ランサムウェアや二重脅迫からデータを保護する方法

マルウェアは長年にわたり、世界中の組織を悩ます大敵であり、特にランサムウェアは、極めて致命的な被害をもたらしかねません。「被害者のファイルを暗号化してロックし、復号化のために身代金を要求する」という流れは、サイバー犯罪者にとって効果的な手口であることがわかっていますが、最近の一連のランサムウェア攻撃からもこの事実が証明されています。しかしながら、こういった手口は絶えず改良されており、最近では身代金が支払われる可能性を高めるために、二重脅迫と呼ばれる、機密性の高いファイルの漏洩を被害者にちらつかせる攻撃手法も出始めています。Kaseyaのようなサプライチェーン攻撃は、ランサムウェアの巧妙化が見て取れるもうひとつの例ですが、いずれの場合も、攻撃の被害を受けると業務の中断を余儀なくされるため、会社の評判の低下、多額の金銭的コストの発生などのさまざまな問題が発生します。

サイバー犯罪者は、企業の防御を突破して侵入するために、簡単に攻撃できる標的を常に探しています。最近では、SaaSアプリケーションが格好の標的となっています。SaaSアプリは、迅速なファイル共有、コラボレーション、自動化を可能にする設計になっているため、ランサムウェアが送り込まれると、ユーザのデバイスだけでなく、接続されたアプリケーションにまで簡単に拡散されます。また、SaaSアプリには、不正に取得して二重脅迫に利用できる無数のファイルが含まれています。データ量が多いSaaSアプリに設定ミスがあると、危険なギャップが生じ、侵入を試みる犯罪者にアクセスされてしまう可能性があります。残念ながら、脅威対策をネイティブで提供するSaaSアプリはほとんどなく、提供している少数のアプリの場合でも、ゼロデイ脅威を特定できるほど技術的に高度ではなく、検知できるのは既知の脅威のみです。そして、従来のセキュリティ技術 (拡張性に欠けるオンプレミス型のハードウェアアプライアンス) では、クラウドファーストや場所を問わない働き方 (Work From Anywhere) に対応したマルウェア対策やデータ保護を提供できないという事実がさらに状況を複雑にしています。

解消すべきギャップ

組織は、SaaSアプリケーションの内側と外側の両方で、マルウェアやランサムウェアの拡散に対する包括的な防御を必要としています。そのためには、現代のクラウド社会を考慮して設計されたセキュリティソリューションを採用し、すべてのネットワークのすべてのユーザ、デバイス、アプリを (オンプレミスのアプライアンスにトラフィックをバックホールすることなく) マルウェアから保護する必要があります。そのようなソリューションは、感染したファイルがクラウドアプリケーションにアップロードされるのを防止するだけでなく、すでにクラウドに侵入した脅威も識別できるものでなければなりません。組織はさらに、既知のマルウェアだけでなく、ゼロデイランサムウェアを含むあらゆる脅威を確実に防御できるソリューションを採用する必要があります。増加の一途をたどる二重脅迫型攻撃の場合、SaaS経由の流出からもデータを保護する必要があります。

クラウドDLPによるキルチェーンの制御
ランサムウェアが侵入に成功すると、サイバー犯罪者は通常、データを不正取得するための行動をすぐに開始します。前述のとおり、データを窃取して流出させると脅迫することは、身代金が支払われる可能性を高めるための一般的な戦略です。復号化に金銭の支払いを躊躇する企業であっても、データが流出する恐れがあれば、支払いに応じる十分な動機になります。ただし、二重脅迫の効果を上げるには、犯罪者が企業からデータを窃取する必要があります。ここで重要になるのが、クラウド情報漏洩防止 (DLP) です。先進的なDLPソリューションは、外部に送信されるファイルの内容やコンテキストを精査し、必要に応じて移動を防止することで漏洩を防止します。これにより、サイバー犯罪者がSaaSアプリからデータを不正取得して二重脅迫することを阻止し、攻撃チェーンを分断できます。

CASBによるランサムウェアからの保護

クラウドの可視化と制御ポイントとしての役割を果たすクラウドアクセスセキュリティブローカ (CASB) も、ランサムウェアの課題の解決に有効です。特に、マルチモードCASBは、トラフィックのプロキシとして機能することで移動中データをリアルタイムで保護し、アプリケーションプログラミングインタフェース (API) との統合により、クラウドの保存データを保護します。結果として、SaaSアプリケーションへの不正ファイルのアップロードを防止し、企業のクラウドアプリケーションにすでに存在するマルウェアやランサムウェアに対応できます。高度な脅威保護 (ATP) を提供する先進的なCASBは、クラウドサンドボックスとの緊密な統合により、ゼロデイランサムウェアを含むあらゆる脅威を特定できます。そして、クラウドネイティブソリューションとして、データセンタにハードウェアアプライアンスを必要とすることなく、スケーラブルで場所を問わない保護を実現します。

CSPMによる設定ミスの修正

SaaSアプリケーションやIaaSの展開や管理にあたっては、多数の構成を正しく設定して適用することで、アプリケーションが適切かつ安全に機能するようにする必要があります。設定ミスがあると、サイバー犯罪者が企業のシステムにアクセスし、ランサムウェアのペイロードを置いたり、二重脅迫の目的でデータを流出させたりする恐れがあります。クラウドセキュリティポスチャ管理 (CSPM) は、攻撃者に悪用される恐れのある設定ミスを特定することで、このような脆弱性を解決できます。例えば、機密データのリポジトリ (AWS S3ストレージバケットなど) の設定ミスによってインターネットから自由にアクセスできてしまう場合も、問題をすぐに特定して修正できます。

適切な保護アプローチの選択

統合的なアプローチは、キルチェーンのあらゆるフェーズでランサムウェアを阻止し、複数のポイント製品の導入や管理に伴う複雑さから解放します。Zscaler Cloud DLP、CASB、CSPMは、統合されたZero Trust Exchangeのコアコンポーネントであり、SWGやZTNAの主要テクノロジとの統合も可能です。Zscalerは、マルウェアやランサムウェアからの包括的な保護に必要なすべての機能を備えています (セキュアアクセスサービスエッジ [SASE] 要件にも対応)。

ZscalerのDLPは、事前定義された辞書やカスタマイズ可能な辞書、EDM (Exact Data Match)、IDM (Indexed Document Matching) などの、データ流出の防止や二重脅迫の阻止に必要な広範かつきめ細かい機能を提供します。ZscalerのマルチモードCASBは、企業のSaaSアプリをマルウェアやランサムウェアの感染から保護します。移動中の脅威はリアルタイムプロキシで検知してブロックし、保存された不正ファイルはAPIで特定して隔離し、削除します。1日あたり1,600億件のプラットフォームトランザクション、1日あたり1億件の脅威の検知により、最先端の高度な脅威保護 (ATP) の精度をさらに向上させています。Zscaler Cloud Sandboxは、機械学習を利用して、アップロード時と保存後の両方でゼロデイ脅威を確実に特定し、ブロックします。このプラットフォームのCSPMは、SaaSやIaaSをスキャンして、攻撃を可能にする致命的な設定ミスを検知するほか、検知されたリスクに優先順位を設定することで、サイバー犯罪者が行動し始める前に組織が対応できるようにします。

Zscalerが提供するランサムウェアに対する保護の詳細については、こちらを参照してください。 

Zscalerによるお客様の機密データの保護の詳細については、ebookをダウンロードしてご確認ください。