** 本記事は、Defenders assemble: Time to get in the game の翻訳です。最新の情報は英語記事をご覧ください。**
ランサムウェアは、我々を永遠に悩ませる克服できない問題のように感じられることもありますが、最近公開されたデータでは明るい兆しも見えています。この困難な問題を解決するためには、この脅威の規模と範囲を理解し、仕組みを分析し、根本原因の解消に取り組むための戦略的手段を考案しなければなりません。病理に侵されている場合、症状を緩和する薬も必要ですが、同じように、病気そのものを治療するための対策も求められます。
信頼の確立
サイバー攻撃の規模や範囲を見極めることは決して容易ではありません。長年にわたり、IT コミュニティは、セキュリティ侵害につながる「失敗」を犯した者を非難してきました。不正なリンクやファイルをクリックしたり、USB ドライブ (過去にはフロッピーディスク!) を接続したり、利用しているソフトウェアのベンダーが警告と共にリリースしたパッチに気づかずに放置したりしていたユーザーに責任を押しつけてきました。こうした環境が、被害者の羞恥心を引き起こし、結果としてサイバー犯罪を報告することに躊躇させ、報告が減少することにつながっています。
また、多くの企業も、世間に自社の失態をさらすことで評判や株価が下がることを危惧しています。被害を受けたことを広く知られるほど、犯罪自体による被害だけでなく、二次的な被害が発生する可能性も高くなります。手間暇をかけて犯罪を通報する必要はない、警察から得られる支援はない、サイバー犯罪者は遠い第三国にいるなど、悲観的になり、諦めてしまう理由も多くあります。
しかし、最新の米国証券取引委員会のガイダンスや、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) が発表を予定している重要インフラ向けサイバーインシデント報告法 (CIRCIA) は、サイバー犯罪報告におけるこれらのギャップを解消する可能性があります。これは、インシデントを報告する方法を標準化し、支援を求めてサイバー犯罪を報告する米国の組織を増加させることを狙っています。
ソフォスが公開した「ランサムウェアの現状 2024 年版」の最新データによると、ランサムウェア対策では大きな進展が見られています。ランサムウェア攻撃による被害を受けた米国組織 (回答者数=496) の 98% が、法執行機関または政府規制当局に攻撃を報告しています。さらに良いデータがあります。規制当局に相談した 65% の組織が攻撃の調査に関する支援を受け、63% がアドバイスを受けており、3 分の 1 が暗号化または窃取されたデータを復旧するための支援を受けています。
攻撃を通報し法執行機関と連携することが非常に困難だと回答したのはわずか 11% に過ぎませんでした。経験に基づく見解ですが、攻撃を受けた組織が報告しない原因として、インシデント対応で発生する混乱と恐怖、そして準備不足が挙げられます。組織は、インシデント対応計画を策定して、十分に訓練しておく必要があるだけでなく、重大な危機に陥る前にセキュリティインシデント対応の専門組織との関係を確立しておく必要があります。
1968 年に緊急事態が発生したときの連絡先を周知することを目的として、米国で警察、救急、消防の緊急事態に対応する 911 への通報システムが確立されました。サイバー攻撃対策の専門組織に通報するための 3 桁の電話番号はありませんが、携帯電話の連絡先やインシデント対応計画にこれらの役割を担う企業や組織の名前と番号を登録しておけば、迅速に連絡を取ることができます。インシデント対策の一環として、日本の企業の場合は、都道府県の警察本部に設置されているサイバー事案に関する相談窓口やセキュリティインシデントが発生したときに迅速に対応してくれるサードパーティーベンダーを事前に把握しておくことを推奨します。
現在の課題
官民の協力関係が改善されつつあり、インシデント対応に要する時間も短縮する傾向にあります。これらの両方は大きな利点を生み出しています。ほぼすべての企業や組織がサイバー犯罪を報告するようになり、半数以上が報告先の機関から具体的な支援を受けるようになったのは素晴らしいことです。現在の課題は、これらはすべて症状を緩和する対策であり、予防と抑止という重要な問題に対応できていないことでしょう。
