脅威の担い手と攻撃の動機

00:00:12 ブランドン・ウィッテ 

皆さん、こんにちは。ブランドン・ウィッテです。のCEOです。 サイトラインシステム 本セッションでは、ユニシス・コーポレーションのセキュリティ・アーキテクトであるブライアン・ディクソン氏を共同ホストにお迎えし、サイバー攻撃の脅威要因や動機についてお話しいただきます。 

サイバーセキュリティの専門家であるダミアン・アポネは、純正部品会社のグローバル・セキュリティ・プログラム・ディレクターである。 

ここ数年、ランサムウェアやサイバー攻撃の数は驚くほど増加しています。 

00:00:46 ダミアン・アポネ 

そうなんだ。振り返ってみると、最新の統計によると、39秒ごとにウェブのどこかで新たな攻撃が行われています。サイバー犯罪者による被害額は、2015年の1兆4,300億円から倍増しています。ランサムウェアによる被害だけで年間$6兆円を超える。攻撃は2020年以降150%以上増加しており、攻撃は世界中で確実に増加している。 

00:01:20 ブランドン・ウィッテ 

あなたがおっしゃったように、毎日、別の企業が何らかのサイバー攻撃の被害に遭っているというニュースが流れています。ブライアン、この問題はさらに悪化し続けるようだ。 

00:01:31 ブライアン・ディクソン 

サイバーセキュリティの分野にいるだけに、まったく同感だ。ここ数年、私たちはお客さまが直面している攻撃に対処しようとし、苦労しているのを目の当たりにしてきました。しかし、特に昨年のCOVIDや現在も続いている遠隔地のデータセンターで働く人々は、もはや1つの場所にいることはありません。すべてがクラウドやマルチクラウドで流動化している。 

私たちは、多くの高度な脅威行為者による攻撃を目の当たりにしており、従来のツールや顧客が行ってきたことの多くはもはや有効ではありません。そのため、私たちはこのような状況を目の当たりにしています。 

これは明らかに大きな問題なので、悪化する可能性もある。 

ダミアン、あなたが言ったように、あなたの考えでは、これらの攻撃の背後にいるのは誰ですか？ええ、あなたはサイバーセキュリティをご存知だと思います。 

00:02:11 ダミアン・アポネ 

一般的に、多くの企業にとっては神秘的なことで、まだ否定的な意見が多い。私は本当にターゲットではない。私は実際には標的ではありません。私に脅威はない。一般的に、脅威の主体を5つに分類するところもあれば、6つに分類するところもある。 

その分類の数はさまざまですが、要するに、私にとっては3つの異なるタイプのグループです。ひとつは国家主体であり、ご存知のように私たちもよく知っている。 

彼らの目的は機密を盗むことだろう？そして彼らの主な目的はスパイ活動である。 

カオスや経済破壊になるかもしれない。これらは中国やロシアやイランが主導していることだ。 

そして、彼らは国家をスポンサーとしている。2つ目のグループは、ハクティビストと呼ばれる社会的集団で、彼らの主な目的は、秘密を暴露したり、悪だと思われるサービスを妨害したりすることです。彼らは必ずしも特定の企業をターゲットにしているわけではありませんが、ウィキのような企業がリークするようなフリンジ・ビリーバーです。 

例えば、企業の悪を暴こうとしている。 

ソニー・ピクチャーズもそのひとつで、活動家たちが影響を与えようとしていた。そして第3のグループは、最大のグループですが、サイバー犯罪者自身です。 

ランサムウェア攻撃を主導しているのはこれらの企業だ。ランサムウェア攻撃を主導しているのは、こういった連中だ。というのも、彼らにとってはすべてがお金であり、攻撃を収益化するさまざまな方法があるからです。しかし、今日この業界で見られるのは、主にこの3つだ。 

00:04:10 ブライアン・ディクソン 

いや、ありがとう。技術やソフトウェア、特にセキュリティについて理解することに関しては、私はかなり頭が切れると思いたい。でも、これらの組織や個人は、どうやってこれらのエクスプロイトのやり方や作成方法を学び、実際に企業に侵入してデータを持ち出したり、彼らがすることをするのだろう？ 

00:04:30 ダミアン・アポネ 

まあ、本当に興味深いのは、このような企業や個人がいることだ。それをやっている個人たち。彼らはとても若いうちから始めていて、確かTwitterだったと思います。 

数年前、フロリダでTwitterのハッキング事件があったんだけど、犯人は17歳だったんだ。つまり、若い人たちがこのようなことに興味を持っているケースもあれば、国家がこのようなハッキングを専門に行うプログラムを持っているケースもあるということです。サイバー犯罪者の中にもね。彼らがやっていることの中には、過度に洗練されていないものもある。 

