前兆を通知しても……ランサムウェア対策の残念な実態：Cybersecurity Dive

ランサムウェア被害を防ぐには攻撃の前兆をいち早く警告するしかない。情報を秘匿しがちな問題に業を煮やしたCISAは本気で情報提供を呼びかけているが、セキュリティ技術者は残念な実態に懸念を表明した。

[Matt Kapko，Cybersecurity Dive]

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は2023年3月、ランサムウェアがデータを暗号化したり盗んだりする前に、侵入を組織に迅速に警告することを目的とした「ランサムウェア攻撃に関する早期通知の取り組み」について初期の有望な結果を発表した。

　「CISAによる共同防衛プロジェクト（Joint Cyber Defense Collaborative、以下JCDC）は、サイバーセキュリティの研究者やインフラの提供者および脅威インテリジェンス企業からの情報提供を取り入れて、初期段階のランサムウエアの活動による被害を受けている組織に通知する取り組みを進めている」とJCDCの副所長であるクレイトン・ローマンズ氏が2023年3月23日のブログ記事で述べた（注1）。

　2023年の初め以来、当局は多数の重要インフラ部門に属する60の組織に、「ランサムウエア攻撃の前に実行される侵入」の可能性について通知した。多くの場合、データが暗号化されたり盗まれたりする前に、侵入を特定し、修復できたとローマンズ氏は述べている。

CISA’s Pre-Ransomware Notifications Help Organizations Stop Attacks Before Damage Occurs（出典：CISAのWebサイト）

通知は有効な防衛策だが解決できない残念な実態

　セキュリティ関連ベンダーであるSophosで応用研究を担当するフィールドCTO（＝実務の現場で技術的な問題に対処する役割を持つCTO）を務めるチェスター・ウィスニエフスキ氏は「悪意のある活動に関する早期警告は、ランサムウエア攻撃の影響を大幅に抑制する組織の能力を高める」と述べる。

　ウィスニエフスキ氏によると、攻撃者の侵入の初期段階で組織が行動を起こすと、多くの場合、ランサムウエア攻撃とデータの流出を防げる。ランサムウエアの攻撃者がアクセス権を窃取してからデータを暗号化したり盗んだりするまでに、通常は数時間から数日間が必要とされる。

　そこでCISAは、侵害の指標を共有する上で民間企業が果たす重要な役割を強調し、潜在的な被害者に迅速に通知するために、全ての組織と個人が悪意のある活動を報告するよう呼びかけた。

　ウィスニエフスキ氏は、ランサムウエア被害の可能性を知らせる通知は役立つが、「組織が警告を信頼して迅速かつ適切な対策を講じる場合に限って効果がある」と述べた。多くの組織は、手遅れになるまで早期段階の警告を真剣に受け止めない。

　通知のタイミングが重要であるにも関わらず、CISAによる侵害後の通知はしばしば遅すぎることも問題だ。侵害を早期に発見すれば組織は攻撃による被害の範囲を抑えられるのだ。

　「損害を受けずに済み、攻撃も防げる。どちらも素晴らしい。しかし、それでランサムウエアの問題を本当に解決できるのだろうか？　おそらくそうではない」とウィスニエフスキ氏は述べている。

（注1）Getting Ahead of the Ransomware Epidemic: CISA’s Pre-Ransomware Notifications Help Organizations Stop Attacks Before Damage Occurs（CISA）

原文へのリンク