CISA(Cybersecurity and Infrastructure Security Agency)とFBI(Federal Bureau of Investigation)は、共同でセキュリティ勧告を発表し、ランサムウェアギャングが週末や祝祭日に攻撃を仕掛ける傾向があることを企業に警告しました。
米国連邦捜査局(FBI)および米国サイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、最近では2021年の7月4日の祝日など、米国の祝日や週末に、影響力の強いランサムウェアの攻撃が増加していることを確認しています。
過去3年間にランサムウェアの攻撃がこのような傾向にあることを認識していましたが、米国の2つのサイバーセキュリティ機関は、その広範なプラットフォームを利用して、世界中のITチームにもこの特別な情報を伝え、認識してもらうことにしました。
FBIとCISAは、組織が休日や週末にランサムウェアの脅威を継続的かつ積極的に監視することを強く推奨します。
さらに、FBIとCISAはランサムウェアが攻撃された場合に備えて、これらの時間帯にITセキュリティの従業員を特定し、「待機」させることを推奨しています。
週末や休日にネットワークを監視するITチームは少ない
ランサムウェアのグループは約3年前に知名度の高い組織に対する標的型攻撃へと移行してから、週末に攻撃を行うようになりました。
犯行グループは、ITチームやセキュリティチームが非番のときや人数が少ないときに企業の内部ネットワークに侵入して動き回れば、発見されない可能性が高くなることに気付いているようです。
また、侵入が検知されたとしても、一部のアラートが読み込まれなかったり、時間内に気づかなかったりすることで、攻撃者は侵入のための先手を打つことができます。
また、ランサムウェアの多くはコードを更新して暗号化処理を高速化しているため、侵入してから企業のサーバが暗号化されるまでに数時間しかかからないことが多く、ITチームには対応する時間がほとんどないことも挙げられます。
過去3年間に発生したランサムウェアによる標的型攻撃の大半は、このような基本的な手口で週末に行われています。
この傾向を示す例として、何百もの大規模なランサムウェア攻撃がありますが、CISAとFBIが選んだ今年の3大ランサムウェア事件は、いずれも週末や祝日に発生しており、自分たちの主張を証明するものになっています。
- ランサムウェア「Darkside」によるColonial Pipelineへの攻撃は、5月7日(土)に発生
- REvilのランサムウェアによるJBS Foodsへの攻撃は、米国のメモリアルウィークエンドの休日に実行
- REvilランサムウェア・ギャングによるITソフトウェアメーカーKaseyaへの攻撃は、7月4日の米国の祝日に実行
現在、CISAとFBIの両者は企業がこの休日における攻撃に対応するモデルに適応し、それに合わせて防御策を変更するよう促しています。週末にITスタッフを多く配置するか、ランサムウェアの防御策と検出能力を向上させるかのいずれかとなります。
共同勧告には、さまざまな提言や賢明なアドバイスが掲載されており、現在かなりの数のランサムウェアグループが活動していますが、FBIによると、FBIのインターネット犯罪苦情処理センター(IC3)のデータに基づいて、過去1ヶ月間に米国の組織を標的にした以下のグループが確認されています。
- Conti
- PYSA
- ロックビット
- RansomEXX/Defray777
- Zeppelin
- Crysis/Dharma/Phobos
ITおよびセキュリティチームは、ランサムウェアの検知機能を向上させる前に、これらのグループの攻撃プレイブックを検知するための技術的能力に投資する必要があります。
また、CISAとFBIは、この共同勧告を発表したとしても、来たる米国の勤労感謝の日の連休に大規模なランサムウェア攻撃が計画されている兆候はないとしていますが、ランサムウェアグループたちは、この機会を逃すことはないため、攻撃はほぼ間違いなく行われると推測されています。
Comments