ランサムウェア

責任ある企業がランサムウェア攻撃を受けた場合に断固とした行動を取らなければならない

製油所
この投稿は、 LinkedInでもご覧いただけます。

最近多発しているランサムウェア攻撃や、サイバーセキュリティに関する新しい大統領令の発表は、重要インフラや個人情報を管理する企業に対する監視の目が厳しくなることを予感させます。

ランサムウェア攻撃がこれまで以上に発生するようになり、コロニアル・パイプラインの攻撃以外に先週だけでも、アイルランドの医療システムが停止に追い込まれAXA Partnersがランサムウェアに関連する支払いを保障の対象外にすると発表した後に攻撃されました。

コロニアル・パイプラインなどに対する攻撃では、数百万人がサービスを受けられなくなり、数百万ドルの売上が損失し、企業の評判が傷つけられ、社会全体が混乱して機能不全に陥り、攻撃者が利益を手に入れて自由に他の標的を攻撃できるようになるなどの重大な影響を現実世界に及ぼします。ランサムウェア攻撃は7年以上も前から常に発生し、民間と公共のどちらの組織も、規模の大小を問わず、攻撃の被害者になっています。

しかしながら、企業は今なお、サイバー攻撃、特にランサムウェアのリスクを過小評価しています。ランサムウェアがすべての組織の最優先事項ではないのは、なぜでしょうか?コロニアル・パイプラインでは、過去の監査でセキュリティポスチャの深刻な欠陥が指摘されており、ある研究者は「中学生でもシステムをハッキングできた」と述べています。

最近の「国家のサイバーセキュリティ強化に関する大統領令」や、GDPRやCPRAなどのプライバシー法の強化によって、データの不正取得を取り巻く環境が新たな局面を迎えることになりそうです。

Norsk Hydroの2019年のランサムウェア攻撃への対応は、学習し、改善し、そして(最も重要なことですが)信頼するデータを保護するという組織の根底からの願望を示す、変化のモデルとなりました。Norsk Hydroはこの攻撃を機に、ネットワークセキュリティをゼロから再構築し、ユーザをアプリケーションにダイレクト接続するゼロトラストアーキテクチャを採用し、異なるクラウド環境のワークフローを監視することで、システム間の水平移動を制限することにしました。

コロニアル・パイプラインも先例に倣うか?

コロニアル・パイプラインの攻撃から我々は何を学んだのか?

  • 産業用制御システム(ICS)や運用テクノロジ(OT)に対する標的型攻撃ではありませんでした。2017年のSaudi Aramcoの攻撃とは異なり、今回の攻撃では、パイプラインに物理的な損傷させたり、プラントの運用担当者を負傷させたりした形跡はなく、在庫や物流を管理するITシステムをロックする攻撃だったものと考えられます。
  • 身代金の支払いに応じじても、時間内に業務が復旧するわけではなく、十分に計画し、テストしたバックアップとリストアの戦略が必要です。身代金の支払いに応じても、さらなる攻撃を助長するだけです。官民合同のタスクフォースが2021年4月にホワイトハウスに提出した81ページの緊急行動計画は、ランサムウェアの犯罪者に利益を与えることは、テロを含む世界的な犯罪を助長するだけだと指摘しています。
  • 保険会社は身代金の支払いを保障の対象から除外するようになっています。世界的な保険会社のAXAは木曜日に、間違いなく業界初の試みとして、顧客がランサムウェアの犯罪者に支払った身代金を補償するサイバー保険の契約をフランスで停止すると発表しました(その直後にランサムウェア攻撃を受けました)。
  • 米国政府もようやく、このような状況に注目するようになりました。バイデン政権の新しい大統領令は、コンプライアンスに基づくアプローチを上回る対策を組織に求めています。「この大統領令から60日以内に、各連邦機関の長官は、...ゼロトラストアーキテクチャを実施する計画を策定することが求められる」
  • 予防は攻撃の余波の後片付けよりはるかに低コストです計画外ダウンタイムによる収益の損失は、このような攻撃からの防御のための投資をはるかに上回るものであることは容易に想像できます。

Norsk Hydroのランサムウェア攻撃への対応が優れた規範であるのはなぜか?

