ランサムウェア攻撃の7つのフェーズ:攻撃ライフサイクルを各段階ごとに解説 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ランサムウェア攻撃の7つのフェーズ:攻撃ライフサイクルを各段階ごとに解説

Threat Report

Flashpoint

RaaS

VulnDB

ランサムウェア攻撃の7つのフェーズ:攻撃ライフサイクルを各段階ごとに解説

Yoshida

Yoshida

2023.09.25

セキュリティチームにとって、ランサムウェア攻撃の仕組みを理解することは、防御を強化し、攻撃が成功するリスクを軽減し、またランサムウェアインシデントによって深刻な結果がもたらされるのを防ぐための糧となります。

 

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年7月10日付)を翻訳したものです。

ランサムウェア攻撃は広範に影響をもたらす破壊的なものであり、組織を狙って事業運営や財務、レピュテーションに多大な混乱やダメージを及ぼします。このような脅威から自組織を守るために、セキュリティチームはランサムウェア攻撃のライフサイクルを理解しておかねばなりません。

デジタルなシステムやネットワークへの依存が強まるにつれて、ランサムウェア攻撃のリスクも指数関数的に高まります。この種の攻撃は企業を無力化し、サービスを妨害し、データを漏洩リスクに晒す恐れがあるほか、多大な金銭的損失を引き起こす場合もあります。その上、サイバー犯罪者たちは自らの戦術を進化させ続けていることから、セキュリティチームの側も絶えずこうした変化への対応を迫られます。

本記事では、複雑なランサムウェア攻撃のライフサイクルを、7つの段階に分けて紐解いていきます。セキュリティチームにとって、ランサムウェア攻撃の仕組みを理解することは、防御を強化し、攻撃が成功するリスクを軽減し、またランサムウェアインシデントによって深刻な結果がもたらされるのを防ぐための糧となります。

 

フェーズ1:偵察と標的の選択

ランサムウェア攻撃における1つ目のフェーズでは、脅威アクターが攻撃する組織を調査し、選択します。このフェーズで、脅威アクターは標的となり得る候補を特定し、それらの組織に関する重要な情報を収集します。

標的となり得る組織の特定

脅威アクターは、自身の悪意ある活動で最も高いリターンを得られる可能性の高い組織を特定するため偵察を行います。アクターは業界、規模、財務的安定性のほか、標的となり得る組織が保持するデータの価値などの要素を慎重に見積もります。デジタルインフラに大きく依存している組織や、重要インフラへのアクセス回復と引き換えに身代金を支払ってくれる可能性が比較的高そうな組織が、主要なターゲットです。

偵察に使われる技術

偵察フェーズでは、脅威アクターは情報を集めるためにさまざまな手法を利用します。こういった手法にはWebサイト、ソーシャルメディアプラットフォーム、およびプロフェッショナルネットワーキングサイトから一般に利用可能なデータを収集する、パッシブ偵察が含まれる場合があります。また、オープンポートや脆弱性を探すためのスキャン、従業員情報を収集するためのフィッシングキャンペーンの実施、あるいは流出したデータベースやダークウェブフォーラムのようなサードパーティーの情報源の活用など、アクティブ偵察を利用する場合もあります。

組織を狙われやすい状態にする要因

偵察フェーズでは、以下のような要因を持つ組織がより標的にされやすくなる可能性があります。

 

・セキュリティ意識の欠如:セキュリティ意識の向上や従業員への教育を優先して実施していない組織は、ソーシャルエンジニアリングの手口を通じて、思わぬところで攻撃者に貴重な情報を提供している可能性があります。

 

・不適切なパッチ管理:ソフトウェアパッチやアップデートの迅速な適用を怠ると、脅威アクターが悪用し得る既知の脆弱性に対して、システムが影響を受けやすい状態のまま放置されることになります。

 

・脆弱なアクセス制御:管理が不十分なユーザーアカウント、脆弱なパスワード、および不十分なアクセス制御は、機微なシステムやデータへの不正アクセスが発生する可能性を高めます。

