ランサムウェアはサイバー犯罪行為で最もやっかいなビジネスモデルの1つで、これによる組織への被害総額は毎年数十億米ドルにのぼっています。サイバー犯罪者はランサムウェア攻撃により、貴重なデータを盗んだり暗号化したりした上で、データを安全に返すために支払いを要求します。こうした攻撃は、消費者への迷惑行為から複雑な暗号化を行う高度なマルウェアへと進化しており、業界、地域、企業の規模を問わずすべての組織が攻撃の対象となっています。
今こうしている瞬間にも、より多くのファイルが暗号化され、より多くのデバイスが感染する可能性があり、それによる被害やコストを最小限に抑えるために、素早く対応してランサムウェアやその他のマルウェアから組織を保護する必要があります。IBM Security QRadar SIEMは、これらの脅威を迅速に検出するのに役立つため、情報に基づいたアクションを即時実行して、攻撃の影響を防止または最小限に抑えることができます。
「ランサムウェア対策決定版ガイド」を読む
「2022年度版データ侵害のコストに関する調査」を読む
ランサムウェア対策では、早期発見と予防が不可欠です。QRadar SIEMは、重大な脅威に対する要アクションの洞察を提供するインテリジェントなセキュリティー分析を提供します。
サイバー攻撃全体の21%はランサムウェア攻撃です¹
ランサムウェア攻撃による平均被害額は454万米ドルです2
新コードを用いたLinuxでのランサムウェア攻撃件数が146%増加しました3
ほとんどのマルウェア同様、ランサムウェアはいくつかのフェーズを経て攻撃を進めていきます。QRadar SIEMはこれらの各フェーズで既知および不明のランサムウェアの検出に役立ちます。早期発見により、損害を最小限に抑えることができます。これらの各フェーズでアラートを出せるよう、QRadarには無数のユースケースを含んだコンテンツ拡張機能があります。コンテンツ拡張機能はApp Exchangeを通じて実行され、最新のユースケースを取得できるようにしています。IBM Security® X-Force®脅威インテリジェンス・コレクション機能をユースケースの基準として使うことで、IPアドレスやマルウェア・ファイル・ハッシュ、URLなど、最新の既知のセキュリティー侵害インジケーター(IOC)を特定しています。
ほとんどの「既知の」マルウェアとランサムウェアは、初期段階で見つけることができます。不明のランサムウェアを検出するために、QRadar SIEMは、ランサムウェアの動作の検出にフォーカスしたユースケースを提供します。エンドポイント、アプリケーション・サーバー(オンプレミスおよびクラウド)、およびネットワーク・デバイス(ファイアウォール)を可視化することで、QRadar SIEM Use Case Managerは、ITおよびOTインフラストラクチャにまたがるランサムウェアの振る舞いのパターンを検出しています。Use Case Managerは、MITRE ATT&CKマトリックスを使用して、これらのフェーズにまたがるユースケースまたはルールがあるかどうかを視覚化するのに役立ちます。
ランサムウェアは、このフェーズでは他のマルウェアと変わりません。フィッシング手法により、Eメール、ハニーポット、ソーシャル・メディア、またはテキスト・メッセージング内のリンクまたは実行可能ファイルをクリックするよう、疑いを持たない従業員を導こうとします。
配布の振る舞いをや既知のランサムウェアを特定するためのQRadar SIEMのユースケースの例:
このフェーズではストップウォッチが始動します。ランサムウェアはすでに貴社の環境に存在しています。ランサムウェアが配布フェーズでの検出を回避するために「ドロッパー」を使用すれば、この時に、ドロッパーは呼び出しを行って「実行犯となる実行可能ファイル」をダウンロードし、それを実行します。
感染フェーズにあることを特定するためのQRadar SIEMのユースケースの例:
ランサムウェアはコンピューターのスキャン、取得できる管理者権限の分析、ブート時の自動実行、復旧モードの無効化、シャドー・コピーの削除など、一連の動作を行います。
ステージングの振る舞いを特定するためのQRadar SIEMのユースケースの例:
ランサムウェアは最初のフェーズ以降、コンピューターへの不正アクセスが可能になっており、ネットワーク(アタックパス)、事前定義された拡張子を持つファイルなどを偵察するフェーズに入ります。
偵察の振る舞いを特定するためのQRadar SIEMのユースケースの例:
