2017 年 5 月 12 日の午後早く、英国の国民保健サービス (NHS) は、世界中に広がっている大規模なランサムウェア攻撃の被害にあったことを確認しました。

「この攻撃は特に NHS を狙ったものではなく、さまざまな分野の組織に影響を与えています」と NHS は声明で述べ、攻撃が公開された時点で 16 の組織が WannaCry ランサムウェアの影響を受けていたことを確認しました。

サイバーセキュリティのブロガー兼研究者である MalwareTech は、NHS が午後 2 時 30 分頃に攻撃を受けていることを確認しました。その事実が彼に「これは何か大きなことだった」と知らせた、と MalwareTech はブログ投稿に書いている。

何が起こっているのかを知るために、彼はマルウェアのサンプルを入手し、分析を実行し、マルウェアが問い合わせた未登録のドメインを 10.69 ドルで登録しました。 

「ここで注意すべき重要なことの 1 つは、ドメインの実際の登録は気まぐれではなかったということです」と MalwareTech は説明しました。 「私の仕事は、ボットネット (および他の種類のマルウェア) を追跡し、潜在的に阻止できる方法を探すことです。そのため、未登録のマルウェア制御サーバー ドメインを見つけるために常に目を光らせています。」

しかし、そのドメイン名を登録する過程で、MalwareTech は、世界中で 200,000 台のコンピュータに感染しているランサムウェアである WannaCry を効果的に阻止し、データを復号化するためにユーザーにビットコインで約 300 ドルの身代金を支払うよう要求しました。

MalwareTech の取り組みと、Microsoft が Windows XP (2014 年以降サポートされていない) 向けにリリースした緊急パッチにより、WannaCry は阻止されました。しかし、ランサムウェアやその他の種類のクライムウェアが今後さらに蔓延する中、彼らがそれほど幸運になれるわけではありません。

最近発表された Verizon 2017 データ侵害調査レポートで、Verizon は 65 の組織からのデータを分析し、侵害の 88% が 2014 年に特定された 9 つのパターンに該当することを発見しました: クライムウェア、サイバースパイ、サービス妨害、インサイダーおよび特権の悪用、その他のエラー、ペイメントカードスキマー、POS 侵入、物理的な盗難と紛失、Web アプリケーション攻撃。

これらの攻撃が成功する理由の一部は、ほとんどの企業が自社は標的にされないと誤って信じており、サイバーセキュリティの基本はカバーされていると誤って信じており、強力なパスワード要件を設定できず、革新的かつ積極的であることとは対照的に、これまでのやり方に依存しているためです。

「攻撃者は新しい戦術やトリックを使用していますが、全体的な戦略は比較的変わっていません」と Verizon のレポートは説明しています。 「組織をサイバー攻撃から守る方法を知るには、それらを理解することが重要です。」

報告書はまた、標的にされているのは大手企業だけではないことも明らかにしています。むしろ、報告書に記載されている侵害の 61% は従業員 1,000 人未満の企業に影響を及ぼしました。

2016 年、製造業、ヘルスケア、金融サービス部門がデータ侵害の主な標的となった。しかし、ベライゾンのサイバーセキュリティ戦略およびマーケティング部門グローバル責任者のジョン・ラブランド氏は、企業はその事実に気を取られるべきではないと述べた。

「『最もリスクにさらされている業界』に重点を置きたいと思いますが、それは役に立たない可能性があります。あらゆる組織が潜在的なターゲットであるという考えから逸れる可能性があるからです」とラブランド氏はベライゾンのポッドキャストインタビューで述べた。

ベライゾン グローバル セキュリティ サービス エグゼクティブ ディレクターのブライアン サーティン氏も、ラブランド氏のコメントに同調し、いかなる組織もその栄光に安住すべきではないと述べました。

彼らは否定しているかもしれないが、組織は標的にされるだろうとサーティン氏はポッドキャストで説明した。 「それが設計図であれ、医療記録であれ、古き良き支払いカードの詳細であれ、どこかの誰かがそれを食事券とみなして、それを入手する機会として捉え、脆弱性を悪用し、そのデータを見つけ、取り出し、窃盗し、現金に換金しようとします。ほとんどのサイバー犯罪者は、誰から盗むかにはそれほどうるさくありません。」

