ENISAが7月に「ランサムウエア攻撃の脅威状況報告書(Threat Landscape)」を公表しています。
同報告書は、2021年5月から2022年6月までの623件のランサムウェアインシデントを慎重に調査することで、ランサムウェアの脅威の状況に新たな洞察をもたらそうというものです。
インシデントを詳細に分析してその中核要素を特定しており、そこで分析されるのは、
- 攻撃がどのように発生するのか、
- 身代金要求は支払われているのか、
- どの部門が最も影響を受けているのか
といった重要な質問に対する答えを提供しています。
本レポートは、
脅威の主体やツールではなく、ランサムウェアのインシデントに焦点を当て、ランサムウェアの能力に基づいて起こり得ることではなく、実際に起こったランサムウェア攻撃を分析すること
を目的としています。
EUサイバーセキュリティ脅威状況調査手法
このランサムウェアの脅威の状況は、最近発表されたEUサイバーセキュリティ脅威状況調査手法(ENISA Cybersecurity Threat Landscape Research Methodology)に基づいて作成されています。EUサイバーセキュリティ脅威状況調査手法の報告書のリンクは、こちらです。
以下、観点にみていきます。
1 概要
ENISAサイバーセキュリティ脅威ランドスケープ(CTL)手法というのは、水平、テーマ別、部門別のサイバーセキュリティ脅威ランドスケープの透明かつ体系的な提供のための基準値を設定することを目指す分析手法である。具体的には、以下の手法がある。
- 水平方向の脅威ランドスケープ、例えば包括的なENISA脅威ランドスケープ(ETL)は、幅広い分野と産業を全体的にカバーすることを目的とする。
- テーマ別脅威ランドスケープ:例えば、ENISAサプライチェーン脅威ランドスケープは、特定のテーマに焦点を当てながらも、多くのセクターをカバーする。
- セクター別の脅威ランドスケープは、特定の構成員やターゲットグループに対して、より焦点を絞った情報を提供するものである。
ENISAは、欧州および国際的な官民団体の専門家からなるサイバーセキュリティ脅威ランドスケープに関するアドホックワーキンググループ2(CTL WG)を立ち上げた。
CTL WGの活動範囲は、毎年のENISA脅威ランドスケープ(ETL)報告書を含む脅威ランドスケープ作成手法の設計、更新、レビューにおいて、ENISAに助言することである。このWGは、多くの関連する側面について意見を収集する目的で、ENISAが広範な利害関係者と対話することを可能にする。
この調査手法は、実践的(Actionable)、適時(Timely)、正確(Accurate)を原則としている。
2 分析手法
ETL (ENISA 脅威状況)は、この方法論が実際にどのように適用されるかを説明する、繰り返し行われる事例として機能します。
2.1方向性
方向性においては、目的、聴衆の定義、管理利害関係者の特定、インテリジェンスの要求事項、が検討されています。
ENISA 脅威状況の目的
目的としては、戦略的意思決定、リスク管理、政策立案、政策提言の優先順位付け、トレーニング、演習、能力開発の機会の特定があげられています。また、ETLの読者としては、 政策立案者(欧州委員会など) 監督者(加盟国など) 実施者(業界など)があげられています。
利害関係者の特定
これは、影響力と利害とで、4つのブロックにわけられます。
影響力大、関心大 – 情報提供者、CTLに影響力を持ち、製品に高い関心を持つステークホルダーです。例として、メンバー国が挙げられる。彼らは(例えばCSIRTネットワークを通じて)情報を提供し、高い影響力を持ち、また彼らのリソースを計画するために製品を使用します。これらのステークホルダーは、製品に満足し、常にプロセスに含まれる必要がある。
– 高影響力、低関心 – これらのステークホルダーは、通常彼ら自身のリソースを持っており、それゆえ製品にあまり興味を示さないかもしれない。彼らの関与は製品にとって有益であるため、可能であればループ内にとどめ、関与させる必要がある。例えば、多くの企業が独自のプロセスを持ち、独自のCTLを生産しているような業界です。
– 低影響力、高関心 – これらのステークホルダーは、製品に貢献する高い手段を持っていないかもしれませんが、リソースの計画など、自分たちの目的のためにそれを利用することができます。彼らは、結果を知らされる必要がある。このような利害関係者の例としては、情報セキュリティのベンダーが挙げられます。彼らは、CTL の結果に基づいて、自分たちの努力に焦点を当てることができる。
– 低影響力、低関心 – このようなステークホルダーは、CTLに貢献することができず、またCTLを利用することもないだろう。
インテリジェンスの要求事項
これは、ETLが、準備すべき情報を特定しています。具体的には、
- どのセクターが影響を受けるのか?