ここからは実際に損害が発生します。具体的には、各ファイルのコピーの作成、コピーの暗号化、オリジナルロケーションへの新規ファイルの配置などが行われます。オリジナルファイルが盗み出され、システムから削除される可能性があります。これによりアタッカーはブリーチを公表する、または盗み出した文書を公開するなどと脅して、被害を受けた組織を恐喝します。
暗号化フェーズにあることを特定するためのQRadar SIEMのユースケースの例:
損害が発生し、ユーザーは復号化キーを取得するために身代金を支払う方法について記載された通知を受け取ります。この時点では、復号化命令ファイルの作成を除いて、検出できるものはそれほど多くありません。
ランサム通知の振る舞いを特定するためのQRadar SIEMのユースケースの例:
ランサムウェアを特定するユースケースは、 App Exchange にある次のコンテンツ拡張機能にあります(リンクは ibm.comの外にあります):
感染フェーズに入ると、時間との戦いとなります。ランサムウェアの検出が早ければ早いほど、機能不良への応答(IR)計画を早く開始できます。IR計画が優れているほど、ランサムウェアが攻撃を進めるのをより迅速に阻止できます。 NIST(リンクはibm.comの外にあります)SANS(リンクはibm.comの外にあります)には、攻撃を受けたときに役立つIRガイドラインがあります。どのようなIR計画を立てる場合も重要なことがあります。
バックアップを取っておく。 オフラインでバックアップを保管しておくことはランサムウェア攻撃への対策として極めて有効です。これらのバックアップの保管場所とシステムの復元方法を理解していることを確認しておきましょう。重大なIT資産ごとに攻撃を受けた際の連絡先や手順をIRプロセスに含めておきます。
チーム、ツール、およびロールを明確にしておく。 ランサムウェアが初期感染から暗号化へとフェーズを進むにつれて、応答チームの構成が変化します。つまり、フェーズが進むにつれ、より多くの人が関与することになります。多くの場合、サード・パーティー・サービスの助けを借りる必要があり、実際にブリーチが起きれば、弁護士や規制当局、顧客に連絡しなければならない場合もあります。連絡先や連絡するタイミングを知ることがクリティカルです。連絡先リストを最新の状態に保つことも重要ですが、リストに記載される人々のロールを計画に明記しておくことも、効果的な応答に不可欠です。紙とPDFで保管しておけば十分ですが、チーム全体がランサムウェアの対応プロセス、アクション、および改訂履歴にアクセスできるよう、適切なツールを使用し、オートメーションを進めておくことが重要です。
プロセスを明確にし、オートメーションを導入しておく。 IRプロセスにはさまざまなタスクを含めることができ、複数の意思決定点を明記しておくことができます。NISTとSANSがまとめたフェーズに適したプロセスを決めておくことをおすすめします。たとえば、次のフェーズごとにIRプロセスを整理できます。
QRadar SOARは、IRプロセスを定義し、フェーズが素早く進行する中でアナリストが実行すべきさまざまなアクションを自動化するためのプレイブックを提供します。QRadar SOARによるブリーチ応答では、公開された個人情報に基づいて必要な規制当局へのレポートタスクを作成できます。
IT資産、所有者、個人情報のインベントリーを作成しておく。 システムが感染した場合、セキュリティー・アナリストはシステムの所有者、アプリケーション、および侵害を受けたデータの内容を知る必要があります。ServiceNowやSAPをはじめとする資産管理ソリューションは、システムで重要な連絡先を管理するのに役立ちます。IBM Security® Discover and Classifは、データ・ソースおよびソースごとに保管される個人情報を特定するのに役立ちます。したがって、データブリーチイベントが発生した場合、アナリストは規制当局への報告が必要かどうかを判断することができます。
ロサンゼルス市はLA Cyber Lab社およびIBMと連携し、脅威インテリジェンスにより、脆弱な地元企業を強化しました。
データ統合、ログ分析、およびインシデントの優先度付けを行うことにより、ベトナムの不動産投資開発会社は脅威を検出し、対応することができました。
IBM FlashSystem®の高性能ストレージでQRadar SIEMソリューションをホスティングすることにより、Data Action社(DA)は代替バンクへのセキュリティー・サービスを強化しました。