これまで、新型コロナウイルス感染症(COVID-19)のように、テクノロジーとデジタルに変化をもたらしたものは、存在しませんでした。
新型コロナが拡大する前、ビデオ会議ツールはごく一部でしか利用されていませんでしたが、今日では、リモートでのコミュニケーションが一般的になりました。86%の企業が、従業員の大部分をリモートワークに移行しています。この傾向はすぐには変わらず、2021年中に通常に戻ると予想しているCEOは3割(31%)に留まり、約5割(45%)のCEOが通常に戻るのは2022年になると予想しています。そして、注目すべきは、24%のCEOがもう通常には戻らないと回答していることです。
新型コロナ以降、世界中のサイバー犯罪者がこの混乱を利用するようになりました。彼らは攻撃をさらに産業化し、その最たるものが、すぐにリターンを得られるランサムウェアです。
多くの企業が業務の混乱に苦しみ、余裕がないこの時代に、サイバーセキュリティの脅威が増加しています。41%の組織が、従業員が在宅で仕事をしている間にインシデントが増加したと報告しています。
リモートでの業務を継続するためには、組織が自身とその従業員を攻撃から保護することが、これまで以上に重要になります。しかし、どのように保護すればよいのでしょうか?
本レポートでは、ランサムウェアの増加する脅威について検証し、このような攻撃に対する防御と最悪の事態が生じた場合に取るべき予防的、および事後的な対策を説明します。
ランサムウェアの過去と現在
ランサムウェアが世界的に知られるようになったのは2017年のWannaCryの攻撃がきっかけでした。ユーロポール(欧州刑事警察機構)によると、このキャンペーンは前例のない規模であり、約150ヵ国の約20万台のコンピュータが被害を受けたと推定しています。
ランサムウェア攻撃が成功した場合、多額のコストが発生する可能性があります。
- 目に見えるコストとしては、システムがダウンしている間の収益の損失、修復のコスト、顧客への補償や訴訟などがあります。一部の企業は身代金を支払うことを選択するかもしれませんが、それによってデータやシステムを取り戻せるとは限りません。
- 目に見えないコストは測定困難であり、レピュテーションの低下が含まれます。最悪の場合、信頼が損なわれれば、長期にわたり、さらに大きな影響を及ぼす可能性があります。
新型コロナに伴うロックダウン、急激なリモートワークへの移行などにより、ランサムウェアインシデントが急増しています。この期間中のリモートワークへの移行によって生じた人、プロセス、およびテクノロジーの制御における脆弱性は、サイバー犯罪者に大きな機会をもたらしています。
ランサムウェアをシステムに取り込ませるために、攻撃者は悪用可能なネットワークの脆弱性を探しています。在宅勤務の従業員が増えたことで、このリスクが高まっています。
新型コロナによって変貌したランサムウェア攻撃
新型コロナが起こる2年前は、暗号化により身代金が支払われるまでシステムが使えないといった単純な攻撃であり、特定のターゲットはなく、多額の身代金を得るために幅広く攻撃が仕掛けられていました。
しかし、現在は暗号化に加えて、機密データの持ち出しを行い、機密データを人質として、身代金が支払われなければデータ漏洩を行うといった攻撃に変わってきています。企業は、攻撃の結果データ漏洩することで、GDPRなどの制裁金の支払いが発生する可能性があります。
ランサムウェアの変化への対応
ランサムウェア活動の85~90%は、既知の脆弱性をターゲットとして、初歩的なアクセス権を取得することで成功しています。これらの脆弱性とは、既に解決策がわかっているものや、解決策が知れわたれるまでの空白期間を突いたものになります。このことは、脅威に対する予防的な対処のため、多くのことが実行できることを示しています。
ただ、もしランサムウェア攻撃の成功を許してしまった場合でも、影響を軽減し、ビジネスの中断を最小限に抑えるために事後的な対応を取ることができます。
攻撃への備え -予防的アプローチ
アプローチ | 考え方 | チェックリスト/考慮事項 |
---|---|---|
ベーシックな評価 | サイバー攻撃の成功例の90%は、基本的な管理と既知の脆弱性に対する防御の欠如による | ・アクセス:多要素認証が適用されていることを確認 ・外部のセキュリティ標準の適用(認証や公認) ・定期的なアカウントと権限の監査(誰がアクセス権を持っているか?まだそれが必要なのか?) ・技術的防御の信頼性のテスト |
