大半の組織は、「ランサムウェア」という用語を聞いて、ハッカーがネットワークに侵入し、データを暗号化して身代金と引き換えに人質にするという悪夢を思い浮かべます。この一連のアクティビティは、従来のランサムウェア攻撃を正確に描写していますが、1つ重要なステップを見落としています。それは、ハッカーの間で人気が高まっている、ハッカーが被害者よりも優位に立てるようになるステップ、つまり、データの流出です。
組織が信頼性の高いバックアップシステムと身代金の支払いに対する厳格なポリシーを採用してランサムウェア攻撃を防御するようになるにつれて、脅威アクターはデータを盗み出すことに頼るようになりました。これは確実かつ実績のある方法であり、現在、あらゆる規模の組織、特に中小企業(SMB)やマネージドサービスプロバイダー(MSP)に対して、より大きな害を及ぼす新たな方法で使われています。
この記事では、ランサムウェア攻撃におけるデータ流出の脅威、それがどのように発生するか、また、組織への侵害を防ぐために実行できる手順について考察します。
データ流出:古い脅威の新たな一面
データ流出とは、個人を特定できる情報(PII)、知的財産、財務データ、企業秘密などの機密情報の窃取です。この行為は、フィッシングやスピアフィッシングキャンペーンで長期にわたり使われてきました。
しかし、ランサムウェア集団が被害者をさらに利用する目的でデータ流出を行うことで、二重恐喝と呼ばれる手法が新たな意味を持つようになりました。ハッカーは機密情報を盗み出して暗号化し、身代金を要求します。組織が支払いを拒否した場合、ハッカーは、盗んだ情報を一般に公開したりダークWebに公開したりすると脅迫します。
ランサムウェア攻撃によるデータ流出が特に価値を持つ理由は、2つの要因によります。まず、対象となる組織の種類です。脅威アクターは通常、医療や政府、教育などの重要な産業分野のビジネスを悪用することに焦点を当てています。これらの機関は貴重な情報を保管していることが多いうえに、ビジネスの継続性を中断する余裕がなく、また、重大なITの脆弱性を提示する傾向があるためです。
また、ハッカーは中小企業(SMB)とマネージドサービスプロバイダー(MSP)に攻撃を集中しています。その理由は、どちらの組織にも、大企業のようなサイバーセキュリティリソースと予算がないため、攻撃の妨げるための抵抗力が弱いことに起因します。
次に、データ侵害が成功した場合に被害者が直面する影響です。これらの影響は組織が属する産業分野や事業内容によって異なりますが、潜在的な影響には次のようなものがあります。
- 財政面。アカウントの認証情報を手に入れれば、ハッカーは電信送金を開始したり、金融口座を枯渇させたりする可能性がある。
- 競争面。ハッカーが企業秘密や知的財産を漏らした場合、組織の競争上の優位性が失われたり蝕まれたりする可能性がある。
- 評価面。ハッカーが顧客やサプライヤーの機密データを公開すれば、侵害された組織は既存の顧客やパートナー、見込み客や潜在的なパートナーを失う可能性がある。
- 法律面。データ侵害が原因となって、組織は政府、法律事務所、顧客、パートナーなどから訴訟を受ける可能性がある。
- 規制面。データ侵害が発生した場合、組織はGDPRやHIPAAなどの規制違反による厳しい罰則に直面する可能性がある。
2022年2月、世界的なチップメーカーであるNvidiaは、大量の攻撃をしかけているサイバーギャングLapsus$によるランサムウェア攻撃の犠牲者となりました。Lapsus$は、後にMicrosoftやSamsungの他、主要なテクノロジー企業に対する一連のランサムウェア攻撃につながる、Nvidiaのネットワークへの侵入を実行しました。その後、このサイバーギャングは1テラバイトのデータを盗み出し、その一部を流出して身代金を要求したと伝えられています。しかし、Lapsus$が要求したのは金銭的な身代金ではありませんでした。その代わりに、Nvidiaに同社の製品を更新するよう要求しました。このチップメーカーが要求に従わなければ、Lapsus$は同社の企業秘密を漏らし、競争上の優位性を危険にさらす可能性がありました。
