ランサムウェアが虎視眈々と狙う、組織の“あるタイミング”とは?:Cybersecurity Dive
ランサムウェアはITセキュリティ担当者が少ない夜間や週末に狙うことが分かっている。Semperisの調査によると、回答者の3分の2が、組織に隙ができる"あるタイミング"を突かれてランサムウェア被害に遭ったと回答したという。
ホリデーシーズンを目前に控え、脅威グループがITセキュリティチームの油断を最大限に利用しようとする中、(電力やガス、鉄道、空港などの)重要インフラプロバイダーはサイバー攻撃の潜在的なリスクに再び備えている。
組織の3分の2が回答した「ランサムウェアに狙われるタイミング」とは?
サイバーセキュリティサービスを提供するSemperisの2024年11月の報告書によると(注1)、過去12カ月間にランサムウェアの被害に遭った組織の大多数である10社に9社は、ITセキュリティ担当者が少ない夜間や週末に狙われていたことが明らかになった。
組織の3分の2近くは「リストラや大規模なレイオフの発表、新規株式公開、企業合併をはじめとして従業員の注意が散漫になる企業の一大イベントの直後にランサムウェアの標的になった」と回答している。
調査企業であるCensuswideと提携して作成されたこの報告書は、米国やイギリス、フランス、ドイツのITセキュリティ専門家900人以上を対象とした調査に基づいている。
CISO(最高情報セキュリティ責任者)は、連邦政府や州政府からのコンプライアンスに関する要求を管理しなければならないという大きなプレッシャーにさらされており、セキュリティオペレーションチームは常に大きなストレスを抱えている(注2)(注3)。また、企業は不況の脅威とインフレに対する懸念のために雇用を削減している。
セキュリティチームは、重要なソフトウェアの脆弱(ぜいじゃく)性を追跡したり、互換性のないセキュリティツールからの大量の誤警報を処理したりする中で、アラートによる疲弊や燃え尽き症候群を訴えている(注4)。
Semperisでインシデントレスポンスを担当するジェフ・ウィックマン氏(ディレクター)によると、企業は近年、セキュリティチームのワークライフバランスの構築に尽力しているという。しかし経験豊富な脅威グループは、セキュリティチームがどのように脅威を監視し、対応しているかも理解している。
「犯罪者側の視点として、犯罪者はあなたが最も無防備なときを狙うだろう。そして、犯罪者は仕事と生活の両立が重要であることを知っている」(ウィックマン氏)
ホリデーシーズン狙いのランサムウェアを防ぐ4つの予防措置
企業の労働環境がハイブリッドモデルへと変化するにつれ、ネットワークにおける従来の境界は存在しなくなった。現在、従業員は出張中やリモートデバイスを使用している間に、自社の電子メールにログオンしたり、データにアクセスしたりしている。多くの従業員は、夜間や長期休暇中にアップデートを受け取っている。
セキュリティオペレーションにおけるさらなるリスクは、インシデント対応の訓練をせず準備を怠ってきた企業は、実際に攻撃が発生した際に何もできないことだ(注5)。
主要なランサムウェアや国家が背景にある攻撃を振り返ってみると、休暇期間中に脅威がもたらされていることが分かる。
ランサムウェア「Clop」による「MOVEit Transfer」を狙った攻撃は(注6)、2023年のメモリアルデーの休暇中に実行された。ソフトウェア企業であるKaseyaに対する2021年のランサムウェア攻撃は同年7月4日の週末に発生し、食肉業者であるJBSに対するランサムウェア攻撃は同年のメモリアルデーの休暇中に発生した(注7)。
2023年米国の小売業者がホリデーセールを推進する重要なサイバーウィーク期間中に、オフィス用品の販売事業を営むStaplesはランサムウェア攻撃の標的にされた(注8)。
サイバーセキュリティに関する情報共有を促進するRH-ISACの関係者によると、感謝祭とブラックフライデーの週末をはじめとするホリデーシーズンは、小売業界に特有の課題をもたらすという。
RH-ISACのCSO(最高戦略責任者)であり、戦略を担当するバイスプレジデントでもあるパム・リンデモエン氏は、電子メールで次のように述べた。
「通常、小売業界のサイバーセキュリティチームは、ホリデーシーズンに向けた準備を夏の終わりから開始する。この準備には、堅実な計画の策定や高度な脅威検知ツールの実装、部署を横断した連携が含まれる。また、小売企業はインセンティブやオンコールスタッフの確保を通じて体制を整える」
米国の小売業者は、ハッカーにとって非常に魅力的なターゲットだ。多くの企業がランサムウェア集団の標的となっている。
