2018 年 3 月、アトランタはランサムウェア攻撃を受け、サーバーを含むアトランタ市に属する約 3,800 台の政府のコンピューターが感染しました。ウイルスが展開された後、ランサムウェアは感染したすべてのコンピューターを基本的にロックし、アクセスできなくなりました。アトランタの法廷制度が機能しなくなった。警察はナンバープレートを確認できませんでした。住民はオンラインで請求書を支払うことができませんでした。
アトランタが襲撃されるわずか 3 週間前に、アラバマ州リーズの小都市でも同様のサイバー攻撃が発生しました。そして、1 月のリーズの前は、インディアナポリスの郊外にあるハンコック地域病院でした。
これら 3 つの攻撃に共通しているのは、それらがすべてSamSam ランサムウェア(MSIL/Samas.A とも呼ばれる) に攻撃されたことです。各攻撃の要求額はほぼ同じで、暗号通貨で約 50,000 ドルでした。ハンコック地域病院とアラバマ州リーズが身代金を支払いました。しかし、アトランタ市はそうしませんでした。代わりに、システムをオンラインに戻すために数百万ドルを支払うことを選択しました。
当時、アトランタ市はランサムウェアによる攻撃が最も顕著だった都市の 1 つでした. Hulquist は、インテリジェンス主導のセキュリティ企業であるFireEye のMandiant Threat Intelligence の分析担当バイス プレジデントです。
ランサムウェアは新しいものではありません
ハルキスト氏によると、要求された身代金が支払われるまで、本質的に企業ネットワークを「人質」に保つランサムウェア攻撃は目新しいものではないという。それらは数年間続いています (これらの 3 つのケースが示すように)。
チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、2021年前半にランサムウェアの影響を受けた世界中の組織の数は2020年と比較して2倍以上になった. FireEye の Mandiant M-Trends 2021 レポートでは、データが盗まれた可能性がある 800 件以上の恐喝の試みも特定されています。これらの数値は、2019 年 10 月 1 日から 2020 年 9 月 30 日までに実施された標的型攻撃活動に関する Mandiant の調査に基づいています。
ターゲットは現在、より注目を集めています。4 月以降、米国だけでも、コロニアル パイプライン、JBS フーズ、NBA、コックス メディア グループなどの有名企業が打撃を受けています。
ハッカーは通常、フィッシング攻撃を介してネットワークにアクセスします。フィッシング攻撃とは、従業員に送信された電子メールで、従業員をだましてパスワードを入力させたり、悪意のあるリンクをクリックさせて企業のネットワークにマルウェアをダウンロードさせたりします。ランサムウェアは、123qwe など、簡単に解読されるパスワードを介して、企業ネットワークへの他のエントリも探します。
なぜこれほど多く、なぜ今なのか?
Hulquist は次のように説明しています。もともとランサムウェアはほとんど自動化されており、小規模なシステムを標的にしていました。彼はそれを「スプレーして祈る」と呼んでいます。
「ランサムウェアは外に出て、取得できるシステムなら何でも攻撃します」と彼は説明します。脆弱なパスワード、オープン ネットワーク、簡単な入り口を探しました。 「(攻撃者は)非常に友好的であることが知られており、データのロックを解除し、時には割引を提供し、人生を歩み続けます。」ビットコインは、そのお金を転送するための優れたプラットフォームを提供した、と彼は言います。それはまさにリーズで起こったことです。攻撃者は 60,000 ドルを要求しました。町は 8,000 ドルを支払いました。
しかしその後、状況は変わったとハルキストは言う。ランサムウェアは、自動化された「スプレー アンド プレップ」から、より多くの資金を持つ大企業に対する大規模で指示された攻撃へと変化しました。そして、身代金は跳ね上がった。ブロックチェーンと仮想通貨を分析するChainanalysisの最新のレポートによると、2020 年に企業は 4 億 600 万ドル以上の仮想通貨を攻撃者に身代金として支払った。
「これらの新しいターゲットは、多くの場合重要なインフラストラクチャであるため、支払う必要があります」と Hulquist 氏は言います。「彼らはオンラインに戻らなければなりません。消費者は実際、これらの企業に支払いに関して性急な決定を迫っているので、消費者が要因です。」
支払うべきか、払わないべきか?
コロニアル・パイプライン攻撃がそうでした。ハッキングは 4 月 29 日、米国最大の燃料パイプラインを停止し、東海岸全体で大量の燃料貯蔵を促しました。コロニアル・パイプラインのCEOであるジョセフ・ブラウント氏はウォール・ストリート・ジャーナルに対し、同社はパイプラインをオンラインに戻すために440万ドルの身代金をビットコインで支払ったと語った。しかし、攻撃者が提供した復号化キーは、パイプラインのすべてのシステムをすぐには復元しませんでした。
そして、それは身代金の支払いに関する問題の 1 つにすぎません。もう 1 つの重要な問題は、身代金を支払うことが問題の拡大を助長するだけかどうかです。「身代金を支払うことは明らかに標的型攻撃につながると思います」とHulquist氏は述べています.「しかし、企業が不可能な状況にあるのであれば、組織のために正しいことをしなければなりません」とHulquistは言います.
