テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

ランサムウェアギャングがセキュリティコンプライアンスを悪用

Mariana Pereira, Director of Email Security Products

CCPAやGDPRのようなコンプライアンス規制は、 ユーザーデータの保護、プライバシーの確保、企業と消費者の間の信頼の構築などの目標を持って作成されています。しかし、これらの規制は多くの組織にとって諸刃の剣となっています。

この理由の一つは、データが抜き出された後に暗号化が行われる、二重恐喝ランサムウェアの増大です。この場合、脅威アクターは身代金が支払われなければ企業の機密情報をオンラインで漏えいすると脅迫します。企業は規制を順守できなければ重い罰金を課される可能性があるため、違反を表に出さないために身代金の支払いに追い込まれることもあります。

ノンコンプライアンスのもたらす結果

今日のビジネスはさまざまな厳しいプライバシー規制に直面しており、それらは頻繁に更新されています。これには、GDPR(General Data Protection Regulation)、CCPA(California Consumer Privacy Act)、そしてニューヨーク州金融サービス局のプライバシー規制などが含まれます。

リモートワークや動的に分散した働き方へのシフト、そしてますます複雑となるビジネスオペレーションなどから、企業はこうしたすべての規制を満足するためにインフラを更新しなければならないプレッシャーに直面しています。

コンプライアンス違反は大きな金銭的ペナルティと長期に渡る訴訟問題につながります。組織がデータを保護できなかった場合、罰金は悲惨なものになることがあります。GDPRは最大2000万ユーロ、あるいは企業のグローバルな年間売り上げの4%まで罰金を科すことができます。たとえば、2017年以来、GoogleはEUの規制当局から合計95億ドルもの罰金を科されています。

コンプライアンスの武器化

コンプライアンスは市民に対し、彼らのデータに対するより大きな支配と権限を与えるという重要な最終目的に貢献するものです。しかし、サイバー犯罪者達はノンコンプライアンスの脅威を組織に対して圧力を与えるポイントとして使えることに気づきました。盗まれたデータが公開されれば、莫大な規制上の罰金につながります。

このことは二重恐喝ランサムウェア攻撃に現れています。脅威アクター達が機密データをまず盗み出した後に、暗号化するケースが増えています。さらに、Babuk等のいくつかのランサムウェア集団は、暗号化を捨てて恐喝に重点を置くようになっています。これは、多くの企業がランサムウェアによりファイルがロックされてしまうのを恐れ、対策として絶えずバックアップを取るようになった現在、データ抜き出しの方がより効果的だということに脅威アクター達が気づいたためです。

ランサムウェアアクターは知的財産、顧客データ、企業秘密をダークウェブ上でオークションにかけることがよくあります。このトレンドはMazeランサムウェアグループが2019年末にウェブサイトを作成し侵入した組織の名前を公開して「ネーム・アンド・シェイム」(名指し非難)したときに始まりました。これらの攻撃にはPDFファイルやIPアドレス、デバイス名などの情報の盗み出しも含まれ、これらは後にウェブサイトにアップロードされて公開されました。

現在のランサムウェア攻撃の70%以上にはデータ抜き出しが含まれます。

この戦術はサイバー犯罪グループREvilによって有名になりました。彼らは2019年12月、ロシアのハッカーフォーラムでその意図を発表しています:

“すべての攻撃において商業機密のコピーを入手している。支払いを拒否すれば、データは競合に売却あるいはオープンソースで公開する。そしてGDPRだ。我々に払いたくなければ、10倍以上の金額を政府に払えばいい。我々には何の問題もない。”

これらの事例において脅威アクターが言っていることは要するに、「わずかな身代金を払えばデータは安全だ。払わなければ、我々はデータを公開することもできるし、莫大な罰金を払う羽目になる可能性がある。」ということです。

そのため、サイバー犯罪者との交渉を選ぶことで、データ流出、またはその危険性を、隠しておきたいという組織もあるかもしれません。これが攻撃者達の狙いです。

AIをどう使うか:ランサムウェアを阻止しコンプライアンスを強化

コンプライアンス違反の罰金は安くありません。Equifax社は2017年のデータ流出に関連した裁判を終わらせるのに3年かかりました。最終的に彼らは7億ドルをアメリカ合衆国連邦取引委員会およびCFPB(消費者金融保護局)を含めた規制当局に支払うことで決着しました。Home Depot社およびUber社も数億ドルの罰金刑を課されたことはよく知られています。

これらの規制上の罰金がランサムウェアの潜在的影響をさらに大きくしているのです。攻撃者は今後も適応を続け新しい弱点を見つけてくるでしょう。このことは、ランサムウェアをその最も早い段階において、高い精度かつマシンスピードで識別し封じ込めることが組織にとってきわめて重要であることを意味します。

DarktraceのAIはこのことを繰り返し実証しており、WastedLocker 侵入 をランサムウェアの展開前に阻止した事例もその一つです。組織についての理解を絶えず進化させることにより、Cyber AIはエンタープライズ全体に渡ってあらゆる異常なアクティビティを検知し自動的に調査するとともに、リアルタイムで自律的に対処し、進行中の脅威を阻止します。

図1:Darktraceのカスタマイズ可能なCCPAタグにより、CCPAの定義する個人データに関連するアクティビティに特別なアラートを生成することができる

さらに、Darktraceのテクノロジーを使ってコンプライアンス関連の各種脅威モデルに基づく異なる種類のアラートを発行することも可能です。たとえば、CCPAへのコンプライアンスを確実にしたい場合、CCPAが適用されるカスタマーデータを保持、あるいは保持する可能性が高いデバイスに対して専用の‘CCPA Tag’を使用することができます。タグ付けされたデバイスからの対応するデータが環境外に送出される、あるいは異常なアクティビティに関与した場合、DarktraceのAIはこれを即座に検知し、このインシデントに対して自動的に調査を開始します。

マシンスピードの脅威からの保護、およびカスタマイズ可能なアラートを使ったコンプライアンス強化に対する実証済みの能力を備えたDarktrace Immune System プラットフォームは、二重恐喝ランサムウェアに対する強力な防御を提供します。

さまざまなプレッシャー

コンプライアンスの問題は、ランサムウェアの被害者が直面する多数の戦略的懸念の一つにすぎません。顧客からの信頼、貴重なIP、長期的な評判などの懸念に加えて、脅威アクターは今後も標的の新たな弱点を探しつづけるでしょう。攻撃者と防御側の「いたちごっこ」は終わりません。

図2:現在ある二重恐喝ランサムウェアの種類

したがって、ランサムウェアがファイルを暗号化したり抜き出したりする前にそれを無害化し、これらの脅威を最も早い段階で阻止する、高度なテクノロジーを使用することが有効です。

Cyber AIが二重恐喝ランサムウェアを防ぐ方法について詳しく知る

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.