CISOの58%がランサムウェアの身代金支払いを検討——リモートエンドポイントが攻撃の起点に

CISOの58%がランサムウェアの身代金支払いを検討——リモートエンドポイントが攻撃の起点に

Absolute Securityの新しいレポートが、セキュリティ専門家たちが長年指摘してきた問題に具体的な数字をつけた。分散型ワークフォースにとって、ランサムウェア対策におけるリモートエンドポイントのVPN保護はもはや任意ではない。調査によると、最高情報セキュリティ責任者（CISO）の58%が攻撃を終わらせるために身代金の支払いを検討すると回答しており、その主な理由として業務停止時間が挙げられた。さらに注目すべき点として、調査対象企業の57%がランサムウェア攻撃の発生源はリモートまたはハイブリッドエンドポイントデバイスであると報告した。この2つの数字は、企業セキュリティがどこで失敗しているか、そしてその失敗がどれほどのコストをもたらすかを明確に示している。

リモート・ハイブリッドエンドポイントがランサムウェアの格好の侵入口になった経緯

分散型ワークへの移行により、多くの組織が完全には把握しきれていない、ましてや十分に保護もできていない広大な攻撃対象領域が生まれた。リモートエンドポイント——自宅ネットワークから接続する従業員のノートパソコン、公共Wi-Fiを使う請負業者のデバイス、オフィスとリモート環境を行き来するハイブリッドワーカーのデバイスなど——は、企業セキュリティチームの直接的な監視範囲外に置かれることが多い。これらのデバイスは古いソフトウェアを実行していたり、脆弱な認証を使用していたり、不適切に設定されたトンネルを通じて企業システムに接続していたりする場合がある。

攻撃者はこの状況に目をつけている。リモートデスクトッププロトコル（RDP）やVPNの認証情報は、ランサムウェアキャンペーンにおける最もよく悪用される初期アクセスベクターの一つであり続けており、エンドポイントデバイスは最初に倒れるドミノとなることが多い。単一のリモートデバイスが侵害されると、攻撃者はそれを足がかりにネットワーク内を横断移動し、多くの組織が侵入を検知する前に権限を昇格させてランサムウェアのペイロードを展開する。攻撃の57%がリモートまたはハイブリッドエンドポイントに端を発するというAbsolute Securityの調査結果は、これが些細なリスクではないことを裏付けている。これが主流の攻撃パターンなのだ。

このパターンの影響は個々の組織をはるかに超えて広がる。オランダの患者データを流出させたChipSoftランサムウェア攻撃は、攻撃者がエンドポイントから大規模な機密情報を保有するシステムへと侵入に成功した場合に何が起きるかを示している。医療、金融、重要インフラはいずれも、ワークフォースの分散化が進むにつれて複合的なリスクに直面している。

CISOの58%が身代金支払いを検討する理由——そこから読み取れる準備態勢の実態

身代金の支払い意向は道徳的・法的な問題として議論されることが多いが、Absolute Securityのデータはそれを業務上の問題として再定義している。CISOの58%が支払いを検討すると回答しているとき、彼らは犯罪行為を肯定しているわけではない。重大な攻撃後に発生する業務停止時間を、多大な財務的・評判上のダメージを受けることなく吸収するには、自組織のリカバリー能力が十分でない可能性を認めているのだ。

これは準備態勢の問題である。堅牢でテスト済みのバックアップ・リカバリーインフラと強固なインシデントレスポンス計画を持つ組織は、支払いが唯一の選択肢に感じられる状況に陥る可能性がはるかに低い。調査対象のセキュリティリーダーの半数以上が支払いを検討すると答えている事実は、多くの企業が依然として準備不足であることを示唆しており、特に攻撃が従来のセキュリティ境界の外側に存在するエンドポイントから発生する場合はなおさらだ。

また、業務停止のコストがいかに高くなったかも反映している。サプライチェーン、顧客向けサービス、社内業務はすべてシステムとデータへの継続的なアクセスに依存している。ランサムウェアがそれらのシステムをロックすると、復旧にかかるすべての時間が測定可能なコストとなる。身代金支払いの決断を促すのは、道徳的な柔軟性ではなく、この計算式だ。そしてFBIディレクターのメールが侵害された事例が示したように、標的型攻撃から完全に免れる組織や個人は存在しない。

