企業がランサムウェア攻撃を受けると、経営幹部とセキュリティオペレーションセンター（SOC）のチームは、攻撃の原因究明に追われることになります。

攻撃を受ける原因は往々にして同じです。多種多様なフィッシングメールが従業員に配信され、従業員がなりすましメールに騙され、仕事で使用しているアカウントの詳細など個人を特定できる情報を提供しています。

ソーシャルエンジニアリングとメール詐欺は、依然として世界中の企業が直面している最大の脅威の１つであり、ESETの調査では、メールの脅威の検出数の上位にフィッシングと詐欺用のトロイの木馬がランクインしています。

最近、PlayStation Studiosの子会社であるインソムニアックゲームズがRhysidaランサムウェアによる被害を受けました。同社は、要求された身代金の支払いを拒否したことから、数テラバイト規模のデータが流出しました。結果としてデータは流出しましたが、これらの脅威グループは決して信頼できないため、身代金を拒否したことは正当な行為です。

このような攻撃を防止するセキュリティ対策は存在するのでしょうか？このブログでは、XDR（Extended Detection and Response）またはMDR（Managed Detection and Response）を活用した予防重視のアプローチについて解説します。

お姫様を誘拐する大悪党と、お姫様を救うために駆けつける勇敢なヒーローが登場する物語があります。ランサムウェアやサイバー攻撃全般もこの物語に似ています。

これらの物語では、城を焼き払おうとするドラゴンが登場しますが、サイバー攻撃では城に侵入し、防御機能を無効にする危険なマルウェアが登場します。勇敢なヒーローは、優れた守護の能力を発揮し、城のあらゆる場所に防御のための設備を整備しますが、北側の城壁の真下に大きな穴が開いており、緑の茂みで見えなくなっています。

このストーリーでお伝えしたいのは、脆弱性やサイバー攻撃の対象でありながら適切に保護されていない領域の存在、特定の攻撃手法への対策漏れといった防御の間隙は常に存在しており、これらの問題について防御側が十分に把握していないことがあるということです。

サイバー攻撃者は、企業の内部システムに必ず入り込もうとします。経営幹部やCEOに付与されているアクセス権限、そして最も重要なファイルやデータがそこにあるためです。企業によって異なりますが、これらのファイルやデータの価値は数億円、場合によっては何千億円になる場合もあります。攻撃者はこの状況を熟知しているため、企業のセキュリティ担当者を出し抜いて、攻撃を成功させるためのあらゆる手立てを講じています。

SolarWindsとMOVEitのサプライチェーン攻撃を振り返って考察しましょう。SolarWindsへの攻撃は2020年に発生しましたが、その原因は脆弱性への理解と対応が不十分だったことでした。2023年に発生したMOVEitへの攻撃では機密性の高い顧客データが盗み出されましたが、その原因はこのファイル転送ソフトに存在していた欠陥が悪用されたことでした。

MOVEitのハッキングによってどのような影響があったのでしょうか？Emsisoftの試算によると、このインシデントによる被害額は150億米ドルにのぼります。影響を受けた組織の数は約2,726社に達しました。健康や安全など、値段はつけられないものは多くあると言われますが、サイバーセキュリティの場合、最終的な被害額が算出されます。

これらの攻撃では、特定の企業が標的になったわけではありません。サプライチェーン攻撃では、その性質上、あらゆるパートナーや顧客が攻撃の影響を受け、情報が窃取あるいは流出することが多くあります。つまり、サプライチェーン攻撃については、XDRやMDRサービスに投資するなどの予防措置を講じていない限り、どのような企業も安全とは言えないのです。

ゼロデイ脆弱性は、開発者も把握していないソフトウェアの欠陥によって発生するため、防止することは困難です。

脆弱性は、一般的なCVE（Common Vulnerabilities and Exposures）のレジストリを管理するMITREのような組織によって公開され記録されています。

脆弱性への攻撃を防ぐ方法の1つは、セキュリティアップデートを実行し、パッチ管理機能を使用して脆弱性にパッチを適用することで、システムやアプリを常に最新の状態で維持することです。最近ではこのような適切なパッチの管理は、サイバー保険の必須要件となっていることも多くなっています。

