夏休みはサイバー攻撃が“はかどる” 大型連休に備えて企業がやるべきこと:Cybersecurity Dive
多くの従業員が休暇を取得し、防御が手薄になり危機意識が欠如する時期はサイバー攻撃者にとって絶好の攻撃機会だ。これに備えて企業やるべきこととは。
米国において、5月最終月曜日のメモリアルデーの週末は、夏の旅行シーズンの非公式な始まりであり、休暇を狙ったネットワーク侵入のリスクがある。米国当局や民間企業におけるネットワークの防御担当者は、今後3カ月間にある祝日と重なる週末に起こる可能性がある脅威について静かに注意を払っている。
メモリアルデーと直接関連する公的な警告はないが、近年、あるパターンが浮かび上がっている。高度なハッキンググループは、ITセキュリティチームが少数のスタッフで作業し、企業の従業員が休暇を取得し、学校が夏休みに入るような長時間のダウンタイムの間を狙っているということだ。
サイバー攻撃者は休まない? 企業が脆弱になる瞬間とは
Veritas Technologiesでフィールドサイバーセキュリティを担当するグローバルリードのジョイ・パーサー氏は「攻撃者は標的が最も脆弱(ぜいじゃく)になる瞬間を狙って攻撃することを好むため、長期休暇や休日はランサムウェア攻撃の絶好の機会だ。セキュリティ担当者は休暇のスケジュールに合わせて、この時期には少ないメンバーで業務をしている可能性が高い」と指摘する。
2021年夏の大型連休中には、米国の歴史の中でも大規模なランサムウェア攻撃が幾つか実行された。これによってFBIと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から警告が出された。
2021年の母の日の週末には、DarkSideという犯罪グループがColonial Pipelineのシステムを標的にし、米国の南東部および東部の多くの主要な燃料ステーションへのガソリン供給が長期間停止した(注1)。
世界的な大手食肉加工会社であるJBSは、2021年のメモリアルデーの週末にランサムウェア「REVIL」の被害に遭い、米国とオーストラリアで業務が中断した後、1100万ドルの身代金の支払いを余儀なくされた(注2)。
米国フロリダに本社を置くITモニタリング会社であるKaseyaは、2021年の独立記念日の休暇が始まったときに大規模なランサムウェア攻撃を受け、同社の業務が混乱し、その顧客にも影響が及んだ(注3)。
全米で2番目に大きな学校システムであるロサンゼルス統一学区は、2022年の労働者の日の週末にランサムウェア攻撃を受け(注4)、生徒に損害を与えかねない個人情報が大量に漏えいした(注5)(注6)。
大型連休に備えて企業がやるべきこと
多くの企業の調査によって、休暇期間中のデータセキュリティへの脅威に対する懸念は正当なものであると示されている。
Cybereasonの調査によると、侵入の範囲の特定により時間がかかるため、企業は休日のランサムウェア攻撃に対する準備がほとんどできていないことが分かった。このため、インシデントの阻止が難しくなり、復旧にも時間がかかる(注7)。
Barracudaによる調査では2022年夏から、不審な発信地からの「Microsoft 365」へのログインやネットワークから危険なIPアドレスへの通信が増加するなど、脅威になる活動の急激な増加が示されている(注8)。
休暇時のセキュリティの懸念としては、従業員がオフィスや自宅の作業場から離れていることが多く、ソーシャルエンジニアリングやフィッシング攻撃に対して脆弱な状況にある点が挙げられる。攻撃者はこうした従業員の注意欠如を把握しており、それを利用する恐れがある。
Abormal SecurityのCISO(最高情報セキュリティ責任者)であるマイク・ブリットン氏は「攻撃者はこの機会を利用してBEC攻撃やフィッシングリンクを送信する。従業員は休暇中であるか、PCから離れている可能性が高く、緊急の指示が含まれているように見えるメールに対して返信する可能性が高いことを知っているのだ」と述べる。
Microsoftの研究者たちは特定の休暇リスクについてはコメントしていないが、2023年4月末に発行されたブログを参照して、プッシュボンバードと呼ばれる資格情報ベースの攻撃について言及した。これは、botやスクリプトを使用して複数のアクセスを試行するものだ(注9)。その他、同社はランサムウェア攻撃の80%がソフトウェアやデバイスの設定ミスに起因することが多いと指摘している(注10)。
Corvus Insuranceのサイバーセキュリティ・アドバイザーであるダニアル・アーメド氏は、企業が休暇の週末に備えるために幾つかのステップを踏むことを推奨している。
- インシデント対応計画やプレイブックを見直し、休暇中のトリアージポイントや、より広いチームにエスカレーションするタイミングを特定する
- 最近の外部または内部の脆弱性評価報告書を確認し、ネットワークへの容易なアクセスを可能にする隙間がないことを確認する
- バックアップシステムが設計通りに稼働しており、連休前にスナップショットが取得されていることを確認する
- セキュリティ担当以外の従業員に、休日の週末にサイバー攻撃を受けるリスクについて教育する
(注1)How the Colonial Pipeline attack instilled urgency in cybersecurity(Cybersecurity Dive)
(注2)Food supplier cyber risk spreads 1 year after JBS attack(Cybersecurity Dive)
(注3)Kaseya: What’s known (and unknown) about the ransomware attack(Cybersecurity Dive)
(注4)Los Angeles school district hit by ransomware attack(Cybersecurity Dive)
(注5)Los Angeles schools’ data leaked after ransomware attack(Cybersecurity Dive)
(注6)Los Angeles school district confirms sensitive student data leaked(Cybersecurity Dive)
(注7)Cybercriminals strike understaffed organizations on weekends and holidays(Cybersecurity Dive)
(注8)Barracuda XDR Insight: Threat severity rises during vacation months(Barracuda)
(注9)Healthy security habits to fight credential breaches: Cyberattack Series(Microsoft)
(注10)Extortion economics(Microsoft)
関連記事
- 「IT管理者よ、休暇前と休暇明けにこれだけはやってくれ」NISCらが念押しの注意喚起
NISCらは夏季長期休暇における適切なセキュリティ対策の検討/実施を求める注意喚起を発表した。長期休暇前、長期休暇期間中、長期休暇後に実施すべきセキュリティ対策をまとめている。これらを確認、実施の上で休暇に入ってほしい。 - 95%の従業員は、サイバー攻撃からの復旧方法を“理解していない”
企業は従業員のサイバーレジリエンス能力を高めるためにプログラムを提供しているが、その多くが適切な成果を挙げていないようだ。 - 経営層の理解が進むのはいいことばかりじゃない? セキュリティ支出を巡る事情
経営層はサイバーリスクを現実的な脅威だと認識し始めるようになった。これに合わせてIT予算のうちセキュリティが占める割合も改善傾向にある。 - 「セキュリティとはテトリスだ」 40年間インターネットを見てきた伝説的ハッカーは何を語るか
現役の凄腕セキュリティリサーチャーであるWithSecureのミッコ・ヒッポネン氏が初の邦訳著書の出版を記念して来日しました。40年間インターネットの最前線で活動してきた同氏は本書で何を語ったのでしょうか。
© Industry Dive. All rights reserved.