ランサムウェアとは、身代金が支払われるまで、重要なファイルやデバイスへのアクセスをブロックするマルウェア攻撃の一種のことです。ランサムウェア攻撃は通常、Eメール内の悪意のある添付ファイルをクリックするように被害者を信じ込ませる、フィッシング攻撃などのソーシャルエンジニアリングを通じて行われます。悪意のある添付ファイルは続いて、デバイス上にランサムウェアをダウンロードし、被害者のファイルを暗号化します。

クラウドストライクは、ランサムウェア感染のリスクを大幅に軽減するために導入できる、非常に効果的な数多くのセキュリティコントロールとセキュリティプラクティスについて書いてきました。

ランサムウェアを防止するための専門家からの10の助言とは?

以下の助言は、クラウドストライクでランサムウェアの防御および撲滅に効果があると判明した内容で裏付けられています。

  1. 優れたITハイジーンを実践する
  2. インターネット接続のアプリケーションのレジリエンスを改善する
  3. Eメールセキュリティを改善し強化する
  4. インフラストラクチャでエンドポイントを強化する
  5. オフラインバックアップを使用したランサムウェア対策データ管理
  6. 仮想化管理インフラストラクチャへのアクセスを制限する
  7. ゼロトラストアーキテクチャを実装する
  8. インシデント対応計画を開発しテストする
  9. 包括的なサイバーセキュリティトレーニングプログラムを実装する
  10. ヘルプを求めるタイミングを見極める

1. 優れたITハイジーンを実践する

攻撃対象領域を最小限に抑えることはすべての組織にとって重要です。ご使用の環境で実行しているすべてのエンドポイントとワークロードの可視性を確保し、脆弱な攻撃対象領域を更新し保護し続けることが重要です。

ITハイジーンの主なメリットは、ネットワークの完全な透明性が得られることです。このように見ることで俯瞰的に捉えられるほか、ご使用の環境をドリルダウンして予防的に一掃する機能も得られます。このレベルの透明性を実現すると、ITハイジーンから得られる「誰が、何を、どこで」を把握することにより、組織は膨大なメリットを享受できます。

2. インターネット接続のアプリケーションのレジリエンスを改善する

クラウドストライクは、単一要素認証やパッチが適用されていないインターネット接続アプリケーションを悪用するサイバー犯罪(eCrime)脅威アクターを監視してきました。最初のビッグゲームハンティング(BGH)でのランサムウェア脅威アクターの1つであるBOSS SPIDERは、インターネットからアクセス可能なリモートデスクトッププロトコル(RDP)でシステムを定期的に標的にしていました。Dharma、Phobos、GlobeImposterなどのランサムウェアバリアントを操作するあまり巧妙でない脅威アクターは頻繁に、RDPブルートフォース攻撃を通じてアクセスを取得しています。

3. Eメールセキュリティを改善し強化する

フィッシングEメールを通じて被害組織への最初の足がかりを得る方法は、BGHランサムウェアグループの最も一般的な戦術です。一般的に、こうした不審なEメールには、受信者のワークステーションにランサムウェアペイロードを送信する悪意のあるリンクまたはURLが含まれています。

クラウドストライクでは、URLフィルタリングと添付ファイルのサンドボックス化も行うEメールセキュリティソリューションを実装することを推奨しています。これらの作業を効率化するために、自動応答機能を使用すると、ユーザーが対応する前に、配信されたEメールを遡及的に隔離できるようになります。さらに、組織では、正当なビジネス上の必要性がある場合を除いて、ユーザーがパスワード保護されたzipファイル、実行可能ファイル、Javaスクリプト、またはWindowsインストーラパッケージファイルを受信することを制限したい場合があります。外部から組織に発信されたEメールに「[External]」タグを追加し、Eメールの本文上部に警告メッセージを表示することで、このようなEメールは慎重に取り扱うように気付かせることができます。