- インシデントのインパクトは?
- 脅威の主体は誰か?
- その動機は?
- 使用されるTTPは何か?
- 悪用される脆弱性は何か?
- 傾向(分野、高度化など)は?
- どのような対抗措置が、適用されるのか?
などの質問に答えるものであるとしています。
これらの質問に答えるために、答えうる細部の質問が準備されます。これが、ETLインテリジェンス要件となります。具体的には、
- 過去12ヶ月間に観測されたランサムウェアのキャンペーンは何件か?
- ヨーロッパの企業を標的としたランサムウェアのキャンペーンは何か?
- どの程度のキャンペーンが、ある程度は攻撃者の責任の帰属をなしえているか?
- MITREのATT&CKフレームワークに照らし合わせると、帰属するキャンペーンではどのような戦術やテクニックが採用されているか?
2. 2.収集
収集では、収集の要求事項の特定、収集の計画、ソースの評価がなされます。
収集の要求事項の特定においては、特に外部のインテリジェンスを求めることから、次のように特定がなされます。
| インテリジェンス要求事項 | 収集要求事項 |
| 特に欧州企業を狙ったランサムウェアキャンペーンとは? | – VENDORTOOL_$のランサムウェアキャンペーンリポジトリを参照する。 – ランサムウェアキャンペーンの詳細を公開するオープンソースのフィード。 – 欧州の知識共有グループとのリエゾン – その他の情報源 |
| データ収集のタイムフレーム | 2月から4月 |
| インシデントの種類 | EUの特定セクターを対象とする検証済みインシデント |
収集の計画において、そのインテリジェンスのソースごとにどのようなデータのタイプを収集するかという計画を立てます。
| ソース | データのタイプ | 収集時期 |
| CTIプロバイダー | 運用、戦術 | 常時 |
| 組織利害関係者 | 戦略 | 年間ベース |
| ソーシャルメディア | 運用、戦術、戦略 | 常時 |
| データフィード | 運用、戦術、戦略 | 常時 |
| サイバーセキュリティニュース | 運用、戦術、戦略 | 常時 |
| 脆弱性の開示 | 運用、戦術 | 常時 |
| アカデミア | 運用、戦術、戦略 | 常時 |
| ディープ/ダークウェブ | 運用、戦術、戦略 | 常時 |
ソースの評価については、内部情報源 – 制度的情報源 – 外部情報源ごとに評価がなされます。特に外部情報源については、
- 生/処理済みデータ
- 自ら収集/処理したデータによる情報
- 収集、処理、分析、拡散した最終的なインテリジェンス
にわけて分析され、また、確からしさ/トラストレベルが分析されます。
2.3 処理
処理は、さらに、準備、言語取り扱い、用語法、サイバー脅威枠組み、統合内容にわけて検討されています。
興味深いのは、用語法(taxonomy)においてENISA用語法、 同インシデント用語法、 同標準セキュティインシデント分類用語法が紹介されせていることです。
2.4 分析および生成
準備・構造的分析技法の選択・実践分析・状況分析の検証・普及手段の検証・派生生成物にわけて論じられています。
構造化分析技法 とは、「内部の思考プロセスを体系的かつ透明な方法で外部化し、他者と共有、構築、容易に批判できるようにするメカニズム」を指します。SATは、CTLの分析者や開発者が、構造化された方法で思考を構築・拡大し、バイアスを排除して判断力を高めることで、情報分析の質を高め、分析結果に対する信頼性を向上させることを目的とする。
実践分析において、考慮される事項は、
- 前提確認:重要な前提を設定し、それに異議を唱えるべき時を理解する。
- 代替案検討: すべての事象について、代替的な説明や仮説を検討する。
- 矛盾考慮: 候補となる仮説を迅速に破棄する、またはその矛盾に対処するための十分な正当性を提供する矛盾したデータを探す。
- キードライバー考慮:発生したこと、または発生しようとしていることを最もよく説明するキードライバーに焦点を当てる。
- 文脈注目:ニーズを予測する
とされています。
