多くの従業員が休暇を取得し、防御が手薄になり危機意識が欠如する時期はサイバー攻撃者にとって絶好の攻撃機会だ。これに備えて企業やるべきこととは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国において、5月最終月曜日のメモリアルデーの週末は、夏の旅行シーズンの非公式な始まりであり、休暇を狙ったネットワーク侵入のリスクがある。米国当局や民間企業におけるネットワークの防御担当者は、今後3カ月間にある祝日と重なる週末に起こる可能性がある脅威について静かに注意を払っている。
メモリアルデーと直接関連する公的な警告はないが、近年、あるパターンが浮かび上がっている。高度なハッキンググループは、ITセキュリティチームが少数のスタッフで作業し、企業の従業員が休暇を取得し、学校が夏休みに入るような長時間のダウンタイムの間を狙っているということだ。
Veritas Technologiesでフィールドサイバーセキュリティを担当するグローバルリードのジョイ・パーサー氏は「攻撃者は標的が最も脆弱(ぜいじゃく)になる瞬間を狙って攻撃することを好むため、長期休暇や休日はランサムウェア攻撃の絶好の機会だ。セキュリティ担当者は休暇のスケジュールに合わせて、この時期には少ないメンバーで業務をしている可能性が高い」と指摘する。
2021年夏の大型連休中には、米国の歴史の中でも大規模なランサムウェア攻撃が幾つか実行された。これによってFBIと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から警告が出された。
2021年の母の日の週末には、DarkSideという犯罪グループがColonial Pipelineのシステムを標的にし、米国の南東部および東部の多くの主要な燃料ステーションへのガソリン供給が長期間停止した(注1)。
世界的な大手食肉加工会社であるJBSは、2021年のメモリアルデーの週末にランサムウェア「REVIL」の被害に遭い、米国とオーストラリアで業務が中断した後、1100万ドルの身代金の支払いを余儀なくされた(注2)。
米国フロリダに本社を置くITモニタリング会社であるKaseyaは、2021年の独立記念日の休暇が始まったときに大規模なランサムウェア攻撃を受け、同社の業務が混乱し、その顧客にも影響が及んだ(注3)。
全米で2番目に大きな学校システムであるロサンゼルス統一学区は、2022年の労働者の日の週末にランサムウェア攻撃を受け(注4)、生徒に損害を与えかねない個人情報が大量に漏えいした(注5)(注6)。
多くの企業の調査によって、休暇期間中のデータセキュリティへの脅威に対する懸念は正当なものであると示されている。
Cybereasonの調査によると、侵入の範囲の特定により時間がかかるため、企業は休日のランサムウェア攻撃に対する準備がほとんどできていないことが分かった。このため、インシデントの阻止が難しくなり、復旧にも時間がかかる(注7)。
Barracudaによる調査では2022年夏から、不審な発信地からの「Microsoft 365」へのログインやネットワークから危険なIPアドレスへの通信が増加するなど、脅威になる活動の急激な増加が示されている(注8)。
休暇時のセキュリティの懸念としては、従業員がオフィスや自宅の作業場から離れていることが多く、ソーシャルエンジニアリングやフィッシング攻撃に対して脆弱な状況にある点が挙げられる。攻撃者はこうした従業員の注意欠如を把握しており、それを利用する恐れがある。
Abormal SecurityのCISO(最高情報セキュリティ責任者)であるマイク・ブリットン氏は「攻撃者はこの機会を利用してBEC攻撃やフィッシングリンクを送信する。従業員は休暇中であるか、PCから離れている可能性が高く、緊急の指示が含まれているように見えるメールに対して返信する可能性が高いことを知っているのだ」と述べる。
Microsoftの研究者たちは特定の休暇リスクについてはコメントしていないが、2023年4月末に発行されたブログを参照して、プッシュボンバードと呼ばれる資格情報ベースの攻撃について言及した。これは、botやスクリプトを使用して複数のアクセスを試行するものだ(注9)。その他、同社はランサムウェア攻撃の80%がソフトウェアやデバイスの設定ミスに起因することが多いと指摘している(注10)。
Corvus Insuranceのサイバーセキュリティ・アドバイザーであるダニアル・アーメド氏は、企業が休暇の週末に備えるために幾つかのステップを踏むことを推奨している。
(注1)How the Colonial Pipeline attack instilled urgency in cybersecurity(Cybersecurity Dive)
(注2)Food supplier cyber risk spreads 1 year after JBS attack(Cybersecurity Dive)
(注3)Kaseya: What’s known (and unknown) about the ransomware attack(Cybersecurity Dive)
(注4)Los Angeles school district hit by ransomware attack(Cybersecurity Dive)
(注5)Los Angeles schools’ data leaked after ransomware attack(Cybersecurity Dive)
(注6)Los Angeles school district confirms sensitive student data leaked(Cybersecurity Dive)
(注7)Cybercriminals strike understaffed organizations on weekends and holidays(Cybersecurity Dive)
(注8)Barracuda XDR Insight: Threat severity rises during vacation months(Barracuda)
(注9)Healthy security habits to fight credential breaches: Cyberattack Series(Microsoft)
(注10)Extortion economics(Microsoft)
© Industry Dive. All rights reserved.