Back to Blog ブログ一覧へ戻る

ランサムウェアがクラウド環境に

侵入した場合の検知方法

By
Jesse Kimbrel
|
August 25, 2021

Yahoo! Financeによると、今年は米国だけで約65,000件のランサムウェアの攻撃が予想されています。正直なところ、これだけの数の脅威を阻止するのは難しいと感じる人も多いでしょう。サイバー犯罪者は、金銭や、価値のある資産を盗むことができるなら、地域や国、業界を問わず、ランサムウェアによる攻撃を仕掛けてくることが明らかになっています。つまり、どんな企業も、高額な身代金を支払うか、重要な資産やデータを手放すかの選択を迫られる時が来てしまうということでしょうか?想像するだけでも胃が痛くなります。

Vectra AIのCEOであるHiteshShethは、「ランサムウェアを解決するには新しい考え方が必要だ」と述べています。企業が導入している現在のセキュリティ戦略の多くでは、残念ながらランサムウェアによる攻撃を防ぐことができません。しかし、組織の環境の中で異常な動きが発生した時に、それを検知することは可能です。セキュリティチームは、その通知を受けて悪質なイベントを抑制することができるのです。今回のブログでは、Vectra AIのスポットライトレポート「ビジョンと可視性:MicrosoftAzure ADとOffice 365の脅威検知トップ10」から得られた業界ごとの洞察のハイライトをご紹介したいと思います。検知によって、自社の環境における振る舞いをどこまで把握できるのかがわかります。

スポットライトレポートでは、業界別に洞察を掘り下げ、特定の業界におけるクラウドセキュリティの懸念を明らかにすると共に、ランサムウェアやサプライチェーン攻撃における攻撃者の振る舞いに対して、どのような検知結果が示されるのかを説明しています。これらはすべて、適切なデータを収集し、攻撃の内外を正確に把握し、阻止すべき脅威に焦点を当てることを可能にする脅威駆動型の人工知能(AI)を活用することから始まります。今回ご紹介する業界別の洞察はすべて、匿名化された実際のお客様のデータに基づいており、Office 365とAzure ADに対する攻撃の検知結果が対象となっています。

 

ヘルスケア業界

アイルランドのHSE(Health Service Executive)への攻撃では、医療機関へのランサムウェアの攻撃は、医療記録やデータの盗難だけでなく、人々が生きるために必要な生活やケアの質を低下させる可能性があることが明らかになりました。サイバー攻撃の影響範囲は、単なる技術的な問題にとどまらないのです。 

Vectra AIのヘルスケア業界のお客様で最も頻繁に検知されたのは、Office 365 の「Office 365 Power Automateを使った不審なフローの作成」 でした。これは攻撃者が永続的なメカニズムを設定している可能性を示します。Microsoft Power Automateは、日常的な作業を自動化するのに役立つツールであることは間違いありません。しかし、Office 365においてデフォルトでオンになっており、何百ものコネクタが標準で装備されているということは、それだけリスクも伴います。基本的なアクセス権であっても、取得できればその環境で活動でき、最終ターゲットにたどり着くためのチャネルとして利用できるので、攻撃者にとっても大変魅力的なツールです。詳しくは、ヘルスケア業界に特化した洞察レポート(英語)をご用意しておりますのでご確認ください。

 

製造業界

製造業では、稼働時間が最も優先されます。ランサムウェアはその稼働を瞬時に停止させることができてしまいます。ランサムウェアの攻撃を受けた場合、設備の停止を避けるために身代金を支払ってしまうこともあることから、製造業はターゲットとされやすい業種なのです。多くの製造業は物理的に分散したネットワークを導入していますが、他の産業と同様に、スピード、スケール、接続性を実現するためにクラウドを採用していることも、攻撃対象になってしまう可能性を広げています。

Vectra AIの製造業のお客様の検知において、上位3つのうち2つがOffice 365の共有活動に関連していました。不審な共有活動が発見された場合は、セキュリティチームはそれを精査し、それが許可されたユーザーによる行動かどうか、データを流出させようとしている攻撃者によるものではないか、もしくは何らかの攻撃の足掛かりではないかを確認する必要があります。組織が警戒すべき不審な振る舞いについての詳細は、製造業に関する業界洞察レポートをご覧ください。

 

金融業界

サイバー犯罪者にとって、金融サービス機関ほど魅力的なターゲットはありません。だからこそ、最も規制の厳しい業界の一つなのです。加えて、クラウドの導入が急速に進み、サイバー犯罪者にとっての攻撃手法は増えています。当社の調査では、特にOffice 365とAzure ADにおいて、Vectra AIの金融サービスのお客様は、「Office 365 Exchangeの高リスク操作」と「Azure ADの冗長アクセス作成」の割合が高い結果となりました。これは、攻撃者がExchangeを操作してアクセスを得たり、アカウントの乗っ取りを行う可能性を含むので、発見した場合はすぐに調査する必要があります。金融業界の洞察レポートも用意しておりますので、合わせてご確認ください。

 

教育業界

パンデミックの影響で、教育機関は、児童生徒、そして指導者などの教育関係者の安全性、接続性、生産性を維持するためのソリューションを求め、結果として多くの場合、クラウドの利用を選択しました。コミュニケーションツールであれ、生産性向上のためのツールであれ、クラウドは効果的で、パンデミック時の学習に大きく貢献しているのは明らかです。しかし、他の業界と同様に、クラウドにおけるセキュリティは今までの常識が通用しません。高等教育機関では、電子メールや共有に関する活動が脅威として検知される結果を得ています。コラボレーションが盛んに行われることを考えると当然のことかもしれませんが、その中に悪意のある情報漏洩が紛れ込んでいることもあり得るのです。教育機関での検知とその対応方法については、洞察レポート(英語)をご覧ください。

 

自社アカウントの振る舞いを理解する

今回ご紹介した業界の動向やスポットライトレポートで明らかになったこととして、組織にとって、許可された使用がどのようなものかという明確なビジョンと、そのビジョンからの逸脱を監視・測定するための可視性を導入する重要性があります。この2つの要素がなければ、脅威を把握することは難しいのです。なぜなら、検知された活動が、許可されたユーザーによるものなのか、それとも攻撃者によるものなのかわからなければ、適切な対応ができないからです。従来のエンドポイントセキュリティツールでランサムウェアの攻撃を防ぐことは不可能であり、サイバー犯罪者がそれを回避することができてしまっていることを考慮すると、アカウントの振る舞いを真に理解することは、大変重要であり、今まさに必要なことなのです。

 

スポットライトレポート「ビジョンと可視性:Microsoft Azure ADとOffice 365の脅威検知トップ10」ではより詳細をご紹介しています。ぜひダウンロードしてご確認ください。