« 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項 | Main | NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価 »

2023.11.13

世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、11月13日〜15日で開催される年次総会の一部として、サイバー犯罪と凶悪犯罪は融合しつつある:どのように対策するか?、という記事をのせていますね。。。

Infostealer malware(情報窃取マルウェア)に感染していることをまずは見つけよう!てきな話ですかね。。。

 

World Economic Forum - Report

・2023.11.08 The ransomware warning sign we should all have on our radar

The ransomware warning sign we should all have on our radar ランサムウェアの警告サインに注意しよう
・In 2023, over 80% of companies were affected by ransomware in the preceding 12 months. ・2023年には、80%以上の企業が過去12ヶ月間にランサムウェアの被害を受けている。
・By looking more closely at how ransomware attacks happen, we can spot warning signs sooner and act on them to prevent future attacks. ・ランサムウェア攻撃がどのように起こるかをより詳細に調べることで、警告の兆候をより早く発見し、今後の攻撃を防ぐために行動することができる。
・In the fight against ransomware, the best defence is one built on data and aligned properly to the threats a company faces. ・ランサムウェアとの戦いにおいて、最善の防御策は、データを基に構築され、企業が直面する脅威に適切に対応することである。
The cybersecurity community talks a lot about ransomware attacks: who the latest ransomware gangs are, common attack vectors, how much companies are shelling out in ransom payments and what the proper incident response protocols are for security teams. サイバーセキュリティのコミュニティでは、ランサムウェア攻撃について多くのことが語られている。最新のランサムウェアのギャングが誰なのか、一般的な攻撃ベクトル、企業が身代金の支払いに支払っている金額、セキュリティチームにとって適切なインシデント対応プロトコルとは何かなどだ。
That all matters, of course. By and large though, security teams are already aware of the threat ransomware poses due to firsthand experience. In 2023, 81% of companies were affected by ransomware in the preceding 12 months. Reported effects vary widely, from needing to purchase a solution to combat ransomware attacks, to being actively targeted, to actually paying a ransom. Regardless, the rate of companies affected by ransomware has remained consistently high since 2021. もちろん、それはすべて重要だ。しかし、概してセキュリティ・チームは、ランサムウェアがもたらす脅威を実体験としてすでに認識している。2023年には、81%の企業が過去12カ月間にランサムウェアの被害に遭っている。ランサムウェア攻撃に対抗するためのソリューションを購入する必要があったり、積極的に標的にされたり、実際に身代金を支払ったりと、報告された影響はさまざまだ。いずれにせよ、ランサムウェアの被害を受けた企業の割合は、2021年以降一貫して高い水準を維持している。
The far-reaching impacts of ransomware, combined with the fact that we’re on track for the second costliest year for ransomware in history, means it’s time to take another look at the ransomware problem and think about tackling it from a new angle. By looking more closely at how ransomware attacks happen in the first place – through means that may not be on security teams’ radars yet – we can spot warning signs sooner and act on them to defend against attacks altogether. ランサムウェアの広範囲に及ぶ影響に加え、ランサムウェアの被害額が史上2番目に大きい年になりそうだという事実は、ランサムウェアの問題をもう一度見直し、新たな角度から取り組むことを考える時期に来ていることを意味する。そもそもランサムウェア攻撃がどのようにして発生するのか、セキュリティ・チームのレーダーにはまだ映っていないような手段で発生するのかをより詳しく調べることで、警告の兆候をより早く発見し、それに基づいて行動することで、攻撃を完全に防御することができる。
Have you read? 既に読んだ?
・How we can use AI and organization to harness diversity and inclusion in cybersecurity ・サイバーセキュリティにおける多様性と包括性を活用するためにAIと組織をどのように活用できるか
