MailData

中堅組織のための最良のランサムウェア保護対策

中堅組織のための最良のランサムウェア保護対策

ランサムウェアの侵入経路であるメールをDMARCで防衛する

2024年1月3日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 Best Ransomware Protection Practices for Midsize Organizations の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ランサムウェア保護は、ランサムウェア攻撃があらゆる規模のビジネスにとって大きな脅威となっているため、サイバーセキュリティにおける重要なステップとして浮上しています。
これには中堅組織も含まれます。
これらの攻撃は大規模な運用の混乱と財務上の損失を引き起こす可能性があります。

ランサムウェア攻撃は、メールの添付ファイルやリンクを介して送信されることがあるため、堅牢なメールセキュリティシステムを設置することが極めて重要です。
これには、怪しいメールをブロックするためのメールフィルタの使用、フィッシングメールを認識するための従業員への訓練、そしてメールソフトウェアとセキュリティパッチの定期的な更新が含まれます。

ランサムウェア: 2024年のビジネスにとって最大のセキュリティ脅威の一つ

サイバーセキュリティハブによる最近の調査は、北米、ヨーロッパ、中東のサイバーセキュリティの状況を調べました。
調査によると、回答者の40%が昨年、会社でより多くのサイバー攻撃を経験したと答えています。

最も大きな脅威として挙げられたのは、マルウェアとランサムウェアであり、その後に重要な従業員の標的化と有害なモバイルアプリが続きます。
専門家は、この脅威が今後も増加し続けると予測しています。
MediaPeanutの最高セキュリティ責任者、カミラ・セラノ氏は、地政学的要因が重要なインフラに対する攻撃でより大きな役割を果たしていると述べています。

ランサムウェア攻撃はより深刻な妨害を引き起こし、攻撃者はより大きな身代金を要求しており、企業にとって顕著な問題を引き起こしています。
これらの攻撃の背後にいる人々は、会社のシステムにあるどんな弱点でも見つけ出し、アクセスを得て多額の金を稼ぐことを絶えず試みています。

出典: How to prevent ransomware attacks with good email security

悪意のあるアクターが偽のメールを使って有害なソフトウェアを会社のコンピューターやネットワークに入れると、これらの攻撃は一箇所に留まりません。 彼らは移動し、これらの攻撃へのアクセスは時にランサムウェアを専門とする人々に売られることがあります。

ランサムウェアグループは、大企業が情報を取り戻すために多額の金を支払う可能性が高いことを知っています。
しかし、政府も安全ではありません。2021年には、21か国の48の政府機関がランサムウェアにより攻撃されました。

これらの悪意のあるアクターの戦術はさらに巧妙になっています。
そして、より多くのビジネスがセキュリティ上の懸念があるクラウドメールを使用しているため、メール攻撃を通じて企業のデータや情報をいじるこれらの悪意のあるアクターを阻止することが非常に重要です。

中堅組織: ランサムウェア脅威への脆弱性を理解する

中堅組織は、ランサムウェアの脅威に対抗する能力を妨げることができる独自のサイバーセキュリティの課題に直面しています。

限られたサイバーセキュリティリソース
小規模な組織は、高度なサイバーセキュリティソリューションやサイバーセキュリティスタッフに投資するための必要なリソースがしばしば欠けています。
しかし、中規模のビジネスであっても、この脅威に適切に対処するための予算や人員を持っていない場合があります。
従業員の不十分な訓練
従業員は、ランサムウェアの仕組みや防止方法をしばしば理解していません。
これは、よく知らない従業員をターゲットにした攻撃者による成功した攻撃につながる可能性があります。
特に、従業員が自分のネットワーク上での通常の活動を理解しておらず、誤って悪意のあるメールの添付ファイルやリンクを開く場合、問題は深刻になります。
限られた先進的なセキュリティ対策の予算
中規模組織では、高度なエンドポイント保護ソリューション(EPP)などの解決策を購入することを正当化するのが難しい場合があります。
特に、適切な規模で(すなわち、すべてのデバイスで)それらを実装するためのリソースがない場合です。
ランサムウェアアクターにとって魅力的なターゲット
ランサムウェアは利益を得やすく配備しやすいため、サイバー犯罪者によって使用される最も一般的なマルウェアの一つとなっています。
これらの攻撃の背後にいる犯罪者は通常、フィッシングメールや他のソーシャルエンジニアリングの戦術を使用して組織のネットワークにアクセスし、機密データを暗号化した後、復号キーと引き換えに身代金を要求します。
サードパーティベンダーへの依存
中規模組織がランサムウェア攻撃により感染しやすい主な理由の一つは、サービスがサードパーティベンダーに依存しているためです。
これらのベンダーがハッキングされたり、データが漏洩したりすると、組織全体がランサムウェア攻撃に対して脆弱になります。
厳格でないサイバーセキュリティポリシー
中規模組織がランサムウェア攻撃に脆弱である別の理由は、大企業がそうであるように厳格なサイバーセキュリティポリシーを設置していないことです。
彼らは大企業ほどサイバーセキュリティに多くのお金を投資しておらず、したがってビジネスニーズに合わせたサイバーセキュリティソリューションの開発に多くの時間とリソースを費やすことができません。
その結果、セキュリティ対策を実施する際にいくつかのステップを省略する傾向があり、これによりシステムがさらにサイバー脅威に対して脆弱になります。