ランサムウェア。サイバー犯罪者が使用している変わらぬ戦略の 1 つはランサムウェアです。これは、2014 年にはマルウェアの形式として 22 番目に多かったものですが、現在では 5 位に上昇しています。

「攻撃者にとって、身代金を得るためにファイルを保持することは、特に匿名の支払いを集めるためにビットコインを使用する場合、迅速で低リスクで簡単に収益化できます。」と Verizon のレポートは述べています。過去数年間のランサムウェアの成功により、犯罪者はそれを利用して利益を上げる方法についてより革新的になりました。

「犯罪者は、ファイルが削除されるまでの時間制限、時間の経過とともに増加する身代金、ファイル名の推定機密性に基づいて計算される身代金、さらには被害者自身が攻撃者となり、他の 2 人以上に感染させた場合に無料でファイルを復号するオプションさえ導入した」と Verizon の報告書は述べています。

WannaCry の背後にいるハッカーたちはランサムウェアからそれほど大きな利益を得ていませんでしたが (CNBC は 5 月にビットコインで約 50,000 ドルを稼いでいたと推定しています)、マルウェアの拡散方法は今後の攻撃を懸念している、と脅威インテリジェンス プラットフォームである ThreatQuotient の戦略担当上級副社長である Jonathan Couch は述べています。

これは、WannaCry が悪意のある電子メールが開かれるなどの最初の感染によって広がりましたが、そこからはピアツーピア ネットワークのように動作したためだと彼は説明します。

「クライアントは、ユーザーがランサムウェアを拡散させるのではなく、ネットワーク上の他のクライアントを検索して、そのように拡散するでしょう」とカウチ氏は述べ、これが WannaCry がこれほど急速に拡散した理由の 1 つであると付け加えました。なぜなら、WannaCry は独自に拡散できたからです。

個人ではなく組織をターゲットにするランサムウェアの機能は、2016 年のランサムウェアにとって大きな変化であり、攻撃者はこの戦術を他の戦略と組み合わせて、攻撃をさらに成功させました。

「組織をターゲットとするランサムウェア キャンペーンには、攻撃を組織全体に広げるための資格情報の盗難、検出される前にできるだけ多くのマシンに感染するための遅延暗号化、ユーザー システムだけでなく企業サーバーをターゲットにするコードなど、追加の特徴がある場合が多い。」

これらの戦術により、ランサムウェアの将来のバージョンはこれまでに見られたものよりもさらに強力になる可能性が高いとカウチ氏は言います。 「人々は（ランサムウェアを）より早く拡散させるためにピアツーピアを改良し、分析を妨げるためにコード内でより多くの暗号化を使用するだろう」と彼は付け加えた。 

カウチ氏はまた、将来のモデルでは、既存のネットワーク上のデータを暗号化するのではなく、実際に被害者のシステムからデータを抽出して暗号化するようになるだろうと予測しています。 「ランサムウェアと戦う方法の 1 つは、バックアップを作成することです。つまり、適切なバックアップがある場合は、それを使用するだけです」とカウチ氏は言います。 「私のファイルをすべて持ち去った場合、私の情報が漏洩する危険があります。」

ランサムウェアがすぐになくなる可能性は高くありませんが、セキュリティ業界は、感染が深刻になる前にランサムウェアを検出し、組織を犯罪活動から保護し、サイバー犯罪者に金銭を支払うことなく身代金を要求されたシステムを救出するという課題に取り組んでいます。

業界は、エンドポイント保護とランサムウェアの検出を改善し、法執行機関やその他の組織と脅威情報を共有し、No More Ransom! をサポートすることでこれを実現しています。キャンペーン。 

2016 年 7 月に開始されたこのキャンペーンには、現在 57 の企業、協会、公共部門のメンバーが参加し、被害者が身代金を支払わずに暗号化されたデータを回復できるよう支援しています。

「そのために、nomoreransom.org は現在、幅広いランサムウェア ファミリからファイルを回復できる 27 の復号ツールをホストしています。」と報告書は述べています。 「No More Ransom! は、世界中の何千人もの被害者に無料の復号ツールを提供することで、犯罪者から 300 万ドル以上を横領することに成功したと計算しています。」

