製造業、またもやランサムウェアの標的に

 

Ransomware takes down airplane parts manufacturer ASCO

 

先般、ベルギーの大手航空機部品メーカーASCO社は、再度、ランサムウェアの標的となり大きな打撃を受けました。同社の製造ラインは1週間以上停止し、現在も再開の見通しが立っていません。このインシデントにより、1,000名余の従業員は有給扱いで自宅待機。同社はマルウェア攻撃による機能停止状態の基幹システムを速やかに回復させるべく、復旧作業を行っています。

残念ながら、マルウェアの脅威への対策が不十分な企業のほとんどが、ASCO社と同じ運命を辿っています。今回のインシデントは、サイバー犯罪者とその被害者との間で行われる争議としてよく見られる傾向を色濃く反映しています。

ランサムウェア対策は企業のセキュリティ対策の最重要課題

ベライゾン社が公開した情報漏洩/侵害調査報告書2019など、数多くのセキュリティ関連調査で目にするように、ランサムウェアは依然として世の中で最も蔓延するマルウェアのバリアントです。

通常、ランサムウェア攻撃は、不注意なユーザーがフィッシングメールに添付された有害なリンク先やファイルをクリックした途端に、企業が施したセキュリティ対策をすり抜け、標的とするシステムの全ファイルを暗号化し使用不能にした後、それを仕掛けた犯罪者が元に戻すための復号化キーとの引き換えに身代金を要求する、という手順で行われます。

多くのサイバー犯罪は、ランサムウェアをネットワークを介して拡散し、バックアップサーバーなど他のシステムに侵入して感染させ被害を拡大させていきます。そしてこれを仕掛けた犯罪者は、原状回復のための要求金額をさらに引き上げ被害者に多大な損害を与えていきます。力を奪っていきます。

組織の生産性低下という脅威

ランサムウェアを使ったサイバー犯罪集団にとって、製造業は格好の標的であるとされています。例えば、工場などの製造ラインの停止により、企業に多大な被害(Ponemon研究所の最新調査によると、被害額は1時間あたり2万2,000ドルの損失と推計)が生じるため、被害者に早く原状回復させるよう重圧を与えるのです。。それを放置しておくと被害はさらに拡大し、ダウンタイムの長期化、被害に対する事後処理、関係者への賠償金の支払い、企業株価の暴落などが生じ、時間の経過とともに膨大なものとなっていきます。

製造業でランサムウェアの被害にあった有名企業には、大手医薬品メーカーのメルク社(被害総額、8億7,000万ドル)、アメリカの化学薬品メーカー Hexion社、世界的な自動車メーカーの日産・ルノー、アメリカの食品・飲料メーカー、モンデリーズ・インターナショナル社(1億8,800万ドル)、台湾の半導体メーカーTSMC社(2億5,000万ドル)、ノルウェーのアルミニウムメーカー、ノルスク・ハイドロ社(現在5,200万ドル、さらに拡大中)、アメリカの自動車部品メーカーC.E. Niehoff社、そしてイギリスの電気モーター・電気ポンプメーカーHayward Tyler社が挙げられます。連日、新たな被害者が生み出され被害となる企業が継続的に増加しています。

ランサムウェア攻撃によるダウンタイムは、一件あるいは複数の要素が起因して延長傾向にあります。その理由は、第一に、被害者が攻撃を免れた最新の完全なバックアップデータを、保持していなかったことが挙げられます。第二に、自治体政府は通常、被害者に身代金を請求されても支払わないように助言しているためです。その理由は、保証されたランサムウェア攻撃への対策がうまく作動しない、または作動してもそれは本来の機能の半分であるケースが多いため、被害者に身代金を支払わないように勧めていることが挙げられます。これらの背景から、被害者は結局、煩雑な手作業による復旧作業に苦戦することになります。