たとえばナイジェリア王子詐欺。 

ナイジェリアの王子様詐欺に引っかかる人は、いまだに大勢いる。今日に至るまで、誰でも本当にひどいメールを書くことができる。そして、マルウェアを注入することもできる。 

私たちが目にしているのは、ランサムウェアやサービスとしてのサイバー犯罪の増加です。ですから、脅威の主体について話すことは重要です。  

だから、もしあなたが流出全体の一部はできても、他の部分はできないのであれば、他の誰かから能力を買うこともできる。例えば、特権をエスカレートさせる方法を知らない場合。それをダークウェブでサービスとして買うことができる。だから、彼らがそのようなサービスを作ったという事実は、本当に恐ろしいことなんだ。つまり、サイバー犯罪者になりたいと思っている人なら誰でも、そのサービスの一部を支払うだけで、その能力を手に入れることができるのです。 

00:05:56 ブランドン・ウィッテ 

というのも、もし彼らがこのようなことができるのであれば、そしてこのような攻撃を簡単に見つけて実行できるのであれば、我々にとってその方が簡単ではないだろうか？あるいは、彼らを捕まえるのは簡単ではないのか？あるいは、このようなものを利用可能にしているものは？ 

00:06:15 ダミアン・アポネ 

ああ、いい質問だね。 

ランサムウェアを例として具体的に話を始めると、興味深いことに、世の中で最も活発なランサムウェアファミリーや、ダークサイド、その他いくつかのランサムウェアが存在する。ネットで検索してみてください。トップランサムウェア攻撃でググってみてください。彼らはMTTPと呼んでいます。Mitre Emitreeという組織があり、基本的にそれをマッピングしている。 

私たちはそれを無視している。 

このような脅威を減少させることはできるのでしょうか？ 

そしてもうひとつの朗報は、脆弱性の多くが公開されていることです。企業内でランサムウェアを増殖させる手口もわかっている。情報はそこにある。私たちはただ耳を傾け、探すだけでいいのです。 

00:07:19 ブライアン・ディクソン 

攻撃からだけでなく、攻撃の成功からも身を守るために、企業ができることは何だと思いますか？ 

00:07:28 ダミアン・アポネ 

ええ、多くの場合、基礎的なことが重要だと思います。まず基本的なことをやって、それから時々、本当に複雑な攻撃についての質問を受けることがある。 

そして、私が言ったように、オンラインに行けば、ほとんどの攻撃が同じ脆弱性をついてくる。彼らは同じ脆弱性を悪用している。 

同じような、つまり、コンフィギュレーションのミス。 

だから、マイナーな攻撃フレームワークが公開されている。 

しかし、基本的なことはしっかりやっておくこと。 

脆弱性のスキャンやパッチの適用など、今日、平均的なパッチ適用期間は60日から150日程度と言われています。ですから、Petyaをまだ導入していない企業がたくさんあります。そのようなことをご存知ですか？基本的な衛生管理？基本的な衛生管理はもちろんのこと、エンド・オブ・ライフを排除し、セグメンテーションを確実に行うことです。私たちが今日特にUnisysを活用しているのは、悪者が欲しいものを手に入れにくくすることです。そうすればするほど、悪者はあなたに手を出さなくなります。 

適切なパスワードを設定し、特権をエスカレートできるようにすることで、脆弱性を悪用されないようにするのだ。 

もうひとつの大きな本当に重要な分野はEメールだ。見落としてはいけない。メールは、これらの多くのことを引き起こす可能性がある。 電子メールは脅威行為者にとって大きな標的です。

00:09:16 ブライアン・ディクソン 

攻撃者はどうやって侵入するのか？ 

00:09:18 ダミアン・アポネ 

脅威行為者や攻撃者は通常、フィッシングメールであれビジネスメールであれ、電子メール経由で侵入します。一旦マルウェアが侵入してしまえば、悪者にとってはもう一踏ん張りです。彼らは非常に忍耐強いのです。正直なところ、彼らには予定などありません。現在、平均滞留時間は短縮傾向にあり、これは本当に良いニュースです。平均的な観点からですが、平均的な滞留期間は49日から150日の間です。それはわかります。 

もし私があなたの環境に最長6ヶ月間住み続けることができたとしたら、あなたは最長6ヶ月後までパッチを当てていないことになる。基本的なことを行い、相手がどのように攻撃してくるかを理解し、もしその攻撃が特権をエスカレートさせるようなものであれば、それを防御する準備をする。 

そうならないためにはどうすればいいのか？それが、それを防ぐための最も現実的なアドバイスだ。私はそう言いたい。セキュリティやコンプライアンスが解決策になるわけではありません。多くの人が頭を悩ませているのは知っています。頭を悩ませている人も多いでしょう。あるいはバイデンについて心配している。サイバーセキュリティ規制が可決されたばかりです。私が言いたいのは、コンプライアンスを行うのであれば、コンプライアンス＝最低限の要求事項ということです。多くの場合、セキュリティの観点から正しいことを行えば、最終的な結果としてコンプライアンスを達成することができます。 

