見出し画像

あるべきランサムウェア対策(Offensive Cyber Working Groupの記事)

カーズィ

写真出展:Hands off my tags! Michael GaidaによるPixabayからの画像https://pixabay.com/ja/users/652234-652234/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1670222

 2021年10月22日にOffensive Cyber Working Groupは、ランサムウェア対策に関する記事を発表した。内容は、現在のランサムウェア対策の着目点が犯罪集団や影響力の大きさなどに偏っており、被害のライフサイクルに着目していないとして、今後のあるべき対策を論じるものである。日本の言論空間では見ることができない冷静な議論の優良な例だと考えられることから、本記事の概要を紹介させていただく。

↓リンク先(Active Cyber Defense: panacea or snake oil?)
https://offensivecyber.org/2021/10/22/frontline-and-beyond/

1.記事の内容について
 ・ランサムウェアを巡る状況は激変しており、特にこの5年間でますます激化している。その中でも最も大きな変化は、事後ランサムウェア感染である。これまでの攻撃は無差別型であり、政府から個人に至るまであらゆるものをその対象としていた。犯人は標的を拡大することで、一定程度の価値を積み上げて利益を上げる手法が一般的である、身代金の平均は500ドルから1000ドル程度である。被害者にとってもそれほど深刻な被害ではなく、嫌がらせ程度で済んでいたのである。
 ・現在の手法は、ダウンローダー、バックドア、モジュール化されたマルウェア、認証戦術、脆弱性の活用などあらゆる手段を活用して、特定の標的にアクセスしようとするものである。そしてアクセス先での権限を利用して情報を探り、機密情報を削除ないしは抽出して離脱するのである。この時点で感染検知などが無効化されており、最終段階でランサムウェアに感染させ、中枢システムが乗っ取られることになるのである。このことが被害の激化につながっているのである。
 ・サイバー犯罪集団の生態系の変化も影響を与えている。例えばあるグループが侵入に成功し、そのアクセス権を他の犯罪手段に売り渡すとする。売り渡された他の集団はそのアクセスを利用してネットワーク内を探索し、また別のグループが開発したマルウェアに感染させるという協調行動が見られることもある。近年この手法が主流になりつつあり、MAZE提携などはその典型例である。このことにより、複雑な作戦を展開することが可能となり、防御側が犯人を特定することが困難となる。
 ・脅迫の手法も多様化しており、データの削除や機密情報の漏洩、解読ツールの押し売りなどの手法が取りざたされるようになっている。その他報道機関へのリーク、ライバル企業などへの情報提供など、様々な脅迫を組み合わせている。
 ・最近のランサムウェア事件は、電力網、水道、工場などのインフラ制御機器に影響を及ぼすものが多くなっている。重要インフラについては安全対策の観点から、スタンドアロンのシステムや通常のネットワークから切り離された専用線ネットワークにて構築されていることが多いが、それでもなお影響を受けるようになっている。これらの手法は基本的な脆弱性(セキュリティパッチの未適用、セキュリティ慣行の不備)を利用したものが多く、洗練された技術がないサイバー犯罪集団も活躍する温床になっている。
 ・こういった状況を踏まえ、治安組織や法執行機関は、適切に対処しなければならない。まず犯罪集団が巧妙化しており、暗号化プログラムばかりに注力していれば、その他の形態の強迫に対処することができない。公的な議論は、十分に幅広いものとならなくてはならない。最前線での対応における優良事例の情報共有も、抽象的かつ概念的な議論から脱却し、個別具体的な対策の策定に有効である。攻撃のライフサイクル別の対応を学ぶことにより、各段階に応じた被害を推測し、有効な対処方法を見出すことができるようになるだろう。

2.本記事についての感想
 ランサムウェアについてはその被害や手法の巧妙さにばかり着目しがちであり、その基本的なあり方についてはあまり注意が向けられてこなかった。現在はネットワークやパソコンなどに侵入してからランサムウェアに感染させるという手法がメインとなっており、SolarWindsの事例のようにかなり前から侵入に成功しているという事例が多数見受けられる。
 また脅迫の多様化や損失の回復の困難さも著しい。データを回復させるために解読ツールを売りつけるという手法や機密情報をリークするといった脅迫は、大きな脅威である。また情報が盗まれた場合、身代金を支払っても情報が漏洩されるという可能性が残り続けるのであり、根本的な解決にはならない。
 従って、普段のサイバーセキュリティ対応だけではなく、被害を前提としたBCPのような業務継続計画、被害を抑制する計画などを予め策定しておくことが重要になって来るだろう。また組織内のセキュリティ慣行で例外的な措置を取っている場合など、こういった不適切な慣行の見直しも重要である。

 英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。

この記事が気に入ったらサポートをしてみませんか?