Episode 56: ランサムウェアの支払規制の是非
この1年で、ランサムウェアの身代金支払い額は劇的に増加しました。脅威アクターは、収入が増えることでより多くのリソースを手に入れて活動を加速しています。ランサムウェアを阻止するには、身代金の支払いを全面的に禁止すべきだという意見が多数あります。この意見は理想的なものでしょうか?それとも現実的なものなのでしょうか?このような禁止措置は企業にどのような影響を与えるのでしょうか?また、他に代替手段はあるのでしょうか?サイバーセキュリティサウナのEpisode 56では、フィンランド国立サイバーセキュリティセンターのPäivi Tynninen(パイヴィ・ヒニーネン)氏と、エフセキュアのJordan LaRose(ジョーダン・ラローズ)が登場し、各自の見解を語ってもらいました。
Janne: サイバーセキュリティサウナにようこそ。
Paivi: お招きいただきありがとうございます。
Jordan: 皆様、こんにちは。
早速ですが、ランサムウェアの攻撃者が要求する身代金の相場はいくらでしょうか?
Jordan: 私は毎日、ランサムウェアの事例を数多く目にしています。インシデント対応の現場で実際に闘っているのですが、そこでのランサムウェアの身代金の支払い要求額は千差万別です。正直に言って、アクターが誰であるかだけでなく、標的になった会社によって金額が決まるのだと思います。会社が保有している資金が多いと思えば、要求する金額も大きくなります。
Päivi Tynninen, Jordan LaRose
彼らは標的にする企業の規模を想定し、「保有していると思われる資金はこれだけだから、この金額なら支払ってくれるだろう。」などと考えるのですね。
Jordan: そのとおりです。もう1つ言えることは、身代金の交渉段階になると、支払う側が当初の要求金額の5~10%程度の金額を提示し、攻撃者はその金額で妥協することが良くあります。
なんと、それは驚きですね。
Jordan: 要するにポーカーでハッタリをかけるようなものです。
Paivi: 特に日和見的な攻撃者からすれば、得られるものなら少額でも受け取ります。なぜなら、個々の攻撃では身代金はほとんど期待できないからです。したがって、いくらかでも支払ってくれるのであれば、受け取ることに越したことはないのです。
なるほど。手に入るのならいくらでも良いですよね。 次に、ランサムウェアの支払いを全面的に禁止することについて議論しましょう。禁止に賛成する側の根拠は何処にあるのでしょうか?
Jordan: 米国では、実際に財務省がランサムウェアの支払いに関する制裁措置を発表しています。具体的には、財務省がリスクと見なした特定の国や地域、または制裁対象国への措置になります。その根拠は、1社の犠牲よりも、社会全体の利益を優先させるためです。ランサムウェアの攻撃者に身代金を払えば、データが復旧・復号化され、業務を再開できるかもしれません。しかし、そうする事で犯人に次のランサムウェア攻撃の実行するための資金を提供することになります。それは、問題に対処して解決しようとするのではなく、問題を先送りしていることになります。
例えば、コロニアルパイプラインのインシデントでは、米国東海岸の多くの地域で燃料の流通に問題が発生したと聞いています。ランサムウェアの犯罪者は500万ドル近くを要求しました。この金額は、東海岸全域に対して想定されている身代金とは対極的です。その程度で済むなら払えばいいじゃないか、と言うことですね?
Jordan: そうです。正直言って、多くの企業はビジネス上の判断と見なすでしょう。仮に、ある企業が身代金を要求され、すべての業務が停止したとします。たった1日でもその状態が続くと、大企業では平均数百万ドルの収益が失われることになります。攻撃者が100万ドルを要求しているのなら、身代金を払ってでもその日の業務を再開できれば、100万ドル程度の利益を得ることができます。したがって、そうすることは当たり前のように思えます。
そしてまた、優れた情報セキュリティを構築することは決して安いものではありません。 企業は「これはビジネス上でのコストだ。情報セキュリティに予算を全部使うつもりはない。ランサムウェアの被害にあっても、身代金を支払いさえすれば最終的に予算を節約できる。」と考えていると思いますか?
