ランサムウェアの脅威は日に日にターゲットを絞ることで被害を拡大させています。「WannaCry」や「NotPetya」のような自動拡散型のランサムウェアとは異なり、多くの新種のランサムウェアは、最大の利益を上げられるよう特定の大規模組織に狙いを定めています。現在、サイバー犯罪者たちは、世界的な新型コロナウイルス感染症(COVID-19)の大流行により膨大な量の機密データを抱えているライフサイエンス業界をターゲットとしています。これまでに業界を襲ったランサムウェアには、「Ryuk」「Conti」「Sodinokibi」などがありますが、サイバー犯罪者は2021年以降もヘルスケアおよび製薬企業を標的にしていると考えられます。
進化するランサムウェアの脅威
収益性をさらに向上させるため今日のランサムウェア攻撃は、より洗練された侵入型の手法を取ることで攻撃のインパクトを上げています。攻撃者は何週間もかけてターゲットを徹底的に偵察しシステムやデータを深く理解することで、どのようにランサムウェア攻撃を行えば最大の利益を得られるかを検討しています。企業は以下の「二重脅迫型ランサムウェア」と「オンラインバックアップ」に留意すべきです。
二重脅迫型ランサムウェア
最近のランサムウェア攻撃は、サーバ上のデータを暗号化し業務継続を脅かすことで身代金を要求する従来型とは異なり、機密データを公開するという脅しを組み合わせた「二重の脅迫」を攻撃に適用しています。攻撃者は、ターゲットのネットワークに潜伏して隅々まで偵察することで、データの暗号化に最適な場所を特定するだけでなく、身代金支払いに応じなかった場合に備えて最も機密性の高いデータを窃取します。このような手法を取ることで、身代金支払いの確率を向上させています。
「Sodinokibi」「Conti」「Egregor」などのランサムウェアは、麻痺状態に陥る可能性のある技術を利用しています。COVID-19ワクチンに関連する貴重な知的財産を含む、今日の医薬業界が保有する大量の機密情報はこのような攻撃に対して特に脆弱であり、データ流出によって世界中のワクチン接種プログラムや健康の安全性が損なわれ、企業の評判やビジネス価値全体が脅かされる可能性があります。
このような攻撃に備え、以下の対策を講じるべきです。
- 迅速な対応ができるようインシデントレスポンス態勢を整備する
- 効果的なログ管理を行うとともに、ネットワーク・トラフィックを綿密に監視し、侵入疑いを優先的に検出できるシステム・プロセスを構築する
- ランサムウェアの影響を最小限に抑えるために、強力な封じ込めと隔離の手順を整備する
オンラインバックアップ
二重脅迫型ランサムウェアの攻撃のような新しい攻撃手法では、攻撃者が偵察を行いターゲットのバックアップ環境を理解して無効にします。Sodinokibiランサムウェアは、Windowsのシャドウコピーを利用した破壊的な手法の一例です。
攻撃を受けた企業がバックアップしたデータを使ってシステムを復元しようとすると、ランサムウェアが再び牙をむき、バックアップが復旧できないどころか、多くの場合、データの復旧は不可能となります。製薬会社に対するこのような攻撃は、ワクチン接種プログラムに大規模な混乱をもたらし、最終的には壊滅的な結果を避けるために身代金を支払わざるを得なくなる可能性があります。
このような攻撃に備え、以下の対策を講じるべきです。
- 攻撃者の攻撃を防ぐために、他のネットワークから分離した形でデータのバックアップを維持する
- バックアップしたデータに対し、定期的にストレステストを行い、その完全性を確保する
- システムやバックアップデータに対して、特権的なアクセス管理を行う
身代金を支払うべきか?
米国食品医薬品局(FDA)や英国医薬品・ヘルスケア規制庁(MHRA)などの医薬品規制当局は、身代金の支払いに関する詳細な姿勢をまだ明らかにしていません。しかし、多くの国や業界では、攻撃者への支払いに寛容でなくなってきており、身代金の要求に応じることが違法となるケースも出てきています。例えば、米国財務省外国資産管理局(OFAC)は、身代金要求への支払いに伴う制裁リスクの可能性を強調する勧告を発表しています。
身代金を支払うことが法的に認められている国や地域では身代金の支払いは経営上の決定事項であり、法的なアドバイスを受けた上で攻撃に屈することのメリットとデメリットを慎重に検討し、取締役会レベルで決定されるべきものです。
特に、世界的なパンデミックの中で人命を救い、世界的な経済回復を先導するという役割を果たしているライフサイエンス業界では、身代金の要求に応じることが正しい選択のように思えるかもしれません。パンデミックは「健康」と「経済の繁栄」が密接に関係していることを証明しており、医薬業界は生産活動を中断させてはならないというプレッシャーを感じていることでしょう。健康と経済の繁栄を守ることと、身代金を支払って将来の攻撃を助長することとの間に、倫理的なジレンマが存在しており、経営判断を難しくさせています。
適時判断が求められ、かつストレスの多いような状況においても素早く意思決定が行えるよう、取締役会レベルでのインシデント対応訓練を定期的に行い、ランサムウェアへの対処方法および身代金の支払いに対する姿勢を議論して合意しておく必要があります。
本稿は、2021年4月にKPMGインターナショナルのサイトで紹介しているレポートのサマリーです。
全文は下記のリンクよりご覧いただけます。
全文はこちらから(英文)
Ransomware attacks in Life Sciences