セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
ランサムウェアの拡散阻止
ロン・アイザックソン
エンタープライズアーキテクチャ担当シニアディレクター
Illumio Editorial
6月 24日、 2022
23分読む

世界的な法律事務所がイルミオを使用してランサムウェア攻撃を阻止した方法

A global law firm was hit by ransomware

攻撃は急速に12台のサーバーに広がりました。

攻撃者はネットワーク全体に侵入し、会社を人質に取る準備ができていました。 

しかし、この法律事務所は準備ができていました。彼らにはイルミオがいました。そして、当社のテクノロジーを使用することで、次のことが可能になります。

  • 攻撃をわずか12台のサーバーに封じ込めた 
  • 侵害されたシステムを特定し、数秒で隔離
  • 最初の侵害からわずか数時間以内に攻撃を阻止 
  • 攻撃者が機密データを暗号化または盗み、会社とそのクライアントに損害を与える前に脅威を終わらせました

この投稿では、世界的な法律事務所が、ITシステム、ビジネス、そして最も重要なクライアントへの重大な損害を回避しながら、前例のないスピードでランサムウェア攻撃を阻止した方法について説明します。 

侵入から立ち退きまで(数時間): 攻撃のタイムライン

大惨事になるはずだった。

この法律事務所は、世界中の数十か所に数千人のユーザー、サーバー、ワークステーションを抱えていました。数百の顧客を抱え、デジタル インフラストラクチャに大量の機密データや法的文書を保存していました。

同社はランサムウェアの主要な標的であり、ある日それが起こりました。彼らは攻撃された。 

But the attack failed. The cybercriminals were evicted in hours. Here’s how it happened, as told to Illumio by the IT executive who led the incident response for the law firm.

この事件はデリケートな性質を持っているため、すべての名前と身元を特定する詳細は伏せられています。

最初の侵害: 月曜日の午後の早い時間

同社の従業員の 1 人は、攻撃者によって侵害されたクライアントから送信されたフィッシング メールを受け取りました。

「ハッカーは卑劣でした」と幹部は言う。「彼らはExcelファイルと思われるURLを送信しましたが、それはハイパーリンクではありませんでした。そこで、従業員は URL をブラウザにコピーしてファイルをダウンロードしました。」

しかし、何も起こらなかった。そこで彼女は、それが悪意のあるコードであることにまだ気づいていなかったが、ファイルのアクセスを支援するために同社のITヘルプデスクに連絡した。

2:00 PM: 攻撃開始 

ヘルプデスクの従業員は、URLをブラウザにコピーしました。これにより、武器化されたファイルがマルウェアを起動するきっかけとなりました。 

「Excel ファイルは、悪意のある人物が彼のワークステーションを侵害し、彼のアカウント権限にアクセスできるようにするマクロを実行しました」と幹部は説明します。

午後 2:00 – 午後 3:40: 攻撃者は検出されない

IT技術者のマシンはオンラインで、ほぼ2時間チェックされていないため、犯罪者は攻撃を実行する最善の方法を調査し、評価する時間を与えました。

「悪質な攻撃者は非常に慎重かつゆっくりとネットワークスキャンを実行したため、彼らの動きはほとんど検出されませんでした」と彼は言います。

最終的に、攻撃者はヘルプデスクワークステーションから取得した権限でアクセスできるサーバーを見つけました。これが彼らがシュートを打ったときです。

午後3時40分 – 午後4時00分:攻撃者が動き出す

攻撃者は当初、SQL サーバー上のデータベース ファイルを暗号化しました。これにより、サーバーがクラッシュしました。法律事務所の IT グループはすぐにクラッシュに気づき、調査し、ランサムウェアの兆候を確認しました。 

“Our database administrator called me at 6:00 PM and told me he thought we had been hit with ransomware,” he says.

16:00 – 16:50: 作戦室の作成

IT 幹部は CIO に何が起こったのかを通知しました。それは、CIOが決して受けたくない電話でした。彼は最悪の事態を恐れていた。彼らは時計が時を刻み始めたことを知っていました。

法律事務所は、迅速な対応を調整する必要がありました。

「約15分以内に、Zoom通話を開始し、ITチームとセキュリティチームのメンバーと会いました」と彼は説明します。「私たちはログに飛び込んで、何が起こったのか、何がすでに侵害されたのかを調べました。」

午後 4 時 50 分 – 午後 6 時 15 分: 攻撃を理解する

「私たちはすぐに、悪意のあるURLとランサムウェアファイルをホストするITヘルプデスクワークステーションである『ペイシェントゼロ』を指すログを見つけました」と彼は言います。

しかし、それだけでは十分ではありませんでした。彼らは、攻撃が他にどこに広がったのかを知る必要がありました。 

“At that point, the minutes are ticking by,” the executive explains. “We quickly isolated that workstation and started looking at the environment as a whole to understand the scope of the attack.”

The response team brought in its managed security service provider (MSSP) to help track down the hackers. 

