有名なランサムウェアの攻撃が頻繁に行われるようになり、米政権は責任の所在を明らかにすることを重視しています。問題は、その理由です。このような大規模な攻撃の場合、その巧妙さは他の攻撃よりもはるかに優れています。
つまり、サイバー犯罪者たちは、何ヶ月も、あるいは何年もかけて、侵入を成功させるための最良のチャンスを見極めているのです。彼らは、セキュリティホールを特定し、ネットワークに関する詳細な知識を身につけ、それらを駆使してサイバー攻撃を実行します。会社のネットワークを調査するのにかかる時間を考えると、彼らは自分の足跡を隠すとは思わないでしょうか?よくあることですが、これがなかなか上手なんですよ。そう考えると、発見されたパンくずも、意図的に残されたものだと考えても不思議ではありません。これにより、別のサイバーギャングや国を効果的に罠にかけることができます。
わかっていることをいくつか挙げてみましょう。多くのサイバーギャングは、攻撃の手柄を立てたがります。そのため、パンくずが見つからなくても、ダークウェブ上で自分たちの攻撃だと主張することがあります。しかし、捕まりたくない人や、他国に濡れ衣を着せたい人は、簡単にそれができてしまいます。重要インフラへの攻撃がサイバー戦争に発展する可能性があることを考えると、他の国や組織に濡れ衣を着せることが簡単にできるというのは、新たなレベルの恐怖と言えるでしょう。
セキュリティホールの確認
企業は、これらの攻撃がどこから来たのかを特定するために時間とリソースを費やすのではなく、セキュリティホールを塞いで脅威を防ぐことに注力すべきです。適切なサイバー対策を講じることで、企業はランサムウェアなどのマルウェアの攻撃を阻止することができます。PC Maticの創設者兼CEOであるRob Chengは次のように述べています。
バイデン政権は、外国人がアメリカのセキュリティホールを悪用したことを他国のせいにするのではなく、政府や企業にセキュリティホールを塞ぐよう働きかけるべきです。それだけで、この国はより安全になります
組織のセキュリティホールを特定することで、適切な認証技術を用いてその穴を塞ぐことができます。承認基準が導入されていれば、攻撃が成功してもネットワークに侵入するリスクは大幅に減少します。認証基準の例としては、以下のようなものがあります。
- 退職した従業員のネットワークアクセス権の削除
- 職務に応じた従業員のアクセス資格の制限
- BYOD(Bring Your Own Device)ポリシーの廃止
- アプリケーションのホワイトリスト化など、既知の信頼できるプログラムのみを会社のネットワーク内で実行できるようにする。
アプリケーションのホワイトリスト化
ランサムウェアが標準的なファイルの暗号化にとどまらず、被害者への恐喝にまで発展していることを考えると、その防止が最重要課題であると考えられます。
アプリケーションホワイトリストとは、テスト済みの安全なアプリケーションのみを実行させるマルウェア検出の方法です。多くの既知ウイルスのように、そのアプリケーションが悪意のあるものであることがわかっている場合は、起動が阻止されます。多くの新しいマルウェアが分類されているように、ファイルが未監査のものである場合も、実行が起動阻止されます。他のソリューションと比べてどうですか?
従来のプログラムの多くはブラックリスト方式を採用しており、既知の悪質なファイルのみを起動阻止しています。前述したように、新しいマルウェアはまだ未知であり、悪質であると報告されていないため、ブラックリストは起動を許可してしまうためセキュリティ対策としては十分に有効ではありません。毎日のように新しいマルウェアが作られていることを考えると、ブラックリスト方式での完全阻止はもはや不完全です。多くのセキュリティソリューションでは、ブラックリストはそのままに、人工知能(AI)や行動ヒューリスティック(BH)を追加しています。AIもBHも悪いものではありませんが、これらを作動させるためには、ある程度のレベルでマルウェアが実行されていなければなりません。マルウェアが実行され始めると、信頼されたプログラムとしての動作をしていないため、AI/BHによる保護機能によってフラグが立てられる可能性があります。これはセキュリティホールです。
脅威の予防は、サイバーセキュリティに欠けているゴールドスタンダードです。手遅れになる前に、焦点を移す時が来ています。