脆弱性への対策が非常に重要である理由は、パッチを速やかに適用し、アップデートを迅速に実行することが、企業の攻撃対象領域を軽減することに直結するためです。セキュリティ管理者は、オフィス勤務でも、ハイブリッドまたは完全にリモートワークを行っている従業員に対しても、脆弱性を適切に管理しなければなりません。オフィスなど既存の会社の境界を超えてデバイスが使用されるようになりましたが、脆弱性の管理はこれらのデバイスに対しても同じように実施する必要があり、セキュリティ管理者の目の届かない領域や活動にも対策を拡大しなければなりません。多くのデバイスが従来とは異なる場所で使用されるようになったことで、潜在的な新たな脆弱性とそれに起因するインシデントが発生し、コンピューター、スマートフォン、タブレットを通じて重要な社内ネットワークやデータにアクセスできるユーザーが標的になるなど、多くの問題が発生しています。

クラウドベースのツールが広く利用されるようになり、さまざまな環境で利用されるデバイスが特に重要な問題になっています。多くの企業がSharePointやその他のクラウドベースの社内データリポジトリや共有ネットワークなどの製品を使用しているため、クラウドのセキュリティ対策は攻撃を予防するための重要な要素になっています。また、Office 365やGoogle Workspace Suiteのようなクラウドアプリには、メリットとリスクの両方が存在します。内部サーバーと外部ユーザーとの接続が増えるほど、攻撃を受ける機会も増加します。標的組織のものではない外部アカウントからマルウェアを共有するためにMicrosoft Teamsが使用される事案もあり、このようなリスクが明確になっています。

クラウドのセキュリティ対策は重要ですが、それだけでは十分ではありません。セキュリティ管理者は、攻撃者が会社の資産を悪用していることを特定するためのアラート、ルール、トリガーを使用して、自社のネットワークの状況を詳細に把握しなければなりません。

経験豊富でスキルの高いセキュリティ管理者は、XDRソリューションを使用して、潜在的なインシデントを迅速に復旧できるようにしながら、自社環境を正確に把握しています。そのようなソリューションを購入して継続的に運用するためのリソースが自社にあれば、問題はありません。

ESET Inspectのような効果的で直感的なソフトウェアを導入すれば、XDRのタスクを簡単に実行できます。ESET Inspectには、重要なルールがあらかじめ組み込まれており、セキュリティ管理者が簡単に運用できます。また、インターフェイスも洗練されており、拡張機能を簡単に設定することもできます。しかし、それでもXDRのタスクを実行するには時間がかかります。また、どのルールを設定し、カスタマイズし、優先順位をつけて設定する必要があるかを理解するために、管理者は自社環境を詳細に把握しなければなりません。

ESET Inspectの自動インシデント生成のような機能を使用すると、インシデントを迅速に復旧できるようになり、管理者に時間と気持ちの余裕が生まれ、他の重要な業務に集中できるようになるという優れた効果がもたらされます。

しかし、これで対策は万全でしょうか？XDRを導入していたら、前述のゲーム会社を標的としたランサムウェア攻撃を防止できていたでしょうか？

XDRは、確かにランサムウェアの実行を防止する方法の1つですが、セキュリティ管理者には迅速な対応が求められ、すべての場所で脅威を防止し、どこから侵入したかを把握して可能な限り迅速に脅威の原因を解決しなければなりません。

XDRを使用すると、企業環境を詳細に把握することができるため、迅速な対応が可能になります。例えば、MOVEitの大規模なインシデントでは、ESET Inspectが侵害を検知し、管理者に関連するログを提供しています。

しかし、自社に十分なリソースがなく、XDRを単に導入しただけでは十分な対策にならない場合もあります。リスクを軽減し迅速に復旧するために専門的な支援が必要な場合は、セキュリティ専門家による高度な支援・サービスを提供する、MDRソリューションが必要になります。

MDRはXDRとよく似ていますが、MDRには、専門家が企業のサイバーセキュリティを監視および管理するサービスが追加されます。XDRは、複雑な脅威であっても対応できる十分な人員、ナレッジ、キャパシティがある企業にとっては最適な選択肢です。一方で、MDRは、セキュリティツール（XDR）と脅威環境の両方について深い知識がある専門家によるサービスを即時利用できるため、リソースに限りのある企業でも自社のセキュリティを簡単に強化できます。

MDRは24時間365日体制で提供されるサービスであるため、平日、週末、夜間を問わず、インシデントが発生した場合に高度な支援を受けることができます。夜間や休日など自社のセキュリティチームが稼働していないときに、ランサムウェア攻撃が発生した場合でも、MDRチームは脅威に即座に対応します。

多くの中小企業ではリソースが限られており、セキュリティを担当するスタッフも不足していますが、中小企業も大企業と同じランサムウェア攻撃などの脅威に直面しています。このような攻撃を受けた場合には、迅速な対応が被害を軽減するための重要な鍵を握っています。