クラウド上でのランサムウェアから金融機関を守るには

投稿日: 2025年1月28日 作成者: climb
このエントリーをはてなブックマークに追加
LINEで送る

一見、ランサムウェア対策は単純そうに見えます。データをバックアップし、攻撃者がシステムに侵入して身代金を要求してきた場合には、そのバックアップを使用して復旧すればよいのです。しかし、実際にははるかに複雑です。単に計画を立てるだけでなく、進化し続けるサイバー犯罪者の戦術に耐える強固な戦略が必要です。

その戦術の1つが、バックアップ自体を標的にすることです。特に準備ができていない場合、金融機関にとってますます重大なリスクとなります。

金融業界におけるランサムウェアの問題:壊滅的な影響の可能性

あらゆる業界でサイバー脅威やデジタルによる混乱が増加していることは周知の事実ですが、特に金融業界にとっては特に懸念すべきことです。攻撃は個人の貯蓄口座から銀行サービスに依存する小規模な企業まで、あらゆるものに影響を及ぼす可能性があります。

しかし、それだけではありません。

なぜ金融機関はこれほど魅力的な標的となるのでしょうか? 膨大な量の機密データを保有していることに加え、多額の身代金を支払う余裕があり、業界全体の崩壊を防ぐという強いプレッシャーがあります。金融機関への攻撃が1件成功するだけで連鎖反応が起こり、金融システム全体が不安定になる可能性があります。

まさにこの理由から、DORA(開発、運用、および関連するセキュリティのベストプラクティスをまとめたガイドライン)のような新たなコンプライアンス対策が生まれています。

金融サービス業界はランサムウェアに対してますます脆弱になっており、被害件数は大幅に増加しています。昨年、調査対象となった金融機関の64%がランサムウェアの被害に遭ったと報告しています。

サプライチェーン妨害:単一の脆弱性が銀行セクターに混乱をもたらした事例

2023年5月に発生した、最近の大規模なランサムウェア攻撃について紹介します。これは多数の銀行を標的としたサプライチェーン侵害であり、その影響は現在も続いています。

CLOPランサムウェアグループは、銀行を含む多くの金融機関で広く使用されている安全なファイル転送を促進するソフトウェア、MOVEit Transferのセキュリティ上の欠陥を悪用しました。

この脆弱性(および攻撃者の高度な手法)により、悪意のあるスクリプトを使用してサーバにアクセスし、制御することで、被害者のネットワークに不正アクセスすることが可能になりました。

その結果、少なくとも10行の米国の銀行および信用金庫・組合が被害を受けました。攻撃者はシステムを暗号化し、被害者のネットワークにアクセスして、氏名、住所、生年月日、社会保障番号、その他の個人情報を含む機密データを盗みました。

被害は多くの銀行に及んでいました。この攻撃により、金融機関の一部は支店の閉鎖や業務の一時的な制限を余儀なくされるなど、大混乱が生じました。データ漏洩と財務への影響の全容は現在も調査中ですが、これは、脆弱なファイル転送ソフトウェアを介した金融セクターを標的とした大規模なサプライチェーン攻撃であると考えられます。

長期にわたる悪意ある侵入が銀行のバックアップを標的にする可能性

CLOP攻撃では、悪意のある攻撃者がセキュリティの脆弱性を悪用して金融機関のネットワークにアクセスしましたが、銀行のデータが侵害される方法は他にもさまざまあります(後ほど説明します)。しかし、侵入の一般的な、そして破壊的な結果として、バックアップ攻撃のシナリオが挙げられます。これは、初期の侵害に続いて発生することが多いものです。

多くの場合、攻撃者は銀行のネットワークに静かに侵入し、数週間、あるいは数ヶ月間も発見されずに潜伏します。この長期にわたるアクセスにより、攻撃者はシステムを研究し、主要な標的を特定し、バックアップファイルを確実に発見するのに十分な時間を確保できます。この間、攻撃者は計画的にバックアップを暗号化し、バックアップを無用なものに変え、銀行が身代金を支払わずにデータを復元できないようにします。その間、攻撃者は身代金の要求を慎重に準備し、要求が満たされない場合は盗んだデータを公開すると脅迫します。この長期間にわたる検出されないアクセスにより、攻撃の被害はさらに拡大します。銀行は侵害の全容が明らかになったときに不意を突かれることになるからです。

ランサムウェアの文脈におけるバックアップの理解

IDCの報告によると、2023年の51%のランサムウェア攻撃はバックアップの破壊を試み、そのうち60%が成功したとのことです。

ユーザは、本番データとバックアップをどのように区別すればよいのでしょうか?