分析の検証については、欧州および国際的な官民団体の専門家からなる ENISA CTL 作業部会により検証される。また、ENISA マネジメントチーム(MT)、国家連絡担当者(NLO)、アドバイザリーグループ(AG)など、内外の関係者 を通じて検証も行われています。
普及手段としては、ENISAのウェブサイト 主要なニュースウェブサイトでのプレスリリース ソーシャルメディア ENISA関係者(国家連絡担当者(NLO)、諮問グループなど)への電子メールなどがあります。
生成物においては、ETLの基本構成に含まれる情報として
- 報告期間中に評価されたサイバー脅威の一般的な説明
- 脅威に関して発見された重要なポイント、観察、または進展のある興味深い点のリスト
- 脅威の頻度が増加しているか、減少しているか、安定しているかを示す観察された傾向と主要統計
- 特定の脅威に対する特定の攻撃ベクトルのリスト
- これらの脅威を使用する脅威エージェントのリスト
- 脅威カテゴリと関連するインシデントの指標リスト
- 与えられた脅威に対する MITRE ATT&CK® フレームワークへの言及
- EU に関連するこのサイバー脅威の地理的広がり、すなわち近・中・地球規模への言及
- この脅威への曝露を減らすために開始できる勧告と緩和ベクトルのリスト
- 脅威の要素に言及している主な、より示唆に富む文献や報告書を示す権威あるリソースのリスト ・これらの脅威を利用する脅威エージェントのリスト
が含まれています。また、一般的なサイバー脅威ランドスケープテンプレートと、3 種類の CTL(水平、テーマ別、部門別脅威ランドスケープ)用の参照テンプレートは、同報告書の付属文書に記載されています。
2.5 成果の普及
成果の普及は、普及の準備、成果の普及にわけて論じられます。
準備段階におけるENISAのCTLの課題の1つは、CTLの作成段階ごとに異なるインタラクションが選択されることです。制作中は、ステークホルダーやワーキンググループなどの専門家グループとのやり取りが多くあるとされています。
2.6 フィードバック
フィードバックは、フィードバック要求、フィードバックの受領、フィードバックへのアクションのプロセスをへます。
documIn 2021の際、ENISAは、ステークホルダーによる要件やニーズを収集し、ENISAの年間CTLを改善できるようにするための調査を実施した。収集されたフィードバックは、長期戦略で考慮すべき要件を抽出し、形式化するために使用され、脅威ランドスケープに関する方法論の改訂版が完成した後、視聴者に公開されました。
ENISAが2021年に実施した調査から抽出されたETLのフィードバックとしては、
- ETLは意識向上に最も貢献した
- 参加者の大多数がETLの戦略的方向性を求めた
- 報告書の脅威、傾向、提言に関するセクションはETLにとって不可欠と考えられ、これらに関するさらなる開発が強く望まれる
とされました。
ETLについては、ETL関係者から寄せられた意見は、フィードバック登録を維持するENISA CTLチームを通じて、またCTLワーキンググループの専門家によって対処されています。
3 今後の作業
今後の作業としては、自動的情報処理(3.1)が課題としてあげられています。
ランサム攻撃脅威状況報告書
ということで、当初に紹介したランサム攻撃脅威状況報告書に戻ります。
同報告書の構成は、1 序、2 ランサムウエアの焦点(Focus on Ransomeware)、3 ランサムウエア・ライフサイクル、4 ランサムウエアビジネスモデル、5 ランサムウエア事件の分析、6 推奨事項、7 結論 となっています。
1 序
1 序では、ランサムウエアの脅威は、主たるものと評価されていること、そのビジネスモデルは、専門的組織的なものになっていること、この報告書は、2021年5月から2022年6月まで、623のランサムウエアの事件を研究していること、この報告書は、LEDS (ロック、暗号化-Encrypt、消去-Delete、窃取-Steal) k四つの行動に焦点をあてていること、が触れられています。
2 ランサムウエアの焦点(Focus on Ransomeware)
まず、最初に従来の定義が紹介されています。そこでは、