・Cybercrime and violent crime are converging: here’s how to deal with it ・サイバー犯罪と暴力犯罪は融合しつつある。
・How closing the cyber skills gap can help organizations build resilience ・サイバースキルギャップを解消することが、組織のレジリエンス構築にいかに役立つか
How ransomware usually starts ランサムウェアは通常どのように始まるか
Let’s start with one of the most common entry points for a ransomware attack: compromised credentials. ランサムウェア攻撃の最も一般的な侵入経路の1つである、漏洩した認証情報から始めよう。
Criminals love authentication credentials because they are a reliable lever for gaining access to systems and information that allow them to perpetrate crimes. Threat actors often get their hands on credentials by using infostealer malware, which is typically deployed through malicious websites, botnets or phishing emails. 犯罪者が認証情報を好むのは、認証情報が犯罪を実行するためのシステムや情報にアクセスするための信頼できる手段だからだ。脅威者は、通常、悪意のあるウェブサイト、ボットネット、またはフィッシングEメールを通じて展開される情報窃取マルウェア(Infostealer malware) を使用して認証情報を入手することが多い。
With one click, a user can become infected, allowing the malware to steal a wide variety of information stored on the user’s machine – from private data, such as credit card numbers, to usernames and passwords and even web session cookies that open doors to corporate resources. このマルウェアは通常、悪意のあるウェブサイトやボットネット、フィッシングEメールを通じて展開される。ワンクリックでユーザーは感染し、マルウェアはユーザーのマシンに保存されている様々な情報(クレジットカード番号などの個人データから、ユーザー名やパスワード、さらには企業リソースへの扉を開くウェブセッションクッキーまで)を盗むことができる。
And, when one door opens many others often do, too. SpyCloud research shows that 72% of users whose data was exposed in two or more breaches in 2022 reused their passwords across applications. That means that nearly three in four people were actively using a compromised password, making it pretty easy for threat actors to take one exposed credential pair and gain access to their information and files across multiple accounts, including work applications. そして、1つのドアが開くと、他の多くのドアも開くことが多い。SpyCloudの調査によると、2022年に2件以上の情報漏えいでデータが流出したユーザーの72%が、アプリケーション間でパスワードを再利用していた。つまり、4人に3人近くが漏洩したパスワードを積極的に使用していたことになり、脅威行為者は1組の漏洩したクレデンシャルを手に入れるだけで、仕事用のアプリケーションを含む複数のアカウントにまたがる情報やファイルに簡単にアクセスできるようになる。
DISCOVER 発見事項
How is the World Economic Forum addressing rising cybersecurity challenges? 世界経済フォーラムはサイバーセキュリティの課題にどのように取り組んでいるか?
The Global Security Outlook 2023 revealed that 43% of leaders polled believe that a cyberattack will materially affect their organization in the next two years. Global Security Outlook 2023」では、世論調査を行ったリーダーの43%が、今後2年間にサイバー攻撃が組織に重大な影響を及ぼすと考えていることが明らかになった。
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. 世界経済フォーラムのサイバーセキュリティ・センターは、体系的なサイバーセキュリティの課題に対処するためのグローバルな行動を推進している。同センターは、官民のサイバーセキュリティに関する協力を促進する独立した公平なプラットフォームである。
Learn more about our impact: 私たちの影響についてもっと知る:
Cybersecurity training: In collaboration with Salesforce, Fortinet and the Global Cyber Alliance, we are providing free training to the next generation of cybersecurity experts. To date, we have trained more than 122,000 people worldwide. ・サイバーセキュリティのトレーニング セールスフォース、フォーティネット、グローバル・サイバー・アライアンスと協力して、次世代のサイバーセキュリティ専門家に無料のトレーニングを提供している。現在までに、世界中で122,000人以上にトレーニングを提供している。