Nvidiaのケースは特別なものではありませんが、データが組織にとって重大な脆弱性となる新しい脅威の情勢を特徴付けています。実際、今日最も恐れられ話題になっているランサムウェア集団のいくつかを見ると、すべての集団がデータ流出を利用して被害者に対してさまざまな搾取をしていることがわかります。このらbサムウェア集団には、Lapsus$、Hive、Conti、LockBit、およびBlackCatが含まれます。BlackCatは、2021年11月から2022年3月までの間に世界中で60件以上のデータ侵害を引き起こしました。
また、この新しい脅威の情勢は、データを保護するために組織はどのような変化を起こすべきかを示しています。データ流出を防ぐ方法を検討する前に、脅威がどのように発生するのかを詳しく見ていきましょう。
データ流出はどのように起こるのか
データの流出は、2段階で発生します。第1段階として、ハッカーは組織の内部ネットワークにアクセスしようとします。これは、次のようなさまざまな手法で発生する可能性があります。
- フィッシングキャンペーン。ハッカーはブランドになりすまし、被害者をだましてアカウントの認証情報を流出させたり、ユーザーを危険にさらすマルウェアが混入されたリンクをクリックさせたりする。
- ブルートフォース攻撃。ハッカーはさまざまな手法で被害者のアカウント認証情報を推測し、内部ネットワークにアクセスする。
- クレデンシャルスタッフィング。ハッカーは、ボットを使って侵害された認証情報を試すことで、正当なアカウントにアクセスしようと試みる。
- リモートデスクトッププロトコル(RDP)攻撃。ハッカーは、Windowsプロトコルを悪用してリモートでデバイスにアクセスして制御し、内部ネットワークに侵入する。
- ITの脆弱性の悪用。ハッカーは、古いソフトウェア、保護されていないインターネット接続デバイス、十分なセキュリティ対策を取っていないサプライヤーによるネットワーク接続やその他の原因によるネットワークの脆弱性を悪用する。
ハッカーが内部ネットワークにアクセスすると、第2段階が始まります。彼らは、ネットワークを偵察して、その構成と構造を診断したり、マルウェアやその他のサイバー脅威を使用してユーザーを侵害したり、ハッカーの権限を昇格させたりするなど、さまざまなラテラルムーブメントの手法を用います。これらの手法を組み合わせることによって、ハッカーは、流出の対象となる機密データにアクセスします。
データ流出の防止
データ流出を防ぐために、組織は次の一連のテクノロジーとプラクティスを採用すべきです。
1.AIによる脅威検出テクノロジー
メールは依然としてサイバー脅威の最大のベクトルであり、ハッカーがネットワークへの侵入を図る主要なチャネルになっています。従来のメールセキュリティソリューションは、既知のサイバー脅威からは保護しますが、動的で高度なフィッシングキャンペーンやスピアフィッシング攻撃、およびデータ流出につながる恐れのあるマルウェアを配信するメールを防御できません。
人工知能(AI)による脅威検出テクノロジーは、既知および未知の脅威を予測的に防衛することで、優れたソリューションを提供します。このソリューションは、メール、URL、添付ファイル、Webページの動作分析を実行して、すべてのサイバー脅威の特徴である不審な動作と異常を、まだ実際に確認されていないものも含めて検出します。
とはいえ、すべてのAIを基本とする脅威検出および対応ソリューションが適切な保護を提供するわけではありません。最適な防御のために、メールによるあらゆる種類の脅威を無力化することに特化したAIテクノロジーのコアセットを統合したソリューションを探しましょう。それらには、マシンラーニング、Computer Vision、自然言語処理が含まれます。AIの長所は情報に左右されるため、そのソリューションが、大規模で最新かつ現実の問題に直結するデータセットから継続的なインテリジェンスを収集していることも確認してください。
