医療機関とランサムウェア: 5 つの対策

** 本記事は、Healthcare and ransomware: 5 critical steps to take の翻訳です。最新の情報は英語記事をご覧ください。**

注: 本記事に関する詳細情報や参考資料については、ソフォスの「Healthcare Targeted Ransomware (医療機関をターゲットにしたランサムウェア)」と題したページをご確認ください。

新型コロナウイルス (COVID-19) の発生以降、医療機関に対するサイバー攻撃が急増しています。このような攻撃の増加には、以下のような要因が考えられます。

業務の分散化
新型コロナウイルス (COVID-19) への対応のため緊急で追加整備されたため、セキュリティ対策が不十分な施設の IT インフラ
医療機関によって保管される患者の医療データの急増
遠隔医療やリモート診断や、世界各国で見られるリモートワーカーの増大に伴うセキュリティギャップの発生

特に Ryuk ランサムウェアは最近になって再び活発になっています。ソフォスは先日、Ryuk に関与しているサイバー犯罪者に関連する新たなスパム攻撃を特定しました。ソフォスの Managed Threat Response チームは、Ryuk ランサムウェアの攻撃を受けた組織へ被害軽減のための支援を行い、Ryuk に関与しているサイバー犯罪者のツール、戦略、および手法の進化の経緯について情報を提供しています。

調査では、標的となるネットワークを侵害し、ランサムウェアを展開するために使用されるツールの進化の経緯が明らかになりました。しかし、さらに注目に値するのは、最初に侵入してからランサムウェアが展開されるまで、攻撃が極めて迅速に移行するという点です。ターゲットがフィッシングメールの添付ファイルを開いてから 3 時間半以内に、攻撃者はすでにネットワークの偵察を行っていました。そして、添付ファイル開封から 24 時間以内に、攻撃者はドメインコントローラにアクセスし、ランサムウェアを展開する初期段階にありました。

ランサムウェアが防御側の対策を回避する手段も急速に変化しています。近年のランサムウェア攻撃は、大規模なブルートフォース攻撃から、集中的かつ計画的に手動で実行される攻撃へシフトしており、検出とブロックが困難になっています。サイバー犯罪者が職人のように、ハンドメイドでマルウェアを作り出しているのです。

サイバー犯罪者はセキュリティ対策の空隙がある標的を見つけるために自動化も取り入れており、自動と手動の手法を組み合わせたハイブリッド型の攻撃手法を用いるようになりました。リモートデスクトッププロトコル (RDP) が有効になっている公開サーバー、リモートアクセスに多要素認証を使用していない管理者、パッチが適用されていない Web サーバー、または同様の問題を抱える信頼できるビジネスパートナーやサービスプロバイダのセキュリティ侵害され企業のネットワーク、システム、およびリソースがランサムウェア攻撃の犠牲にな恐れがあります。