4. エンドポイントを強化する

最終的にランサムウェアが展開される攻撃ライフサイクル全体を通じて、脅威アクターは多くの場合、多数のエンドポイントエクスプロイト手法を活用します。これらのエクスプロイト手法は、不十分なAD設定のエクスプロイトから、パッチが適用されていないシステムまたはアプリケーションに対して公開されているエクスプロイトの悪用まで変化に富んでいます。

以下のリストでは、防御側で実装できる主要なシステム強化アクションを示しています。このリストにはすべてが網羅されているわけではないことに注意し、システム強化は反復プロセスとして行う必要があります。

  • エンドポイントセキュリティ製品エンドポイントでの検知と対応(EDR)プラットフォームの適用範囲が、ネットワーク上のすべてのエンドポイントを網羅していることを確認します。各エンドポイントセキュリティプラットフォームには、厳密な改ざん防止と、センサーがオフラインになるか取り外された場合のアラートが導入されている必要があります。
  • 脆弱性を発現させ、管理プログラムにパッチを適用します。そうすることで、すべてのエンドポイントアプリケーションとオペレーティングシステムが最新の状態に維持されるようになります。ランサムウェアアクターは、多くの目的(特権昇格とラテラルムーブメントを含むが、これらに限定されない)で、エンドポイントの脆弱性を利用します。既存のFalconのお客様は、ほぼリアルタイムでCrowdStrike Falcon Spotlight™脆弱性管理を活用して、環境全体にわたって特定の脆弱性に対するエクスポージャーを把握でき、追加エージェントやセキュリティツールを展開する必要はありません。
  • ランサムウェアエンゲージメントでCrowdStrike Servicesによって監視された最も一般的な一部のADダウンフォールに基づく、Active Directoryセキュリティベストプラクティスに従います

5. オフラインバックアップを使用したランサムウェア対策データ管理

近年、攻撃を金銭化する最良の方法としてランサムウェアが出現して以来、悪意のあるコードの開発者は、暗号化解除キーに対する身代金を支払わなければ影響を受けたデータを被害者やセキュリティ研究者では暗号化解除できないようにする際に、非常に能力を発揮するようになりました。さらに、ランサムウェア対策バックアップインフラストラクチャの開発時に考慮すべき最も重要な概念は、脅威アクターが、ランサムウェアを環境に展開する前にオンラインバックアップを標的にしていたという点です。

このような理由から、ランサムウェア攻撃中にデータを救出する唯一の確実な方法は、ランサムウェア対策バックアップを通じたものになります。例えば、データのオフラインバックアップを保持しておくと、緊急時にさらに迅速な復元が可能になります。ランサムウェア対策オフラインバックアップインフラストラクチャを開発するときには、以下の点を考慮する必要があります。

  • オフラインバックアップは、インデックス(どのボリュームにどのデータが含まれているかを記述)と同様に、インフラストラクチャの他の部分と完全に分離しておく必要があります。
  • このようなネットワークへのアクセスは、アクセスコントロールリスト(ACL)を介して制御する必要があり、認証は多要素認証(MFA)を使用して行う必要があります。
  • オフラインとオンラインの両方のインフラストラクチャにアクセスできる管理者は、アカウントパスワードの再利用を回避し、オフラインバックアップインフラストラクチャにアクセスするときにジャンプボックスを使用する必要があります。
  • 厳格なACLおよびルールを備えたクラウドストレージサービスも、オフラインバックアップインフラストラクチャとして役立ちます。
  • ランサムウェア攻撃などの緊急事態に限り、オフラインインフラストラクチャからライブネットワークへの接続を許可する必要があります。

6. 仮想化管理インフラストラクチャへのアクセスを制限する

前述のように、ビッグゲームハンティングランサムウェアの攻撃活動に関与している脅威アクターは、その攻撃の効力を高めるために革新し続けています。このような開発の最新の成果に、仮想化されたインフラストラクチャを直接攻撃する能力があります。このアプローチでは、仮想マシン(VMDK)を展開し保存しているハイパーバイザーを標的にすることができます。この結果、仮想化マシンにインストールされたエンドポイントセキュリティ製品は、ハイパーバイザー上で行われた悪意のあるアクションを認識できません。