Paivi: それは何も知らずに判断しているように聞こえます。サイバーセキュリティが貧弱な場合のリスクが社内で十分に共有されていないのでしょう。ランサムウェア攻撃は全体像のほんの一部に過ぎません。そして、企業の経営陣、管理職、ステークホルダーなどが連携を取り続ければ、自社の最大のリスクがわかるでしょう。サイバーセキュリティの衛生状態が悪いと100万~数百万ドルの身代金の要求につながります。その状態では全体像が見えません。そして、意思決定者に本当のリスクとコストを理解させることは困難です。
そのとおりですね。もし会社に脆弱な社員が1人でもいることがわかれば、直ぐ近くにもう1人いることは否定できませんね?
Jordan: それに加えて、風評被害も考える必要があります。例の石油パイプラインが身代金を要求されたときは、支払ったことで数百万ドルの損害を被りました。それだけでなく、彼らは基本的にアメリカ国民の信頼を失ってしまいました。つまり、政府の支援を受けていない会社の場合、このようなことがニュースになれば、会社の評判は取り返しのつかないほど失墜することになるのです。
「だから何だというのですか?何かできることがあるのですか?自分でパイプラインを作るとでも言うのですか?」などど、ひねくれた言い方をする人もいるでしょう。
Jordan: この石油パイプラインのシナリオでは、明らかに他の業界とは少し違う話になります。今回のようなことがあれば、おそらく人々は代替エネルギー資源や、操業停止の危険にさらされている石油パイプラインを使わない方法を検討するようになるでしょう。
それはわかります。似たようなことを思い出しましたが、かつて浮気サイトのアシュリーマディソンが侵害されて、ユーザのアカウントが公開されました。しかし自分のプライバシーよりも浮気がしたいという理由で、人々はいまだにこのサービスを利用していますね。
Paivi: それが現実です。重要なインフラについても同様で、「石油会社のサイバーセキュリティの衛生状態が悪いからと言って、石油の使用をやめよう。」と決断することはできないのです。それは例えば、身代金の費用が石油価格に反映されて、個人にとって負担が多くなって初めて、草の根レベル、個人レベルで決断することになります。それが唯一、消費者の行動に影響を与える要素になります。
会社側にとってはどうでしょうか?身代金の支払いが違法になったことで、その選択肢はなくなったとします。ランサムウェアの被害に遭った際に、会社として他に何ができるのでしょうか?
Jordan: 暗号化を解除できる可能性はごくわずかです。現時点では、ほとんどのランサムウェア攻撃者は、基本的に復号化することが不可能な暗号化メカニズムを採用しています。一度攻撃されたら、できることはほとんどありません。
ランサムウェアに直面したときの重要な問題の1つは、ほとんどの企業で、攻撃を受けたり、セキュリティが不十分だったために大きな影響を受けた後になって初めて、セキュリティ投資やセキュリティの衛生状態などが検討されることです。
しかし、そのような対処方法ではだめです。もっとプロアクティブになるべきです。少なくとも、重要なインフラのバックアップは必要です。理想的には、セキュリティポリシーを策定し、防御策を講じるべきですが、そうでなくても、バックアップやEDRなど、基本的な単一の防御策であれば、かなり簡単に実施することができます。それなりの投資額になるかもしれませんが、今回のようなシナリオに直面したときには、その価値は十分にあると思います。
そういうことですね。単に情報を取り戻すだけでは済みません。最近では、犯罪者が情報を公開すると脅してくることもあります。例えば、病院に勤務していて、多くの人々の医療記録や個人を特定できる情報に接しているとします。それを公開されたくはありません。身代金が払えない以上、他にどうすればよいですか?