ランサムウェアの最も一般的な配信方法はメール

セキュリティと意識の向上にもかかわらず、メールは中規模組織におけるランサムウェア攻撃の支配的な配信方法として残っています。

ここにいくつかの主な理由があります:

効果性
メールは従業員に直接線を提供し、攻撃者は信頼できるように見える個人化されたフィッシングメールを作成することができます。
これには同僚、クライアント、または内部システムを模倣するものが含まれます。
人為的ミス
セキュリティ訓練を受けている組織であっても、従業員は巧妙に作られたフィッシングメールの犠牲になることがあり、ランサムウェアのペイロードを起動する悪意のあるリンクや添付ファイルをクリックします。
アクセスの容易さ
メールアドレスは公共のソース、データ漏洩、およびソーシャルメディアを通じて容易に入手できます。
攻撃者は中規模企業を対象とした大規模なフィッシングキャンペーンを自動化することができます。
脆弱性
多くの中規模組織は、既知の脆弱性を持つ古いメールシステムに依然として依存しています。
攻撃者はこれらの弱点を利用して、自動化された攻撃を通じてランサムウェアを配信することができます。
パッチの欠如
メールシステムとアプリケーションを迅速にパッチすることは脆弱性を緩和することができますが、リソースの制約や古いインフラストラクチャにより遅延が生じることがあり、組織を露出させます。
新しい技術
攻撃者は「スピアフィッシング」のような新しい技術を常に開発しています。
これは組織内の特定の個人を対象とするか、メールクライアントのゼロデイ脆弱性を使用します。
限られたリソース
中規模組織は大企業と比較して小規模なITチームやリソースを持つことがあり、進化する脅威の状況に追いつくことが難しくなります。

中規模組織におけるランサムウェアへの最良の保護策は何か?

ランサムウェアに対する主な防御は、他のどのサイバー脅威と同じく、予防です。
ランサムウェアに対抗するためには、何を監視すべきかを知り、最新の脅威を認識している必要があります。

以下は対策の一部です。

エンドポイント検出と対応(EDR)
EDRは、不審な活動を検出し、エンドポイントへの可視性を提供するため、防御戦略の重要な部分です。
これは、すべてのエンドポイントにソフトウェアをインストールして活動をチェックし、何か怪しいことが起きたときに警告を生成することで機能します。
必要に応じて適切な対応をとることができるセキュリティ担当者がその後、兆候を調査します。
ネットワークセグメンテーション
ネットワークセグメンテーションも成功したランサムウェア攻撃を防ぐための重要な要素です。
一つのシステムが感染した場合、マルウェアは共有フォルダーや取り外し可能なドライブ(USBなど)を使用してネットワーク全体に素早く広がる可能性があります。
ネットワークを異なるゾーンに分割することで、必要なときにのみゾーン間のアクセスを制限し、このリスクを限定します。
脅威インテリジェンスの統合
脅威インテリジェンスの統合は、新たに出現する脅威について最新の情報を得ることができ、システムに到達する前に適切な対応をとることができるため、一般的なサイバー攻撃に対抗するための重要なツールです。
セキュリティ情報およびイベント管理(SIEM)
SIEMソリューションは、セキュリティ侵害を示す可能性がある不審な活動や異常なネットワーク活動を追跡・分析するために設計されています。
SIEMシステムにより、攻撃が発生した際に迅速に特定し、その進行を追跡し、手遅れになる前に攻撃によって引き起こされた損害を軽減することができます。
潜在的な脅威について貴重な洞察を提供するだけでなく、SIEMシステムは、全てのセキュリティイベントがさらなる分析と調査のために格納される中央の場所を提供します。
データバックアップとリカバリーソリューション
バックアップソリューションは、攻撃が発生した場合に復元できる重要なデータのコピーを提供することで、中規模組織がランサムウェアに対抗するのに役立ちます。
これにより、身代金を支払わずに攻撃から回復することができ、通常、身代金を支払いシステムをバックアップから復元するよりも費用がかかりません。
高度なファイアウォールと侵入防止システム(IPS)
中規模組織は、高度なファイアウォールと侵入防止システム(IPS)への投資も検討すべきです。
これらのツールは、ネットワークに到達する前に悪意のあるファイルをブロックすることにより、ランサムウェアの感染を防ぐのに役立ちます。
ユーザービヘイビアアナリティクス(UBA)
このタイプの技術は、攻撃の兆候となる疑わしい活動を特定するために、デバイス上のユーザーの活動を監視します。
例えば、見慣れない場所からネットワークにログインする人や、未知のデバイスを使用する場合は、すぐに通知され、手遅れになる前に対応できます。
メールフィルタリングとアンチフィッシングソリューション
これらのツールは、受信トレイに到達する前にスパム内容やフィッシングリンクをスキャンし、従業員が感染につながる可能性のある悪意のあるリンクや添付ファイルにアクセスしないようにします。