VPNインフラが攻撃対象領域と横断移動リスクを低減する方法

適切に実装されたVPNは万能薬ではないが、正しく設定された場合にリモートエンドポイントが生み出すリスクを大幅に低減する基盤レイヤーである。暗号化されたトンネルは、セキュリティの確保されていないネットワーク上での認証情報の傍受を防ぐ。VPNポリシーによって強制されるネットワークセグメンテーションは、攻撃者が内部に侵入した後の移動範囲を制限する。そして集中管理された認証要件により、侵害されたデバイスがネットワークを検知されることなく密かに横断する可能性が低くなる。

重要なのは「適切に」という言葉だ。単要素認証に依存するVPN設定、スコープを絞った権限ではなく広範なネットワークアクセスを許可する設定、あるいは長期間パッチが適用されない設定は、それ自体が攻撃ベクターになり得る。VPNレイヤーに適用された最小権限の原則とは、侵害されたエンドポイントが企業ネットワーク全体ではなく、必要な特定のリソースにしかアクセスできないことを意味する。VPNアクセスに多要素認証と接続前のエンドポイントヘルスチェックを組み合わせることで、攻撃者を遅らせ、防御側が対応する時間を生み出す実質的な障壁が生まれる。

特にハイブリッドワークフォースにとって、業務に使用される個人デバイスを含むすべてのデバイスタイプにわたる一貫したVPNポリシーの適用が不可欠だ。Absolute Securityのレポートが描く攻撃対象領域は、技術的な問題であるのと同様に、ポリシー適用のギャップでもある。

分散型チームが今すぐエンドポイントを強化するためにできること

Absolute Securityの調査結果は、単なる振り返りではなく行動を促すものだ。分散型ワークフォースを持つ組織は、リモートエンドポイントが持つリスクを低減するための具体的な手順を踏むことができる。

エンドポイントのインベントリを監査する。 把握できないものは守れない。請負業者や個人デバイスを含む、企業システムに接続するすべてのデバイスの完全かつ最新のインベントリが、あらゆるエンドポイントセキュリティ戦略の出発点となる。

すべてのVPN接続にMFAを適用する。 このひとつの制御だけで、認証情報ベースの攻撃の大部分を排除できる。盗まれたパスワードだけでリモートアクセスを得られるべきではない。

役割別にネットワークアクセスをセグメント化する。 リモートユーザーに広範なネットワークアクセスを与えるのではなく、各ユーザーまたはデバイスクラスが自分の職務に関連するシステムにしかアクセスできないようVPNポリシーを設定する。これにより、デバイスが侵害された場合の横断移動を制限できる。

エンドポイントとVPNインフラに一貫してパッチを適用する。 多くの注目を集めたランサムウェア侵入は、すでにパッチが存在する既知の脆弱性を悪用している。自動化されたパッチ管理により、攻撃者が頼りにする人的な遅延をなくすことができる。

リカバリー計画をテストする。 今日、最も重要なシステムにランサムウェア攻撃が発生した場合、復旧にどれくらいの時間がかかるか？テーブルトップ演習とバックアップ復元テストを定期的に実施することが、この問いに正直に答え、重要な局面を迎える前にギャップを解消する唯一の方法だ。

Absolute Securityのレポートは、ランサムウェア対策の準備態勢において企業セキュリティが現在どこに立っているかを示す有用なベンチマークだ。数字は厳しい現実を突きつけている。攻撃の大半がリモートエンドポイントから始まり、セキュリティリーダーの大半が支払いは避けられないかもしれないと感じている。しかしそれはまた、何を変えるべきかを直接指し示してもいる。エンドポイントの可視性、強制されたVPNポリシー、そしてテスト済みのリカバリー能力は、特別なコントロールではない。それらはすべての分散型組織が確認できるべき基準だ。現在の自組織のセットアップが実際にその基準を満たしているかどうかを評価することが、正しい出発点となる。