 

・ネットワークセグメンテーションの欠如:組織のネットワークのセグメンテーションが適切になされていない場合、攻撃者は初期アクセスに成功したポイントから、ネットワーク内でラテラルムーブメントを行ったり、権限昇格を行ったりする機会を得る可能性があります。

 

・監視と検知の欠如:堅固な監視・検知機能を持たない組織は、偵察を試みる初期の兆候に気づかない可能性があり、脅威アクターが検知されずに攻撃を進めることを許してしまいます。

フェーズ2:初期アクセス

ランサムウェア攻撃の2つ目のフェーズは、脅威アクターが組織のネットワークやシステムへの初期アクセスを獲得しようとする重要な段階です。このフェーズでは、初期アクセスを獲得するために、脅威アクターは以下のようなさまざまな手法を利用します。

 

・フィッシングメール:最も一般的かつ成功率の高い手法の1つであり、脅威アクターは受信者を騙して悪意あるリンクをクリックさせたり、感染済みの添付ファイルを開かせたりする目的で巧妙なメールを作成します。

 

・エクスプロイトキット:こういったツールキットには、ソフトウェアやよく使われるWebブラウザ、あるいはプラグインの脆弱性を標的とする予めパッケージ化されたエクスプロイトが含まれます。侵害されたWebサイトを訪問することで、何も知らないユーザーは知らぬ間にエクスプロイトキットを作動させ、攻撃者に初期アクセスを許可してしまう可能性があります。

 

・脆弱なソフトウェア:ソフトウェア(特に古く、パッチの適用されていないアプリケーション)の脆弱性の悪用は、脅威アクターが組織のネットワーク内で足がかりを掴むために利用する可能性のある、もう1つの手段です。このことは最近、CLOPがMOVEitおよびGoAnywhere MFTにおける脆弱性を利用し、100を超える組織に対して国際的に攻撃を仕掛けたことを通じて観測されました。

 

MOVEitにおける脆弱性の深刻度と重要性を強調している、VulnDBによる脆弱性インテリジェンスの記録。

 

初期アクセスの試みを成功させる上で、ソーシャルエンジニアリングの手口は重大な役割を果たします。脅威アクターは人間心理を悪用して人々を騙し、機微な情報やシステムへアクセスする手段を手に入れます。

標的の信頼を得るために偽のシナリオや口実を作るプリテキスティングや、魅力的な報酬やインセンティブを囮として提示するベイティングは、個人を操るために使われる一般的なソーシャルエンジニアリングの手口です。さらに、テールゲーティング(他人のためにドアを開けておく個人を利用すること)も、組織内の安全なエリアに不正かつ物理的なアクセスを行う上で使用される場合があります。

フェーズ3:ラテラルムーブメントと権限昇格

脅威アクターは、組織のネットワークやシステムへの初期アクセスを獲得すると、ランサムウェア攻撃の3つ目のフェーズであるラテラルムーブメントと権限昇格に進みます。

このステージでは、侵害されたネットワーク内でのナビゲーションと行動範囲の拡大が行われます。脅威アクターは侵害されたネットワークを探索し、貴重なデータ、重要なシステム、そして暗号化のための標的となり得るものの在り処を突き止めます。アクターは複数のマシン、サーバー、デバイスを制御するためネットワークを横移動するラテラルムーブメントを利用します。これにより、貴重な情報が発見され暗号化される可能性が高まると同時に、防御側にとっては攻撃を封じ込めることが困難になります。

脅威アクターはラテラルムーブメントを実現するために、複数の手法を利用する場合があります。

 

・設定ミスの悪用:アクターは、ネットワーク内の他のシステムへ不正にアクセスするため、誤って設定されたネットワーク共有、脆弱だったり共有されていたりするパスワード、保護されていないリモートデスクトッププロトコル(RDP)を利用します。

 

