トレンドマイクロは10月19日、同社が提供している「インシデント対応支援サービス」において、対応したインシデントの54.9%がランサムウェアに関するものだったとして、ランサムウェア対策に関する説明会を開催した。

シニアスレットスペシャリストの平子正人氏は、ランサムウェアはばらまき型と標的型の2種類に分類できるが、2019年~2023年6月末にかけてインシデント対応支援サービスで対応したランサムウェア事象のうち、95%が標的型だったと語った。

  • トレンドマイクロ シニアスレットスペシャリストの平子正人氏

標的型ランサムウェアは、特定のターゲットに向けて攻撃を行って組織に侵入し、組織内で活動を行い、最終的には組織ネットワーク全体に感染する。

  • 標的型ランサムウェアの攻撃の仕組み

平子氏は、インシデント対応支援サービスの統計から明らかになった現代のランサムウェア攻撃の特徴として、前述した「標的型ランサムウェア」に加えて、「直接侵入の増加」と「ランサムウェア実行までのタイムリミットの短さ」を挙げた。

ランサムウェア被害において、VPNやRDP、脆弱性を悪用して、内部ネットワークへ直接侵入するケースは、2019年1月から2020年12月までは22.2%だったのに対し、2021年1月~2023年6月にかけては66.7%に増えていることが明らかになった。

また、ランサムウェア事例における、初期侵入からランサムウェア実行までの平均日数は6.47日だが、28.6%のケースで1日(24時間)以内にデータが暗号化されているという。

そのため、「4分の1以上のランサムウェア事例が1日以内でデータ暗号化まで達成されている。この結果から、システムやセキュリティのログを取得して、後日に分析する体制では手遅れになる可能性があることが導き出されている」と、平子氏は指摘した。

さらに、平子氏は標的型ランサムウェアの特徴として、正規のツールが多用されていることを紹介した。コールバック、認証情報窃取、内部探索、横展開、データ持ち出しなど、さまざまなフェーズで正規のツールが悪用されているという。

  • ランサムウェア攻撃において、悪用されている正規ツールの例

このような特徴を備える標的型ランサムウェア攻撃への対抗策として、「アタックサーフェスリスクマネジメント」と「XDR(Extended Detection and Response)が紹介された。

平子氏は、直接侵入が起きる要因として、デジタル資産の増加に伴い、攻撃対象領域のサイバーリスクを把握できていないことを挙げた。昨今、組織の状況は目まぐるしく変わっており、自組織のリスクを把握することが難しくなっている。

そこで、アタックサーフェスリスクマネジメントにより、デジタル資産の継続的な監視を行うとともに、既知/未知、内部/外部の資産を発見することで、リスクが高いデジタル資産を把握して保護することが可能になる。

そして、標的型ランサムウェア攻撃とランサムウェアランサムウェ実行までのタイムリミットへの対策として、XDRを導入する。平子氏によると、パターンマッチング、挙動監視・機械学習型探索と言ったエンドポイントプロテクションプラットフォームでは、89%の脅威をブロックできるという。

裏を返せば、残り11%の脅威は防御をすり抜けてしまうというわけだ。そこで、攻撃者がよく扱う攻撃手法を検知する対策であるXDRを導入することで、これらの脅威に備える。

平子氏は、「アタックサーフェスマネジメントは平時のリスクを軽減するプロアクティブな対策であるのに対し、XDRは有事の際に対応をサポートするリアクティブな対策。両者は情報を共有しており、相乗効果を持った関係にある。これらを導入することで、標的型ランサムウェアに対策を講じることができる」と語っていた。