幼稚園から高等学校までおよび大学に対するランサムウェア攻撃に対する新学期のセキュリティ

教育機関に対するランサムウェア攻撃は、授業の混乱だけではありません。その結果、授業時間が失われ、経済的負担が生じ、個人データが漏洩する可能性があります。 K-12 制度では、学校が閉鎖されると、保護者は仕事の休暇を申請する必要が生じ、限られた学校財政が圧迫されます。

大学生の場合、学生生活が始まると同時にランサムウェア攻撃により個人データが盗まれる可能性があります。

ランサムウェア攻撃は驚くほど増加しており、 2018 年から 2021 年の間に報告された幼稚園から高校までの事件は 2018 年の 400 件から累計 1,300 件以上に増加しており、教育部門にどのような被害を与えているかを知るために遠くを見る必要はありません。

最近のトルーマン州立大学のランサムウェア攻撃により、数日間の閉鎖と外部のセキュリティ チームの関与が発生しました。ペンシルベニア州では、 ペンクレスト学区がランサムウェア攻撃の標的となり、数日間インターネットにアクセスできなくなり、学校生活が中断され、地元の家庭に影響を与えました。

教育機関の IT チームが、教育機関の IT チームが講じることができる (そして地方自治体が支援すべき) 措置を、混乱やデータの盗難から保護するために検討します。

早期発見でランサムウェアを阻止

ランサムウェア攻撃が始まってからは、何もすることができず、手遅れになることがよくあります。厳粛な現実は、Lockbit 2.0 を使用すると、数百 GB のデータが5 分以内に暗号化され、その速度はますます速くなっています。通常、組織には 2 つの悪い選択肢が残されます。

最初の (推奨されません) オプションは、身代金を支払うことです。その後、サイバー犯罪者がシステムを復号化し、データを売らず、別の攻撃に戻ってこないことを祈ります。

あるいは、IT システムを最初から再構築する必要がありますが、多くの学校や大学の IT 部門が小規模であることを考えると、費用と時間がかかる可能性があります。

そもそも攻撃を防ぐためにセキュリティ対策を講じることが最善の防御であり、IT 部門が早期警告を監視できる攻撃ベクトルがいくつかあります。多くの攻撃者は最も抵抗の少ない経路を選択しており、最も簡単な経路を監視することは脅威アクターの仕事をより困難にします。

包括的ではありませんが、注意深く監視することを検討すべきいくつかの領域を次に示します。

• フィッシングメール – ランサムウェアの実行可能ファイルを何も知らないユーザーに送信するための一般的な配信方法です。強力なフィッシング対策ソフトウェアと意識向上トレーニングは必須です。
• リモート接続 – リモート デスクトップ プロトコル (RDP)、Teamviewer、VNC など。
• 永続的なインストール – 予期しないスタートアップ プログラムまたはスケジュールされたタスクの作成。
• 権限昇格 – LSASS の悪用、Pass-the-Hash 攻撃、または安全でないサービス。
• 検出の防止 – Microsoft Antivirus およびその他のセキュリティ ツールを無効にします。
• ネットワーク偵察 – ポート スキャン、プロミスキャス ネットワーク モードなど。
• データの漏洩 – 予期しないアウトバウンド接続ターゲットと帯域幅トラフィックの急増。

侵害されたパスワードはランサムウェアの簡単な開始点となります

ログインはハッキングよりも簡単です。攻撃者は、特に複数の個人アカウントや職場アカウントでパスワードを再利用する場合、侵害されたパスワードをすぐに悪用する可能性があります。たとえば、攻撃者は侵害された資格情報のリストを購入し、ソーシャル メディアを使用して学校で働く人を絞り込むことができます。

多要素認証を導入している機関は、この攻撃をより困難にしますが、不可能ではありません。

Specops Password Policy with Breached Password Protection (BPP) などのツールは、現在攻撃に使用されているものも含め、30 億を超える固有の侵害されたパスワードの常に更新されるリストと照合して、機関の Active Directory をチェックします。これにより、IT チームは組織内への何百もの攻撃ルートを遮断することができます。

Specops パスワード ポリシーと侵害されたパスワード保護は、コスト効率、迅速な実装、エンド ユーザーの使いやすさにより、学校、大学、地方自治体で人気があります。

これにより、教育機関はカスタム パスワード ポリシーを作成し、コンプライアンス要件を強制し、侵害されたパスワードをブロックし、動的で有益なクライアント フィードバックを利用してユーザーが Active Directory でより強力なパスワードを作成できるようになります。パスワードのセキュリティを強化し、攻撃者が足掛かりを得てランサムウェア攻撃を開始するのを防ぐためのこれほど簡単な方法を提供するソリューションはほとんどありません。

公開システムの攻撃対象領域を最小限に抑える

オープンなリモート接続は悪用を待っている脆弱性です。 2022 年の Unit 42 Incident Response Report では、 RDP が一般的な標的であると記載されています。学校、大学、地方自治体が内部システムにリモートで接続するには、VPN またはゼロトラスト認証ゲートウェイを要求する必要があります。

学校のプリント サーバーであっても、パッチを適用せずにインターネットに公開すると安全ではありません。たとえば、最近のPaperCut NG および PaperCut MF の脆弱性により、 Bl00dy ランサムウェア ギャングによるランサムウェア攻撃が増加しました。

