経営者とセキュリティ担当者が分かり合うためのフレームワークを知っているか?:「SPHERE 23」現地レポート
ランサムウェア攻撃が高度化する今、全社一丸となってセキュリティ対策を講じるには、経営層から現場のセキュリティ担当者までが同じ言葉で語り合い、足並みをそろえる必要がある。これを実現するフレームワークを解説しよう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2023年5月24日、フィンランドの首都ヘルシンキでWithSecure主催のイベント「SPHERE 23」が開催された。このイベントに先立ち、WithSecureの本社ではプレス限定セッションが幾つか開かれた。本稿はその中でも、サイバー犯罪グループの最新動向に関するセッションとその対抗策を解説するセッションを紹介しよう。
ランサムウェア身代金支払いの行方は?
WithSecureのスティーヴィン・ロビンソン氏(シニアスレットインテリジェンスアナリスト)はセッション「Professionalization of Cybercrime」で、サイバー犯罪のプロフェッショナル化によって、サイバー犯罪グループはどのようなメリットを得ているのかを、2022年1〜12月に観測したサイバー攻撃をまとめた最新調査レポートを基に語った。
ロビンソン氏によると、サイバー犯罪グループの狙いは「利益」だ。既に巨額の利益を稼いでいる彼らはさらにそれを拡大するため、「われわれのビジネスと同様に、複雑な機能をアウトソースし、新たな雇用を創出してフリーランスに外注する。これによって多くの資金を持つ犯罪組織が、犯罪商品や犯罪サービスを購入するようになった」(ロビンソン氏)という。これが、犯罪組織におけるさまざまなサービスプロバイダーが登場した理由だ。
犯罪組織は「Everything as a Services」と呼ばれるような状況にある(出典:WithSecureのレポート「The professionalization of cyber crime」から抜粋)「ランサムウェアは悪の根源だ」とロビンソン氏は指摘する。身代金支払いの総額は減少しているという統計が発表されてはいるが、サイバー攻撃者にとってはいまだに大きな利益を生み出しており、手法を追求する価値があると言える。ランサムウェアに関するアウトソーシングはフリーランサーによるギグエコノミーに近いものであり「ほんの数パーセントの効率アップが、リアルタイムで大きな利益率向上につながる」(ロビンソン氏)という。
進化するサイバー攻撃 もはや「暗号化」は重要ではない?
ランサムウェア攻撃は、国内外で「多重脅迫」という手法にシフトしている。この手法は従来のように、データを暗号化してその復号を条件に身代金を要求するだけでなく、情報を不正に流出させてそれをリークサイトに公開することを脅迫の手段としたり、DDoS攻撃を予告したりするなど、さまざまな手法を組み合わせて脅迫を実行するという悪質なものだ。
ロビンソン氏は強力で純粋なワイパー(データ削除)によるサイバー攻撃を例に、「データを削除するのは、暗号化よりも早くて簡単だ。事実、この攻撃では暗号化はそれほど重要ではない。むしろ重要なのは、こういった成功したビジネス手法やプレイブックをまねして販売することにあり、それが地下市場(アンダーグラウンドマーケット)の形成につながった」と指摘した。
ロビンソン氏によると、アンダーグラウンドマーケットでは、下記のような“事業者”が存在するという。
- ランサムウェア・アズ・ア・サービス(RaaS)
- アフィリエイト
- イニシャル・アクセス・ブローカーズ(IABs)
- クリプター・アズ・ア・サービス(CaaS)
- クリプトジャッカーズ(暗号資産の不正マイニングを実行する脅威アクター)
- マルウェア・アズ・ア・サービス(MaaS)
- 国家を背景としたアクター
イニシャル・アクセス・ブローカーは、サイバー攻撃における最初のステップである不正アクセスの手段を提供する事業者だ。この事業者が認証情報などを売買することで、スキルの低いサイバー攻撃者であっても攻撃が実行できる土壌が整っている。
「私たちがよく知るソフトウェアにおける正規の技術エコシステムと同じで、自分たちでソフトウェアを開発する人はごくわずかしかいない。アンダーグラウンドマーケットでも同様に、彼らはサポート契約やプレミアム製品へのアクセス権を販売するサポートフォーラムを運営し、さまざまな工夫をしている」(ロビンソン氏)
身代金が攻撃者の糧になっているという事実から目を背けない
ロビンソン氏は次に、かつて経験したインシデントレスポンスで、1つの被害組織が3週間の間に、5つの異なる脅威アクターに侵入された事例を紹介した。ランサムウェアグループとイニシャル・アクセス・ブローカー、クリプトジャッカー、国家主導のアクター、マルウェア・アズ・ア・サービスといったグループによる同時攻撃だ。なお、判明している脅威アクター名としては以下の通りだ。
- ランサムウェアグループ:Monti
- マルウェア・アズ・ア・サービス:Qakbot
- クリプトジャッカー:8220 Gang(別名: ReturnedLibra)
- 北朝鮮の対外情報偵察総局に関連付けられるAPT(高度持続的脅威)である「Lazarus Group」の下位集団
ロビンソン氏は、これらのサイバー攻撃について「決定的な行動を起こすまで、彼らを区別する方法はなかった」と話す。
