ランサムウェアの7つの俗説を「ファクトチェック」する:Gartner Insights Pickup(31)
WannaCryをきっかけに、ランサム攻撃は多くの企業や組織の注目を集めるようになった。だが、ランサムウェアとはどのようなものなのか、対策はどうすればいいのかといった点については、必ずしも正しいとは言えない俗説が流布している。そこで、7つの俗説を「ファクトチェック」する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
ランサムウェアと一般的なマルウェアの違いは何か。主な違いは、及ぼす被害だ。ランサムウェア攻撃ではデータが暗号化され、解除キーと引き換えに身代金が要求される。マルウェアはコンピュータやシステムを損傷させたり、使用不能にしたりしようとする。幸い、この2つの攻撃は、基本的に同じ方法で実行される。つまり、ランサムウェアもマルウェアと同じ方法で防げるということだ。
残念ながら、ランサムウェアは世界中の多くの企業で問題となっている。
「この問題は全ての人に影響する。誰もが危険にさらされている」。Gartnerのリサーチディレクターを務めるイアン・マクシェーン氏は、2017年6月に米国で開催されたGartner Security & Risk Management Summit 2017でそう語った。
だが、ランサムウェアに関する俗説が依然として横行している。
俗説:ランサムウェア=ゼロデイ攻撃
事実:攻撃者は、未パッチの数百に上る既知の脆弱(ぜいじゃく)性の中から、攻撃に悪用するものを選べる。また、新しい攻撃やゼロデイ攻撃の開発は難しく、コストが高くつく。そこで攻撃者は、一般的に、既知の脆弱性を狙う。このことを踏まえ、システムへのパッチ適用に優先的に取り組まなければならない。
「ゼロデイについて考えるよりも、現在攻撃されているものに目を向けなくてはならない」(マクシェーン氏)
俗説:最新のエンドポイント保護プラットフォーム(EPP)を導入した。このため最新のEPPで守られている
事実:第1の問題は、多くの企業が最新のEPPを運用していないことだ。最新バージョンでなくても構わないが、3年前のバージョンではいけない。また、EPPを導入しても、部分的にしか利用していない企業が多い。アップデート時に追加された新しい機能は、テストして有効にする必要があることを理解していないからだ。
EPPが推奨ガイドラインに従って使われていないこともよくある。ベンダーと連絡を取り、使い方を継続的に評価することが重要だ。EPPを最も効果的に活用するには、十分に構成し、1つの技術スタックとして機能させなければならない。部分的にだけ構成し、寄せ集めの状態で動かすのは問題だ。3カ月ごとにマイナーアップデートを、6カ月ごとにメジャーアップデートを行い、ベンダーから構成チェックを受けるようにすべきだ。
俗説:EPPは全ての脅威からわれわれを守ってくれる
事実:EPPの古いバージョンは、シグネチャベースの防御機能に依存している。だが、この機能は既知の脅威に対してのみ有効であり、ほとんどのランサムウェアは再パッケージが可能だ。シグネチャ以外の技術も導入し、有効にしなければならない。
俗説:EPPは必要な洞察を全て提供してくれる
事実:多くの企業は、いまだにセキュリティ問題の報告をエンドユーザーに頼っており、エンドポイント処理を可視化していない。問題の原因がどこにあるか、なぜそれが起こっているかも探っていない。これらはユーザー教育や技術の問題ではない。可視化の向上を図り、エンドポイントインシデントに対応できるようにし、問題の原因究明に取り組む必要がある。
俗説:ファイアウォールなどの境界ソリューションさえ整備すればよい
事実:大半のペイロードはインターネットから送られてくるが、ほとんどの企業はベストプラクティスを実践していない。攻撃が成功するのは、境界セキュリティが甘いか、時代遅れになっているからだ。最新のパッチと構成を使用しなければならない。
俗説:管理者はいつでも常にベストプラクティスに従っている
事実:実のところ、全ての管理者アカウントが監視されているわけではないし、管理者は仕事に追われて忙しく、攻撃者に付け込まれる隙ができてもおかしくない。管理者アカウントと管理者エンドポイントは価値の高い標的となるため、不正利用されていないか監視する必要がある。管理アクセスはデータリソースとして扱い、そのように保護しなければならない。
俗説:バックアップがあれば万事問題ない
事実:バックアップは有益だが、リスクの軽減方法としてではなく、防御の最後の砦として位置付けるべきだ。企業はバックアップを監視していないことが多く、ランサムウェアはバックアップにも平気でアクセスしようとする。
こうした中では、ディザスタリカバリ(DR)手続きを文書化し、定期的にテストすることが必要だ。バックアップ場所については、読み取り/書き込みアクセスを制限するとともに、あらゆる変更を監視しなくてはならない。オフラインバックアップも検討すべきかもしれない。
出典:7 Ransomware Myths(Smarter with Gartner)
筆者 Kasey Panetta
Brand Content Manager at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。