必要以上の追加のエントリを公開しないシステムに保護を集中させることで、脅威アクターを寄せ付けません。監視する外部サービスの数を最小限に抑えることで、学校の IT 部門の仕事が管理しやすくなります。

古いアカウントや過剰な権限を持つアカウントに対処する

多忙を極める学校の IT 部門では、古いアカウント、忘れ去られたユーザー、過剰な権限を与えられたサービス アカウントが放置されているのは珍しいことではありません。これらの忘れられたアカウントは無害に見えるかもしれませんが、脅威アクターにとっては魅力的なターゲットです。

気づかれないうちに、古いアカウントが侵害されても、所有者がとうにこの世を去っている可能性があるため、対応がトリガーされない可能性があります。オンボーディングからオフボーディングまで適切なユーザー ライフサイクル ポリシーを実装することで、古いアカウントが侵害される可能性を防ぎます。

同様に、 過剰な権限を持つアカウントは、ほぼすべての IT 組織に特有のものです。複数のサービスを実行するために単一の特権アカウントを作成すると、作業と監視が軽減される可能性があります。しかし、過剰な権限を持つサービス アカウントが侵害されると、学校や大学のネットワークへの多くの足がかりができてしまいます。

最小特権アクセスと職務の分離の概念を通じてアカウントを「適切なサイズに設定」することで、侵害されたアカウントがネットワーク全体に破壊を引き起こす可能性が大幅に低くなります。

ランサムウェア攻撃に対してエンドポイントを強化する

最善の防御戦略を講じたとしても、断固とした攻撃者がランサムウェア実行可能ファイルを含むフィッシングメールを無防備な学生や IT 管理者にこっそり送信することを阻止できない場合があります。保護されていないエンドポイントがダウンロードされると、学校のネットワーク全体にランサムウェアを拡散するために必要なものがすべて提供される可能性があります。

Windows エンドポイントを強化するときに実行する一般的な手順をいくつか以下に示します。

• Microsoft Applockerおよび許可リスト アプリケーションを使用して、不審な実行可能ファイルの実行を防止します。
• SMBv3 を実装し、SMB v1 および v2 を無効にして、ネットワークへの横方向の侵入を防ぎます。
• すべてのデバイスとエンドポイントでデフォルトのユーザー名とパスワードを無効にします。
• Windows Server 2019 や Windows 10 などの古い OS に対してLAPS (ローカル管理者パスワード ソリューション)を実装します。
• LSASS およびWindows Defender Credential GuardのAttack Surface Reduction (ASR)ルールを実装します。
• PowerShell ログを実装し、 リモート PowerShell 接続を強化します。
• 一貫したウイルス対策アップデートとともに、延期されていない Windows Update が必要です。
• Chrome や Firefox などのローカル ブラウザへのユーザー パスワードの保存をブロックします。

エンドポイントのさらなる侵害を防ぐことで、ランサムウェア攻撃を迅速に阻止できる可能性があります。この防止により、バックアップからシステムを復元する必要がなくなります。

最新のオフライン バックアップで大惨事から保護

最悪の事態が発生し、ランサムウェア攻撃によって学校のネットワークがダウンした場合、生徒を教室に戻すには、オフラインに保存された最新のバックアップが不可欠です。

バックアップをオフライン、セグメント化、または「エアギャップ」に保つことで、ランサムウェア攻撃が成功してもバックアップは影響を受けず、クリーンな復元が可能になります。

機関全体をバックアップすることは困難であり、多額のストレージコストがかかる場合があります。ただし、これを行わないと、脅威アクターが復元に数百万ドルを要求する可能性があるため、さらに費用がかかる可能性があります。

IT 管理者は継続的にバックアップをテストし、リカバリ手順が実施されていることを確認し、インシデントが発生した場合に備えて完全な復元の難易度を評価する必要があります。

学校と生徒の安全を守ることはできるでしょうか?

FBI (連邦捜査局)、 CISA、MS-ISAC は、共同サイバーセキュリティ勧告 (CSA) の中で、Vice Society とそれが教育セクターにもたらす脅威について警告しました。

「サイバーセキュリティ能力が限られており、リソースも限られている学区は、多くの場合最も脆弱です。しかし、サイバー犯罪者によく見られる日和見的な標的化は、依然として、強力なサイバーセキュリティ プログラムを備えた学区を危険にさらす可能性があります。幼稚園から高校までの教育機関は、学校システムやそのマネージド サービス プロバイダーを通じてアクセスできる機密学生データの量が多いため、特に有利な標的とみなされる可能性があります。」

ランサムウェアは、学校とその生徒にとって、増大し、コストのかかる問題となっています。地方自治体は、ランサムウェアの検出、防止、緩和のための適切なセキュリティ ツールや技術に資金を提供することで、学校や大学を支援できます。

すべてのランサムウェア攻撃を防ぐ確実な方法はありませんが、上記の手順を組み込んだ包括的なセキュリティ プランにより、ほとんどの攻撃を阻止し、予防に大きく役立ちます。

ここで Specops パスワード ポリシーを無料で試して、新学期のセキュリティを開始できます。

Specops Softwareが後援および執筆