サイバーセキュリティ事業を営むCheck Point Softwareのグループ企業であるCyberIntの報告書によると(注9)、2024年第1四半期から第3四半期にかけて、米国では250件以上のランサムウェアインシデントが報告された。これは前年同期比で24%増加している。
CyberIntの調査によると、世界的な小売市場における米国の小売業者のシェアは28%にすぎないが、過去、第3四半期の期間中に世界全体で発生したランサムウェア攻撃のほぼ半分は米国の企業に関連するものだった。
感謝祭とブラックフライデーの週末に小売企業に対する攻撃を成功させることができれば、その企業の評判や財務状況に大きな脅威を与えられる。サイバー犯罪者にとって絶好の機会なのだ。
Cyberintのヨナタン・ワイゼル氏(シニアサイバー脅威インテリジェンスアナリスト)は、「Cybersecurity Dive」に対して電子メールで次のように語った。
「サイバー犯罪者はこの時期を利用してDDoS攻撃やランサムウェアキャンペーンを仕掛け、業務を妨害して小売業者から金銭を得ようとする。顧客データの盗難は常に懸念事項であるが、これらの重要な販売期間中の業務停止は、それ以上に壊滅的な結果をもたらす可能性がある」
以前、Microsoftの研究者は、ホリデーシーズンにおけるDDoS攻撃のリスクの高まりについて警告している(注10)。DDoS攻撃は、大量の悪質なトラフィックでWebサイトを氾濫させ、過剰な負荷をかけてサイトをダウンさせるものだ。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、悪質な活動から組織を保護するために、ネットワークを強化し、次の4つの基本的な予防措置を講じるよう呼びかけている。
- フィッシングメッセージを認識および回避できるように従業員に訓練を提供する
- 従業員に強力なパスワードの使用を義務付ける
- 多要素認証の利用を義務付ける
- 業務用ソフトウェアを最新バージョンに更新する
(注1)86% of Ransomware Victims Targeted on a Weekend or Holiday(Semperis)
(注2)Stressed much? It’s chronic in cybersecurity(Cybersecurity Dive)
(注3)Majority of global CISOs want to split roles as regulatory burdens grow(Cybersecurity Dive)
(注4)Are cybersecurity professionals OK?(Cybersecurity Dive)
(注5)Incident responders report alarming rates of mental strain(Cybersecurity Dive)
(注6)Progress Software’s MOVEit meltdown: uncovering the fallout(Cybersecurity Dive)
(注7)JBS paid hackers $11M ransom to avoid further disruption(Cybersecurity Dive)
(注8)Staples hit by cyberattack during critical Cyber Week sales push(Cybersecurity Dive)
(注9)Retail Threat Landscape 2024(Cyberint)
(注10)Holiday season DDoS defense: Your guide to staying safe(Microsoft)
© Industry Dive. All rights reserved.
関連記事
TP-Link製の複数ルーターに深刻な脆弱性 対象製品とユーザーへの影響は?
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。クレジットカードを少額で不正利用? その狡かつな手口【セキュリティニュースまとめ】
2024年11月は、Androidユーザーを狙うマルウェアやEDR製品による検知を回避する技術、クレジットカードの不正利用など最新の攻撃手法などが話題を集めた。前月の注目ニュースを一気に振り返る。大企業にはマネできない 小さい組織ならではの冴えたランサムウェア対策
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。情報セキュリティ測定の新指針 NISTが特別刊行物の最終版を発行
NISTが情報セキュリティ測定に関する包括的なガイド「SP 800-55v1およびv2」の最終版を公開した。これらのガイドは組織が情報セキュリティ施策の成果を評価し、意思決定を支援する。