~Sophos CryptoGuardテクノロジによって検出および阻止された攻撃のデータを集計した結果、攻撃者によるリモートランサムウェアの使用がこの1年間で62%増加~
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区代表取締役中西智行)は本日、「CryptoGuard:ランサムウェアへの独自の対策」レポートを公開しました。このレポートでは、Akira、ALPHV/BlackCat、LockBit、Royal,、Black Bastaなど、広範な攻撃を活発に行っているランサムウェア組織が、意図的にリモート暗号化攻撃を仕掛けていることが明らかにされています。このリモートランサムウェアと呼ばれるリモート暗号化攻撃は、十分に保護されていないエンドポイントを侵害して、同じネットワークに接続されている他のデバイスのデータを暗号化します。
SophosCryptoGuardは、ソフォスが2015年に買収したランサムウェア対策技術であり*、ソフォスエンドポイントのすべてのライセンスに含まれています。CryptoGuardは、悪意のあるファイルの暗号化操作を監視し、ランサムウェア自体が保護対象のホストに出現 (存在)しない場合でも、瞬時の保護とロールバック機能を提供します。この独自のランサムウェア対策技術は、ソフォスのエンドポイントプロテクションの最終防衛線となっており、攻撃チェーンの後半の段階でサイバー攻撃者が暗号化を行った場合にのみ有効になります。CryptoGuardから得られた情報により、2022年から意図的なリモートからの暗号化攻撃が前年比で62%増加していることを明らかになりました。
ソフォスの脅威リサーチ担当バイスプレジデントで、CryptoGuardの共同開発者であるMark Lomanは次のように述べています。「企業は何千台ものコンピュータを自社のネットワークに接続している場合もありますが、リモートランサムウェアの攻撃を受けた場合、1台でも保護が不十分なデバイスがあると、ネットワーク全体が侵害される恐れもあります。攻撃者はこの状況を理解しており、弱点となるエンドポイントを探し求めています。リモート暗号化は、防衛側の組織にとって長期的な課題となる恐れがあります。ソフォスが確認しているアラートでも、この攻撃手法は着実に増加しています」
このような攻撃はリモートでファイルを暗号化するため、リモートデバイスに導入されている従来のランサムウェア対策では、悪意のあるファイルや操作を確認できないため、不正な暗号化やデータの損失を防ぐことができません。しかし、Sophos CryptoGuardのテクノロジは、リモートランサムウェアを阻止する先進的なアプローチを採用しています。Sophos X-Opsの記事でも解説していますが、ファイルの内容を分析して、暗号化されたかどうかを確認することで、デバイスにマルウェア自体が存在しない場合でも、ネットワーク上のあらゆるデバイスでランサムウェアによる挙動を検出します。
CryptoLockerは、2013年に公開鍵暗号方式としても知られる非対称暗号化を使用したリモート暗号化を悪用し、甚大な影響を及ぼした初のランサムウェアとなりました。これ以降、世界中の組織が継続的に抱えているセキュリティギャップや暗号通貨の出現によって、サイバー攻撃者はランサムウェアの使用を増加させています。
Lomanは、次のように説明しています。「10年前にCryptoLockerがリモート暗号化を悪用していることに初めて気づいたとき、この戦術が防御側にとって大きな課題になることを予見できました。一般的なソリューションは、悪意のあるバイナリやその実行を検出することに重点を置いていますが、リモート暗号化の場合、ファイルが暗号化されるコンピュータとは別のコンピュータ(保護されていない)にマルウェアが存在し実行されます。このような攻撃を防ぐ唯一の方法は、ファイルを監視して保護することです。CryptoGuardという先進的なソリューションを開発したのは、このためです。CryptoGuardはランサムウェアを検出するわけではありません。ランサムウェアのターゲットであるファイルに狙いを定めています。文書に対して極めて厳格な精査を実行し、改変や暗号化の兆候を見つけ出します。これは自律的な戦略であり、セキュリティ侵害の指標、脅威のシグネチャ、人工知能、クラウドルックアップ、または過去のナレッジには依存しません。ファイルの精査に注力することで、これまで優勢だった攻撃者の立場を守備側の組織と逆転させることが可能になります。攻撃者がデータの暗号化に成功するためのコストと複雑さを増やし、目的の達成を諦めるように仕向けてます。これはソフォスの独自の防衛戦略になっています。リモートランサムウェアは組織にとって重大な問題であり、ランサムウェアの脅威が長期化する原因にもなっています。ネットワーク接続を経由するデータの読み取りは、ローカルディスクからデータを読み取る場合と比較して遅いため、LockBitやAkiraのような攻撃者は、各ファイルのほんの一部だけを戦略的に暗号化するケースも確認されています。このアプローチは、最小限の時間で最大限の影響を与え、防御側が攻撃を検知して対応できる時間をできるだけ与えないことを目的としています。ソフォスのランサムウェア対策テクノロジのアプローチは、リモートからの攻撃や、ファイルのわずか3%のみを暗号化する攻撃でも防止します。防御側の組織は、自社のデバイスを適切に保護するために、今も続いているこれらの攻撃について認識し、適切に対応する必要があります」
詳細については、「CryptoGuard:ランサムウェアへの独自の対策」を参照してください。
*注記
- HitmanProの一部であるCryptoGuardは、オランダに拠点を置くSurfRight社によって最初に開発されました。
- 2015年12月にソフォスはSurfRight社を買収しました。
- ソフォスは、2016年にHitmanProをSophos Intercept X Endpoint Protectionに統合しています。