Paivi: 身代金を支払うということは、その情報を盗んだ犯人が最後まで約束を守ってくれると信じるということです。つまり、攻撃者は「もし要求金額を支払ってくれれば、この情報を誰かに売り渡すつもりはないし、さらに金額を要求することはしません。」と考えていると信じるから支払うのです。これには納得感があります。
Jordan: はい。しかし実は、身代金を払うことですべてが戻ってくるという保証はまったくないのです。暗号化キーを入手したとしても、多くのファイルタイプやデータベースのようなものは、一度暗号化され、復号化されると、その過程で大量のデータが破損する可能性があります。
私は、貴重な顧客データベースが暗号化された後、復号化キーで復号化されたときにデータベースが使用できなくなる様子を目の当たりにしてきました。そのデータベースは非常に貴重だったので身代金を支払ったのですが、悲惨な結果に終わりました。ですから、身代金を支払う予定で計画を立てても、うまくいかない理由はたくさんあるのです。
Paivi: そうですね。これは、私がランサムウェアに実装されている暗号化ルーチンを調べたときにも見かけたことです。実装の仕方が極めて悪いのでデータ破損が発生しています。たとえ復号キーがあっても、暗号化された情報はすでに破損されているため、元に戻すことはできません。
病院の話に戻りましょう。規制当局は、これらの医療機関に対して、業務を復旧するはずの解決策を禁止できると思いますか?立法府の議員たちは「私たちは何があっても身代金の支払を許すつもりはありません。病院が身代金を要求されても、患者の個人情報は流出することになります。患者は手術台の上で死にかけているかもしれませんが、身代金は支払わないという方針を貫くことに変わりありません。」と言って満足しているのでしょうか?
Jordan: 特定のシナリオや、生命が危険にさらされているような個別のシナリオについて話すときは、その重大な影響を考慮する必要があります。それはケースバイケースで対処できると考えます。
石油パイプラインのシナリオについては、ランサムウェアのアクターに関する詳細情報がないので検討する価値があると思います。私は、アーティファクトをいくつか収集していますが、そのアトリビューションに関しては、財務省の規制に該当するかどうかについてニュースで見た記憶がありません。恐らくその理由は、石油パイプラインを復旧させることに価値があるという政府の判断があったからだと思います。操業し続けるためには、身代金を支払う価値が有ると言うことです。
その判断が正しいかどうかは別の議論だと思います。しかし、今回の議論において、特にランサムウェアに関しては、最初の一歩として全面的に規制を実施すべきだと思います。その一歩が実行されたら、次に個別のシナリオの検討に入るのです。
Paivi: サイバー領域以外の安全性について考えてみると、例えば、航空機や自動車などの安全性では、非常に厳しいセキュリティ規制があり、それらは実際に守られ、監視されています。航空機では、厳しい安全基準をすべてクリアしていなければ、誰も操縦することなどできません。少なくとも重要なインフラに対しては、そのような規制が実現できるはずです。
このような規制することは、非常に安全なインフラがあるということになり、とても意味のあることです。何十年にもわたって実証されてきたことなので、まったく異なる分野でも実現可能だと思います。サイバーセキュリティでも不可能ではないはずです。決して航空機が100%安全だとは言えませんし、自動車事故も起きていますが、これらのセキュリティ対策のおかげで影響は最小限に抑えられています。
ですから、犯罪者は常に犯罪を犯すもので、攻撃やランサムウェアのインシデントは常に発生するものだと受け入れるしかないと思います。しかし、重要なインフラへの影響は最小限に抑えなければなりません。
わかりました。さて、JordanとPäiviと私はそれぞれ出身国が異なっていますね。そこで、ランサムウェアの支払いが、ある国では合法で、他の国では違法だとしたらどうでしょうか?その結果、ランサムウェア攻撃者は合法の国に的を絞るようになりますか?それとも、世界的に禁止すればランサムウェア問題は解消するのでしょうか?
