あらゆる組織がランサムウェアの標的になり得る。侵入封じ込め対策を準備してください。
あなたが釣りに出かけて、夕食の食材を探しているところを想像してみてください。今夜どんな魚が釣れるかはどうでもいい。とにかく一匹釣れればいいんだ。
あなたは釣り竿を手に、巨大な湖のほとりに立っています。どちらの方向に投げても違いはありません。左へ、右へ、あるいはまっすぐ前へ。湖はあらゆる方向に広がっており、水面に落ちた釣り針はすべて夕食の獲物となる。
これは、NextJenSecurityの創設者であるジェン・エリス氏が、最近のポッドキャスト番組「The Segment 」で、ランサムウェアグループがどのように標的を選ぶかを説明するために使用した画像です。
その選択は、どの組織が最も資金力があるか、あるいは最も機密性の高いデータを保有しているかといったことを綿密に調査した結果であることは稀である。多くの場合、それはアクセス可能で、悪用可能で、攻撃者が自国政府とのトラブルを回避できるような緩やかな境界線内に収まるもの、という点に帰着する。
長年にわたり、多くの組織、特に小規模な組織だけでなく中規模企業も、明白な動機がないことを理由に、セキュリティへの投資を怠ってきた。もしターゲティングがジェンが説明した通りに機能するなら、その論理は崩壊する。
インターネットに接続している人のほとんど全員が、湖のどこかに立っている。最も重要な問題は、自分が標的になる可能性がどれほど高いと考えていたかに関わらず、ランサムウェアが自分の身近に侵入した後に何が起こるかということです。
セグメンテーションに基づいたゼロトラストセキュリティ戦略が、その答えとなる。
攻撃者がランサムウェアを標的にする方法
ジェンは、 ランサムウェアグループのほとんどは、悪意のある行為者にとって安全な避難所として機能する国を拠点として活動していると指摘した。これは、その活動が地域経済においてあまりにも大きな割合を占めているため、訴追することが困難であるか、あるいは、一定の限度を超えない限り、受け入れ国が暗黙のうちにそれを容認しているかのいずれかである。
それらの路線は、たいてい地理や政治に関するものだ。国内の組織を標的にしてはならない。また、深刻な国際的な反応を引き起こす恐れのある行為は一切してはならない。
その境界の内側では、世界の残りの部分はすべて攻撃対象となり、その境界は広大だ。先進国全体で脆弱なシステムを悪用する攻撃者は、自国にとって重要な規則の範囲内にとどまる。攻撃者は、どこを悪用するかを選択するだけでよい。
だからこそ、釣りのたとえ話は非常に役に立つのです。攻撃者の皿に盛られる魚は、単に彼らの釣り針が水面に落ちた時にたまたまその場所にいた魚に過ぎない。攻撃を受けた組織は、攻撃が発生した時点でたまたま連絡が取れた組織である。
AIによってランサムウェア攻撃の手がより多くの手に渡る
今日のAIツールのおかげで、ランサムウェアを仕掛けるための障壁はますます低くなり、それを仕掛けることができる人の数も増え続けている。
ジェンは、AIはリソースの少ない攻撃者にとって、いわば平等化装置として機能する可能性が高いと指摘した。これは、技術インフラへのアクセスが高い一方で失業率が高い国において特に顕著である。
つまり、より多くの攻撃者がAIツールにアクセスできるようになるにつれて、機会主義的でリーチ重視の攻撃の件数は全体的に増加する見込みだ。
「誰も私たちに構わないだろうから、おそらく大丈夫だろう」という考え方の根拠となる計算は、この傾向が続く年々悪化していく。
セキュリティにおいて「我々は標的ではない」という言葉が最も高くつく理由
ジェンは、閉鎖の危機に瀕している家族経営の靴工場の話をしてくれた。それは、代々受け継がれてきた事業であり、町の人々のかなりの割合を雇用しているものだった。
もしそのような企業がランサムウェア攻撃を受けた場合、経営者は会社の将来や、それに依存する雇用が危機に瀕するため、計り知れないプレッシャーに直面するだろう。その瞬間、政策論争がどう言おうと、ひっそりと身代金を支払って先に進むという誘惑が現実味を帯びてくる。
その話で際立っているのは、ランサムウェア攻撃が、本来なら誰も標的とは呼ばないような組織にとって、いかに存在を脅かす深刻な事態になり得るかということだ。事件の深刻さを内部から感じる度合いは、規模や目立ちやすさよりも、準備状況によって大きく左右される。
実績のあるインシデント対応計画とセグメント化された環境を備えた、規模が大きく知名度の高い企業であれば、ランサムウェア攻撃を1週間程度の困難な出来事として乗り切ることができる。組織構造がフラットで計画性のない小規模企業は、同じ出来事によって倒産する可能性がある。