・認証情報の窃取と再利用:アクターは、正規のユーザーの認証情報を盗んだり取得したりするため、さまざまな手口を用います。手口にはキーロガーの使用、クレデンシャル・ハーベスティング、管理アカウントの侵害などがあります。これらの盗まれた認証情報は、ネットワーク内で横方向に移動するために再利用されます。

 

・パス・ザ・ハッシュ:この手法は、侵害されたシステムからハッシュ化された認証情報を盗み出し、それらを認証に使用して、平文のパスワードを知らなくても他のシステムにアクセスできるようにするものです。

 

・ネットワークに侵入した脅威アクターは、自身の権限を昇格させようとします。アクセス権限を昇格させることで、重要なシステムに対する制御を強化し、ネットワーク内をより自由に動き回れるようになります。権限昇格の手法には以下のようなものがあります。

 

・脆弱性の悪用:アクターは、自身の権限の昇格のために利用できるソフトウェア、オペレーティングシステム、あるいはネットワーク設定の脆弱性を特定します。これには、パッチが適用されていないシステムや、設定ミスのあるパーミッションが含まれる場合があります。

 

・盗まれた認証情報の利用:初期アクセスの段階で認証情報を盗み出すことに成功した場合、脅威アクターはネットワーク内で自身の権限を昇格させるためにこれらの認証情報を使用し、管理者あるいは上位レベルのアクセスを獲得できます。

 

・信頼されたアプリケーションやサービスの悪用:アクターは、ネットワーク内で高い権限を得るため、より上位の権限やアクセス権を持つ信頼されたアプリケーションやサービスを操作します。

 

・ラテラルムーブメントや権限昇格は、必ずしも直線的なプロセスではないことに注意することが重要です。脅威アクターはネットワークのトポロジー、セキュリティ対策そして利用可能な標的に基づいて戦術を変化させ、ネットワーク内で臨機応変に行動しています。

フェーズ4:ランサムウェアペイロードの展開

ランサムウェア攻撃の4つ目のフェーズにおいて、脅威アクターは最終的な目的であるランサムウェアペイロードの展開を実行します。このフェーズでは、被害者のファイルの暗号化と、その後の身代金支払い要求が行われます。

ランサムウェアにはさまざまな形態があり、それぞれに独自の特徴と目的があります。一般的なタイプには、以下のようなものがあります。

 

・暗号化ランサムウェア:この種類のランサムウェアは、被害者のファイルを暗号化し、身代金を支払って復号キーを入手しない限りアクセスできない状態にします。例としては、WannaCryやRyukのような悪名高いランサムウェア株が挙げられます。

 

・ロッカーランサムウェア:ロッカーランサムウェアは、被害者をシステムや特定のアプリケーションから締め出し、デバイスや重要な機能にアクセスさせないようにするものです。ほとんどの場合、被害者のスクリーンに身代金に関するメッセージが直接表示され、アクセス権を取り戻すのと引き換えに支払いが要求されます。

 

・ハイブリッドランサムウェア:ハイブリッドランサムウェアは、暗号化ランサムウェアとロッカーランサムウェアの双方の要素を組み合わせたものです。このタイプはファイルを暗号化する一方で、同時に被害者をシステムから締め出し、攻撃の影響力と緊急性を増幅させます。

 

・効果的にランサムウェアペイロードを展開するために、脅威アクターは以下のようなさまざまな技法を利用する場合があります。

 

・メール添付ファイルおよびリンク:フィッシングメールの中に埋め込まれた悪意ある添付ファイルやリンクは、ランサムウェアの一般的な配布手法です。添付ファイルを開いたり、リンクをクリックしたりすると、ランサムウェアペイロードのダウンロード・実行が開始されます。

 

・ドライブバイダウンロード:侵害されたWebサイトあるいは悪意あるWebサイトを訪問することで、被害者は気付かぬうちにWebブラウザやプラグインの脆弱性を通じたランサムウェアのダウンロード・実行をスタートさせてしまいます。

 