Paivi: そうなると、間違いなく身代金を払う方法を探ることになります。どうしても支払いたければそれも可能でしょう。全世界的に規制や制限を加えるという案は、これまでは実現していません。
おっしゃる通りです。
Jordan: ランサムウェアに関しては、ほとんどが日和見的な攻撃です。この攻撃は、インターネット上でスキャンした結果で実行されます。WannaCryがその好例です。それは文字通りインターネット全体に及ぶ自動化された攻撃でした。IPアドレスを1件ずつ調べ、エクスプロイトを起動し、成功すると身代金が支払われました。失敗した場合は、もちろん身代金は支払われません。
ですから、規制によって攻撃を完全に食い止めることはできないと思います。だからこそ、これまで述べてきたように、身代金を支払うか否かに関する規制だけでなく、身代金を要求される事態に至る前に講じるべき防御策についても規制を強化する必要があります。特に重要なインフラの場合は、ランサムウェア攻撃によって人々の生活が脅かされます。
ということは、攻撃者は支払いの圧力を高めるために、重要なインフラ企業に集中して攻撃を加えたいと考えるのでは?
Jordan: そこで、インフラ企業のセキュリティ態勢を強化する話になりますが、最高の抑止力は、攻撃者を面倒くさがらせたり、攻撃を遅らせることです。もし規制によって、これらの企業に多くのセキュリティ対策を講じることを強制するなら、これらの攻撃は本質的に日和見的なものですから複雑な話になります。しかし、結局のところ、小さな対策であっても、サイバーセキュリティの態勢が強固であればあるほど、さまざまな理由でランサムウェア攻撃を逃れられる可能性が高くなると思います。
Paivi: そうですね。また、犯罪者の視点で考えると、それが彼らの仕事であり、できるだけ少ない労力で高額を稼ごうとしています。したがって、もし強固なセキュリティ態勢をとっているのであれば、彼らはもっと攻撃しやすく身代金を獲得しやすい別の場所に移るでしょう。
わかりました。Forbesの記事によると、身代金を支払った組織の90%は、すべてのデータは取り戻せていないとのことです。あなたも同様の見方をしていますか?
Jordan: もちろんそうです。身代金を受け取るや否や逃げてしまうケースや、最初の支払いを受けて復号化キーを提供した後、さらに窃取した追加データを使って再び身代金を要求するケースなど、多くのケースを見てきました。これは、取引としては立証されたものではありません。彼らにビットコインを送るときには、ただ幸運を祈るのみです。身代金に関するもう1つの極めて重要な論点は、何かを取り戻せる保証はまったくないということだと思います。
たとえ何かを取り戻したとしても、被害者は攻撃者やその仲間達にとっての格好の標的としての烙印を押されたことになります。ダークウェブサイトのフォーラムでは、「この会社の攻撃に成功したので、あなたも試してみて。」という書き込みを見かけます。不幸中の幸いで被害者の10%に入って、復号化キーが機能し、完全に復旧できたとしても、その2日後には、また別のランサムウェアがやってくるのです。
Paivi: この点については少し反論したいと思います。身代金を支払ってデータを取り戻した組織は、果たしてそのことを積極的に公表するでしょうか?
ということは、世間の目には一部の事例しか映っていないと言うことですね。見ているデータに多少偏りがあることを許容したとしても、復旧は確実ではなく、保証もされず、サイコロを振るようなものだとすれば、情報を取り戻せるかどうかに関わらず、企業は自然に消滅していくことになりませんか?本当に身代金を払うことにペナルティを課すべきなのでしょうか?