サイバー犯罪は簡単に始められる

「ゆすり」の手段としてランサムウェアが成功し続けている一因に、その使いやすさがあります。ほとんど技術的スキルのない犯罪者でも、ダークウェブ上で様々なランサムウェア製品を買うことも借りることもでき、簡単にフィッシングメールやほかのサイバー攻撃の方法を使って配信を始めることができるのです。

さらにランサムウェア製品には、被害者が身代金を支払うビットコインを調達できるようサポートする24時間年中無休のサービスが付いたオンラインチャット機能や、支払いサービスへのアクセス、さらに犯罪者が支払いのオペレーションの進捗や儲けをモニターできるコンソールなども含まれています。

新種のランサムウェアの威力は旧型を上回る

今や、署名ベースのウイルス対策ソリューションなど従来のマルウェア対策では、ランサムウェア犯罪の急増に追いつかない状況に陥っています。ランサムウェアの開発者は、スピーディかつ頻繁に新種を生み出すことで、ウイルス対策スキャンを回避するためのゼロデイ脅威の特性を利用しています。こうした新種のランサムウェアの対応には、電子署名の照合ではなく、その動作により有害性を特定して停止させるための施策が必要になります。

機械学習と人工知能は、この方面で役立つ技術であることが証明されています。これらの技術によってエンドポイントの防御はさらに俊敏性と適応能力が高まり、新種のランサムウェアの特定と処置に生かされています。

ランサムウェア感染の拡大

サイバー犯罪者は、ランサムウェアを継続利用してあらゆる業界に攻撃を与えることが予想されます。特にシステムのダウンタイムが収益や株価、人命、政治的論評にまでにも影響が及ぶ、製造業、ヘルスケア、行政機関などが標的になることが想定されています。犯罪者の注意は、一般消費者から、もっと旨味のある組織、つまり、現金を持ち、迅速に復旧の必要性に迫られる企業や公共機関へと移ったのです。

稼働前にランサムウェアを停止させる

アクロニスは、サイバープロテクションに伴う「SAPAS」と称される5つのベクトルの方針の下に、ASCO社の製造ラインを止めた類のランサムウェア攻撃から3年以上にわたって顧客を守っています。「SAPAS」とは、データの「Safety(安全性)」「Accessibility(アクセシビリティ)」「Privacy(プライバシー)」「Authenticity(真正性)」「Security(セキュリティ)」を保証するというアクロニスのソリューションに対するポリシーです。アクロニスは、「SAPAS」の下で顧客のデータを常に守り続けています。

セキュリティを提供する必要性から、アクロニスは業界初のAIベースのマルウェア対策をバックアップソリューションに統合しました。企業や行政機関による使用に適した企業向けのAcronis Backup、また個人ユーザー用のAcronis True Imageが該当します。

Acronis Active Protectionというこの製品は人工知能と機械学習を採用しており、既知およびゼロデイのランサムウェアを自動的に検知して停止し、損傷を自動で修復することができます。この製品により、昨年は40万件のランサムウェア攻撃を阻止した実績があります。

感染防止ためのひと手間

使いやすく、効果的でセキュアなサイバープロテクションソリューションへの投資は、ランサムウェアの脅威に対抗するうえで非常に有効ですが、サイバー攻撃への対策は他にもあります。中でも最もシンプルなのが、定期的にオペレーティングシステムとアプリケーションにパッチをあて、既知の脆弱性を修正することが挙げられます。

もう一つの簡単な方法は、システム全体を複数の場所に配置し異なるタイプのストレージを利用して、頻繁にバックアップを取ることで回避できます。この対策は、万が一攻撃が成功しても、安全で信頼できるコピーを使ってシステムを復元することができます。

最後に

企業がサイバー犯罪による被害によりニュースのヘッドラインで報道されることを回避するには、サイバープロテクションにおける「SAPAS」というアクロニスのアプローチが、ランサムウェアや他の最新のマルウェア脅威への対策として、いかに有効であるかをご確認ください。ぜひこの機会に、Acronis Active Protectionが搭載されたAcronis Backup をお試しください。