Kaseyaに対する最新のランサムウェア攻撃により、約1,500の組織がランサムウェアに感染したことを受けて、バイデン大統領は先日、セキュリティのトップアドバイザーと会談しました。今回のランサムウェア攻撃は、バイデン大統領がジュネーブでプーチン大統領と1対1の会談を行ったわずか3週間後に、ロシアから発生したと考えられます。この会談でバイデン大統領は、米国の16の重要インフラのリストを提示し、これらの分野が攻撃を受けた場合には、ロシアに対して「報復措置」を取ると主張しました。3週間後、ロシアを拠点とするサイバー犯罪者たちが再び活動を開始し、世界中にREvilを配布しました。
米国政府は、ロシアによるKaseyaへの攻撃において、米国の企業は非常にうまくいったと報告しています。おそらく、それが報復措置が取られなかった理由ではないでしょうか?メリーランド州のレナードタウンもそう思うのではないでしょうか? 彼らのシステムは、Kaseyaへの感染後、完全にシャットダウンされました。
16の重要部門
米国国土安全保障省(Department of Homeland Security)がまとめた重要インフラには、以下のセクターが含まれています。
- 化学物質
- 商業施設
- 通信
- 重要な製造業
- ダム
- 防衛産業基盤
- 緊急サービス
- エネルギー
- 金融サービス
- 食品・農業
- 政府施設
- 医療・公衆衛生
- 情報技術
- 原子炉、材料、および廃棄物
- 輸送システム
- 上水道・下水道システム
このように、大規模なビジネスの大半をカバーしており、どれもアメリカ人にとって重要なものばかりです。なぜ今になって報復の脅しをかけるのでしょうか。今週、ミズーリ州ジョプリンでは、交通機関がランサムウェアの被害に遭いました。2020年にはアルバニー空港がランサムウェアに襲われ、2016年にはサンフランシスコのMuniと呼ばれる公共交通機関がランサムウェアに感染して使えなくなりました。被害はまだあります….
今年初めには、フロリダ州の水道施設がランサムウェアに感染し、水道水を汚染することが最終目的となりました。2013年には、ニューヨークのダムが侵入されました。放流ゲートはメンテナンスのためにオフラインになっていて被害はでませんでした。Stillwater Medical社は、今年の6月にランサムウェアに感染し、現在もその余波から回復しつつあります。Stillwaterの攻撃からわずか数日後、セント・ジョセフ/キャンドラー病院もサイバー犯罪者によってオフラインにされました。2018年には、Michigan Medical Facilityもランサムウェアに襲われました。
被害を挙げるとキリがありません。重要なのは、ランサムウェアは何年も前から脅威であったということです。今では国家安全保障の問題として定義されており、この問題に対する目はもはや「広がらない」のです。願わくば、企業が自社のサイバーセキュリティインフラに対して、より積極的なアプローチを取り始めてほしいと思います。
プロアクティブなセキュリティ
多くの場合、サイバーセキュリティのベストプラクティスやソリューションは、感染後の対策に焦点を当てています。つまり、攻撃を受けた後、いかにしてネットワークを再稼働させ、拡散を抑えるかということです。これは、ランサムウェアを含むあらゆる種類のマルウェアがネットワークに侵入した場合、その拡散を阻止して復旧させる計画を立てることが重要だからです。それと同じくらい重要なのが、そもそもの攻撃を防ぐことに注力することです。攻撃を防ぐためにはどのような対策があると思いますか?組織のセキュリティ態勢を強化する最も簡単で効果的な方法の1つは、既存のセキュリティスタックの上に、アプリケーションホワイトリストによるセキュリティ層を追加することです。
アプリケーション・ホワイトリストは、攻撃を防ぐためのゴールド・スタンダードです。その理由は以下の通りです。
ブラックリスト(すべての既知の悪質なソフトウェアのリスト)は、多くのベンダーがマルウェアの検出に使用しています。既知の悪質なソフトウェアでなければ、実行が許可されます。一方、ホワイトリスト(既知の良いソフトウェアのリスト)を使えば、良いプログラムだけが実行できます。ブラックリストで悪質なものをブロックするのであれば、それで十分だと思われるかもしれませんが、問題は、新しいマルウェアの亜種は、悪質であることが証明されるまで「未知」と分類されることです。未知であるがゆえに、ブラックリストでは実行が許可されてしまいます。ホワイトリストでは、テストして安全であることが証明されるまで実行を許可しません。幸いなことに、ブラックリストと連携して動作するホワイトリストソリューションがあり、すべてのベースをカバーしています。
米国はロシアに報復するのか?
白とも黒とも言えません。米国にちょっかいを出せば、その度に打ち負かしてきました。けれども、デジタルインフラの完全性に関しては、重大な課題があります。サイバー上の敵に報復することで、標的を絞った攻撃をさせるために、より大きな標的を背負うことになり、負担が増えるだけなのです。これは、米国が備えるべきサイバー戦争なのでしょうか?私たちは、サイバーセキュリティの衛生状態が十分でないことを証明しました。それがはるかに有害な影響をもたらす可能性があるのに、なぜ攻撃しようとするのでしょうか。