サイバー犯罪者は、ランサムウェア攻撃を開始する前に決まったパターンの行動を取るという。これらを攻撃の兆候として検知できれば、事前に防御することも可能になる。
ランサムウェア攻撃の多くは、どこからともなく突然発生するように思える。だが、サイバー犯罪者がランサムウェア攻撃を仕掛けようとしている一連の兆候や指標が存在する。ランサムウェアに関するレポートを公開したSophosの研究者によると、少し訓練すればこうした兆候や指標を短時間で見つけられるようになるという。
SophosのManaged Threat Response(MTR)部門はランサムウェアの被害者と協力して過去2週間の検知状況を調べ、侵入の兆候を探している。その結果として、同部門は攻撃者がネットワークの内部を探し回り、状況を見極め、ランサムウェア攻撃を仕掛けるために必要なアカウントを取得する方法を潜在的に示す指標をリストにまとめた。
Sophosで主任リサーチサイエンティストを務めるチェスター・ウィスニエフスキー氏は本誌のインタビューに答え、ランサムウェア攻撃を大掛かりに分析することに関して、同社のMTRチームには平均的な企業よりも可視性の点で明らかな利点があると主張した。
「チームは顧客を分析して3回のWastedLocker攻撃を観察した結果、サイバー犯罪者がランサムウェア攻撃を仕掛ける前の段階でツールを特定の順番で使うパターンを見つけた」と同氏は話す。
「チームは当社のEDR(Endpoint Detection and Response)製品で保護している全顧客に出向き、顧客のPCを調べて『今サイバー犯罪者とおぼしき人物がいるが、まだランサムウェア攻撃を仕掛けるには至っていない』と警告することができる」
Sophosによると、差し迫ったランサムウェアインシデントの兆候を読み解く鍵は、サイバー犯罪者が攻撃の準備のために正規の管理ツールを利用することが多いことを理解することにあるという。
「その最たる例が、Microsoftのツールがサイバー犯罪者に悪用されていることだろう。良いものが悪意のある方法で使われているのを誰も探そうとはしないためだ。ソフトウェアのデプロイに利用する優れたツールがランサムウェアのデプロイにも利用される。これは、誰にとっても盲点のように思える」(ウィスニエフスキー氏)
Sophosは、既にランサムウェアの因子がシステムに内在することを示唆する5つの重要なヒントを示した。
Sophosのレポートシリーズはランサムウェアを回避しやすい形式の考案や侵入後の攻撃、二重脅迫攻撃の出現にも目をむけ、最近Garminのシステムをダウンさせた背後にあると考えられるWastedLockerについての新たな調査も行っている。
社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。
KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。
ジェンダーレス消費の実態 男性向けメイクアップ需要が伸長
男性の間で美容に関する意識が高まりを見せています。カタリナ マーケティング ジャパン...