ランサムウェアとは、脅威者がターゲットの資産をコントロールし、資産の可用性と機密性の返還と引き換えに身代金を要求する攻撃の一種である。
とされています。そこでは、3つの要素
-
- 資産
- 行動
- 脅迫
が要素として取り上げられています。
これに対して、ENISA 報告書は、4つのアクションに焦点をおきます。
ランサムウェアは、画面のロックなど、資産へのアクセスをロックしたり、特定のアプリケーションへのアクセスをロックしたりすることができます。資産を暗号化し、ターゲットが利用できないようにすることができます。ランサムウェアは、資産を盗み、その可用性と最終的な機密性を危険にさらすことができます。最後に、資産を削除し、永久に利用できないようにすることができます。
3 ランサムウエア・ライフサイクル
これについては、以下の図で示されています。
この図は、対象に対するアクション、脅迫、交渉のステージがあること、それらがさら詳細に分析されています。
4 ランサムウエアビジネスモデル
このビジネスモデルでは、個人の攻撃者(4.1)、グループ脅威行為者(4.2)、ランサム・ウエア・アザ・ア・サービス(4.3)、データ・ブローカー(4.4)、成功するランサムウエア・ビジネスのための悪評(4.5)にわけて論じられています。
ここで、データ・ブローカーというのは、窃取したデータをもっとも高く入札したものに売却するというものです。
また、悪評というのは、
ランサムウェアグループの評判は、彼らがどれだけ約束を守れるかにも左右されます。多くの攻撃者は、支払い次第、企業をウェブサイトから削除し、盗まれたデータを削除し、データを外部に漏らさないことを約束する。しかし、身代金を支払った企業の18%がデータを流出させられ、35%がデータを取り戻せなかったという報告もあります。
ということにとなります。
5 ランサムウエア事件の分析
これは、623の事案が分析されています。
分析に関する項目は、以下のようになります(5.2)。
| カテゴリー | 内容 |
| 対象 | 対象となる組織の名称 |
| 業種 | ターゲットの業種 |
| 国名 | ターゲットの国名 |
| 脅威の行為者 | 脅威の行為者の名前 |
| 初期アクセス技術 | ターゲットへのアクセスの侵害と使用された技術のMITRE ATT&CK® カテゴリ |
| 身代金は支払われたのか? 盗まれたデータの種類 | 身代金が支払われたかどうかの確認 |
| データが盗まれたか? | 盗まれたデータの種類 |
| 盗まれたデータの容量 | 盗まれたデータの容量(ギガバイト) |
| 盗まれたデータの種類 | 盗まれたデータの種類(個人情報、財務情報、知的財産など) |
| 流出したデータ | 脅迫後にデータの一部または全部が流出したかどうかの確認 |
これらについての詳細は分析は省略します。
6 推奨事項
推奨事項は、レジリエンス(6.1)、対応(6.2)にわけて論じられています。
6.1 レジリエンス
ここでの推奨事項は、
- ビジネス上重要なファイルや個人データは、きちんと検証した上でバックアップを取り、常に最新の状態に保ち、ネットワークから分離しておく。
- バックアップの3-2-1ルールを適用する。すべてのデータに対して。3つのコピー、2つの異なるストレージメディア、1つはオフサイトにコピーする。
- GDPRの規定に従って個人データを暗号化し、リスクベースの適切なコントロールを使用して保管する。
- ほとんどのランサムウェアを検出できるセキュリティソフトウェアをエンドポイントデバイスで実行する。
- セキュリティ意識、セキュリティポリシー、プライバシー保護ポリシーを最新の状態に保ち、ネットワークの細分化、最新のパッチ、定期的なバックアップ、適切なアイデンティティ、クレデンシャル、アクセス管理(ICAM)、できればMFAのサポートなどの業界のベストプラクティスによって、望ましい衛生状態を実現するために情報システムと資産に取り組む。定期的なリスク評価を行い、この評価に基づいてランサムウェア保険 への加入を検討する。