Paivi: 今のところ、この規制はまったく機能していません。例えば、5年前のランサムウェアを振り返ってみると、所かまわず攻撃を拡散させていました。そして、通常これらの攻撃を受けるのはPCユーザ、個人ユーザでした。ここ2、3年の傾向としては、より標的を絞った攻撃が目立ってきており、標的の環境を調べて、身代金を要求する情報にどの程度の価値があるかを判断しています。そしてその傾向が加速しています。
ランサムウェア発生の当初から、身代金を支払った後の復旧はさほど成功していませんでしたが、この問題は今後ますます大きくなり、深刻になっていくでしょう。
Jordan: そうですね。規制のシナリオを考えるには、高速道路などでのスピード制限が参考になります。どこの高速道路にも最高速度65マイルなどの標識があります。誰もが時速65マイル以下で走行しているでしょうか?いいえ、スピード違反をする人は未だに多く、停車させられて罰金を支払ったり、逮捕されるリスクもあります。
事故でも起こしたら身に染みて分かるのでしょうが、違反はなくなりませんね。
Jordan: この例えは素晴らしいと思います。危険を冒して身代金を支払った場合、つまり制限速度を超えた場合は、規制当局から罰金を課せられるだけでなく、事故に遭うリスク、すなわち攻撃者との間で問題が起こるリスクが発生します。
しかし、制限速度を表示したり、規制を設けたりする最大の理由は、個々の企業に罰則を科すためではありません。それは、一般的に企業が純粋に次のような考えに基づいて判断することへの抑止力になるからです。「当社の1日当たりの事業は200万ドルの価値があるが、100万ドル支払さえすればネットワークを復旧することができる。財務的な観点からは支払うことが理に叶っている」
Paivi: しかし、罰金を上乗せするとどうなるでしょうか?1日当たりの事業収益が200万ドルで、身代金が100万ドル、罰金が50万ドルだとすると、それでもかなり良い選択肢、つまり身代金と罰金を払うという判断が理にかなっています。要するに、すでに襲われてひどい目に遭っている時に、さらに蹴られる程度のことです。
Jordan: そうですね。私は財務省のやり方を非常に気に入っています。なぜなら、懲役刑の可能性をほのめかしているからです。そのため、財務的には優れた判断であったとしても、CEOは自分の企業人としての経歴を危険にさらしたくないはずです。そのため、その判断にはリスク評価の階層が加わります。繰り返しになりますが、これは抑止力です。誰一人として身代金を支払わないようにできるのでしょうか?いいえ。しかし、問題を軽減するのには役立ちます。攻撃者が次の標的を攻撃する際の資金を減らすことはできます。
これは、今後は攻撃に関するデータがさらに少なくなる事を意味しますね。なぜなら、企業はランサムウェアの被害について、できる限り口を閉ざすようになるからです。公になった際の影響の大きさを考慮すると、どうしてもそうせざるを得ない場合を除き、公表しなくなります。
Paivi: 私の考えでは、それは面目を失うことと、処罰されることへの恐れにつながるからです。
Jordan: そうです。少なくとも米国では、ランサムウェアがネットワークに侵入する前から、FBIが多くの攻撃を監視しているという現実があります。私はFBIに協力して、ランサムウェアの攻撃者が、あるネットワークに数えきれないほど侵入するケースを観測してきました。その会社は、数日後FBIから電話を受けました。私たちは電話に飛びつきましたが、FBIがどのようにしてこの情報を入手したのかは推測できます。彼らはコマンド&コントロールサーバのターミナルウィンドウのスクリーンショットを持っています。したがって、この攻撃をリアルタイムで見ているのです。正直言って素晴らしいです。
しかし、このことは、これらの企業がたとえ口を閉ざしても、その行動はFBIに知られる可能性が高いとも言えます。ちょっと迷惑な話ですがこれが現実なのです。
そうなると懲役の期間が長引きそうですね。
Jordan:そうです。
しかし、身代金を支払ってもデータを取り戻す可能性は10%しかなく、この犯罪を助長する可能性は100%あるとすれば、それは単に禁止するだけでなく、完全に違法とすることを支持する論拠になると思いませんか?
Paivi: そのようですね。しかし、それを効果的に規定するにはどうすればいいのでしょうか?禁止事項についてはどうでしょうか?
ランサムウェアによる支払いを全面的に禁止する最も効果的な方法は、送金を禁止することだと思います。私は、身代金を支払ったCEOに懲役刑や多額の罰金を科すことにあまり乗り気ではありません。どちらかと言えば、送金を止めようとする方が良いと思います。それが可能なら、ただ制裁を加えるよりも効果的です。
全面的な禁止よりも効果的な代替案と言うことでしょうか?例えば、身代金を払ってもかまわないので、必ず支払ったことを報告させることから始めます。そして、状況を見て次のステップとして、何らかの方法で支払を制限することを検討するのはどうでしょうか?もっと情報を得るか?身代金の支払いを禁止する以外に、立法府ができることは何でしょう?