・エクスプロイトキット:エクスプロイトキットはソフトウェアやオペレーティングシステムの脆弱性を悪用し、被害者のシステムにランサムウェアを配布することができます。こうしたキットは自動的に脆弱性を検知し標的にします。これにより、脅威アクターはより効率的にランサムウェアペイロードを配布できます。

攻撃ライフサイクルにおけるランサムウェア・アズ・ア・サービス(RaaS)とその役割

ランサムウェア・アズ・ア・サービス(RaaS)は、ランサムウェア攻撃の激増に大きく寄与するものとして登場しています。このサービスにより、技術的スキルが比較的低い脅威アクターが、より熟練しているアクターによって開発されたランサムウェアツールやインフラにアクセスすることが可能になっています。RaaSは、開発者が支払われた身代金から一定の割合の分け前を受け取る利益分配モデルで運用されています。RaaSはサイバー犯罪者の参入障壁を低くし、ランサムウェア攻撃を幅広く拡散・実行することを可能にします。

※RaaSについてはこちらの記事で詳しく解説しています:RaaS(Ransomware-as-a-Service)とは?そのビジネスモデルとは

RaaSプラットフォームは、意欲的な脅威アクターにユーザーフレンドリーなインターフェース、技術サポート、さらにはカスタマーサービスを提供します。ほとんどの場合、カスタマイズオプションが提供されるため、攻撃者は特定の標的に合わせてランサムウェアをカスタマイズできます。RaaSが利用可能になったことで、より多様なサイバー犯罪者がこういった儲かるキャンペーンに参加できるようになり、世界的にランサムウェア攻撃が急増しました。

 

Flashpointが毎月作成しているランサムウェア関連のインフォグラフィックでは、ランサムウェアイベントに関連する特に優勢なグループ、業界、および国を紹介しています。

フェーズ5:暗号化と影響行使

攻撃がもたらす真の影響は、5つ目のフェーズで明るみに出始めます。このフェーズにおいて、脅威アクターは被害者のファイルを暗号化し、システムへ重大なダメージを与えます。

ランサムウェアは、高度な暗号化アルゴリズムを利用して被害者のファイルをロックし、復号鍵なしではアクセスできない状態にします。この暗号化プロセスでは通常、ドキュメント、画像、動画、データベースなど、多様な種類のファイルが標的となります。脅威アクターはRSAやAESのような強力な暗号化アルゴリズムを使うことが多いですが、これは、復号鍵が存在しない限りファイルの復号が不可能であるという状態を確実に作り出すためです。

暗号化プロセスが進むと、被害者のファイルは使用不能になります。この時、各ファイルはそれぞれ独自の暗号鍵を受け取るのが普通です。また、ランサムウェアはオリジナルファイルの上書きや修正を行う場合もあり、そうなると復号鍵なしでの復旧がより一層難しくなります。被害者のシステムが被る影響は深刻なものとなる可能性があり、結果として事業運営が妨害されたり、データが失われたり、金銭的損失が生じたり、レピュテーション面でのダメージがもたらされたりすることが考えられます。

ランサムウェア攻撃が成功した際のダメージは、組織にとっても個人にとっても甚大なものとなり得ます。また大抵の場合、以下に挙げる影響の多くも付随します。

 

・事業運営への支障:ランサムウェア攻撃は組織の事業運営を阻害し、重大な混乱やダウンタイムを生じさせる可能性があります。重要システムがアクセス不能状態となる場合もあり、そうなると生産能力が失われたり、サービスに遅延が生じたり、金銭的な面での影響につながったりします。

 

・データの損失・破損:適切なバックアップが用意されていない場合、被害者は貴重なデータへ永久にアクセスできなくなってしまうかもしれません。また、ランサムウェアは暗号化の過程でファイルを改悪することもあり、その場合には復元がさらに困難になります。

 

・金銭的損失:身代金の支払い、復旧や緩和に関連するコスト、規制当局への罰金の支払いなどが、かなりの額の金銭的損失として組織にのしかかってくる可能性があります。さらには、レピュテーションへのダメージや顧客の喪失が、間接的に金銭的ダメージへつながることもあり得ます。

