連休前に備えておこう ランサムウェア被害に遭わないためにできること：Cybersecurity Dive

連休前や連休中はSOCチームの活動が縮小されるためランサムウェア攻撃を仕掛けるのに絶好の機会になっている。休日に起きた過去のサイバー攻撃事案を振り返ろう。

[David Jones，Cybersecurity Dive]

　5月最終月曜日のメモリアルデー（戦没者追悼記念日）を含む週末を前に、脅威研究者やインシデント対応チームは、人員が最小限となり、何百万人もの従業員が外出することになる中、悪質な活動のリスクに静かに備えている。

ランサムウェアグループは人員が手薄のタイミングを狙う

　2024年の大半を通じて、重要産業はランサムウェアグループや国家に関連する攻撃者からの脅威に直面しており、この週末は攻撃の絶好の機会だ。

　サイバーセキュリティ情報の共有と分析を担うIT-ISACのスコット・アルジャイア氏（エグゼクティブディレクター）は、電子メールで「私たちは毎日、攻撃や侵入の試みを目にしている」と述べた。

　メモリアルデーのイベントを示唆する具体的な脅威情報はないが、アルジャイア氏は「攻撃者もカレンダーを意識しており、セキュリティチームが週末や祝日に人員を減らして活動する傾向があることを知っている」と述べている。

　医療業界は、Change Healthcareに対する攻撃や医療団体Ascensionに対する現在進行中の攻撃など、ここ数カ月で2件の大規模なランサムウェアインシデントに見舞われている。

　Health-ISACのエロール・ワイス氏（チーフセキュリティオフィサー）は、「私たちは、医療業界のメンバーやサイバーセキュリティのリーダーたちに対して、攻撃者がこのタイミングを利用しようとしていることや、再び長い週末がやってくることを思い出させようとしている」と述べた。

　サイバーセキュリティ事業を営むSophosの2023年の報告書によると、ランサムウェア攻撃の約90％は通常の勤務時間外に発生している（注1）。この報告書は、2023年上半期のインシデント対応事例に基づいている。

　ここ数年の主なランサムウェア攻撃は、組織が休業している間、または人員を減らして運営している期間に発生している。2022年に、連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ランサムウェア集団が夜間や週末に企業を標的にすることに関するガイダンスを発表した（注2）。

過去の休日に発生した主な攻撃

　休日に発生した最近の攻撃には以下のようなものがある。

• 2021年、世界的な食肉供給業者であるJBS USAはメモリアルデーの休日にランサムウェア攻撃を受けた（注3）。同社は米国の食肉供給の約20％を処理しており、施設が数日間閉鎖された後、ハッカーに1100万ドルを支払った
• ランサムウェア「Clop」は、2023年のメモリアルデーの連休中に、Progress Softwareのファイル転送ソフトウェアである「MOVEit Transfer」のゼロデイ脆弱（ぜいじゃく）性を大規模に悪用した（注4）
• ITモニタリング企業であるKaseyaは、2021年の独立記念日の週末にサプライチェーン攻撃を受け（注5）、事業運営が中断され、顧客に二次的な被害が発生した
• 2023年9月には、ロサンゼルス統一学区がレイバーデーの週末にランサムウェア攻撃を受けた（注6）

　セキュリティ業界は依然として、重要インフラに対する国家主体の脅威に焦点を当てている。FBIのクリス・レイ氏（ディレクター）は2024年1月に、中国とつながりのあるハッキンググループ「Volt Typhoon」に関連する進行中の脅威活動について警告した（注7）。

　このグループは、アジア太平洋地域で軍事衝突が発生した場合、米国に対する陽動攻撃を開始するために、重要インフラ業界のさまざまなターゲットにWebシェルを仕込んでいる。

　ハリー・コーカー・ジュニア氏（国家サイバーディレクター）は、2024年5月の初めに開催されたthe CyberUKの会議におけるスピーチで（注8）、Volt Typhoonに関する懸念をあらためて表明した。また、同氏はロシアとつながりのあるハッカーについても警告している。

　セキュリティリサーチ企業であるGreyNoise Labsの研究者によると、彼らが目にしている唯一にして重要な傾向は、複数の脅威グループによってホームオフィスのルーターが狙われていることだという。