Jordan: 代替案に関して言えば、たとえ支払いを禁止したとしても、攻撃者は何か別の方法を考え出すでしょう。追跡できないような身代金の処理方法をすべて排除したとしても、攻撃者はすぐに別の方法で現金化を図るに違いありません。ダークウェブでデータを売ったり、競合他社に売りさばくようなことです。もしランサムウェアの支払いを全面的に禁止すれば、逆にランサムウェアの件数は増えるかもしれません。支払い方法を禁止したり、ランサムウェアそのものを禁止したりしても、犯罪者は犯罪者であり続けることでしょう。
Paivi: この点については、Jordanに100%同意します。あなたが挙げた選択肢の中で、もしランサムウェア攻撃で身代金を要求されていることをすべて報告することを義務付けるとしたら、おそらく規制当局にとっては、どの程度の影響力があるのか、どの業界に影響があるのかといった脅威の全体像を描くのに、その情報が役立つでしょう。また、問題の蔓延に関する情報が提供されれば、将来的にこれらの攻撃に対してより大規模な緩和策を講じることができるでしょう。
支払いを禁止することは、短期的な解決策であっても、長期的には解決になりません。これまで見てきたように、犯罪者は常に適応し、自らの活動を収益化する新しい方法を探しています。
短期的な解決策といえば、多くの企業がサイバー保険に頼ってきましたが、今ではサイバー保険会社が法外な保険金を支払ったことで苦境に立たされています。この分野は今後どうなるのでしょうか?
Jordan: そうですね。サイバー保険は問題を助長するだけだと思います。繰り返しになりますが、身代金の支払いは、財務的には有利な決断になります。それがこのような規制が必要な理由の1つです。なぜなら財務的な観点からは、差し引きでプラスの収支でこの状況から抜け出す方法があるからです。途方もない金額を要求されても、サイバー保険に加入していれば、保険会社に向かって「これにかかった費用は○○ドルでした。そして身代金も払わなければなりません。すべての損害を保険で補償してください。」と言うことができます。
そのようなモデルに従うことを許されるなら、保険業界はおそらく利益を得ることができるでしょう。個々の企業にもメリットがもたらされます。そして最も重要なことは、ランサムウェア攻撃者がこれによって莫大な利益を得ることです。
ここで損をするのは、サイバー保険に加入できない人たちだけです。彼らこそ、規制という形で最も保護が必要な人々だと思います。ランサムウェアを減らしたり、あるいはいつか阻止することができれば、このような小規模企業がランサムウェアによって廃業を余儀なくされる危険性は少なくなるでしょう。すべての企業が問題を解決するためにお金をつぎ込む余裕があるわけではありません。
Paivi: そうですね。サイバー保険は、ランサムウェアの問題に拍車をかけているだけでなく、全体的な問題を煽っているように思います。つまり、サイバー保険に加入することで、社内のセキュリティ運用にそれほど投資する必要はない。このレベルのセキュリティの衛生状態を維持する必要はないと考えるようになります。
理解していない方が判断するのは楽なのです。たとえば、セキュリティ業界をまったく理解していない場合は、予算を決めてサイバー保険にいくらか投資するだけです。それが、その時点でのセキュリティレベルになります。そして、データが漏洩したり、データが失われたり、身代金を要求されたりして、最悪の事態を向かえます。その時は、保険会社に補償を請求するしかありません。これは最悪のサイバーセキュリティ戦略です。
その通りですね。とても許されない状況でもあります。サイバー保険会社も、いつまでも喜んで対応するわけではないでしょう。保険料は上昇し、支払額は下落していくと思いますが、そうなるとサイバー保険に加入するメリットはあるのでしょうか?