 

・レピュテーション面のダメージ:ランサムウェア攻撃被害が公になると、組織のレピュテーションに傷がつく場合があります。また、機微な情報を守る能力がないのではないかと顧客やパートナー企業、ステークホルダーに疑われて、ビジネス機会や顧客の信頼を失う結果に至る可能性もあります。

 

・法や規制に関する影響:侵害されたデータの性質によっては、特に個人情報や機微な情報が関わってくる場合には、法律や規制関連の影響が生じることもあります。データ保護規制に違反すれば、多額の罰金や法的責任を科されることが考えられます。

フェーズ6:恐喝と交渉

6つ目のフェーズにおいて脅威アクターは、被害者とのコミュニケーション手段を確立し、恐喝のプロセスを開始します。この段階で、アクターは復号鍵の提供もしくはシステムへのアクセス権と引き換えに身代金を支払うよう要求します。

脅威アクターはこのフェーズ中に被害者との接触を開始し、自らの要求を伝えてコミュニケーションラインを確立します。この際によく使われるのがTorネットワークなどの匿名化技術で、これによりアクターの素性は隠され、その活動を追跡するのが難しくなります。両者のやり取りは、Eメールやインスタントメッセージングプラットフォームなど、さまざまな手段によって行われ、時には攻撃者によってセットアップされた身代金交渉専用のポータルサイトまでもが使われます。

脅威アクターは被害者に身代金の支払いを要求する際にさまざまな手段や手法を使用しますが、これには以下が含まれます。

 

・ビットコインその他の暗号資産による支払い:脅威アクターは大抵、ビットコインなどの暗号資産で身代金を支払うよう要求します。これは、暗号資産には身元の偽装が可能で分散型であるという特徴があり、ひいては追跡が困難であるためです。

 

・支払い期限の設定と脅迫:脅威アクターは多くの場合、支払いに厳格な期限を設けます。同時に、期限が守られなければ復号鍵を永遠に消し去る、または身代金額を引き上げる、などと脅迫します。こうした戦術の狙いは、被害者に圧力をかけて要求を飲ませようとすることです。

 

・データを抜き取った証拠:場合によっては、脅威アクターは被害者のシステムから機微なデータを抜き取ったと主張し、身代金が支払われないのであればそのデータを公開すると脅すことがあります。これにより、被害者にはさらなる圧力がかかり、攻撃者の要求に応じる緊急性も高まります。

 

・恐喝フェーズにおいて脅威アクターに接触すべきか否かを決定する際には、法的な側面や倫理的な側面を考慮する必要があります。以下に挙げる項目を踏まえ、選択肢を注意深く検討せねばなりません。

 

・法律関連の検討事項:身代金の支払いは裁判管轄によっては違反になることがあり、また組織としてのポリシーに反する可能性もあります。これに加え、特に個人情報や機微な情報が侵害された場合など、組織がインシデントを報告する法的義務を負うケースもあります。

 

・犯罪行為への資金提供:身代金を支払うことで、さらなる犯罪行為のための資金調達に寄与してしまうかもしれません。というのも、このお金は将来の攻撃のための資金として使用される可能性があるためです。身代金の支払いを通じてサイバー犯罪者を支援することは、ランサムウェアエコシステムの永続化に繋がります。

 

・データが復号される保証はない:たとえ身代金が支払われた後であっても、脅威アクターによって復号鍵が提供される保証や、被害者システムへのアクセスが復元される保証はありません。身代金を支払ったのに約束通りの結果が帰ってこないというリスクがあることを、組織は考慮しておかねばなりません。

 

・サイバー保険の補償内容:サイバー保険に加入している組織は、その補償内容や身代金を支払うことによる影響について、保険会社に相談する必要があります。

 

組織にとって絶対的に重要なのは、身代金支払いに関する決断を下す前に、法律顧問や法執行機関、経験豊富なインシデント対応の専門家などに助言を求めることです。各ケースにより攻撃後の状況は異なるので、リスクや法律関連/倫理関連の検討事項を徹底的に評価する必要があります。

フェーズ7:復旧と緩和

攻撃における復旧と緩和フェーズとは、組織がシステムの復旧、暗号化されたデータの復元、将来起こりうる攻撃を予防するための対策の実施に注力するフェーズです。

関連記事:ランサムウェアに感染したら?被害を抑える対策とは?