2.AIによる対応テクノロジー
脅威の検出は完璧な防衛手段ではありません。メールによる脅威がユーザーの受信トレイに到達した場合やネットワーク内のソースから発生した場合は、攻撃を検出して修復する機能が必要です。AIによる脅威対応ソリューションは、AIによる脅威検出テクノロジーと同じ機能を提供しますが、内部ネットワーク内の脅威に対する保護を継続的に拡張します。
AIによる脅威対応ソリューションを評価するときは、前のセクションで検討したのと同じ機能を探してください。また、ソリューションがAPIベースで、ネットワーク内にネイティブに存在することを確認してください。これにより、Microsoft 365やGoogle Workspaceなどのプロダクティビティスイートが提供する基本的なセキュリティツールを使用して、セキュリティを最大限に強化します。
さらに、重要なITリソースを解放しながら確実に保護し続ける、継続的なスキャンと自動修復を提供するソリューションを探してください。また、脅威に効果的に対応するには、時間と認識が重要な要素であるため、1つのインターフェイスで従業員や顧客全体の脅威を追跡して修復できるソリューションを選び、インシデント対応の無駄な遅延を避けながら迅速に対応できるようにしましょう。
3.ユーザーの認識トレーニング
IBMとPonemon Instituteの調査によると、2021年に世界中で発生したデータ流出の21%は、ヒューマンエラーが原因でした。メールはサイバー攻撃の最大のベクトルですが、ユーザーは依然としてハッカーが好むターゲットです。そのため、ユーザーの認識トレーニングは、搾取に対する最も重要な防衛策の1つです。
メールによる脅威を特定して対応する方法についてチームを教育することで、フィッシングやスピアフィッシング、マルウェア配信メールに対するさらなる保護層を開発できます。学習の成果はトレーニングの種類によって大きく異なるため、次のような特徴を備えた教育を提供するソリューションを探してください。
- 自動化。ユーザーや管理者の介入なしで、自動的に自己管理する。
- パーソナライズ。ユーザーの普段のメールのやり取りの内容とコンテキストに適合する。
- タイムリー。ユーザーが最も必要とするとき、つまり脅威に遭遇したときに配信される。
4.ゼロトラストセキュリティ
前述のように、ハッカーが内部ネットワークへのアクセス権を得ると、彼らは、さまざまな手法を使ってラテラルムーブメントを行い、盗み出したいデータを見つけることができます。ゼロトラストセキュリティは、ハッカーが内部ネットワークに侵入して自由に動き回る能力を制限する戦略的フレームワークです。
ゼロトラストセキュリティを導入すれば、最初にアクセスした後で、ハッカーはネットワークを侵害することが難しくなります。多要素認証(MFA)、ネットワークセグメンテーション、アクセス制御などのテクノロジーを使用するゼロトラストセキュリティでは、すべてのユーザーがネットワークとやりとりをする度に継続的な認証、承認、および検証を受ける必要があります。
5.パスワードポリシーの管理
ゼロトラストセキュリティと同様に、パスワードポリシー管理は、ハッカーがネットワークに侵入する可能性を減らすことができる戦略的アプローチです。パスワードポリシー管理は、ユーザーに強力で固有のパスワードを定期的に作成させる一連の手順とポリシーです。
パスワードポリシー管理を採用することで、大半のユーザーが持っているパスワードの悪い習慣を体系的に直し、ブルートフォース攻撃やクレデンシャルスタッフィングによってハッカーがネットワークに侵入する能力を制限します。
始まる前にデータ流出を止める
データは、ビジネスにとって最も重要な資産の1つです。ただし、あらゆる価値のあるものと同様に、重大な責任を負い、深刻で永続的な影響にさらされる可能性があります。しかし、データ流出の企てを持続的かつ首尾よく阻止することは可能です。これまでに検討した対策とテクノロジーを採用することで、顧客やパートナー、従業員、そしてデータの安全性を確保します。