脆弱性が明らかになりパッチも公開されているのに適用されていないネットワークデバイスは多く存在します。これらのパッチが迅速に適用されていない、あるいはまったく適用されていないという問題は今も残っています。ソフォスの「アクティブアドバーサリーレポート 2024 年上半期版」の分析から、インシデントのほぼ 6 分の 1 で、攻撃者は公開されている脆弱性を攻撃して組織にアクセスしていることが判明しました。これらの脆弱性の多くは、攻撃で悪用される数週間、数カ月、数年前からパッチが提供されています。
多要素認証は、1990 年代にはすでにセキュリティコミュニティの多くのユーザーに公開されていたにもかかわらず、中小企業のリモートアクセスゲートウェイへの導入は進んでいません。2023 年版のレポートデータで分析されたインシデントケースの少なくとも 56% では、盗まれた認証情報がセキュリティ侵害の根本原因となっていました。最近発生した米国の Change Healthcare 社 (数十億ドル規模の売上) のインシデントでは、MFA を導入していなかったたった 1 台のサーバーから攻撃者が侵入しており、MFA を全社的に展開していなければ、大企業であっても中小企業と同じように重大な結果を招くことを示しています。
犯罪者を逮捕・起訴するために各国は法制度の整備を進めていますが、予防や抑止の面では大きな成果は表れていません。逮捕者の数や犯罪ネットワークを解体した事例は増加しているのですが、数十億ドル規模に達するこの問題全体を抑止するには至っていません。これらのサイバー犯罪者の多くは国際的な捜査に非協力的な国家で活動しており、多くの場合、投獄される可能性は低く、法制度によって犯罪を抑止することが困難になっています。
今後の対策
今後取るべき対策は明白です。うまくいっている対策をさらに前進させ、達成できなかったことに引きずられないようにすることです。病院や学校をハッキングした犯罪者が刑務所に送られると多くの人は安堵した気持ちになりますが、地政学的な理由から、このような成果を得るまでには時間がかかり、逮捕が困難なケースも多くあります。
現在私が考えている簡単なロードマップを以下に紹介します。
• ランサムウェア攻撃を法執行機関に報告する被害者が世界的に高い水準にあることがデータで明らかになりました。ランサムウェア組織の活動を断ち切るための対策は 2023 年から加速していますが、このようなランサムウェア対策の専門的な訓練を受けた警察機関の捜査員に資金を拠出することが重要です。法執行機関によって QakBot、ALPHV/BlackCat、LockBit などの組織が解体されるなど、大きな成果もありましたが、現時点ではこれらの成果はランサムウェアの被害を一時的に抑制しているに過ぎません。ランサムウェアなどの攻撃を成功させるために使用されている多くのインフラを解体するだけでなく、犯罪者間で確立されている信頼のネットワークを弱体化させる活動をさらに活性化しなければなりません。これが最も強力な攻撃手段です。
• 防御力も向上させる必要があります。これは膨大な作業となります。米国には 810 万以上の企業がありますが、そのうち約 680 万社は従業員 500 人以下の企業です。これらの企業の統計については、最新のソフォスの脅威レポートで詳しく説明しています。従業員 1,000 人未満の組織では、専任のセキュリティ担当者がいることがほぼなく、通常は最小限の IT スタッフしか採用していません。CISA は、攻撃されている脆弱性のリストを公開し、他の有用なアドバイスを提供していますが、これらの有益な情報を活かすには、情報を取り入れて対策に取り入れなければなりません。CISA は懸命に努力していますが、そのリソースには制限があり、影響力も限られています。
公的機関による対策には 2 つのアプローチがありますが、どちらも米国だけの問題ではなく、グローバルな取り組みが求められます。このような犯罪者が力を付けているのは、犯罪活動の規模と効率性が向上していることが理由の 1 つです。サイバー犯罪を実質的に削減するには、あらゆる分野での対策が必要となります。ユーザーが常に設定を調整しなくても、製品をより安全に使用できるようにする必要があります。また、組織がリスクを評価するときには、外部に接続しているデバイスやサービスの量と質を把握して調整する必要があります。