サイバースパイ活動。 Verizon の報告書によって特定された 2016 年のもう 1 つの主なパターンは、スパイ活動の動機を持っているかもしれない (または持っていないかもしれない) 国家関連の攻撃者に関連した攻撃の数が増加したことです。

2017 年の報告書でベライゾンが調査した侵害の 21% はスパイ行為に関連しており、侵害の 86% は製造部門によるものでした。また、これらの侵害のうち、加害者の 73% は、フィッシング攻撃などのソーシャル エンジニアリング攻撃を組み合わせてマルウェアをインストールしていました。

「悪意のある電子メールは、サイバースパイの好んで侵入する方法です。しかし、これはスマッシュアンドグラブではありません。」と報告書は述べています。 「通常、最初の電子メールの後には、攻撃者に必要なデータを収集する時間を与え、周囲に溶け込むことを目的とした戦術が続きます。」

攻撃者はターゲットに侵入し、その秘密がどこに保管されているかを突き止め、検出されるまで、理想的にはできるだけ長く秘密をゆっくりと収集したいと考えています。 

「国家関係者が関与している場合、その作戦は日和見的ではなく、標的型攻撃となる」と報告書は説明している。 「言い換えれば、犯罪者たちは特定の目的を持って特定の組織を狙ってやって来ているということです。」

2017 年春のフランス大統領エマニュエル・マクロンの選挙陣営に対するサイバー攻撃は、この戦術の代表的な例です。 2016年の米国大統領選挙に影響を与えようとするロシアの取り組みの後、マクロン氏のチームは、ロシア寄りのマリーヌ・ルペン候補の勝利を支援するための同様の取り組みの標的となる可能性が高いことを認識していた。選挙の最終回で勝利を収めた後、マクロン氏のチームは巧妙なフィッシングメールを受け取り始めました。

マクロン氏の人員リソースが限られていたため、彼のチームはハッカーを完全に排除することに注力するのではなく、潜在的なハッカーを混乱させる偽情報キャンペーンを立ち上げることにした、と選挙後のニューヨーク・タイムズとのインタビューでマクロン氏のデジタルディレクター、ムニール・マジュビ氏は語った。

マジュビ氏は、チームが反撃に出て、ハッカーを罠にかけるために使用できる偽のコンテンツでいっぱいの偽アカウントを作成したと述べた。この方法では、ハッカーがアカウントに侵入すると、どのコンテンツが偽物で何が本物かを判断するために貴重な時間を費やす必要があります。

これはハッカーの動きを遅らせ、ハッキングによる完全な被害を防ぐには効果的でしたが、最善の防御策ではないと脅威検出プロバイダーである SecBI の共同創設者兼最高技術責任者である Alex Vaystikh 氏は述べています。

「防御の観点から見ると、これは防御の観点からは悪いアプローチです。なぜなら、防御側はハッキングを防ぐためにできることは何もないという結論に達しているからです」と Vaystikh 氏は説明します。 「唯一の方法は、十分な虚偽の情報でハッカーを混乱させ、侵入する際に確かに多くの騒音を経験することになるでしょう。情報によるハッカーに対するサービス拒否攻撃のようなものです。」

いくつかの企業がサイバーセキュリティに対してこれと同じアプローチを取っていますが、ハッカーが侵入するという事実を受け入れているようでイライラしているとヴァイスティク氏は言います。

「サイバーセキュリティの世界では、これは私たちが諦めたことを意味するので、ややもどかしいです...そして私たちの唯一の希望は、[ハッカーが]機密情報を入手してそれが何であるかを解明するまでに、それはもはやそれほど機密ではなくなることです。」とヴァイスティク氏は付け加えた。

代わりに、企業はシステムの保護と監視に積極的に取り組むべきであり、Verizon のレポートの提案を繰り返しながら、彼は主張します。

たとえば、Verizon は企業に対し、機密性の高いデータを分離してアクセスが必要なユーザーのみにアクセスを許可すること、全従業員にフィッシング トレーニングを提供すること、内部ネットワークを監視すること、「従業員による不適切なデータ転送を特定してブロックする」データ損失防止制御を導入することを推奨しています。

Verizon のレポートによると、「ユーザー名とパスワードが権限の昇格や次のデバイスの侵害に対する唯一の障壁である場合、これらの行為者を阻止するのに十分な努力ができていないことになります。」