Tenable ブログ
ブログ通知を受信する
基礎に焦点を当てる: ランサムウェアから身を守るための 6 つのステップ
ランサムウェアはサイバー衛生の不備を収益化する犯罪です。対抗できるセキュリティ構築のための 6 つのステップをご紹介します。
ランサムウェアは、どの企業でも役員会で取り上げられる問題となっています。2020 年だけでも、3 億回のランサムウェア攻撃が記録され、全年比で 60% 以上の増加を示しています。この傾向の背景には多数の要因があります。例えば、暗号通貨の普及、高度なランサムウェアのバリューチェーン、1回の攻撃で2回身代金の支払いを強要するビジネスモデルの成功例、などです。しかし、今日、ランサムウェア攻撃の頻発を助長する原因として最も重要なものの1つに、膨大な数のソフトウェアの脆弱性と設定ミスがあります。攻撃者たちは、これらを大皿から食い荒らすように取って使いこなし、企業ネットワーク内に足掛かりを作り、攻撃を全領域に仕掛けています。
ランサムウェアは攻撃者が脆弱性を悪用することに依存
リモートワークが新常識として一般化した今日、攻撃者たちはリモートアクセスインフラやウェブアプリの欠陥を餌食にしてネットワークの侵入口にしています。現在、ランサムウェアシンジケートとして最大の REvil/Sodinokibi は、最近ますます VPN (CVE-2019-11510)、ウェブサーバー (CVE-2019-2725)、リモートデスクトップ (CVE-2019-19781) などにある脆弱性を標的にし、またつい先日、リモート IT 管理のインフラ内の脆弱性 (CVE-2021-30116) も標的にしています。Conti と呼ばれるランサムウェアの種類も、頻繁にVPN システムとリモートデスクトッププロトコル (RDP) を悪用してネットワークに侵入しています。ソフトウェアの脆弱性が、今までにない速度でランサムウェアの攻撃に使われるようになったのは、年々発行されるCVEの数が実に膨大であることと、コードの導入に全くユーザーとのやりとりが不要なためです。
しかも、脅威となっているのは従来のCVEの脆弱性だけではありません。 設定ミスも、ランサムウェアの企業環境内の侵害には大きな役割を果たしています。ランサムウェアのエクスプロイトは、Active Directory (AD) の弱点を衝いて権限昇格し、高価値の標的に向かった探索につなげています。Ryuk と呼ばれるランサムウェア集団は、一片のEメールから攻撃を展開し、よくあるADの設定ミスを使ってたったの24時間でドメイン全体に侵害を拡大させています。AD は、「王国の鍵」などと呼ばれることがあるように、企業のユーザー認証、権限の承認、アクセスコントロールの中心です。 一旦攻略してしまえば、攻撃者は AD (とそのグループポリシーと属性) を使って、企業全体にランサムウェアを導入することができます。
ランサムウェア対策はどこに重点を置いたらよいか
ランサムウェアの防止については悲観的なことばかりでなく、楽観できる点もあります。
まず、悲観論は、企業を保護する特効薬はない、ということ。魔法のように問題を解決してくれる、最新の AI テクノロジーや、高度な挙動分析や、リアルタイムの検知と対応が可能なソリューションはありません。「これさえあれば解決できる」ソリューションを求めているサイバーセキュリティのデイフェンダーにとっては何としても悔しいことです。
次に楽観できることは、セキュリティの基礎要因に注目すれば、前に道が開くということです。ここでこうお考えではありませんか。「サイバー衛生ってワクワクしないから気が乗らない」と。いや、でも効果があるのです。 基礎要因を固めることは、ランサムウェア攻撃の成功を防止するのに不可欠です。米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) や英国の国家サイバーセキュリティセンター (NCSC) などのサイバーセキュリティの専門家は、次のような基礎要因の重要性を常に強調しています。
- サイバーセキュリティの意識向上のためのトレーニングを実施して、フィッシング攻撃を減らす
- ネットワークを事業部門やリソースなどの単位で分割して、侵害があっても全領域に広がるのを防ぐ
- あらゆる場所で多要素認証 (MFA) を有効にする
- データとシステムイメージのバックアップを頻繁に取得し、暗号処理して維持する
- 企業全体のアタックサーフェスに対して継続的なリスクベースの脆弱性管理と AD の評価をを実施する
ランサムウェアから企業を守る 6 つのステップ
上の最後の基礎要因のポイントの具体的な方法として、Tenable では次の 6 つのステップを踏んでランサムウェアに対するセキュリティ体制を強化することをお勧めしています。
- すべてを頻繁にスキャンする
- AD を強化して重要資産を保護する
- 権限昇格を逆転させる
- 予測に基づいた優先順位付け
- 企業の存続がかかっているかのように修正作業に励む
- パフォーマンス向上のために測定する
Tenable はランサムウェア攻落のジャーニーの一歩一歩をお供して支援いたします。
リスクベースの脆弱性管理についてはこちらから
- ブログ: 企業のサイバーセキュリティ対策: 効果の測定に役立つ 5 つの質問
- ウェビナーのご視聴はこちらから: Tenable.ad のご紹介 – Active Directory のセキュリティを確保して攻撃経路を遮断する
- eブックのダウンロードはこちらから: 巨額の身代金: AD を介したランサムウェアの拡散を止める方法
関連記事
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Executive Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning