Bob Burns | Chief Product Security Officer
「Disruptive Technology(破壊的テクノロジー)」について話すとき、私たちは多くの場合、私たちの生活をより良い方向に変えるテクノロジーの開発に関連して、それを肯定的な意味で考えます。 もちろん、授業を妨害した生徒なら誰しも痛いほど理解しているように、「破壊的」という言葉には否定的な意味合いも含まれる可能性があることを認識しなければなりません。 そして、犯罪的イノベーションについて考えるとき、ランサムウェア攻撃は明らかに「破壊的」の定義に当てはまります。特に、その「イノベーション」を受ける側にある企業にとってはそうです。
ランサムウェアがもたらす最大の課題の 1 つは、多くの組織が身代金を支払うか支払わないかという難しい決断に直面しているという事実です。 以前は、優れたバックアップと迅速な復旧能力を備えた企業にとって、これは簡単な決定だったかもしれません。 しかし、多くのサイバーギャングがデータの盗難に軸足を置き、その機密データを公開すると脅して被害者を恐喝しているため、身代金を払っても将来の恐喝のリスクを最小限に抑えることはできません。 さらに、政府の政策や金融規制の進化により、身代金の支払いの合法性が考慮され始めており、攻撃を受けている企業にとって何が合理的なのかを判断する際はさらに危険になっています。
私は最近、英国国立サイバー セキュリティ センター (NCSC) の運用ディレクター、ポール チチェスター氏(Paul Chichester)とポッドキャスト「タレス セキュリティ セッション」に出演し、ランサムウェア問題の規模について話し合いました。 私たちは、誰がこれらの攻撃を実行しているのかを調査し、組織の準備を改善するためのいくつかのベスト プラクティス戦略について話し合いました。
天秤を傾ける
ランサムウェア攻撃は新しいものではありませんが、当初は主流メディアではほとんど報じられていませんでした。 しかし、コロニアル・パイプライン攻撃(Colonial Pipeline attack)により、このテーマに対する世間の関心は明らかに変わりました。 この攻撃は同社だけでなく、消費者レベルに流れる石油製品に依存している米国の多くの人々にも影響を与えたことが一因であり、間違いなくメディアと一般大衆の両方によるランサムウェア認識の転換点となりました。
多くの企業が料金を支払っているため、ランサムウェア攻撃が増加していると推測できますが、このような注目度の高い攻撃に注目が集まることで、全体的なデジタル セキュリティの体制と準備の改善に向けてより多くのエネルギーが生み出されるという楽観的な見方もできます。
また、コロニアル パイプライン 事件をめぐる注目の高まりが、メディアの注目を最小限に抑え、さらに高収入をもたらす可能性が高いビジネスを標的にするなど、標的をより精査する戦術を高める推進力になったと推測できます。
ポール・チチェスター氏は、攻撃パターンを地理的なアプローチから考察し、英国では断固たる防御策が講じられたため、攻撃の発生が頭打ちになったと考察しています。 因果関係が推論的であることを認めれば、政府だけでなく組織の防御的および抑止的な行動に向けてある程度の進歩が見られるようです。 ポールは、これを自己満足と見るべきではなく、脅威のダイナミズムがいつでもこの見解を変える可能性があると強調しました。
国家のサイバーセキュリティ体制の改善に関する大統領令(Executive Order)など、米国での行動は良い第一歩です。 政府は、意識を高めるだけでなく、自国だけでなく民間産業を保護するための取り組みに資源とエネルギーを投入するという重要な役割を果たしています。 成功へのもう 1 つの鍵は、政府と民間団体の間の透明性と情報経路を改善することですが、これはまだ初期段階にあるようです。 これらはすべて前向きな発展です。
防御を構築する
ポール氏は、ランサムウェア活動のサーバーを標的とする「テイクダウン」サービスや、公共部門全体が利用できる保護DNSサービスなど、英国で実施されている決定的な防御措置の例をいくつか紹介しました。これにより、多くの前兆や標的を阻止でき、攻撃します。 多くの情報は民間部門とも共有されています。 国際的には、昨年のG7会議ではサイバーリスクに関する議論が行われました。 これは主に金融セクターに焦点を当てていましたが、国際的な交流と協力が大きな勢いを増していることを明確に示しています。
組織はランサムウェア攻撃を防止および阻止するための措置を独自に講じることができます。 犯罪者は、最も利用可能な弱点を見つけて、日和見的に行動し続けるでしょう。 最良の防御策の 1 つは、ランサムウェアの脅威に焦点を当てた適切な事業継続計画 (BCP) です。 従来の BCP では自然災害や地域災害が検討されてきましたが、ランサムウェアは無差別かつ地理的に制約されないため、ビジネス全体のデジタルへの影響を考慮した計画が重要です。 最も重要なことは、これには、電子メール、VOIP 電話システム、チャット アプリケーションなど、侵害される可能性のある企業インフラストラクチャに依存しないコミュニケーション プランが含まれていることです。 もう 1 つの重要な防御策は、システムをできるだけ早く信頼性の高い動作に戻す方法についてしっかりとした計画を立て、強力な回復戦略を立てることです。 そしておそらく最も重要なことは、これらすべての計画が定期的に実行され、テストされていることを確認することです。
共に前進する
組織は身代金を支払わなければならないのか?というやっかいな疑問が残ります。 ポールは、英国の公式立場はそうしないことであると述べました。 ただし、ランサムウェアの支払いを二度犯罪化すると、代替手段が見つからない可能性のある企業が被害を受けるため、これはデリケートな問題です。 英国政府はランサムウェア被害者の支援に取り組んでいます。
政府と民間業界の個別の努力、および両者の相互関係の結果として、ランサムウェアが横ばいになり始めると楽観視する理由があります。 ただし、ランサムウェア犯罪を実行する犯罪企業も非常に巧妙であることを認識することが重要です。 ポール氏は、NCSC サイトの Exercise in a Boxにアクセスするよう人々に勧めています。このサイトには、ランサムウェア演習を含む多くの脅威シナリオが含まれています。
「ランサムウェア – 支払うか支払わないか」というタイトルのエピソード全体を聞くには、Thales Security Sessions ポッドキャスト ページにアクセスしてください。