米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「2021 Trends Show Increased Globalized Threat of Ransomware|CISA」において、2021年はランサムウェアが技術的に洗練され、世界的に組織に対するランサムウェアの脅威が増大したと指摘した。米国のみならずオーストラリアおよび英国のサイバーセキュリティ当局も、重要インフラストラクチャ組織に対する高度で影響力が深刻なランサムウェアインシデントの増加を観測したと報告している。
CISAは最近のランサムウェアインシデントの技術的な特徴として、次の項目を挙げている。
- フィッシング詐欺、窃取されたリモートデスクトッププロトコル認証データ、ブルートフォース攻撃、既存の脆弱性の悪用などによってネットワークへのアクセスを取得
- サイバー犯罪者派遣サービスの悪用
- 被害者情報の共有
- 金銭強要手段の多様化
- クラウドの標的化
- マネージドサービスプロバイダーの標的化
- 産業プロセスへの攻撃
- ソフトウェアサプライチェーンへの攻撃
- 週末や休日を狙った組織への攻撃
こうしたランサムウェアの脅威に対する緩和策としては、次の項目が挙げられている。
- すべてのOSおよびソフトウェアを最新の状態に保つ
- RDPやそのほか潜在的にリスクのあるサービスを利用する場合にはセキュリティと監視を厳重に行う
- 不審なWebサイトへのアクセス、不審なリンクのクリック、不審な添付ファイルのオープンの危険性などについて、教育や模擬フィッシング演習などを行いユーザーの意識を高める
- Webメール、VPN、重要なシステムにアクセスするカウント、バックアップを管理するアカウントなど、できるだけ多くのサービスで多要素認証を利用する
- パスワードによるログインが可能なすべてのアカウントに対して、ユニークで強力なパスワードの使用を義務付ける
- Linuxを使う場合はセキュリティモジュール(SELinux、AppArmor、SecCompなど)を使うなど、深層防御を行う
- クラウドストレージを利用する場合は複数の場所にバックアップし、アクセスに多要素認証を利用し、クラウド上のデータは暗号化する
また、CISAはネットワークの侵入した攻撃者に対して可能な限り内部構造を把握されないようにするため、次の対策を取ることを推奨している。
- ネットワークをセグメント化する
- エンドツーエンドの暗号化を導入する
- ネットワーク管理ツールを使って異常動作やランサウェア侵入の可能性を特定し検出および調査する
- 外部からのリモートアクセスを文書化する
- 特権アカウントに時間ベースのアクセス制限を導入する
- 権限付与に関して最小権限の原則を徹底する
- 資格情報の露出を最小限にする
- 不要なコマンドラインユーティリティを無効化し、スクリプトの動作と権限を制限し、その利用状況を監視する
- データのオフラインバックアップを維持し、バックアップと復元のテストを定期的に行う
- バックアップデータは組織のデータインフラ全体をすべて暗号化し、変更および削除ができないようにする
- クラウド環境からテレメトリーを収集する
CISAが公表した内容はランサムウェアの脅威に対することを主眼としているが、説明されている内容は最近特にサイバーセキュリティにおける対策方法として挙げられるものが多く参考になる。サイバーセキュリティの脅威が事業継続や社会生活に与える深刻度が高くなっている。適切に対策を取り続けることでリスクを低減し続けることが望まれる。