最近では大型のランサムウェアグループが崩壊したという報道も繰り返し報告されているが、結局はその後、複数のスピンオフグループが台頭し、それらが継続的に活動している。さらにイニシャル・アクセス・ブローカーも増加しているのが実情だ。ロビンソン氏は「脅威アクターに必要なのは、やる気とノートPCと少しの暗号通貨だけだ」と指摘する。
ロビンソン氏はこの現状について「金銭的な動機は、十分な利益が最小限のリスクで得られる限り継続される」と述べる。
「これを打破するためには、われわれが変わらねばならない。ランサムウェア攻撃では、被害者が身代金を支払うことで、攻撃者はより多くのリソースを得ることになる。それこそがサイバー攻撃者を増長させてしまうことはあまり語られていない。ランサムウェアに対する最善の方法は、サイバーセキュリティ業界と政府が、サイバー攻撃者のコストとリスクを増大させることだ」(ロビンソン氏)
経営層とセキュリティ担当者のギャップを埋める
このように増加する脅威アクターに対抗するため、WithSecureが提唱した新たなセキュリティアプローチが「アウトカムベースセキュリティ」だ。同イベントでは、この概念の理解を助けるセッション「Security Outcome Canvas」も開催された。このセッションは、アウトカムベースセキュリティを考える上で、キャンバスに自社の状況を当てはめることで、その理解をさらに深めるというものだ。
アウトカムベースセキュリティは「ビジネスの成果をベースとしてセキュリティを語る」という概念だ。サイバーセキュリティ分野は未成熟であり、CISOや経営層、現場、セキュリティ担当者はそれぞれ違う語彙(ごい)で会話をしているために理解が進まず、結果として誤った投資が継続される可能性がある。ベヘラスコ氏は「セキュリティとして機能するものを手に入れるためには、ビジネスとして理解できる言葉を使い、私たちがやっていることを理解してもらう必要がある、しかしそれは簡単なことではない」と語る。
ベヘラスコ氏によると、「Security Outcome Canvas 1.0」は上記の課題解消に向け、「経営者が求める情報、そして実行のための出発点を1つのページにまとめておく」キャンバスだという。
Security Outcome Canvasの活用でセキュリティはどう変わるか?
Security Outcome Canvasでは、下記の項目をシートに区分けし、それぞれの項目を埋め込むことで、経営層にも理解しやすいビジネス成果と、担当者が理解するセキュリティ成果、そして現在持っているリソースを1枚の図で理解できるようになる。
- Business Outcomes
- Primary Risks
- Security Outcomes
- Major Opportunities
- Key Initiatives
- Key Resources
- Cost
Security Outcome Canvasは、経営層が使うビジネスモデルキャンバスにインスパイアされたものだ。中心に置かれたのがビジネス成果ではなくセキュリティ成果であることについて、ベヘラスコ氏は「アウトカムベースのセキュリティを1年前から語ってきたが、特にセキュリティの実務家にとって、アウトカムベースセキュリティをリンクさせることが非常に難しいというフィードバックを得た。セキュリティ成果はビジネス成果を達成するために重要なものであり、イニシアチブを実現するための中心的な接着剤だ」と述べる。
企業が存続し、規模が大きくなると特定のリスクへの回避が必要となる。その回避のため、部門がセキュリティソリューションに投資することは重要だが、それは時がたつにつれて変化していき、他のソリューションや機能で当該リスクが回避できる可能性があるだろう。これによって、組織全体で見たときには過去の投資が不要になるが、部門単位では過去の投資にしがみつく状況になりえる。それを見えやすくするのが「アウトカムベースのセキュリティ」なのだ。
ベヘラスコ氏は最後に「このキャンバスが異なるレイヤーをまたいで会話ができる、単一のモデルになることに期待する」と述べた。
関連記事
ミッコ・ヒッポネン氏が語る、AIへの“期待”と“リスク”
セキュリティリサーチャーのミッコ・ヒッポネン氏は、AIが破壊的な進歩する現状を「史上最高に熱いAIの夏」と表現した。同氏はAIにどのような期待を寄せつつ、どのようなリスクを懸念しているのか。
生成AIはここまで悪用できる 社会現象を“捏造”するその実力とは?
WithSecureは生成AIに関するリサーチ結果を発表した。同調査は「ChatGPT」をはじめとした生成AIツールを悪用することでいかに社会現象を捏造し、フェイクをばらまくことができるかを明らかにしている。
ビジネス成果ベースでセキュリティを構築する6つのステップ
十分なセキュリティ対策を講じることを重視するあまり、スピーティなビジネスの実行に悪影響を及ぼしてしまえば本末転倒だ。ビジネス視点でセキュリティを構築するとはどういうことだろうか。WithSecureが提唱するアプローチを見てみよう。
各社が出した2023年のセキュリティ予測 筆者が気になるトピックは?
新たな年が始まり、セキュリティ企業各社が2023年のセキュリティ予測を発表しています。今回はその中でも個人的に気になるトピックを幾つかピックアップしました。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
ITmediaはアイティメディア株式会社の登録商標です。