進化するランサムウエア攻撃に

企業が実践すべき「3つの対策」とは

進化するランサムウエア攻撃に

企業が実践すべき「3つの対策」とは

進化するランサムウエア攻撃に

企業が実践すべき「3つの対策」とは

　IPA（独立行政法人 情報処理推進機構）の最新版である「情報セキュリティ10大脅威2021」において、「ランサムウエアによる被害」は昨年の5位から1位に浮上した。

　いまやランサムウエアは遠い海外の出来事ではなく、日本企業にとってもすぐ近くに迫った脅威であることを強く認識しなければならない。BlackBerry Japanの井上 高範氏は、「当社にも多くの日本のお客様から、ランサムウエアの攻撃を受けたという相談が急増しています」と語る。

　なぜこれだけ攻撃が加速しているのか。その背後に大きく4つのポイントがある。1つ目は「重要システム標的型や内部感染型のランサムウエアの増加」だ。以前のランサムウエアは、スパムメールや偽装Webサイトなどを通じて不特定多数に攻撃を仕掛けるものが大半を占めていたが、現在は特定企業に狙いを定めて潜伏し、感染を広げるという形に変わってきている。

　2つ目は「感染スピードの高速化」。従来のランサムウエアは感染するまでに1、2分を要したが、現在では数十秒から数秒といった短時間で感染する。3つ目は「亜種化による検知の回避」だ。最近のランサムウエアは上記のRAAS（ランサムウエア・アズ・ア・サービス）のように専門の攻撃者が作成するケースがある。彼らは既存のマルウエア対策で検知されないようにランサムウエアを加工し、亜種を作成する。さらに高い技術力によって新たなランサムウエアを次々に作成するのだ。これらにより既存のパターンファイルなどを活用したマルウエア対策の網をかいくぐるのだ。そして最後の4つ目は「二重ランサムウエアによる情報の暴露」だ。データを暗号化するだけでなく、データそのものを盗み出し、支払わなければ、暴露すると脅しをかける。

　このように現在のランサムウエアは「ユーザーが身代金を支払わなければならない仕組みへと進化しているのです」と井上氏は警鐘を鳴らす。例えば米国東海岸で最大のエネルギー供給会社であるコロニアル・パイプライン社は、ランサムウエアの攻撃に遭って一時操業停止に追い込まれ、約5億円の身代金を支払ったとされており、被害額もうなぎ上りとなっているのが実情だ。

　こうした状況の中、日本企業は今後どう対処していけばよいのだろうか。「まずは、未知のランサムウエアにおいても最初の段階からしっかり食い止めることが重要なポイントです。そこで『防御と分析』のためにBlackBerryが提供しているのが、『Protect』と『Optics』という2つのソリューションです」と井上氏は語る。

　ProtectはEPP（Endpoint Protection Platform）に位置付けられる製品で、ランサムウエアを予測・検知して自動隔離する役割を担う。最大の特徴はBlackBerryが2018年に買収したサイランスのAI技術を使った予測を行うことで、ランサムウエアの99％以上の高い検知率を実現している点だ。特に、今まで発見されていない未知のタイプや、亜種においても「予想防御」が可能である。事実、米国コロニアル・パイプライン社を襲ったランサムウエアは67カ月（5年7カ月）前の数理モデルで防御できていることが明らかになった。

　「AIのエンジンをクラウド上のグリッドコンピューティング環境で動かしており、7億の悪いファイル、3億の良いファイルの合計10億ファイルをディープラーニングによって学習し、これにより作成されたAIモデルをエンドポイントにインストールします。なお、AIモデルは1～2年ごとに更新されます」と井上氏はその仕組みを説明する。

　エンドポイントに侵入した未知のファイルをこのAIモデルに照らし合わせて分析することで、安全なファイルか、それとも危険なファイルかを予測するというわけだ。「実際にProtectは、DarkSideランサムウエアを67カ月前の古いAIモデルで予測し、防御してきました」と井上氏は話す。