ランサムウェア攻撃は、軽減し、防止することができます。Norsk Hydroを始めとする企業が、過去にこのような攻撃に対処し、その知恵を世界に共有してきました。具体的にどうしたのでしょうか?

  • Norsk Hydroは身代金の支払いに応じることなく、
  • 攻撃されたことを公表し、対応計画を隠匿することなく明らかにしました。
  • この攻撃を関係当局に報告するとともに、セキュリティ業界と緊密に連携して他社への攻撃を防止しました。
  • Norsk Hydroはこの機会に、セキュリティとインフラの再構築、再設計、強化に取り組みました。
  • 今後の攻撃の可能性も否定していません。

どれほど優れた計画を策定しても、実際に攻撃が成功すれば、現実ははるかに困難です。例えば、Norsk Hydroには、工場の担当者向けの安全手順の印刷に使用できるプリンタがありませんでした。

「Norsk HydroがすでにコミュニケーションをO365のようなマネージドクラウドサービスに移行していなかったら、状況ははるかに深刻なものになっていたでしょう」- 最高財務責任者(CFO)のEivind Kallevik氏
 

ランサムウェア攻撃の計画と防止にあたって、組織は何をすべきか?

IT/OTアーキテクチャのビジネスリスクを評価し、攻撃対象領域を削減します。

  • 攻撃対象領域全体を分析しなければ、ICSの脅威を監視できません。
  • セキュリティポスチャの評価にあたっては、平坦なネットワークではないか、ITとOTのネットワークが同じリソース(ドメインコントローラなど)を共有していないか、異なるベンダのITセキュリティソリューションがネイティブに連携し、キルチェーンを分断することができるか(例えば、セキュアWebゲートウェイがエンドポイントセキュリティやSIEMソリューションと連携しているかなど)といった疑問に答える必要があります。
  • ゼロトラストをOT環境にも適用することを検討します。攻撃者は、オープンインターネットの見えないシステムにアクセスすることはできません。

エアギャップで分離されたOTネットワークでは、ビジネスニーズを解決できません。

  • ブラウザ分離により、ICSワークステーションのインターネットアクセスを許可します。ICSの従業員が2台のノートPCを使用すると、セキュリティ問題につながる複雑さが生まれる可能性があります。
  • VPNをSD(Software-Defined)境界アプローチを使用するゼロトラストネットワークアクセス(ZTNA)に置き換え、OTシステムのリモートアクセスを実現します

セグメンテーションの適用:

  • OT環境のコントロール、管理、IIoTセンサーのネットワークをセグメンテーションします。
  • 完全マイクロセグメンテーションを目指すべきではありません。OTネットワークには、実装のための十分なダウンタイムがないからです。OTとITの接点を保護することで、最も大きな利益が得られます。

クラウドの活用:

  • Norsk Hydroの経験を教訓にし、できるだけ多くの機能をクラウドに移行します。そうすることで、重要システムの迅速なリカバリと強力な保護が可能になります。
  • セキュアアクセスサービスエッジ(SASE)ベースのセキュリティ実装は、ICSネットワークの攻撃対象領域と複雑さを軽減する簡単な方法です。

SolarWinds攻撃では、インターンが特権付きソフトウェアに弱い内部パスワードを設定してしたことで、数千の企業や公的機関で大規模な侵害が発生し、国家の安全保障が脅かされました。Oldsmarでは、水処理場で使用していたパスワードを共有していたために、全市民の生命が脅かされました。

今回の大統領令は、米国の重要インフラのセキュリティポスチャを強化するというコミットメントを示すものですが、その多くの管理を担当している民間企業にも同様の対策が求められます。

重要インフラを処理する企業の行動は、何百万人にも影響します。重要インフラを担う企業は、セキュリティのベストプラクティスを採用することで、公共の安全と健康を確保する必要があります。

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。