従来、ランサムウェアはデータベースやメールサーバなどの「稼働中」の業務データを暗号化し、業務を妨害することに重点を置いていました。

しかし、業務データに加えて、銀行は通常、データバックアップも保有しています。これは、元のデータが侵害された場合にシステムを復元するために使用できる、業務データの特定時点のコピーです。バックアップ後には業務データが変更されるため、バックアップデータは通常、業務データと同一ではありません。しかし、バックアップを頻繁に作成していれば(ここで言う「頻繁」とは、お客様の組織のRPOのニーズを考慮した頻度を意味します)、バックアップデータと本番データの差異は、バックアップを使用した復旧を妨げるほど大きなものではなくなります。

バックアップにアクセスでき、システムを稼働可能な状態に復元できるほど新しいバックアップであれば、身代金を支払う必要のあるランサムウェア攻撃が発生した場合でも、バックアップを使用して復旧することができます。

悪意のある攻撃者がシステムに侵入し、バックアップを標的にする一般的な方法

では、悪意のある攻撃者はどのようにしてシステムに侵入するのでしょうか。さまざまな方法があります。

  • 盗まれた管理者認証情報:攻撃者が本番システムとバックアップシステムの両方にアクセスできる人物のログイン認証情報を盗んだ場合、その従業員になりすましてログインし、バックアップを削除できる可能性があります。
  • ソーシャルエンジニアリング:攻撃者は、フィッシングや類似のソーシャルエンジニアリングのテクニックを使って、従業員をだましてバックアップデータを削除させることもできます。例えば、攻撃者はITマネージャーやディレクターになりすまして、ディスクスペースを確保するためにバックアップを削除するよう従業員に指示することができます。
  • 侵害されたバックアップツール:認証管理が不十分であるなど、バックアップツールやスクリプトの脆弱性を悪用することで、攻撃者はツールにアクセスし、そこからバックアップを削除できる可能性があります。
  • 侵害されたストレージインフラ:攻撃者は、バックアップデータをホストするオペレーティングシステムやストレージソフトウェアの脆弱性を悪用して、データを削除したり暗号化したりする可能性があります。

金融機関はどのようにして脅威の検知を改善できるでしょうか?

ランサムウェアの脅威が増加する中、金融機関、特に銀行は、システムとデータの保護に包括的かつ積極的なアプローチを採用する以外に選択肢はありません。これは、強力なファイアウォールやアンチウイルスソフトウェアを導入するだけでは不十分であり、定期的なスキャン、アップデート、教育、保護といった多層的な戦略が必要です。これは、悪意のある行為から完全に防御するための重要な第一歩です。

銀行が脅威評価を強化するために最初に行うべき対策を以下に示します。

  • 定期的なシステムスキャンとパッチ適用:システムの脆弱性を定期的にスキャンし、パッチを迅速に適用することは、ランサムウェアが既知の脆弱性を悪用できないようにするために極めて重要です。これにより、攻撃者がシステムに侵入できるリスクを最初から低減することができます。
  • 脅威インテリジェンスの共有:金融機関は、業界における新たなランサムウェアの脅威、戦術、および侵害の兆候(IOC)に関するリアルタイム情報を提供する脅威インテリジェンスサービスを契約することができます。最新情報を入手することで、銀行は常に警戒を怠らず、最大限の検知能力を発揮することができます。
  • MFAの導入:バックアップ管理システムとバックアップデータへのアクセスには、多要素認証(MFA)を導入し、権限のある担当者だけが変更やバックアップコピーへのアクセスを行えるようにする必要があります。
  • バックアップへの最小権限の許可を実装する:ユーザとシステムに必要なアクセス権のみを付与することで、銀行は攻撃による潜在的な影響を制限し、バックアップが不正な変更や暗号化から安全に隔離された状態を維持することができます。これにより、攻撃者がバックアップシステムを悪用する可能性が低くなります。
  • ファイル整合性監視(FIM):FIMは、ランサムウェアがデータを暗号化したり変更したりする際に使用する一般的な戦術である、重要なファイルへの不正な変更を検出します。不正な変更を継続的に監視し、警告を発することで、金融機関はランサムウェア攻撃の可能性を拡大する前に素早く特定し、予期せぬファイル変更を確実に迅速に検知し、調査することができます。
  • バックアップの特定を困難にする:バックアップに不適切なラベル付け(例えば「バックアップ」とだけ表示)がされていると、サイバー犯罪者の格好の標的となってしまいます。攻撃者は、バックアップストレージに顧客の機密財務情報や取引記録、口座詳細が含まれている可能性があることを知っており、バックアップストレージを特に標的にすることがあります。バックアップに堅牢な命名規則と暗号化を採用することで、攻撃者がバックアップと通常データを区別することをより困難にすることができます。
  • 従業員はソーシャルエンジニアリングの手口を認識しておく必要があります。金融機関の従業員は、フィッシングメールやプリテンディング攻撃の標的となり、バックアップデータの偶発的な漏洩や侵害につながるケースがよくあります。従業員が、攻撃者にバックアップシステムや機密情報へのアクセスを無意識に提供してしまう可能性があることを理解していることを確認してください。金融機関は、フィッシングのシミュレーションを実施し、安全なバックアップの実践に関する意識を高めることで、このリスクを軽減する必要があります。