7. 堅牢なゼロトラストアーキテクチャを実装する

組織は、堅牢なゼロトラストアーキテクチャを実装することで、セキュリティポスチャを改善できます。ゼロトラストセキュリティモデルを有効にすると、組織内外のユーザーは、認証および承認されなければ組織のネットワークおよびデータへのアクセスが認められません。アーキテクチャの一部として、アイデンティティおよびアクセス管理(IAM)プログラムを実装できます。これにより、ITチームは、各ユーザーのIDに基づいて、すべてのシステムおよびアプリケーションへのアクセスを制御できます。

オンプレミスおよびクラウドアイデンティティストアハイジーン(Active Directory、Azure ADなど)の理解に役立つさまざまなアイデンティティ保護ツールがあります。ギャップを確認し、すべての従業員アカウント(人間ユーザー、特権アカウント、サービスアカウント)の振る舞いおよび偏差を分析します。またラテラルムーブメントを検知し、リスクベースの条件付きアクセスを実装して、ランサムウェア脅威を検知し阻止します。

8. インシデント対応計画を開発し、テストする

組織は、環境内で脅威アクターアクティビティを認識するようになっても、問題に対処するための可視性や、脅威の性質を理解するための正しいインテリジェンスが欠落していることがあります。脅威を認識し、迅速かつ効果的に対応できるかで、大事故とニアミスの違いが生じることがあります。

インシデント対応計画とプレイブックは、この迅速な意思決定の促進に役立ちます。組織全体での対応作業のすべての部分を計画の対象とする必要があります。セキュリティチームの場合、最前線のレスポンダーがアラートのトリアージ中に重要な詳細を見落とすことがないように、意思決定を支援する必要があります。また、ランサムウェア攻撃が迫っているように思われる場合は、断固たる行動(ビジネスに不可欠なサービスをシャットダウンするなど)を行うためにセキュリティチームの権限の範囲を略述する必要もあります。

9. 包括的なサイバーセキュリティトレーニングプログラムを実装する

組織内での包括的なサイバーセキュリティトレーニングプログラムのインストールの基になる主要な概念の1つは、ランダムウェアなどのサイバー脅威から保護することです。従業員は、日常的な作業を行うときに、フィッシングの試みがないかEメールをチェックしたり、公衆WiFiから組織のネットワークにログインするときにVPNを使用したりするなどの予防的なアプローチをとります。トレーニングプログラムには、サイバーセキュリティに関するポリシーのリストと、すべてのステークホルダーがポリシーに従うことがどれほど重要かも含める必要があります。

10. ヘルプを求めるタイミングを見極める

ランサムウェアにより組織が影響を受けていると思われる場合は、状況を調査、把握、改善するために専門家に支援を求めるかどうかで、軽微な出来事と重大な侵害の違いが生じることがあります。状況によっては、組織は、環境内で脅威アクターアクティビティを認識するようになっても、問題に対処するための可視性や、脅威の性質を理解するための正しいインテリジェンスが欠落していることがあります。最新の脅威に関する教育を受け、インシデント対応チームやリテイナー(CrowdStrike Servicesで提供)をアクティブ化して支援を求めることで、脅威アクターがランサムウェアを展開したり、環境からデータを抜き取ったりする前に検知と修復が可能になります。

本格的に必要になる前に専門家の支援を求めることをお勧めします。技術的評価は、今後のランサムウェアインシデントの発生確率を多少高めると考えられる、組織のネットワークに関する要因を予防的に特定し、把握するのに役立ちます。これは、現在のニーズとセキュリティ成熟度に応じてさまざまな形をとる可能性があります。例えば、特定のネットワークセグメントまたは特定の事業単位に限って侵入が発生した場合、企業規模の侵害調査により、攻撃者が、初期調査の範囲に収まらなかった環境の一部には侵入していないことを確信させることができます。または、ITハイジーン評価により、次の攻撃者に機会を与えるおそれのある弱いパスワード、Active Directory設定、または欠落したパッチを特定できます。