教育と啓発 | 自分自身と組織を守る方法について、社員の教育が必要。従業員は重要な防衛線であり、何に注意すべきかを知っていれば、優れた情報収集能力を発揮する | ・フィッシングキャンペーン:危険性、注意点、対処方法についてエンドユーザーを教育 ・e-Learning:ハッキング、データプライバシー、サイバー詐欺に関するモジュールの受講 ・専門的なトレーニング:CEO、コールセンターのオペレータ、IT管理者など、ビジネスの役割と機能に特化したトレーニング |
リモートワークの評価 | リモートワークの急速な拡大は、ITの技術が進み多くの接続を可能にしたということ。設定ミスのリスクを下げるために、これらの「ドア」のチェックが必要である(多くても数日しかかからないと予想される) | ・エンドユーザーデバイス(PC、タブレット、スマートフォン)について、デバイス自体とそれらのデバイスで何が起きているか把握 ・ユーザーは誰で、どんな機密データにアクセスできるか?システムにアクセスする際、彼らが識別され、認証されているか?MFAが適用されているか? ・ITチームがリモートワークであっても、ネットワーク監視ができるか?マルウェアの排除や脆弱性対応以外に、イベントへの対応や、発生事象の記録を維持できるか? |
ペネトレーションテスト | サイバー犯罪者のように組織をハッキングし、問題点の洗い出しと基本的な修正を行う | ・「ホワイトハッカー」 にサイバー犯罪者の役割をさせ、組織の防御力と対応力をテストする(ペネトレーションテスト) -一般的な脆弱性について調査し、修正の推奨を提供 -ITチームの対応力をテスト -被害の影響を軽減するために、防御と対応について、ITチームを訓練 |
バックアップの取得 | 攻撃を受けてシステムやデータが破壊されると、ゼロから再構築しなければならないため、安全性と機能性が確認されたバックアップを用意する | ・他のセキュリティ対策がうまくいかず、組織が回復困難なランサムウェア攻撃を受けた場合でも、適切なバックアップにより、復元と再構築が可能 -バックアップのテスト -バックアップが、ネットワーク経由で危険にさらされないよう、バックアップを分離 -システムの重要性を考慮する。長い間 「ダウン」 していることで最も影響を受けるものは何か?最初に復元すべきものは何か? -復元できるようにしたデータポイントと以下に迅速に復元できるかを検討 |
インシデント対応訓練 | チームが経験から学び、攻撃が発生した場合の影響を軽減できるよう、シミュレーションを行う | ・組織への影響を考慮し、考えられるアクションを特定。主要なシステムとサービス、利害関係者、ベンダー、サプライヤーを洗い出す ・レスポンス・メトリック、プロセスおよび重要なトレーニング要件をどのように改善するか、学習したレッスンをどのように活用し、レスポンスを高速化するために 「プレイブック」 を開発することを検討 |
攻撃への迅速な対応 -事後的アプローチ
アプローチ | 考え方 | チェックリスト/考慮事項 |
---|---|---|
インシデント対応力の向上 | ランサムウェアの被害に遭い、システムにアクセスできず、顧客からの問い合わせが殺到した場合に備え、対策を講じる | ・実効的な対応能力は、サイバーインシデントの影響を低減するために不可欠。 -通常業務の抑制、軽減、および復旧に関する実践的なアドバイスにより、冷静なインシデント管理を維持 -直接的な影響とリスクを把握 -対応手順とコントロール、およびそれらを支えるテクノロジーに自信を持つ -地理的に分散したネットワーク、人、システムをクイックに調査 |
プレイブックの準備 | 攻撃の影響で業務が圧迫されそうになった場合に備え、プレイブックを準備 | ・テクノロジーごとにカスタム・プレイブックを作成して、抑制、隔離、リカバリ、修復を支援 ・プレイブックを作成または改善する際に、ランサムウェア検出およびリカバリのための定義済み、および、リハーサル済みアクションなどの先進的なプラクティスを発見するメカニズムとして、ヘルスチェックを検討 ・定期的にプレイブックをチェックして、改善 |
フォレンジック調査の能力 | 何が起きたのか、どのように起きたのか、何に影響を与えたのかを正確に把握するには、特定のフォレンジック技術が必要。集められた情報は、あらゆる法的措置の裏付けとなる | ・いかなるインシデント対応においても、フォレンジック調査が必要になる可能性があり、どのような状況でフォレンジック調査が要求されるか、誰が(規制当局、顧客、法執行機関、取締役会、保険会社など)フォレンジック調査のきっかけとなったり要求したりするかを検討。 ・フォレンジック調査の役割を果たすために、サードパーティとの連携の必要を検討し、連携する場合は、迅速に対応に組み込む方法を決定 |