脅威の検知が手遅れになった場合:システムを保護するためのベストプラクティスは、強固なバックアップ戦略です

攻撃を受けた後、業務の継続性を確保する最も効果的な方法は? 実際に機能し、テスト済みの災害復旧計画です。

残念ながら、脅威の検知は限界があります。攻撃者がその手法を洗練させていくにつれ、最も高度な検知システムでも回避されてしまう可能性があり、実際に回避されてしまうでしょう。脅威の検知は依然として不可欠ですが、銀行がクリーンで更新済みのオフサイトバックアップを使用して、健全なフェールオーバー状態に復旧する戦略を策定しておくことがさらに重要です。以下は、セキュリティチームがランサムウェア対策としてシステムに導入でき、即座に完全な環境復旧を実行・完了できる、簡単に導入できる対策です。

1. 定期的な復旧テストの実施定期的な復旧訓練とテストは、バックアップの完全性を検証し、潜在的な侵害を検知し、シームレスなフェイルオーバーのためにすべてのネットワーク設定が適切に復元されていることを確認するために不可欠です。このプロセスを自動化するだけでなく、コンプライアンスをサポートし、セキュリティの監視を強化する詳細な監査ログを作成するサードパーティのツールを選択してください。

2. エアギャップ・バックアップ:エアギャップとは、バックアップデータをネットワークから切り離すことで、ネットワークベースの攻撃のリスクを大幅に軽減する手法です。 ただし、この方法ではデータ復元の速度が若干遅くなるため、最大限のデータ保護を実現するには、オフサイト・ロケーションやアカウントから即時に復元できる革新的なソリューションを選択する必要があります。

3. バックアップを暗号化する:バックアップを暗号化すると、攻撃者がバックアップを見つけにくくなります。なぜなら、データのコンテンツを閲覧できなくなるからです。ファイルのコンテンツは、復号キーを持たない人には読めません。

4. バックアップの複数のコピーを作成する – 費用対効果:複数のコピーを作成し、それぞれを異なる場所に保管します。これにより、1つのセットが侵害された場合でも、復旧能力を確保できます。

もちろん、バックアップストレージのコストが通常よりも増大するという課題があります。しかし、コールドストレージ層に最新のバックアップのみを保存するなど、コスト削減のベストプラクティスを活用することで、この問題を軽減することができます。革新的な自動化ツールを使用することで、このプロセスをシームレスに実行でき、増分バックアップの保存など、長期的なコスト削減のメリットも得られます。これにより、データの変更のみが保存されることが保証されます。(ヒント:ほとんどのクラウドプロバイダーはフルバックアップを保存しているため、不必要に高い費用が発生します)。

5. クラウドとアカウントをまたいでバックアップを保存する

バックアップの信頼性をさらに高めるには、バックアップを複数のアカウントとクラウドに分散させます。 攻撃者が本番環境を管理するアカウントを乗っ取ったり、クラウド環境が侵害されたりしても、データは安全に保たれます。 例えば、バックアップが運用システム(トランザクション処理や顧客データ管理システムなど)と同じクラウドアカウントに保存されている場合、主要システムへの攻撃により本番データとバックアップの両方が侵害される可能性があります。ネットワークのセグメント化やクラウドベースのバックアップソリューションによって、これらの環境を確実に分離することで、このリスクを軽減することができます。

6. 不変のバックアップを作成する:不変のバックアップ(イミュータブル)とは、変更が不可能なバックアップデータです。これにより、攻撃者がバックアップを暗号化したり削除したりすることを阻止し、また、自社の従業員が誤って変更を加えてしまうリスクからも保護することができます。

7. 読み取り専用ストレージを使用する:ほとんどのストレージシステムでは、データを読み取り専用モードで保存し、データの閲覧は可能だが変更はできないようにすることができます。

読み取り専用ストレージは、攻撃者がバックアップを読み取り/書き込みモードで再マウントする方法を見つけ出す可能性があるため、侵害されたバックアップに対する確実な保証とはなりません。しかし、バックアップデータの損傷をより困難にすることはできます。

結論:容易に金融機関のレジリエンスを確保

金融機関はランサムウェア攻撃によるリスクの高まりに直面しており、業務データとバックアップの両方を保護することは、事業継続性を維持するために不可欠です。金融機関は、これらのベストプラクティスを導入することで、防御力を強化し、ランサムウェアの影響を緩和し、ますます巧妙化するサイバー脅威に直面してもレジリエンスを確保することができます。

クライムがバックアップデータの保護ソリューション

クライムでは、金融機関へのデータバックアップの保護だけでなく、強固なデータセキュリティを確保するための知識と自信を深める包括的なソリューションを提供しています。

関連トピックス