ランサムウェア保護におけるメールセキュリティの重要性

ランサムウェアに対抗するためには、メールセキュリティの重要性を認識することが重要です。
メールは、人々が有害なリンクや添付ファイルをクリックするように騙すことで、人間の行動を利用して組織内にランサムウェアが侵入する主要な方法です。
攻撃を停止するだけでなく、大きな問題や費用を引き起こすことを防ぐことも重要です。

メールセキュリティを、ランサムウェアを最初の段階で阻止し、成功した攻撃の混乱とコストを避けるスーパーヒーローのように想像してください。
以下の図は、メールセキュリティツールがどのように働いて、フィッシングとランサムウェアの脅威を早期に検出し、防止するかを示しています。
これは従業員の受信トレイに到達する前に行われます。

今日のメールセキュリティソリューションは、大小の多くの組織を多くのランサムウェア攻撃から守るガーディアンのようなものです。

DMARCによる初期ランサムウェア保護の強化

ドメインベースのメッセージ認証、報告、および適合性(DMARC)は、第一線の重要な防御手段として位置づけられています。
しかし、DMARCはどのようにして組織をランサムウェアの脅威から守るのでしょうか?

DMARC認証によるスプーフィング対策

ランサムウェアは、信頼された会社のドメインから送られてきたように見せかける詐欺的なフィッシングメールを通じて侵入することがよくあります。
適切に設定されたDMARCは、偽のメールがスパムとしてマークされるか、完全に受信者に届かないようにすることで、ブランドを保護します。

DMARCはどのようにランサムウェアと戦うか?

DMARCはランサムウェアに対する最初の防御線です。
SPF(Sender Policy Framework)およびDKIM(DomainKeys Identified Mail)標準を通じてメッセージを検証することで、メール認証を強化します。

ここにランサムウェア攻撃に対するその機能があります。

1. フィッシングメールの到着
あなたのドメインから、悪意あるアクターによって作成された危険なリンクを含むフィッシングメールが届くと、DMARCが介入します。
2. SPFおよびDKIM検証
受信サーバーは送信元の真正性および/またはDKIM署名をチェックします。
3. 検証失敗
メールがこれらのチェックに失敗した場合、DMARCはドメインの不一致を特定します。
4. DMARC認証(強制ポリシー・モード)
強制ポリシー・モード(p=reject/quarantine)で、DMARCは認証に失敗した後のメールがスパムとしてマークされるか、完全に拒否されることを保証し、効果的にランサムウェアの脅威を阻止します。
5. SPFエラーの回避
DMARCは、DNSルックアップ、構文、実装に関連するSPFエラーを含む、SPFエラーの防止にも役立ちます。
これにより、メール認証の継続的な有効性が保証されます。

これらのステップに従うことで、DMARCはブランドの評判、機密情報、および財務資産を保護し、ランサムウェアとの戦いに欠かせないツールとなります。
強化されたランサムウェア保護に向けた取り組みを始めるために、今日DMARCアナライザーに登録してください。