Colonial にとって良いニュースは、6 月 7 日に米国司法省が63.7 ビットコインを回収したと発表したことです。 「米国の重要なインフラストラクチャーを混乱させたオペレーターから身代金の支払いを取り戻すという司法省の動きは、歓迎すべき展開です」とハルキスト氏は言います。 「この深刻な問題の波を止めるために、いくつかのツールを使用する必要があることが明らかになりました。」
もちろん、身代金を支払わないことも問題になる可能性があります。 「これらの企業の中には支払いを望まないものもあるので、データを公に漏らして支払いを強要するのです」とハルキスト氏は言う。 「これは、多くの組織が参加したくない提案です。」漏洩した電子メールやその他の専有情報は、一部の企業にとって、単にお金を支払うよりもはるかに大きな損害を与える可能性があると彼は言う.法的なトラブルに巻き込まれたり、ブランドに損害を与えたりする可能性があります。
他のハッカーは、ランサムウェアをインストールすることなく、単に支払いを要求します。それは、4 月のヒューストン ロケッツへの攻撃の際に起こったことです。ランサムウェアは NBA チームのネットワークにインストールされていませんでしたが、ハッキング グループのBabukは、支払いがなければチームのシステムから盗んだと主張する契約書と機密保持契約を公開すると脅しました。
政府は何をしているのか?
ハルキスト氏は、政府ができることはもっとたくさんあると言います。「私たちは、この問題が深刻化していることをしばらく前から知っていましたが、彼らはようやくこの問題を真剣に受け止め、取り組みを強化し始めました」と彼は言います。
彼はもちろん、ランサムウェア攻撃の急増に対応してバイデン政権が打ち出したいくつかの新しいイニシアチブについて言及しています。5 月 12 日、バイデン大統領は、連邦政府ネットワークのサイバーセキュリティを改善することを目的とした大統領令に署名しました。その執行措置の中で、国家運輸安全委員会 (NTSB) をモデルにしたサイバーセキュリティ安全審査委員会を設立する予定です。パネルには、NTSB が事故を調査する方法と同様のサイバー インシデントを調査する公的および民間の専門家が含まれる可能性があります。
バイデン氏の副補佐官でサイバーと新興技術の国家安全保障担当副補佐官であるアン・ノイバーガー氏も、 6月2日に「企業幹部とビジネスリーダー」に宛てた公開書簡を発表した。
その中で彼女は、民間部門にはサイバー脅威から保護する責任があり、組織は「規模や場所に関係なく、ランサムウェアの標的にされても安全な企業は存在しないことを認識する必要があります...ランサムウェア犯罪を真剣に受け止め、あなたの企業のサイバー防御は脅威に対応しています。」
会社を守る方法
ネットワークの安全性を確保するために何ができますか? Cybersecurity and Information Security Agency (CISA) と FBI は 5 月 11 日、ランサムウェア攻撃によるビジネスの混乱を防ぐためのベスト プラクティスを発表しました。その中には、ランサムウェアに感染するリスクを軽減するために企業が今できる6つの軽減策がリストされています。
- 運用技術 (OT) および IT ネットワークへのリモート アクセスには、多要素認証が必要です。
- 強力なスパム フィルターを有効にして、フィッシング メールがエンド ユーザーに到達しないようにします。実行可能ファイルを含むメールをフィルタリングして、エンド ユーザーに届かないようにします。
- ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある添付ファイルを開いたりしないように、ユーザー トレーニング プログラムとスピア フィッシングのシミュレートされた攻撃を実装し、スピア フィッシング メールに対する適切なユーザーの応答を強化します。
- ネットワーク トラフィックをフィルタリングして、既知の悪意のある IP アドレスとのイングレスおよびエグレス通信を禁止します。URL ブロックリストや許可リストを実装して、ユーザーが悪意のある Web サイトにアクセスするのを防ぎます。
- IT ネットワーク資産上のオペレーティング システム、アプリケーション、ファームウェアなどのソフトウェアをタイムリーに更新します。一元化されたパッチ管理システムの使用を検討してください。リスクベースの評価戦略を使用して、パッチ管理プログラムに参加する必要がある OT ネットワーク資産とゾーンを決定します。
- 特に、リモート管理用の安全なネットワーク通信プロトコルであるリモート デスクトップ プロトコル (RDP) を制限することにより、ネットワーク経由のリソースへのアクセスを制限します。リスクを評価した後、RDP が運用上必要であると思われる場合は、発信元のソースを制限し、多要素認証を要求します。
そして1 - Hulquistは、ゲームの全体の目的は今給料に思われる巨大なターゲットにヒットしていると言うがある有料にします。また、重要なインフラストラクチャをオフラインにすることは問題外ではありません。米国はその準備ができていない、と彼は言う。
「私たちの洗練は、この空間におけるアキレス腱です」と彼は言います。「これにより、私たちはインシデントに対してより脆弱になります。これらすべてから私たちが学ばなければならない教訓の 1 つは、サイバー戦争に対する準備ができていないということです。彼らが医療やその他の重要な機能を標的にしていることはわかっています。誰もがこのことから学んでいます。 」
ナウ・ザッツ・クレイジー
では、これらすべてのランサムウェア攻撃の背後にいるのは誰でしょうか? アトランタを襲ったランサムウェア、SamSam を覚えていますか? 2018 年、大陪審は金のために参加した 2 人のイラン人を起訴した。他の 3 つのランサムウェア (NETWALKER、REvil、Darkside ) は RaaS (サービスとしてのランサムウェア) として知られているものです。ダークサイドは、コロニアル・パイプライン攻撃の背後にいたと言われています。これらの作戦はロシアに拠点を置いているようです。