コミュニケーションと広報 | 攻撃を受けた際の組織の声を特定し、迅速な対応ができるようにコンテンツを準備する | ・ブランドとレピュテーションへの影響を考慮し、顧客、利害関係者、パートナー等との良好なコミュニケーションを維持し、インシデントの影響を低減する -誰が組織のスポークスマンとして活動するか? -インシデント対応を迅速化するために使用できる、コンテンツと計画を準備 -組織が適切な能力を有しているかを判断し、必要に応じてサードパーティと相談・契約 |
法務部門との連携 | ランサムウェアの攻撃は、データ、サービス、負債など、他社との契約に影響を与える可能性が高いため、法的アドバイスが必要 | ・契約上の顧客およびサービスプロバイダの規制上の報告義務に関する見解から、特定の地域における特定の行為 (身代金の支払い等) の合法性の判断に至るまで、法的サポートはランサムウェアインシデントの多くの側面において重要 ・社内の顧問や顧問弁護士は、このレベルの専門知識を持っているか?必要に応じて、そのような専門知識を得るためにどのような取組みをしているか? |
サイバー保険への加入 | 攻撃が増加し続ける状況を考慮し、サイバーインシデントのコストをカバーする対策を講じる | ・当面のコスト:ビジネスおよびメディアへの影響に加え、データおよびシステムの機密性、完全性、および可用性を復元するための運用コストなど不可避のもの ・「スローバーン」 コスト:インシデントの重大度に応じて異なり、被害者/顧客への補償コスト、訴訟費用、規制による罰金などが含まれる ・契約要件:保険契約の前提として基本的なレベルのセキュリティ対策を要求する保険会社が増えているため、要件を満たしていることを確認する |
ランサムウェアを掌握する
組織は、アフターコロナの世界に向けた機能性と復元力を構築しようとしており、デジタルトランスフォーメーション(DX)を加速しています。クラウドサービスのさらなる普及により、多くの利益とともに潜在的なリスクも高まることが予想されます。サイバーセキュリティを向上させるために、現在および中期的に実行できるアクションと将来のビジネスが直面する課題を以下に挙げます。
今すぐ実施すること
- システムの喪失がビジネスに与える影響を評価し、対応のアクションプランを作成します。
- コロナ後の働き方を想定し、セキュリティ啓発トレーニングとリソースをアップデートします。
- ID、認証、およびITシステムへのアクセスを確認します。
- エンドポイントセキュリティ対策 (EDR)の機能、およびログの記録と監視の対象を確認します。
- インシデント対応の能力とバックアップを確認します。
- ペネトレーションテストにより、組織の対応能力をテストします。
- 今後の変化に備えて、最初からセキュリティ対策を計画します。
中期的に実施すること
- 実施したテクノロジーの変更を検討・確認し、エラーが発生していないことを確認します。
- リモートワーク環境の設定における脆弱性を確認します。
- どのような事業再編が 「内なる脅威」 のリスクを高めるかを検討します。
- 組織に最も大きな影響を与えるシナリオに基づいて演習を実行し、発見事項に基づき改善します。
- ペネトレーションテストを再度実施するとともに、防御と対処をテストする方法として、テストを継続的に行います。
- クラウドサービスの採用と拡大がもたらす、共有セキュリティの責任(業者と自社の間の責任分界点)について確認します。
将来的なトレンドと課題
- KPMGが2021年に実施した「CEO Outlook Pulse Survey」によると、調査対象となったCEOの大多数が、パンデミック発生中に業務オペレーション、ビジネスモデル、収益をもたらす流れのデジタル化が驚くほど進んだと指摘しています。4分の3のCEO(74%)は、デジタル化の速度が数ヵ月ほど加速したと述べています。さらに、CEOたちは、デジタル技術により多くの投資をする計画で、49%が新技術に多額の投資をすると回答しています。
- この変化により、組織は迅速、かつ管理されたデジタル化された機能を展開できるようになります。しかし、新しいテクノロジーを採用することで、その結果、企業の責任領域が拡大されることになります。とりわけ、データの流れや保護についてより複雑性が増すことになります。「誰が何の責任を負うのか?」、「リスクは高まっているか?」といった問いかけは、拡大した企業の責任領域におけるセキュリティについて信頼を得るために必要となります。
本稿は、KPMGインターナショナルが、2021年3月に発行したレポート「The changing shape of ransomware」のサマリーです。
文中の数値は、原文が参照した複数の資料によることをお断りします。
全文は以下のリンクよりご覧いただけます。
全文はこちらから(英文)
The changing shape of ransomware