　もちろん、これでもすべての脅威を阻止できるわけではない。そこでProtectをすり抜けてきた脅威に対処するのがOpticsだ。

　OpticsはいわゆるEDR（Endpoint Detection and Response）に位置付けられるソリューション。「エンドポイント上の重要なイベントをモニタリングすることで悪意のある振る舞いを『検知』してブロックするほか、脅威の根本原因を『調査』し、デバイスロック機能を使用して端末を直ちに隔離することで『封じ込め』を行います。また、200を超える検知ルールを利用して、Protectですり抜けた脅威を検知することもできます」（井上氏）。

　このようにOpticsは、脅威に対して幅広い処理を担うことになるが、Protectによる高い検知力により対処しなければならない脅威が事前に1％以下に抑えこまれているため、システムのパフォーマンスに影響を及ぼさない効率的な運用が可能だという。従来型のアンチウイルスソリューションでは、既知のマルウエアは検知できるが、未知や亜種のマルウエアは検知できない。そのため、EDRを併用した場合の運用負荷が高くなる。BlackBerryでは、マルウエアが感染する前に「脅威を封じ込める」ため、被害が出るリスクは非常に低い点が大きな特徴だ。

　ランサムウエア対策における2つ目の重要ポイントとして、井上氏が示すのが「バックアップ」である。前述したとおり現在の脅威となっている二重ランサムウエアは、ファイルの暗号化とデータの暴露という2回にわたって脅迫を仕掛けてくるため、データ保護が不可欠になっているのだ。

　「具体的には、ランサムウエアによって暗号化されたファイルを早急にリカバリーする仕組みと、データが盗まれた場合でも読めないようにしておく仕組みの2つが対策の軸となります。当社ではその対策のために『BlackBerry Workspaces』というセキュアファイル共有ソリューションを提供しています」と井上氏は語る。

　これは重要データを容量無制限のクラウドストレージにバックアップする仕組み。ランサムウエアの攻撃を受けた場合、BlackBerry Workspacesのリカバリー機能を使って感染する直前の時間を指定すれば、ファイルやフォルダを元のバージョンに素早く復旧することができる。また、仮にランサムウエアによってBlackBerry Workspacesからデータが盗み出されたとしても、基本的にすべてのデータはAESで暗号化されているため解読することはできないという。

　さらに注目したいのが、デジタル著作権管理機能（DRM）で、BlackBerry Workspacesに保存されたフォルダやファイルごとに詳細なアクセス権を付与できる点だ。「これによって万一ファイルが攻撃者の手に渡ってしまったとしても、その後もアクティビティログ（ファイルの閲覧や操作の履歴）を追跡し、アクセス権を無効にするといったコントロールが可能です」と井上氏は強調する。 　そしてランサムウエア対策における3つ目の重要ポイントが「原因調査と封じ込め」である。これについてもBlackBerryでは「インシデントレスポンスサービス」と「侵害診断サービス」という2つのコンサルティングサービスを提供している。

　インシデントレスポンスサービスはランサムウエア攻撃を受けたホストの感染原因や侵入経路の調査を行い、その封じ込めを実施する。一方の侵害診断サービスは感染後の端末の侵害状態を調査するとともに、不正なアカウントや通信を洗い出してセキュリティ状態を診断するもの。「先般のDEF CON 29（2021年8月開催）におけるOpenSOC Network Defense Range (NDR) コンテストで1位と3位を獲得した、BlackBerryのインシデント対応チームを中心とするメンバーがこれらのサービスを提供しています」と井上氏は紹介する。

　このほかにもBlackBerryでは、ビジネスメール詐欺診断やIoTの外部／内部侵入テスト、モバイルデバイス侵入テストなど幅広いサービスを提供しており、「ランサムウエアをはじめとするセキュリティに対する懸念を抱えているのであれば、ぜひBlackBerryまでお声がけください」と井上氏は呼びかけた。