私の会社で経験したことだが、私は脅威ではない。脅威となるような人間はいない。私は彼らが欲しいものを持っていない。そんなことはない。誰も私を攻撃したがらない。それも違う。 

だから、彼らがどのようにターゲットを選ぶかは、とても興味深いことなんだ。 

そして、それは脅威の主体にもよる。 

そして時には、あなたへの直接的な攻撃ではないこともある。例えば、空調会社を標的にしている場合などだ。しかし、彼らがなぜ攻撃するのかを理解することで、国家は政府の機密を狙っていることがわかる。 

彼らは再び混乱を引き起こすためにそこにいる。 

活動家たちは、自分たちなりのものを持っている。 

しかし、国家は誰をターゲットにしているのでしょうか？彼らは企業や政府系組織をターゲットにしていますが、私は政府系組織ではありません。 

この夏、米国では多くの社会問題が浮上し、そうした社会的信条に反する特定の企業が標的にされた。 

私はキャッシュリッチなのか、データリッチなのか？ 

私はフォーチュン200の企業で働いている。そのため、悪者たちは私たちをターゲットとして見ている。私はデータを持っていないかもしれませんが、ランサムウェアやデータ侵害を通じて、何らかの方法で私たちからお金を巻き上げることができると思えば、それが攻撃の動機になります。また、そうでない場合もある。 

植民地時代のパイプライン事件で本当に興味深かったのはダークサイドだった。 

コロニアル・パイプラインを攻撃したランサムウェア・グループは、事件発生後。彼らは非常に素早く指摘した。これは政治的な動機によるものではありません。これは政治的な主張ではない。我々が欲しいのは金だけだ。なぜなら、彼らは重要な存在だからだ。インフラを構成する重要な要素だ。食肉加工のインフラを支える重要な要素なんだ。我々は肉をパックしているだけだ。なぜ我々を攻撃しようとするのか？なぜなら、彼らは私腹を肥やし、家賃を払うと思われているからだ。 

残念なことに、特に重要なインフラ周りで、サイバーとは必ずしも関係のない出来事が起きている。しかし、警鐘を鳴らし、不安を煽る必要がある。そうですね。 

必ずしもサイバー攻撃のせいではない。しかし、それは示している。もしそれが可能なら、コロニアルパイプラインの会計システムに侵入するだけで、その影響は計り知れない。 

それは何を意味するのか？どんな効果があるんだ？ 

つまり、ダークウェブで収益化できるデータを持っている場合、懐が深い、あるいは深いと思われる場合だ。あるいは、これらのいくつかを扱っている。複数のレベルで脅威となる可能性がある。このような人々が組織に対して成功を収め、そこで実際に取引されている資金を見るのはクレイジーだ。 

00:14:50 ブライアン・ディクソン 

最後に訊きたいことがあるので、ブランドンに戻しますね。 

企業についてどうお考えですか？最近、私たちが目にしたデータ漏洩や攻撃のいくつか。彼らは身代金を支払いましたよね？つまり、データを取り戻すために身代金を支払ったわけです。身代金を支払ったことで、再び攻撃を受けたというような状況を見たことはありますか？ 

00:15:10 ダミアン・アポネ 

そうですね、いくつかトレンドがあります。まず1つ目は、おっしゃったように追跡型攻撃です。身代金を払えば被害が拡大することを初めて知ったからです。ランサムウェアの中には、先ほど申し上げたように、ダークサイドと呼ばれるランサムウェアもあります。彼らは病院を攻撃しないと言います。教育団体を攻撃することはありませんが、すべてがそうとは限りません。すべての人がそのようなモラルを持っているわけではありません。中には、最初に身代金を払ったら、もう一度攻撃してやる、おそらく問題を解決していないだろうから、身代金を倍にして請求してやる、と言う人もいます。 

もう1つの傾向として、二重身代金と呼ばれるものが増えています。私があなたのファイルを預かり、身代金の支払いに協力することで、暗号化されていないファイルを手に入れることができるのです。 

お金を払えば、鍵をくれます。お金を払えば 鍵をくれますよさて、それが実際に機能するかどうか。それは、脅威行為者たちとはまったく別のことかもしれません。しかし、彼らがやっていることは、「おい、やるぞ。あなたのものにランサムウェアを仕掛けました。あなたのデータを盗んだので、もし別の身代金を払ってくれないなら、そのデータも公開します。その事実を漏らさないように。もし私がその環境で生活できるのであれば、彼らは並外れた忍耐強さを持っています。 

