💡
要約
ランサムウェア攻撃は依然として深刻な問題であり、LockBitの摘発後も活動が報じられている。
- 2024年2月、ユーロポールがランサムウェア攻撃グループ「LockBit」の一員を検挙し、関連の犯罪インフラをテイクダウンした。しかしLockBitが完全になくなったわけではない。
- 元国防総省やCISAの専門家であるベリタスのジョイ・パーサー博士は、LockBitが再結集して攻撃を仕掛ける可能性が高いと警告。さらに国家支援を受ける新たな脅威アクターが、LockBitなどの既存グループと同盟を組む動きもあるという。
- 脅威アクターは「ステルス性」を高める手法を洗練させており、「ハンター・キラー」と呼ばれる企業内部のセキュリティ機能を無効化するマルウェアなども確認されている。
- パーサー博士は、こうした脅威に対し、企業は複層でのセキュリティポスチャ管理が重要だと指摘。防御の多層化と、早期検知、迅速な対応が不可欠だという。
- 米国には少なくとも4つの主要な国家支援型の脅威アクターグループが存在し、CISAのWebサイトでその活動内容が公開されている。
要するに、ランサムウェア対策には各主体間の連携が不可欠であり、技術的対策と並行して人的ネットワークの構築が重要視されているということです。
Table of contents
LockBitの一連の騒動について:ゼロトラストの浸透と関係性の重要性:複層でのセキュリティポスチャ管理:LockBit摘発に関する追加情報専門家の見解の深堀り企業が取るべき対策今後の動向ハンター・キラー(Hunter-killer)と呼ばれるマルウェアについてハンター・キラーは、企業内部のセキュリティ機能や異常検知機能を無効化するマルウェアのことです。その特徴は以下の通りです。ハンター・キラーのようなステルス型の高度なマルウェアに対抗するには、以下のような多層的な対策が必要エンドポイント保護の強化ネットワーク監視の強化セキュリティインテリジェンスの活用セキュリティオペレーション/体制強化ゼロトラストアーキテクチャの採用
LockBitの一連の騒動について:
- LockBitは巧妙かつ洗練されたランサムウェア攻撃グループである
- ユーロポールの摘発にもかかわらず、その活動は依然として継続している模様
- 単発の取り締まりでは根本的な解決にはならず、長期的な国際連携が必要
ゼロトラストの浸透と関係性の重要性:
- 企業でゼロトラストの導入が進む一方で、業界間・国家間の信頼関係が希薄になってはいけない
- 米国では都市単位でセキュリティリーダー同士が定期的に会合を開き、情報共有を行っている
- ベンダーとユーザー企業の協力関係も重要視されている
複層でのセキュリティポスチャ管理:
- 技術的な対策はゼロトラストなど複数の層で行う必要がある
- 同時に、人的ネットワークの構築や情報共有の仕組み作りも欠かせない
- サイバー脅威への総合的な対策が求められている
つまり、高度化する脅威に対しては、技術的な対策に加え、組織間・国家間の緊密な連携体制が不可欠であると専門家は指摘しています。
LockBit摘発に関する追加情報
専門家の見解の深堀り
記事では、パーサー博士の他にLockBit摘発に関する専門家の見解は紹介されていませんでしたが、他のセキュリティ専門家からも様々な意見が出ています。
- 単独の取り組みでは限界がある: LockBitのような組織は、摘発されてもすぐに別の名前で活動を再開する可能性が高いため、一時的な対策ではなく、長期的な視点での対策が必要とされています。
- 法執行機関との連携強化: サイバー犯罪組織の摘発には、各国法執行機関の連携が不可欠です。情報共有や捜査協力体制の強化が求められています。
- 身代金支払いの禁止: ランサムウェア攻撃の被害拡大を防ぐためには、身代金の支払いを禁止する法律や規制の整備が必要との意見もあります。
企業が取るべき対策
記事では、パーサー博士が企業に対して「ゼロトラスト」や「複層でのセキュリティポスチャ管理」の重要性を説いていますが、他にも以下の対策が有効です。
- バックアップの徹底: ランサムウェア攻撃を受けてもデータを復旧できるように、定期的なバックアップとオフラインでの保管が重要です。
- セキュリティツールの導入: アンチウイルスソフトやEDR(Endpoint Detection and Response)などのセキュリティツールを導入し、最新の脅威情報を常に把握しておくことが大切です。
- 従業員教育: フィッシングメールや不正サイトの見分け方など、セキュリティに関する従業員教育を定期的に実施し、セキュリティ意識を高めることが重要です。
今後の動向
ランサムウェア攻撃は今後も続くことが予想されます。攻撃手法もより巧妙化していくことが考えられるため、企業は常に最新の脅威情報を収集し、対策を講じていく必要があります。また、国際的な連携や法整備など、社会全体での取り組みも重要です。
ハンター・キラー(Hunter-killer)と呼ばれるマルウェアについて
ハンター・キラーは、企業内部のセキュリティ機能や異常検知機能を無効化するマルウェアのことです。その特徴は以下の通りです。
- 企業内部に潜んで異常を検知されずに活動できる
- 企業のセキュリティオペレーターには何も異常が見られないように機能する
- 実際には検知機能を停止させており、攻撃者が好きな時に攻撃を仕掛けられる状態にする
その名前の由来は、軍事用語の「攻撃型潜水艦」を意味する"ハンター・キラー"からきています。敵に気づかれずに潜行し、好機を見計らって攻撃を仕掛けるような性質を持つためこう呼ばれています。
つまり、ハンター・キラーは企業内でステルス活動ができ、セキュリティ機能を無効化して攻撃の機会を伺う、高度な手口のマルウェアだと言えます。記事ではこうした手口の脅威が高まっていると指摘されています。
ハンター・キラーのようなステルス型の高度なマルウェアに対抗するには、以下のような多層的な対策が必要
エンドポイント保護の強化
- 次世代型エンドポイントプロテクションソリューションの導入
- アプリケーション制御、振る舞い監視など高度な検知機能
- 定期的なパターンファイルやシグネチャの更新
ネットワーク監視の強化
- NTPSやSSL/TLSなど暗号化通信の監視
- ネットワーク異常検知/アナリティクスの導入
- サンドボックスなどによるマルウェア動的解析
セキュリティインテリジェンスの活用
- 脅威インテリジェンスフィードの購読
- 新しい攻撃手法の情報収集と対策検討
セキュリティオペレーション/体制強化
- SOC機能の内製化または専門ベンダーの活用
- インシデント対応の高度化と自動化
- セキュリティ人材の確保と継続的な研修
ゼロトラストアーキテクチャの採用
- マイクロセグメンテーションによるマルウェア ラテラルムーブメント阻止
- IDエンタイトルメントの最小化とポリシー制御の強化
包括的な対策と継続的な対応が重要で、単一の対策では十分ではありません。また、インシデント発生時の適切な初動対応と損害拡大防止が肝心です。