Cyber resilience: Working with more than 170 partners, our centre is playing a pivotal role in enhancing cyber resilience across multiple industries: oil and gaselectricitymanufacturing and aviation. ・サイバー・レジリエンス 当センターは170以上のパートナーと協力し、石油・ガス、電力、製造、航空など、さまざまな業界のサイバー耐性を強化する上で極めて重要な役割を果たしている。

What new research says about the infostealer malware 情報窃取マルウェアに関する新たな研究結果
Here’s where it gets interesting. With access credentials gained via infostealer malware, threat actors can connect dots to then steal, encrypt and ransom sensitive or proprietary data across an enterprise system – launching a full-blown ransomware attack. For the first time, cutting-edge research confirms this is what (at least some) threat actors are doing. The presence of an infostealer infection is indeed an early warning signal of the potential for ransomware. ここからが興味深いところだ。脅威者は、情報窃取マルウェアを介して得たアクセス認証情報を使って、企業システム全体の機密データや専有データを盗み、暗号化し、身代金を要求することができる。今回初めて、最先端の調査によって、これが(少なくとも一部の)脅威行為者の行動であることが確認された。情報窃取マルウェア感染の存在は、まさにランサムウェアの可能性を示す早期警告シグナルである。
1_20231113060701
Image: SpyCloud 画像 SpyCloud
In a sample of North American and European companies that experienced a ransomware attack in 2023, nearly one in three were infected with infostealer malware in the months leading up to the attack (2023 SpyCloud Ransomware Defence Report). 2023年にランサムウェア攻撃を経験した北米とヨーロッパの企業のサンプルでは、3社に1社近くが攻撃までの数ヶ月間に情報窃取マルウェアに感染していた(2023 SpyCloud Ransomware Defence Report)。
What does this mean for security teams? これはセキュリティチームにとって何を意味するのだろうか?
As a risk signal, an infostealer malware presence should trigger companies’ ransomware radar and motivate a comprehensive malware remediation response. リスクシグナルとして、情報窃取マルウェアの存在は、企業のランサムウェアレーダーを起動させ、包括的なマルウェア修復対応の動機付けとなるはずだ。
We can’t say with certainty that a ransomware attack follows an infostealer malware infection every time. Only threat actors themselves know how they intend to use the information they steal. But, infostealer malware presence is a good starting point for better defence and prevention. しかし、情報窃取マルウェアの感染後に必ずランサムウェア攻撃が発生するとは断言できない。窃取した情報をどのように利用するつもりなのかは、脅威行為者自身にしか分からないからだ。しかし、インフォステア・マルウェアの存在は、より良い防御と予防のための良い出発点となる。
We can use this starting point to build out a broader picture to understand the role that infostealers play in a ransomware attack. This will improve awareness of potential threats and better inform security defence priorities and tactics. この出発点を利用して、ランサムウェア攻撃においてインフォステーラーが果たす役割を理解するための、より広範なイメージを構築することができる。そうすることで、潜在的な脅威に対する認識が向上し、セキュリティ防御の優先順位や戦術をより的確に伝えることができる。
So, how do we build upon the role of infostealer infections in a ransomware kill chain? では、ランサムウェアのキルチェーンにおける情報窃取マルウェア感染の役割をどのように構築すればよいのだろうか?
First, we broaden our perspective. We assess the circumstances that preceded the infection. Patching priorities that focus on exploitable vulnerabilities, for example, may make it more difficult for a threat actor to gain entry in the first place. Security awareness training that keeps up with modern attacker techniques could have a similar mitigating effect on the risk of infostealer malware. まず、視野を広げる。感染前の状況を評価する。例えば、悪用可能な脆弱性に焦点を当てたパッチ適用の優先順位は、脅威行為者が最初に侵入することをより困難にするかもしれない。最新の攻撃者テクニックに対応したセキュリティ意識向上トレーニングも、同様に情報窃取マルウェアのリスクを軽減する効果がある。
We also consider the steps an attacker is likely to take after infection and the data to which they have access. Perhaps single sign-on credentials and additional application access are the actor’s targets. Or, perhaps malicious actors are after crypto wallets. また、攻撃者が感染後に取る可能性の高い手順や、アクセス可能なデータについても検討する。シングル・サインオンの認証情報や追加アプリケーション・アクセスが攻撃者のターゲットかもしれない。あるいは、悪意のある行為者は暗号ウォレットを狙っているのかもしれない。
Collecting and evaluating signals around infostealer malware can shed light on a company’s status and circumstances and help to locate infostealer malware appropriately in a ransomware kill chain. These additional signals will add context and nuance to our understanding of infostealer malware and might even serve as additional early warning signals themselves. 情報窃取マルウェアに関するシグナルを収集し評価することで、企業のステータスや状況を明らかにし、ランサムウェアのキルチェーンにおいて情報窃取マルウェアの位置を適切に特定することができる。これらの追加的なシグナルは、情報窃取マルウェアに対する私たちの理解に文脈とニュアンスを加え、それ自体がさらなる早期警戒シグナルとして機能する可能性さえある。
Second, we act on what we know – and keep watching. We get to work monitoring for, and remediating, infostealer malware infections and take steps to limit the potential damage that could result from data exfiltration. 第二に、私たちは知っていることを行動に移し、監視を続ける。私たちは、情報搾取マルウェア感染の監視と修復に取り掛かり、データ流出による潜在的な損害を抑えるための措置を講じる。
Then we continue to collect and evaluate data and signals as companies either fall victim to or evade ransomware attackers. Over time, these signals will reveal patterns that will further contextualize the infostealer-ransomware connection. They will allow researchers to leverage large-scale analytics and machine-learning algorithms to understand it, learn from it and use it to support defensive tactics. そして、企業がランサムウェア攻撃者の被害に遭ったり、攻撃を回避したりする際のデータやシグナルを収集し、評価し続ける。時間の経過とともに、これらのシグナルは、情報窃盗犯とランサムウェアの関連性をさらに文脈化するパターンを明らかにするだろう。これにより、研究者は大規模な分析と機械学習アルゴリズムを活用して、ランサムウェアを理解し、そこから学び、防御戦術をサポートするために利用することができるようになる。
In the fight against ransomware, the best defence is one built on data and aligned appropriately to the threats a company faces. An organization’s vulnerability to ransomware attacks will rely in part on its unique environment, characteristics and needs. Our research at SpyCloud indicates, however, that the connection between infostealer infections and ransomware attacks persists regardless of company shape or size. ランサムウェアとの戦いにおいて、最良の防御策は、データに基づいて構築され、企業が直面する脅威に対して適切に調整されたものである。ランサムウェア攻撃に対する組織の脆弱性は、その組織独自の環境、特性、ニーズに依存する部分がある。しかし、SpyCloudの調査によると、情報窃取者の感染とランサムウェア攻撃の関係は、企業の形態や規模に関係なく続いている。
If that is the case, a ransomware prevention plan can only be considered comprehensive if it includes monitoring for and remediating infostealer malware exposure. もしそうであれば、ランサムウェア対策は、情報窃取マルウェアに感染していないか監視し、修復することを含んで初めて包括的な対策と言える。

 

|

« 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項 | Main | NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項 | Main | NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価 »