彼らは何カ月もそこに座って、ただあなたのビジネスを学び、真似るべき人の真似をする。あるいは、やりたいことを何でもやる。なぜ、そのようなことが起きるのかについては、いくつかの議論があります。それはこう言うでしょう。特にランサムウェアに関しては、脅威を与える側の行動が速くなっているからです。つまり、脅威行為者が侵入してくるのです。すべてをロックする方法を見つけ出すのにそれほど時間は必要ない。 

そのため、私の環境での滞留時間（私の環境での滞留時間）は人為的に短くなっています。しかし、身代金を支払ったからと言って、ランサムウェアにまつわるもうひとつの重要なことがあります。今、多くの企業がサイバーセキュリティ保険に加入している。 

保険料は劇的に上昇している100と5200%。もしあなたがサイバー保険に加入できるのであれば、今、ランサムウェアの周りでも多くの注目が集まっています。そのため、ランサムウェアに関連した保険金請求が多く寄せられています。私が皆さんにアドバイスしたいのは、契約内容を確認し、契約条件をチェックすることです。 

だから、企業がやってもやらなくてもいいことがたくさんある。身代金を払えば、彼らはいなくなる。お膳立てはできている。そうするつもりなら、素晴らしいことだ。二度と同じことが起きないように、自分で解決してください。 

しかし、ランサムウェア保険やサイバー保険に加入している場合は、保険証券を読み、ランサムウェアに関する条項がどのようなものかを把握しておくことも必要だ。 

00:18:29 ブライアン・ディクソン 

そうなんだ。知っておくと超便利だよ。 

話を戻そう、ブランドン。 

00:18:34 ブランドン・ウィッテ 

そうそう、最後にもうひとつ質問なんですが、情報漏洩に遭ってデータを奪われた人がいて、身代金を払うと鍵をくれるんですね。 

また、2度目、3度目と、1度目よりもさらに簡単に戻ってこられるように、別の潜在的な脆弱性のセットを開いてしまったと言えるでしょうか？ 

00:18:59 ダミアン・アポネ 

ええ、多くの場合、企業が情報漏えいに遭うと、他の企業も情報漏えいの報告を受けると思います。 

どうなるかというと、封じ込めた後だと思う。そのときこそ、歯ぎしり、歯軋りが起こるのだ。 

どうやって手に入れたのか？ 

正直なところ、その支払いに立ち会うことは重要だ。どうやって証明できたのか？繰り返しになるが、そこに到達するのをどうやって阻止するのか？ 

基本的なことをやろう。 

パッチを当て、スキャンし、修正するという中核的な責任を果たそう。そうすれば、80%の多くを取り除くことができる。脆弱性にパッチを当てるだけで、フィッシングをブロックするという点でよい電子メール管理ができていれば、悪者から機会を奪うことができれば、それだけ有利になります。今、それをやって、テーブルトップでシミュレーションしたほうがいい。テーブルトップは失敗した。でも大丈夫。それは物事を浮き彫りにする。多くのことが浮き彫りになる。もしかしたら技術的負債をたくさん抱えているかもしれない。しかし、もうひとつ強調したいのは、技術だけがすべてではないということです。脆弱性を修正したとか、古いシステムが残っているとか、そういうことだけに目を向けてはいけない。人、プロセス、そしてテクノロジーがすべてなのです。 

適切な人材がいるか？人間が技術を設定するわけですから、もしかしたら私たちが何かを正しく設定していなかったかもしれません。多くの場合、サイバーセキュリティ・ソフトウェアは$3,000億ドル規模の産業ですが、それは必ずしも技術的な失敗ではありません。私たちには人がいます。技術面に現れたプロセスの失敗もあります。つまり、ファイアウォールのルールをチェックしているか？誰がシステムにアクセスできるかを見直しているか？ 

それらは技術的なものではありません。プロセスの中にいる人たちなんだ。だから、そうすることが重要だと思う。だから、もしあなたが外に出て見て、こう言うのです。最も一般的なことは何ですか？567通りもあるんだ。だから、1つの経路だけをチェックしてはいけない。他の6つもチェックするんだ。より多くのことを準備し、知ることができる。それでいいんだ。悪者より先にそれを見つけて、修正するんだ。だって、もしそれを直したら、奴らはこう言うだろう。私の時間を割く価値はない。私はただ移動して、保護が行き届いていない他の誰かを見つけるだけだ。 

00:21:51 ブランドン・ウィッテ 

本当にありがとうございました。今日はもう時間がありませんが、ダミアンの洞察力とこの分野の背景について、素晴らしい話をありがとうございました。脅威の主体に関する私たちの話に本当に感謝しています。ありがとうございました。 

ブライアン、どうもありがとう。次回は、増加する攻撃から企業を守るために私たちができること、できることのトップについてもう少し掘り下げますので、ぜひご参加ください。 

本当にありがとう。