攻撃側にとってより生産的な新しいタイプのランサムウェアが出現し、医療機関のセキュリティ部門は特に注意が必要です。これまでよくあった「spray and pray」型の攻撃とは異なり、選択された攻撃しやすいターゲットを狙っています。
少ないターゲットを狙う方が効果的
「spray and pray」を使ったランサムウェア攻撃は、スピアフィッシング手法で大量のメールを送信し、うっかり引っかかってしまう人が少数でもいればよしとするアプローチです。その被害者のファイルを暗号化して、ロック解除のために何百ドルものビットコインや現金を要求します。
「spray and pray」攻撃では、メッセージは万人向けに書かれていて、びっくりしてうろたえてしまった人が理性がはたらく前に感情的に応答してしまうことを目指します。例えば、米国によくある例では、IRSやFBIの名をかたって電子メールが送られてきます。ロゴなども入っていて正式なメールのように見え、「あなたは大きな問題に直面していますから、速やかに対応するべきです。」といった怖がらせるようなメッセージが入っています。
最もありそうな可能性としては、組織ではすでに価値の高い情報を持ち得る役員や社員への教育を行っており、仕事中にFBIから電子メールが届いたら疑わしいと思われ、無視されることです。兆候(リンク上でホバリングしてURLをチェックすると.czが入っているのがわかる、など)を検出する訓練を受けたような人でも、恐怖感を呼び起こすような件名を読めばいやな気持ちになることは避けられないとしても。疑わしいメールには何もしない、という教訓はかなり行き渡っており、攻撃が成功して回答者から有意義な情報を得られる割合はわずかです。
新手の攻撃は、価値の高いターゲットに絞った攻撃です。価値の高いターゲットは、価値の高いデータにアクセスでき、ビジネスにとって根幹的に重要な処理を行います。彼らのデータを暗号化できれば、はるかに高額な支払いを期待できます。
研究され、周到に準備された電子メール
価値の高いターゲットに絞った攻撃を計画するサイバー犯罪者は、より多くの時間を費やして周到に準備をします。会社概要で特徴を把握し、組織を研究し、主要部門のターゲットを選びます。ある病院で患者への請求と支払いを処理する部門でキャッシュフローの責任を担うジョージを例にとりましょう。ジョージは彼の最後のバックアップ以来かなりのデータを蓄積していたとします。
サイバー犯罪者はじっくり時間をかけて LinkedIn をチェックします。彼らはLinkedInでジョージを検索した人々が、よく知られている健康保険会社、InsurCo のヘレンのプロファイルも見ていたことに気付きました。この相関関係が確認でき、彼らはジョージの日常的なやりとりの中にヘレンから来ているように見える電子メールを巧みに作り上げます。次のメールは首尾よく成功するかもしれません。
この例は、Defray 攻撃の典型的なシナリオです。2017年8月に登場し、医療機関をターゲットにしてかなり成功しています。添付ファイルは、7Zipアーカイブの添付ファイルを開くときに実行される JavaScript ファイルです。フィッシング詐欺メールの兆候は存在します。添付ファイルは通常とは異なるファイルタイプであり、送信元のメールアドレスが正確ではありません(insurco ではなく insureco)。しかし、ジョージにとってヘレンは大切な取引先であり、彼女の窮地を救いたいと考えて通常より早めに処理してやろうと考える可能性はかなり高いです。
防御策としてできること
Defray のようなターゲットを絞った新しいランサムウェア攻撃の、医療機関への脅威レベルは明らかに上昇しています。組織を保護することは不可欠です。安全のための可能な防御策としてできることはいくつか考えられます。
ハッカーとサイバー犯罪者の違いを把握
ハッカーとサイバー犯罪者の大きな違いは、報酬のために行う努力と持続性のレベルです。サイバー犯罪は、犯罪組織がビジネスとして運営する事業です。ハッカーは、趣味として楽しむ人たちであり、困苦を重ねてまで目的を達成したいとはあまり考えません。
毎週毎週、境界防御、侵入検知システム(IDS)、ウイルス対策ソフトウェアなどが、何千ものハッカーベースのランサムウェア攻撃を阻止している可能性があります。ただ、これらで阻止できる攻撃は、たいていは既知のシグネチャを持つ既知のマルウェアを使用しているもので、多くは「spray and pray」攻撃に分類されるものです。
サイバー犯罪者は、どのシグネチャが検出される可能性が高いかを知っています。彼らは、防御システムを突破できるようにするためのリソースに投資します。彼らは、より大きな報酬を得るために、攻撃対象を研究し、成功の可能性の高い攻撃を実行するために時間を費やします。敵を知ることが防御の第一歩です。
バックアップ、バックアップ、バックアップ!
セキュリティ・コミュニティからの最も一貫したアドバイスは、バックアップに重点を置くことです。ランサムウェア攻撃で暗号化されたデータのバックアップに速やかにアクセスできる場合は、損失を大幅に削減できます。毎日バックアップする必要があり、複数の場所に複数のバックアップを作成するのが望ましいでしょう。
徹底した教育
組織全体に、添付ファイルとリンクが付いている電子メールには常に疑念を抱いて対応するという文化を築いてください。10秒ほど休止して、おかしなアドレス、奇妙なファイルタイプ、または不審なURLがないかどうか、メールをよくチェックすれば、おそらく攻撃の99%は検出できます。全社員がスピアフィッシングの兆候を把握しているように徹底してください。社員へのスピアフィッシング教育は、多くのベンダーが提供しているので、検索すればすぐに見つかるでしょう。潜在的な被害による損失の大きさを考えれば、教育にかけるコストは簡単に正当化できます。
システムの随時更新
サイバー犯罪者は、ベンダーが脆弱性を発見してパッチを適用する前に、システムとソフトウェアのセキュリティ上の脆弱性を特定して悪用しようとし、絶えず競争が繰り広げられています。パッチ情報があればすぐに適用し、システムを最新に保つことが重要な防御策になります。
敵は日ごとにより狡猾になっていきますから、常に敵より一歩先を行けるよう心がけるのが安全への道です。
Kevin Conklin
Kevin joined Ipswitch in 2015 and leads the company’s product and content marketing practices. He is widely recognized for his product marketing accomplishments in information technologies. He is a serial startup executive having played instrumental roles in the success of such companies as for Prelert, VKernel, Mazu Networks and Smarts, Inc. and has been instrumental to the success of these IT management technology companies. Kevin is also the co-host of the PICNIC Podcast live show (https://picnic-podcast.com/), sharing experiences and best practices, providing a voice of expertise, and educating IT professionals with the latest technology challenges.