- 管理者権限の制限:管理者アカウントは、設定の変更や重要なセキュリティ設定の回避など、あらゆることにアクセスできるため、管理者権限を付与する場合は注意が必要です。また、ランサムウェアのインシデントを支援する政府機関についてよく理解し、攻撃された場合に従うべきプロトコルを定義してください。
となっています。
6.2 ランサムウェアへの対応
対応についての推奨事項は、
最も重要なのは最初のもの、すなわち当局に連絡することです。
とされています。具体的には、
- ランサムウェアの扱い方や対処法について、国のサイバーセキュリティ当局や法執行機関に問い合わせること。
- 身代金を支払わないこと、脅威の主体者と交渉しないこと。
- 感染したシステムを隔離する:感染を封じ込め、ランサムウェアの拡散を阻止するために、感染したシステムをネットワークから切り離すことが推奨されます。
- ランサムウェアの162の亜種を解読することができる欧州警察のイニシアチブであるThe No More Ransom Projectを訪問する。
- 感染が解除されるまで、バックアップシステムへのアクセスをロックする。
さらに、ランサムウェアのインシデントについて、当局と情報を共有することが強く推奨されています。
このような情報共有は、
- 他の潜在的な被害者を支援するためのより良い教訓につながり、当局やセキュリティ研究者、対応者がインシデントに適切に対処し、脅威要因を特定するのに役立つこと
- 脅威の状況とその進化をマッピングするためのより信頼できるデータを提供すること
に役立つとされており、サイバーセキュリティの基礎の1つとされています。
また、 身代金の支払いについて脅威者と交渉することについては、推奨されることではないとされ、
- 法的な観点から、組織は身代金の支払いに関する現行の規制を認識しておく必要があるここと
- 身代金の支払いが違法となる場合があること
がふれられています。
技術的な観点からは、身代金を支払っても、必ずしも資産の回復や復号化に成功するとは限らないこと、
企業は、身代金を支払って、ビジネスをオンラインに戻すことができない場合のコストを考慮する必要があること、
身代金を支払って資産を回復しても、その後、盗まれた情報が流出したり、販売されたりしないとは限らないので、盗まれた情報はすべて漏洩したと考える必要があること
がふれられています。
また、身代金の支払いを検討する前に、組織は、世論の反発のコストを考慮し、倫理的な立場を意識する必要があること、 倫理的な観点から、組織は、ランサムウェアが急成長したために攻撃されたことを認識すべきこと、成長は、以前に感染した組織がランサムウェアの運営者に支払い、その運営資金を調達したことが主な原因であること、身代金の支払いは、間違いなくランサムウェアの急成長に拍車をかけていること、が強調されています。
7 結論
ここでの結論は
- 信頼しうるデータの欠如
- 脅威の状況
について論じられており、特に後者について
2021年5月から2022年6月にかけて実施したランサムウェア攻撃に関する調査では、1カ月平均で10テラバイト以上のデータがランサムウェア脅威者に窃取されていることが判明しました。また、盗まれたデータのうち58.2%に従業員の個人情報が含まれているという調査結果も出ています。このようなデータの機密性を考えると、この脅威に対抗するための協調的な行動が必要です。また、ランサムウェアの脅威者は、金銭の獲得が主な動機となっているため、攻撃の複雑性はもちろん、敵対者の能力も高くなっています。
94.2%のインシデントでは、企業が身代金を支払ったかどうかは不明です。 しかし、37.88%のインシデントでは、攻撃者のWebページにデータが流出しており、身代金交渉が失敗したことがわかる。このことから、約62.12%の企業が身代金要求に関して何らかの合意や解決に至った可能性があると推測されます。
ランサムウェアは猛威を振るっており、脅威者は無差別に攻撃を仕掛けていることが調査から判明しています。あらゆる分野のあらゆる規模の企業が被害を受けています。誰もがターゲットになり得るのです。私たちは、組織がランサムウェア攻撃に備え、攻撃が発生する前に起こりうる結果を検討することを強くお勧めします。