以下に、医療機関がランサムウェア攻撃を防ぐためにできる 5 つの対策を紹介します。

IT　環境のメンテナンスに努めましょう。 最新のパッチをすべてインストールすること、リモートデスクトッププロトコル (RDP) を完全にシャットダウンする (または VPN を通して利用する) こと、また定期的なバックアップを作成して攻撃者が見つけることができないオフサイトに保管することなど、基本的な IT 環境のメンテナンスを実践してください。また、組織の中で最も機密性の高いデータを扱うサービスについて、多要素認証を適用することも重要です。これらは、自分自身とネットワークを保護するために今すぐ実行できる基本的な手順です。
ユーザーのセキュリティ意識を向上しましょう。強力なパスワードの重要性について啓発し、可能な限り二要素認証を実施してください。また、ランサムウェアの主要な配信手法の 1 つであるフィッシングについてトレーニングしましょう。
ネットワーク内での水平方向への攻撃の拡散を最小限に抑え、リスクを軽減しましょう。LAN を、ファイアウォールで保護される小さい単位で分離されたゾーンか VLAN にセグメント化してください。エクスプロイト、ワーム、ボットが LAN のセグメント間で拡散するのを防ぐために、これらの LAN セグメント間のトラフィックの管理には適切な IPS ポリシーを適用してください。また、感染が発生した場合は問題を除去できるまで、感染したシステムを自動的に隔離しましょう。
エンドポイントの保護に EDR (Endpoint Detection and Response：エンドポイント検出 / 対応) ツールを利用しましょう。昨今の標的型ランサムウェアは、1 つのマルウェアを阻止するだけでは不十分です。アクティブな攻撃者を阻止し、マルウェアを実行するための一連の攻撃の流れを妨害することが重要になります。すべてのエンドポイントが保護され、最新の状態であることを確認してください。正しく機能していないデバイスは保護されておらず、ランサムウェア攻撃に対して脆弱である可能性があります。 EDR などのツールを使用すれば、詳細なクエリを用いてアクティブな攻撃者を探知し、ネットワークへの高度な脅威を特定できます。EDR は、脅威に対応するために迅速に適切なアクションを実行するためにも役立ちます。
人の手でセキュリティの空隙を埋めることも重要です。コンピュータ、自動化、およびツールは非常に有用ですが、人間の知性、パターン認識、そしてコンテキストを適用する能力によって、より強固なセキュリティを構築することが可能です。ここでは、MDR (Managed Detection and Response：検知と対応のマネージドサービス) のサービスが重要になります。組織内部の IT チームならびにセキュリティチームと、サイバー攻撃の検知と対応を専門とする外部のチームが協働することで、頻発するインシデントの根本原因を容易に特定して対処できます。

Sophos Intercept X Advanced with EDR

Sophos Intercept X Advanced with EDR には、Ryuk、Sodinokibi、Maze、Ragnar Locker などのランサムウェア対策に必要なすべての機能が含まれています。

Intercept X には、悪意のある暗号化プロセスを検出し、ネットワーク全体に拡散する前にそれらを遮断するランサムウェア対策機能が含まれています。そのほか、エクスプロイト対策機能はランサムウェアの配信とインストールを阻止し、ディープラーニングによりランサムウェアを実行前にブロック、また CryptoGuard は悪意のあるファイル暗号化を防ぎ、ファイルを安全な状態にロールバックします。

さらに、ソフォスの EDR はサイバー攻撃の脅威を追跡し、また組織全体で円滑な IT 運用を維持することに役立ちます。ソフォスの EDR を利用すれば、IT 部門は詳細な Q&A を利用して、高度な脅威、アクティブな攻撃者、および潜在的な IT 脆弱性を特定し、迅速に適切なアクションを実行することでそれらを阻止することが可能になります。ネットワークに潜伏し見過ごされているランサムウェアを、攻撃者が展開する前に検出することも可能です。

Sophos Managed Threat Response (MTR)

ソフォスの MTR サービスでは、組織の段階的なセキュリティ戦略に対して専門家が助言します。サイバー攻撃の脅威を追跡する専門家チームは、顧客に代わって潜在的な脅威を能動的に探索し、検証します。クライアントからの許可があれば、具体的なアクションを実行して攻撃を妨害し、封じ込め、そして無効化します。また、頻発しているインシデントの根本原因に対処するための有効なアドバイスを提供します。

Sophos Rapid Response

組織がサイバー攻撃を受けており、インシデント対応のため緊急の支援が必要なときも、ソフォスがお手伝いします。.

インシデント対応の専門家チームによって提供される Sophos Rapid Response は、組織に対するアクティブな脅威の特定と無効化を迅速に支援します。数時間以内に対応を開始し、ほとんどの場合、48 時間以内に対応するべき項目の優先順位が決定されます。このサービスは、ソフォスの既存のお客様と新規のお客様も利用できます。

リモートでインシデント対応を行う SophosRapid Response チームは、アクティブな脅威に優先順位を付け、封じ込め、無効化するための迅速な対応を行います。侵入者を迅速に排除することで、資産への損害拡大を防ぎます。

医療機関とランサムウェア: 5 つの対策

Sophos Intercept X Advanced with EDR

Sophos Managed Threat Response (MTR)

Sophos Rapid Response

関連リンク

Puja Mahendru

関連記事を読む

ソフォス、SE Labs の最優秀 MSP ソリューションに選出される

巧妙なトリック：署名付きの奇異なバックドア

ソフォス「アクティブアドバーサリレポート」 2024 年上半期版

コメントを残す Cancel reply