ランサムウェア攻撃からの復旧には、体系的なアプローチが必要です。暗号化されたデータの復元や、システムの復旧のために重要な戦略は以下の通りです。

 

・隔離と封じ込め:ランサムウェアのさらなる拡散を防ぐため、影響を受けたシステムを直ちに隔離しましょう。侵害されたデバイスのネットワーク接続を断ち、再感染のリスクを緩和するためにそれらのデバイスをシャットダウンしましょう。

 

・インシデント分析:どのランサムウェア亜種が使われ、その影響力はどの程度で、侵害されたシステムがどれなのかを特定するため、インシデントの徹底的な分析を実施しましょう。この分析は、適切な復旧戦略を決定する上で役立ちます。

 

・データの復元:バックアップがある場合は、クリーンで安全なバックアップからデータを復元しましょう。バックアップは必ずオフラインにしておくか、ランサムウェアによる侵害を防止するために適切に保護しておくことが非常に重要です。

 

・データの復号:場合によっては、法執行機関やセキュリティ企業などの信頼できる提供元の復号ツールを利用することができます。こういったツールは、身代金を支払うことなくファイルを復号するのに役立ちます。ただし、このようなツールはいつでも利用可能というわけではなく、攻撃で使用されたランサムウェア種によって変わります。

 

・システムの再構築:データの復元が不可能な場合、あるいはバックアップが利用できない場合、組織は、既知の優れたコンフィグレーションとソフトウェアを用いて、影響を受けたシステムを一から再構築しなければならない場合があります。

 

ランサムウェアインシデントに効果的に対応するためには、明確に定義されたインシデント対応計画が必要であり、これには以下のベストプラクティスの一部が含まれる場合があります。

関連記事:インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!

 

・インシデント対応計画:ランサムウェア攻撃が発生した場合に取るべき手順を概説した、包括的なインシデント対応計画を策定しましょう。この計画には、さまざまなシナリオに対応した役割や責任、連絡の手順、および予め規定された行動を含めるべきです。

 

・迅速な対応:攻撃を封じ込め、影響を受けたシステムを隔離し、復旧プロセスを開始するために、迅速かつ果断に行動するためのアラート機能を確保しましょう。社内のITチーム、インシデント対応の専門家、および関連する利害関係者へ速やかに連携しましょう。

 

・コミュニケーションと通知:社内外に明確なコミュニケーションラインを確立しましょう。法務、広報、経営陣などの適切な担当者に通知し、データ漏洩を伴うインシデントの開示に関する法律および規制上の義務を検討しましょう。

 

・フォレンジック調査:徹底的なフォレンジック調査を実施して、根本的な原因を理解し、攻撃ベクターを特定して、将来講じる可能性のある法的措置や予防措置のための証拠を収集しましょう。

 

・従業員の意識向上とトレーニング:ランサムウェア、フィッシング、ソーシャルエンジニアリングのリスクについて従業員を継続的に教育しましょう。強固なパスワード管理、不審なメールの認識、インシデントの迅速な報告など、サイバーセキュリティのベストプラクティスについて従業員に定期的にトレーニングを行いましょう。

 

・予防を行うことは、将来起こりうるランサムウェア攻撃を軽減する上で重要です。先を見越したセキュリティ対策を実施することで、このようなインシデントのリスクと影響を大幅に軽減することができます。以下の重要な対策について検討しましょう。

 

・パッチ管理脅威アクターが頻繁に悪用する既知の脆弱性に対処するため、オペレーティングシステム、ソフトウェア、ファームウェアにセキュリティパッチとアップデートを定期的に適用しましょう。

 

・エンドポイントの保護:高度なエンドポイント検出と応答(EDR)ツールとともに、堅固なアンチウイルスとアンチマルウェアソリューションを配備し、悪意ある活動を検知してブロックしましょう。

関連記事:EDRは必要?アンチウイルスやEPPとの違い、運用コストは?

