイ州のリンカーンカレッジはランサムウェア攻撃のために閉校せざるを得ませんでした。すでにコロナ禍に起因する財務的な問題が発生していた同大学は、身代金を支払うことができず、準備不足とインシデント対応の遅れから修復が不可能になってしまいました。 

その結果、157 年の歴史を誇るこの大学は閉校を余儀なくされ、悲しい結末に至りました。

最終的に、身代金支払いはビジネス上の意思決定になります。この意思決定で考察すべき要因は次のとおりです。

• 支払わないと、ビジネスにどのような影響があるか？

• 窃取されたデータが漏えいした場合、ビジネスにどのような影響があるか？

• 身代金を支払わなくても、システムを回復できるか？

この記事で取り上げた市当局は、攻撃者に支払いませんでした。ランサムウェアギャングと交渉し、身代金を大幅に減額できました。幸運にも、侵害されたシステムを復旧できたため、復号キーに依存する必要がありませんでした。 

しかし、多くの人々に情報漏えいについて通知し、影響を受けた人すべてにクレジット・モニタリング・サービスを提供する必要がありました。そうは言っても、さらに悲惨な結果になる可能性はありました。

心配ですか？当然です。ランサムウェアの被害に遭ったときのことを考えると、恐ろしくなります。だからといって、眠れない夜を過ごす必要はありません。事前に計画を立てて備えることで、ランサムウェア攻撃の重大度を軽減したり、完全に防止したりすることができます。 

すぐに実行できる戦略をいくつか紹介します。

• データのバックアップ

• DNS ファイアウォール

• セグメンテーション

• ゼロトラスト・アプリケーション・アクセス

極めて優れたデータバックアップ戦略を立ててください（優れた戦略では不十分です）。バックアップのコピーを複数保持するようにします。できれば、攻撃者がアクセスできないように、少なくとも 1 つはエアギャップすべきです。バックアップは攻撃の最初のターゲットの 1 つであるため、脅威アクターが発見できないようにします。 

復元の練習を忘れないでください。データのバックアップは必要ですが、システムの復元方法を熟知していないことは、バックアップがまったくないのと同じです。極めて重要なアプリ、機密データ、インフラなど、すべてを復元できるように準備しておいてください。

フィッシングメールは、ランサムウェアの最も一般的な感染経路です。どのようしても、フィッシングやその他の悪性リンクのクリックを防止することはできません。ただし、影響を最小限に抑えることはできます。 

悪性リンクをクリックしたり、悪意のある添付ファイルを開いたりすると、システムは悪性ドメインの DNS 検索を実行します。DNS ファイアウォールは、悪性ドメインの解決を阻止し、リンクが機能しないようにすることができます。DNS ファイアウォールでは、既知のマルウェアドメインとコマンド & コントロールインフラへの同様の接続要求をブロックできます。 

Akamai Secure Internet Access は、DNS ファイアウォールに最適な選択肢です。Akamai の脅威リサーチチームは、高度なアルゴリズムを使用して、悪性ドメインの解決をプロアクティブに阻止します。このソリューションは、ゼロデイフィッシング対策も備えています。 

州、地方、部族、準州（SLTT）の政府コミュニティにとっては、さらに効果的です。MS-ISAC のメンバーは、MDBR（Malicious Domain Blocking and Reporting）サービスを使用して、Secure Internet Access の無料バージョンを利用できます。 

さらに保護を必要とする組織は、MS-ISAC から MDBR+ 形式の Secure Internet Access を利用できます。また、CIS CyberMarket は、Akamai から直接購入したい MS-ISAC メンバー向けに大幅な割引を行っています。

残念なことに、問題はデータ漏えいが発生するかどうかではなく、いつ発生するかです。侵害が発生した場合、脅威アクターはどのような能力をもって、環境内を横方向に移動して悪性ソフトウェアを拡散するのでしょうか。 

ラテラルムーブメントを管理するためには、セグメンテーションの実施が重要です。基本的なセグメンテーションは有用ですが、結果は依然として壊滅的なものになる可能性があります。 

先述のとおり、市当局は、影響を受けたネットワークセグメントを他の部署から切り離すことができました。それでも、攻撃者は破壊的なランサムウェア攻撃を開始できました。市当局にとって極めて重要なサービスが長期間オフラインになると、大きな経済的コストが発生し、ブランドの評判が悪化するためです。 

従来のセグメンテーション方式では、VLAN、ファイアウォール制御、アクセス制御リストの形式でレイヤー 2 とレイヤー 3 制御を使用します。より効果的なアプローチはマイクロセグメンテーションです。ソフトウェアベースのアプローチを使用すると、ホストレベルでセグメンテーションを制御し、侵害が発生した場合に伝播範囲を抑制できます。 

Akamai Guardicore Segmentation はこの分野のリーダーです。Akamai Guardicore Segmentation はホストベースのファイアウォールソリューションで、環境内のネットワークトラフィックをすべて可視化し、「誰が誰と話しているか」だけでなく、「何を話しているか」まで把握できます。 

つまり、どのデバイスが相互に通信しているかだけでなく、各システムで実行されているプロセスについて、レイヤー 7 の豊富なコンテキスト情報も取得できます。 

このような可視性により、ネットワークとアプリケーションに必要な通信のみを許可し、必要な方法で動作させるポリシーを作成できます。明確に許可されていないものはすべてブロックされるため、侵害が発生しても、攻撃者は他のシステムに横方向に移動できず、権限の昇格を可能にするプロセスを実行できません。 

このソフトウェアベースのアプローチでは、セグメンテーションプロジェクトをより簡単かつ迅速に完了できるため、ROI を迅速に達成してセキュリティ態勢を強化できます。

ランサムウェア攻撃を受けたアメリカの市当局の場合、感染経路は侵害された VPN アカウントでした。VPN は一世を風靡しましたが、今日の脅威環境では、組織にはもっと優れたものが必要です。 

VPN アクセスにより、ユーザーはネットワークに入ることができます。つまり、ユーザーは自分が何を行っているかを知っていれば、想定されているかどうかにかかわらず、そのネットワークセグメント上のすべてにアクセスできます。これまで説明してきたように、認証情報が漏えいすると、大惨事につながる可能性があります。 

より良いアプローチは、VPN をゼロトラスト・アプリケーション・アクセス・ソリューションに置き換えることです。このような製品により、ユーザーはシングルサインオンができるようになり、業務に必要なリソースだけにアクセスできますが、その他のものには一切アクセスできません。ユーザーは、使用するように割り当てられていないものにはアクセスできません。 

Akamai Enterprise Application Access は、この要件に最適な選択肢です。当社のアプリケーション対応プロキシサービスでは、アプリケーションオリジンの場所やユーザーがリソースにアクセスしている場所に関係なく、シームレスにアプリケーションにアクセスできます。また、Enterprise Application Access は、まだインターネットから切り離すに至っていない厄介なリモート・デスクトップ・プロトコル・セッションに対しても有効です。Web ブラウザを介してアクセスするリモート・デスクトップ・プロトコルおよび SSH セッションをプロビジョニングすることもできます。これは、サードパーティベンダーのアクセスに最適です。