MSSPは、イルミオからのリアルタイムのアプリケーショントラフィックデータを含むセキュリティ情報およびイベント管理(SIEM)ツールを使用して、SIEMにクエリを実行し、攻撃者がMicrosoft Azure上で実行されている1つのクラウドベースのサーバーを含む別の11台のサーバーに到達したと判断することができました。

チームが作業を進めているうちに、リアルタイムのテレメトリから、攻撃の範囲が目の前で拡大していることがわかりました。時間が迫っていた。 

午後6時20分:イルミオが攻撃を終了

法律事務所は、侵害を封じ込めるために迅速に行動する必要がありました。

Using Illumio, the team was able to immediately put all 12 servers — including the Azure cloud instance — into a segmentation ring-fence, with no access to the network or computing resources.

結局、これが攻撃を冷たく止める決定的な行動だった。 

「文字通り、ドラッグ&ドロップで数回クリックするだけで、影響を受けたすべてのシステムを隔離することができました」とエグゼクティブは言います。「従来の方法でそれを行おうとすると、はるかに時間がかかり、悪質な行為者が他のシステムに飛びつき、拡散し続ける機会がたくさん与えられていたでしょう。イルミオを使用すると、すぐにシャットダウンすることができました。彼らは私たちを避けて広がり続けるために他の場所に飛び込む方法がありませんでした。夜の彼らの楽しみは終わりました。」

午後 6:20 – 午前 1:00: 被害の評価

脅威は終わったが、やるべきことはまだあった。 

「悪意のある攻撃者が私たちのデータを盗んだかどうかを確認するために、攻撃全体を調査する必要がありました」と幹部は言います。「法律事務所として、データを失った場合、クライアントに通知する必要があります。そうすると、風評被害が生じ、非常に損害を与える可能性があります。」

He engaged an incident response (IR) firm to investigate the attack’s full scope. 

火曜日〜金曜日:流出したデータの証拠を探す 

法律事務所のITグループは、IR事務所のソフトウェアエージェントをインストールし、Illumioを使用して侵害されたマシンからファイルを安全に送信しました(他に誤って再感染しないようにするため)。IRチームは作業に取り掛かりました。 

「そこからは、ただ待つしかありませんでした」と幹部は言う。

週末にIRチームは調査を終了した。 

「彼らは戻ってきて、他のシステムが侵害されていないと言い、データの流出はなかったことを確認しました」と彼は言います。 

このニュースはこれ以上ないほど良いものでした。そして、その結果は前例のないものでした。 

「インシデント対応チームからMSSPまで、誰もがランサムウェア攻撃にこれほど迅速に対応する企業を見たことがないと言いました」とエグゼクティブは言います。「彼らは、攻撃が非常に急速に広がるため、攻撃を十数台のシステムに限定することは前代未聞だと言いました。しかし、イルミオのおかげで、私たちはまさにそれを実現しました。」

ランサムウェア防御が容易

The IT executive says that while Illumio was pivotal in reactively stopping the breach, its deployment of Illumio’s Zero Trust Segmentation capabilities prior to the breach also made a critical difference. 

Though the company is only about 40 percent complete with its Illumio deployment, the access controls already in place greatly restricted the pathways and options the hackers had available during the attack, helping slow them down and significantly limit what they could access once inside the network.

「環境をセグメント化するためにイルミオの実装をまだ開始していなかったら、この攻撃ははるかにひどいものになっていたでしょう」と幹部は言います。「悪質な行為者は、ワークステーションから複数の経路を見つけ、はるかに遠く、はるかに速く広がる可能性があるでしょう。」  

The lessons from the law firm’s successful defense of a ransomware attack are clear: Have the right leadership, the right teams, and the right controls in place to be ready to respond immediately when a breach happens. 

“It’s only a matter of time before you have your own breach,” the executive says. “In this day and age, it’s essential to implement microsegmentation to limit lateral movement when hackers or malware inevitably get into your network. Illumio allowed us to do this in ways that just weren’t possible before. It made all the difference.”

今すぐイルミオを組織に導入し、ランサムウェアがあなたの会社を人質に取る前に阻止する準備をしてください。 

関連トピック

アイテムが見つかりませんでした。

関連記事

ランサムウェアを阻止するための脆弱性の評価
ランサムウェアの拡散阻止

ランサムウェアを阻止するための脆弱性の評価

リスクベースの脆弱性スコアリングとマイクロセグメンテーションを使用して、パッチ適用に優先順位を付け、ランサムウェアが拡散する前に封じ込めたリスクの高いポートをブロックする方法を学びます。

詳細はこちら
名前:WRECK Takeaways — マイクロセグメンテーションが可視性と封じ込めにどのように役立つか
ランサムウェアの拡散阻止

名前:WRECK Takeaways — マイクロセグメンテーションが可視性と封じ込めにどのように役立つか

マイクロセグメンテーションが可視性と封じ込めにどのように役立つか、WRECKの脆弱性、リモートコード実行、サービス拒否を防ぐ方法。

詳細はこちら
ランサムウェアの世界的なコスト調査:数字が教えてくれること
ランサムウェアの拡散阻止

ランサムウェアの世界的なコスト調査:数字が教えてくれること

攻撃者が運用の中断にどのように移行しているか、予防だけでは不十分な理由、ゼロトラストとマイクロセグメンテーションがランサムウェアの影響をどのように封じ込めているかをご覧ください。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る