その違いは、攻撃が発生するずっと前に、組織が自らの環境に関して下した選択によって決まる。
安全保障上の貧困ラインは、間違った賭けをさらに悪化させる。
この問題は、どの単一企業にとっても手に負えないほど大きな問題だ。
ジェンは、英国経済は他の多くの先進国と同様に、圧倒的に中小企業で構成されていると指摘した。自分たちが攻撃の標的になっていると最も考えにくく、継続的なセキュリティ投資のための予算も最も持たない組織が、経済の大部分を占めている。
ジェンはこの問題を「安全保障上の貧困ライン」と表現した。
さらに厄介なのは、セキュリティへの支出は他の安全対策への投資とは異なる仕組みになっていることだ。フェンスやスロープの設置は、予算を立てて完了させる一度限りのプロジェクトです。脅威の進化とインフラの老朽化に伴い、セキュリティへの投資は年々増加し続けている。これは、既に人員不足に悩む経営陣にとって、この提案を納得させるのをはるかに困難にする可能性がある。
これらの要因すべてに、AIによる攻撃の容易さを加味すると、状況は不穏なものとなる。
封じ込めは、あらゆる組織がコントロールできる唯一の手段である。
ジェンはセキュリティに関する古い格言を持ち出した。「防御側は毎日毎分、常に正しく行動しなければならないが、攻撃側は一度幸運に恵まれればよいのだ。」
その非対称性は消えることはないだろう。AIは根本的な変化をもたらすものではなく、両者がより優れたツールを利用できるようになるだけだ。
侵害封じ込めによって変わるのは、攻撃者にとって一度幸運に恵まれたことが実際に何を意味するのかという点だ。
フラットなネットワークに脆弱性が見つかった場合、そのたった一度の幸運が、環境全体へのアクセスにつながる可能性がある。しかし、セグメンテーション、ワークロード、アプリケーション、システムなどのゼロトラスト制御に基づいて構築された環境内にデータが格納された場合、それらは必要なものとのみ通信します。
これは、攻撃者にとっての幸運な瞬間が、事業のごく一部に限定された事件に終わることを意味する。
セグメンテーションに基づいたゼロトラストセキュリティ戦略は、組織の規模、知名度、攻撃者にとってどれほど魅力的な存在であるかに関わらず、すべての組織が持つべき有効な手段の一つです。
身代金支払いをめぐる議論は間違った層を解決しようとしている
ジェンは身代金支払いの禁止をめぐる議論について語り、そのやり取りの中で見落とされがちな重要な点を指摘した。
支払いを禁止しても、攻撃が既に発生した後に組織ができることしか変わらない。それは、攻撃者が誰を攻撃対象とするかを決定する方法に何ら変化をもたらさない。
ジェンはこの例えを使った。強盗に遭った際に財布を渡すのは違法だと誰かに伝える場面を想像してみてください。強盗事件は依然として発生しており、被害者が財布を渡してしまった場合、強盗被害に遭っただけでなく、法律違反も犯したことになる。
封じ込め策は、支払い決定よりも早い段階で実施される。攻撃者が横方向に移動できる範囲を既に制限しているチームは、身代金を支払うか作戦を停止するかという、同じようなプレッシャーのかかる選択を迫られることはない。
支払いに関する議論は、情報漏洩が発生した後に組織がどのような対応を取ることができるかを決定づける。封じ込めとは、組織のどの部分にその侵害が及ぶかを決定するものです。それが、実際に結果を左右する層なのです。
ランサムウェアのリスクは増大する一方だ
インターネットに接続されているすべての組織はランサムウェアの攻撃を受ける可能性があり、AIツールの利用が容易になるにつれて、ランサムウェアを利用できる攻撃者の数は増え続けている。
組織が攻撃者にとって書類上どれほど魅力的に見えるかによって、これらのことは何も変わりません。
この状況において、封じ込めはすべての組織が実際にコントロールできる唯一の変数である。セグメンテーションを中核インフラとしてゼロトラスト戦略を構築する組織こそが、ランサムウェア攻撃によって事業全体が停止するのを防ぐことができる組織となるだろう。
情報漏洩は避けられないものであり、それはあらゆる規模の組織にとって常に真実であった。こうした侵害を小規模に抑えるには、アーキテクチャに侵害封じ込め機能を組み込むことが重要です。
The Segment: A Zero Trust Leadership Podcastの全エピソードを聴くにはApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.

.webp)
.webp)
.webp)