　また、GreyNoise Labsによると、Zero Day Initiativeのサイトでは多数のルーターの欠陥が最近公開されており（注9）、これらは悪質な活動に使用される恐れがあるという。

　GreyNoise Labsのチームは、電子メールで次のように述べた。

　「過去、米国における週末の長い休暇であったように、2024年5月24日（現地時間、以下同）にベンダーや研究者が脆弱性を公表することに備えている」

連休前や連休中にやるべきこととは？

　民間企業や重要インフラプロバイダーは近年、通常の勤務時間中であっても、セキュリティ業務に従事する有能なスタッフを十分に確保するのに苦労している。情報セキュリティに関する事業を営む非営利団体であるISC2の2023年の労働力調査では、回答者の67％がセキュリティスタッフの不足に直面していることが示されている（注10）。

　ISC2のジョン・フランス氏（最高情報セキュリティ責任者）は、電子メールで次のように述べた。

　「悪質な攻撃者は、人々がコンピュータから離れるタイミングを利用する方法を知っている。そして、業界が監視スタッフの不足に直面しているのであれば、事態はより厳しいものとなるだろう」

　休日の週末や夏休みは、脅威の追跡や悪意のある活動の緩和に関する新たな障害となる。

　サイバーセキュリティ企業であるSemperisのジェフ・ウィックマン氏（インシデント対応ディレクター）は、電子メールで次のように述べた。

　「全ての組織は、連休前や連休中に異常が増加しないように準備し、監視する必要がある」

　ウィックマン氏によると、組織はオフラインバックアップを作成し、連休中に稼働する必要のない重要なシステムをシャットダウンする必要があるとのことだ。インシデント対応チームは、アラートを設定し、攻撃が発生した場合にオフィスに戻れるように準備しておくべきだ。

　米国政府も、悪質な攻撃から身を守るための追加の対策を進めている。2023年5〜6月にかけて、国家が主導する攻撃により、「Microsoft Exchange Online」が侵害され、国務省の電子メール6万通が盗まれた事件は、サイバー安全審査委員会（CSRB）による調査の対象となった（注11）。

　2024年5月22日に、米国国家安全保障局（NSA）は、組織がゼロトラストの成熟を達成するためのガイダンスを発表した（注12）。ゼロトラストは、機密データへの不正アクセスを防止し、さまざまなシステムの可視性を維持することを目的としている。

　このガイダンスは米国の国家安全保障および防衛産業を対象としているが、NSA は「ゼロトラストの目標達成を目指す他の組織にも同じ推奨事項を適用できる」と述べている。

　CISAの広報担当者は、同機関は「異常な脅威活動に関する報告を特定したり受けたりしていない」と述べた。しかしCISAは組織に対し、国家主導のサイバー脅威のWebページや最新のサイバーセキュリティ勧告を監視して、最新情報を確実に把握するよう促した。

　FBIは特定の脅威を監視しているかどうかは確認しなかったが、「米国民を守るために警戒を続けている」と述べた。

（注1）Ransomware actors log on when you log off. Here’s how to stop them.（SOPHOS NEWSs）
（注2）Ransomware Awareness for Holidays and Weekends（CISA）
（注3）JBS paid hackers $11M ransom to avoid further disruption（Cybersecurity Dive）
（注4）Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）
（注5）Kaseya wrestles with service restoration following supply chain attack（Cybersecurity Dive）
（注6）Los Angeles school district hit by ransomware attack（Cybersecurity Dive）
（注7）China-linked hackers primed to attack US critical infrastructure, FBI director says（Cybersecurity Dive）
（注8）National Cyber Director echoes past warnings: Nation-state cyber threats are mounting（Cybersecurity Dive）
（注9）PUBLISHED ADVISORIES（ZERO DAY INITIATIVE）
（注10）How the Economy, Skills Gap and Artificial Intelligence are Challenging the Global Cybersecurity Workforce（ISC2）
（注11）Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）
（注12）Advancing Zero Trust Maturity Throughout the Application and Workload Pillar（NSA）

原文へのリンク