Jordan: はい。あなたがおっしゃったように、インシデントが増えるほど、保険料は上がり、支払いの内容にも制限がかかるケースが多くなると思います。
石油パイプラインのケースを考えると、もしこれがテロリストの攻撃であれば、対応はもっと公の目にさらされ、注目を浴びるものになっていたと思います。バイデン大統領は、サイバー攻撃に対抗するために、より積極的な役割を果たすと話しています。米国の新しい戦略では、サイバー攻撃を他のテロ攻撃と同じレベルに位置づけるようです。例えば、身代金の支払いを処罰することとは、どのような関係性があるのでしょうか?
Paivi: バイデン大統領がサイバー攻撃を全体的にテロと同じレベルで捉えるというアプローチは、こうしたインシデントが、広範囲にわたって個人や組織に影響を及ぼしており、国家全体にとっての脅威であることを示す良い方法だと思います。このような重要な声明を出すことで、これらのサイバーセキュリティ侵害が潜在的に持つレベルを理解してもらえます。
Jordan: バイデン氏が署名したこの大統領令は、微妙で慎重を要する問題ですが、全体的には素晴らしい前進だと思います。最近よく言われるのは、「今日の戦争は、戦場ではなく、コンピュータ上で行われている。」ということです。これから私たちが目にする攻撃の多くは、外交的なものであれ、金銭的な動機によるものであれ、何であろうと、コンピュータ上で観測されるものがますます増えていくと考えられます。
私は個人的に、その多くが地政学的に動機付けられているのを見てきました。それらに適切かつ効果的に対応するためには、周到に準備を整えておく必要があります。
わかりました。最善の防御策は、そもそもランサムウェアの攻撃を受けないことですね。このような問題を未然に防ぐために、企業は何ができて、何をすべきでしょうか?
Jordan: これは複雑な問題ですね?サイバーセキュリティは、これらを阻止するために確立する必要がある、長くてねじれたチェーンのようなものです。本物のチェーンと同じように、全体はその中で一番弱いリンクと同じ強さしかありません。したがって、攻撃からどうやって身を守るかといえば、できる限りあらゆる方法で防御を強化することになります。
具体的な推奨事項に絞り込むとすれば、EDRを導入し、ネットワーク全体を可視化し、できれば監視ツールを導入しておけば、攻撃者が引き金を引く前に、何が起こるかを確認できる可能性が非常に高くなります。
ランサムウェアに関して言うと、攻撃者はネットワーク全体に影響を与えたいと考えています。ドメインコントローラを手中に収めたいと思っています。サーバも手に入れたいと思っています。復旧できないようにするために、バックアップも手に入れたいと考えています。このような攻撃シナリオの多くでは、たとえ特定のコンピュータのサブセットが感染したとしても、対応して阻止するチャンスがあることがわかっています。問題は、攻撃をどれだけ早く察知し、それをいかに迅速に効果的な対応につなげ、封じ込めることができるかということです。
Paivi: そもそも攻撃が起こらないようすることです。非常に簡単なセキュリティ衛生規則があります。それは、攻撃対象領域を最小限に抑えるために、サービスをオープンなインターネット上に置かないようにし、オープンにしなければならないものは、適切な認証、2要素認証、多要素認証を行うようにします。このようにしてサービスへの不正なアクセスを防ぐのです。
また、Jordanが話した、ネットワーク全体に感染させようとする侵入拡大を阻止するもう1つのポイントは、適切なネットワーク分離を行うことです。ネットワークを相互に分離し、重要な運用業務にだけ開放します。そして開放したままにしないことです。この2つを導入すれば、あらゆる種類のサイバー攻撃を防ぐことができるのです。
結局、今回のエピソードも、問題を解決するというより、また、新たな光り輝く解決策を提供するというよりは、基本的なことをしっかりと行うように勧める話になりました。ともあれ、このポッドキャストに出演し、非常に微妙な問題について話してくれたお二人に感謝します。
Jordan: どういたしまして。私は、誰もが基本に立ち返り、自分の基盤が保護されていることを確認することが良いと思います。セキュリティ対策の旅における最初の一歩にいても恥ずべきことではありません。あとは次の足を前に出すだけです。
カテゴリ