• ソフトウェアやネットワーク機器のプロバイダーは、安全な製品を出荷し、製品のアップデートを安全かつ簡単に行えるようにしなければなりません。CISA がソフトウェアベンダーに対して、「セキュリティ・バイ・デザイン」を目指して製品を開発するという誓約に署名するように呼びかけていますが、ソフォスはこれに賛同しています。セキュリティ・バイ・デザインで示されている目標の多くに向けて、ソフォス製品にはすでにいくつもの改善を取り入れてきましたが、さらにできることがあります。セキュリティ業界のベンダーとして、ソフォスもコードの品質だけでなく、安全な方法で製品を使用できるように改善を続けなければなりません。CISA の誓約にある 7 つの項目は、実環境で最も頻繁に攻撃されている問題を解消するために役立ち、セキュリティの専門知識がなくても、あるいは、安全性を維持するために利用できるすべてのセキュリティ更新プログラムを把握する能力がなくても、すべての顧客に安全な環境を提供するために役立ちます。
• セキュリティベンダーにできる最も重要な対策の 1 つは、更新をできる限りシンプルにすること、または、自動化することです。ブラウザの脆弱性を修正する場合や、スマートフォンのソフトウェアアップデートで見られるように、継続的かつ自動的にセキュリティアップデートを提供できれば、顧客のセキュリティが劇的に向上します。ブラウザと同じように、ソフォスのファイアウォールはデフォルトで緊急のセキュリティ修正プログラムを適用するように設定されており、顧客の環境にリスクをもたらす可能性のある不正な侵入がないか継続的に監視します。
• 企業は、預かっている個人情報に対してより大きな責任を追う必要があります。特に認証情報の窃取やパッチが適用されていないインターネット接続デバイスに関する自社のセキュリティリスクをより正確に評価することが求められます。
プライバシーの専門家による継続的な活動によって、データ管理者とデータ処理者の 2 つの異なるデータ管理者の概念が世間に知られるようになり、両者は責任をもって個人情報を適切に扱わなければならなくなりました。また、CISA は米国を拠点とする組織向けに、実際に悪用が確認された脆弱性のリスト (KEV: Known Exploited Vulnerabilities) にある脆弱性をスキャンする機能を搭載したベータプログラムを発表しました。さらに、セキュリティプロバイダは、修復機能を取り入れたサービスや、現在悪用されているエクスプロイトを監視する MDR サービスを提供しています。
• 最後になりますが重要なのは、古くから存在している問題、つまり暗号通貨の不正利用です。暗号通貨の不正利用対策として行われている活動は、テイクダウンの状況と似ています。米国では、ビットコインの取引を匿名化するミキサーやタンブラーなどのサービスを積極的に排除する動きを進めていますが、これは国際的な取り組みとして継続・拡大する必要があるでしょう。
ビットコインは、キャッシュフローが非常に高く、不正に獲得した多額の「富」を収集して洗浄する唯一の実用的な手段になっています。しかし、特定通貨の取引の追跡能力には問題があり、暗号通貨の広範なエコシステムに規制が適用されればサイバー犯罪への利用が抑止されることが期待されます。制裁措置の追求、アノニマイザー/タンブラー/ミキサーのサービスの停止、本人確認手続き (KYC) に関する規制をグローバルな方法または少なくても身代金の支払いがコンプライアンスを準拠する取引所を通過するときに最低限適用されるように積極的な施行することで (身代金を要求するサイバー犯罪組織は一般的に、米国または同じような法執行機関が関与する国では身代金を回収しないため)、窃取された金銭が洗浄されにくくなり、逮捕されるリスクが低い犯罪であり、簡単に現金化できると考えているサイバー攻撃者にとってのリスクを増大させることにつながります。
我々は決して無力ではない
ランサムウェアなどのサイバー攻撃への公的機関による対策の歯車は時に腹立たしいほどゆっくりと回っていますが、その勢いは確実に増しています。このような現代の犯罪について、司法と法執行機関のシステムの訓練と教育を続けながら、ランサムウェアのインフラのあらゆる側面に圧力をかけ続けなければなりません。犯罪組織の資金を断ち切ること、犯人を訴追できる国で積極的に犯人を逮捕すること、瞬時に対応できるように準備を改善すること、犯罪者間の信頼のネットワークを弱体化させること、官民を問わず国際的な境界を越えて団結することが求められています。
無為に過ごす時間はありません。前進あるのみです。