メインコンテンツまでスキップ
 
新しい会話を開始

未解決

MW

MSS-W

1 Rookie

 • 

8 メッセージ

253

2022年12月6日 00:00

最新!! データ損失リスクのご紹介 vol.1

DPS事業本部 SEのMSS-Wです。

DPSについて、正式名称はData Protection Solutionになりまして、昔ながらの物理的な故障から災害、サイバー攻撃といったリスクまでデータを保護するためのソリューションをご提案する部署となります。

そのため、お客様の方でリスクとされた事柄への具体的な対応手段の他、こうしたリスクへの対応も必要では、という啓発のような形でのご紹介もさせていただいております。

今回は直近でご紹介した中でも特にお客様が興味を持たれたトピックから2つ、この場を借りてご紹介したいと思います。

 

1、RaaS(ランサムウェア・アズ・ア・サービス)の普及によるリスクの拡大

RaaSはSaaS(Software as a Service)をもじった造語となりますが、開発・保守されているランサムウェアを攻撃に利用する形態、あるいは役割分担されたサイバー攻撃のエコシステムのことを指します。

 

それによって得られるメリットもSaaSの紹介内容と類似した内容が並びます。

 ・攻撃に必要なランサムウェアを一から開発する必要がないため、開発スキルを必要としない。

 ・開発に必要な膨大なイニシャルコストを負担する必要がない。

 ・攻撃に際して、ツールの開発が必要ないことからスピーディーに実行に移すことができる。

 従って、悪い意味で参入障壁を下げることに寄与してしまっており、ランサムウェアを開発、それを実際に利用できるような悪い意味でプロフェッショナルな攻撃者以外も攻撃者となってしまう。攻撃の経路、機会、パターンが多くなってしまったことでセキュリティ教育が甘い組織や機器に対して発生する珍しい事象であるとは言えなくなっています。

 

 直近では、ランサムウェアビルダーに相当するツールの流出が確認されており、それを利用して手を加えることによって多くの被害事例が報告されている「LockBit」のさらなる拡散と攻撃への利用が増えることが懸念される状況となりつつあります。昨年、日本国内においても大きく取り上げられた町立病院のサイバー攻撃被害において利用されたものも、「Lockbit 2.0」となります。

残念ながら質的、量的に攻撃機会が増大する中で、一度でも成功すれば良い攻撃者から、常に一度も失敗をしないように守り続けることは現実的ではないのかもしれません。必ずしも失敗を許容するわけではありませんが、サイバー攻撃を防御することと並行して、被害が発生した際の復旧対策を考えなければいけないフェイズが来つつあるといえるのではないでしょうか。

MSSW_0-1669282398679.png

 

参考元サイト:

LockBit3.0に関する参考記事(別サイトに移動します)

ランサムウェアビルダーに関する参考記事(別サイトに移動します)

 

 

2、バックアップを狙うランサムウェア

従来からランサムウェア攻撃では、侵入成功後、攻撃の初期段階においてバックアップシステムを標的にしていました。

バックアップデータが存在することで攻撃が成功したとしても、バックアップデータを活用して環境を復元されてしまう、それによって復号化と引き換えにして収益を上げる機会が失われてしまうためでしょう。

そのため、組織内に入り込むと、ある程度時間をかけてデータの配置を確認し、バックアップと思われるデータを改ざん/破壊しようと試みます。防御側では、保持期間内のデータ削除を防ぐためにイミュータブル、WORMといった仕組みを実装することでデータを保護するといった動きが定石です。

この場合、標的はバックアップシステムといっても、あくまでバックアップシステムが管理するデータを棄損することが狙いでした。

しかし、直近ではそれだけにとどまらず、バックアップシステムがサイバー攻撃だけでなく、様々なアクシデントからデータを保護するためにドメインコントローラや仮想化基盤、クラウドサービスなど、さまざまなシステムの認証情報を保存していることに着目し、内部データベースへ接続、SQLクエリを行って各種認証情報を取得、入手した認証情報を活用して組織内へ広がっていくといった、まるでバックアップシステムとコンパチビリティを持ったといえるような攻撃手法が加えられています。

こうした動きがされないようにするバックアップシステム側での手当はもちろんですが、被害が出た際に円滑に復旧ができるように必要なデータは何か、日々アセスメントのサイクルを回し、洗い出された必要データの最新世代を隔離(データをコピー+オフラインで保持)しておく、隔離する仕組みを阻害されることがないようにマネージャーも隔離領域内で稼働させるなどが実効的な対策と言えるのかもしれません。

MSSW_0-1670235782945.png

 


 

参考元サイト:

バックアップソフトウェアからランサムウェアを窃取した事例 (別サイトに移動します)

RaaSによりバックアップソフトウェアの悪用事例(別サイトに移動します)

 

 

両トピックともサイバー攻撃というテーマになってしまいましたが、実際に対応が必要なリスクとしてご紹介させたいだくケースとしても最も件数が増えているのがサイバー攻撃とそこから復旧するためのサイバーリカバリです。

ディザスタリカバリと比べて対応が進まない背景として、ネットワークやマルウェアの"防御"という復旧の前段階にリソースが多く振り分けられている。または、システム設計をする過程で被害額に対して発生確率を掛けるかと思いますが、どちらかが低く見積もられてしまい優先度が落ちることで実装されないことがが大きな要因のように感じています。

 

今回ご紹介させていただいたリスクについて、もう少し詳しく聞きたい、具体的な対応方法を検討したい等あれば、弊社担当営業もしくはコミュニティサイトよりメッセージにてお声がけいただけると幸いです。


レスポンスがありません。

Was this post helpful?

すべて表示

イベントは見つかりませんでした!

Top