 

・ネットワークセグメンテーション:ネットワークセグメンテーションを導入し、ラテラルムーブメントを制限して攻撃の影響を抑制しましょう。重要なシステムを他のネットワークから切り離すことは、ランサムウェアの急速な拡大を防ぐのに役立ちます。

 

・最小特権アクセス:最小特権の原則を実行し、職務の遂行に必要なアクセス権のみをユーザーに付与しましょう。こうすることで、侵害されたアカウントによって引き起こされる可能性のある損害を、最小限に抑えられます。

 

・定期的なデータのバックアップ:重要なデータのバックアップを定期的に行い、暗号化し、安全なオフラインの状態で維持しましょう。ランサムウェアインシデントが発生した場合に、復元のためのバックアップの実行が可能なことを確認するため、復元プロセスを定期的にテストしましょう。

敵を知れ

ランサムウェア攻撃は進化を続け、より巧妙に、広範囲に及ぶようになっています。脅威アクターは脆弱性を悪用して最大限の金銭的な利益を得られるよう、戦術、技術、ツールを随時改良しています。そのため、常に警戒を緩めず、アクター側の変化や進化に対応できるようにすることが欠かせません。

しかしランサムウェア攻撃の各段階において、強力な脅威インテリジェンスがあれば、攻撃過程で新たに生じるリスクを防ぎ、組織への被害を最小限に抑える、あるいは未然に防ぐことができます。

効果的な脅威インテリジェンスプログラムによって、組織は攻撃の各フェーズにおいても脅威アクターやTTPを把握できるようになります。脅威インテリジェンスプログラムに不可欠な機能は以下の通りです。

 

・脆弱性インテリジェンス:実務担当者がリアルタイムの包括的な情報にアクセスすることを可能にする脆弱性インテリジェンスは欠かせません。これにより、担当者がインシデントの範囲を理解し効果的な対応戦略を策定して、迅速かつ確かな情報に基づいた決定を行い、攻撃を軽減できるようにします。

 

・堅固なアラートシステム:セキュリティ担当者が恐喝インシデントの結果漏洩した資産に関するカスタマイズ可能な自動ランサムウェアアラートを設定したり、漏洩と損害の規模についての見解を得たりすることを可能にするアラートシステムが必要です。

 

・リアルタイムの継続的なデータ収集:これには、脆弱性の背景や評価、時系列での状況のアップデート、既知の被害者、変更ログのほか、リスクに関するより全体的な理解に貢献し、意思決定のための情報を提供するインテリジェンスが含まれます。

 

・マネージドアトリビューション・ソリューション:こうしたソリューションを用いて、セキュリティチームが安全に匿名で調査を行えるようにすることで、インテリジェンスチームは防衛から攻めの姿勢に移行できるようになります。

 

・堅固なリスク管理の慣習とインシデント対応計画:セキュリティ侵害に効果的に対応し、復旧を行うために整備しておくべき要素です。

 

Flashpointのランサムウェアに関するダッシュボードは、世界のランサムウェアの傾向、被害者、およびランサムウェアグループ自体についての最新かつ閲覧しやすい情報を提供します。

Flashpointを使ってランサムウェア対策を

FlashpointはDeep & DarkWeb(DDW)に特化した検索・分析ツールで、漏えいクレデンシャルやリークサイトのモニタリングなど、ランサムウェア攻撃の予防・対応にも役立ちます。Flashpointについて詳しくは、以下のフォームよりお気軽にお問い合わせください。

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