2020年10月19日 08時00分 公開
特集/連載

ランサムウェア攻撃の可能性を示す5つの兆候攻撃は突然始まるわけではない

サイバー犯罪者は、ランサムウェア攻撃を開始する前に決まったパターンの行動を取るという。これらを攻撃の兆候として検知できれば、事前に防御することも可能になる。

[Alex Scroxton,Computer Weekly]
iStock.com/Nuclear_lily

 ランサムウェア攻撃の多くは、どこからともなく突然発生するように思える。だが、サイバー犯罪者がランサムウェア攻撃を仕掛けようとしている一連の兆候や指標が存在する。ランサムウェアに関するレポートを公開したSophosの研究者によると、少し訓練すればこうした兆候や指標を短時間で見つけられるようになるという。

 SophosのManaged Threat Response(MTR)部門はランサムウェアの被害者と協力して過去2週間の検知状況を調べ、侵入の兆候を探している。その結果として、同部門は攻撃者がネットワークの内部を探し回り、状況を見極め、ランサムウェア攻撃を仕掛けるために必要なアカウントを取得する方法を潜在的に示す指標をリストにまとめた。

 Sophosで主任リサーチサイエンティストを務めるチェスター・ウィスニエフスキー氏は本誌のインタビューに答え、ランサムウェア攻撃を大掛かりに分析することに関して、同社のMTRチームには平均的な企業よりも可視性の点で明らかな利点があると主張した。

 「チームは顧客を分析して3回のWastedLocker攻撃を観察した結果、サイバー犯罪者がランサムウェア攻撃を仕掛ける前の段階でツールを特定の順番で使うパターンを見つけた」と同氏は話す。

 「チームは当社のEDR(Endpoint Detection and Response)製品で保護している全顧客に出向き、顧客のPCを調べて『今サイバー犯罪者とおぼしき人物がいるが、まだランサムウェア攻撃を仕掛けるには至っていない』と警告することができる」

 Sophosによると、差し迫ったランサムウェアインシデントの兆候を読み解く鍵は、サイバー犯罪者が攻撃の準備のために正規の管理ツールを利用することが多いことを理解することにあるという。

 「その最たる例が、Microsoftのツールがサイバー犯罪者に悪用されていることだろう。良いものが悪意のある方法で使われているのを誰も探そうとはしないためだ。ソフトウェアのデプロイに利用する優れたツールがランサムウェアのデプロイにも利用される。これは、誰にとっても盲点のように思える」(ウィスニエフスキー氏)

 Sophosは、既にランサムウェアの因子がシステムに内在することを示唆する5つの重要なヒントを示した。




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news040.jpg

新型コロナ接触確認アプリ プライバシーと感染抑止の間で揺れ動く各国の対応
欧米では新型コロナ「第2波」への危機感が高まっています。主要国における接触確認アプリ...

news163.jpg

2020年米国ホリデーシーズンショッピング、オンライン売上高が過去最高に――Adobe予測
Adobeはホリデーシーズンの米国におけるオンライン売上高が1890億ドルになると予測してい...