2020/08/31

【転載】ソフォスの調査により、組織がランサムウェア攻撃で身代金を支払った場合、 被害の回復にかかる費用が2倍になることが明らかに~ランサムウェア攻撃を受けた日本企業の3分の1(31%)が、身代金を支払ったことを認めている~

ソフォスの調査により、組織がランサムウェア攻撃で身代金を支払った場合、 被害の回復にかかる費用が2倍になることが明らかに sophos.com/ja-jp/press-of…: ソフォスの調査により、組織がランサムウェア攻撃で身代金を支払った場合、 被害の回復にかかる費用が2倍になることが明らかに sophos.com/ja-jp/press-of…




ーー

ソフォスの調査により、組織がランサムウェア攻撃で身代金を支払った場合、被害の回復にかかる費用が2倍になることが明らかに
SOPHOS PRESS RELEASE

~ソフォスが世界的に実施した調査から、組織が身代金を支払った場合、被害の回復にかかる平均費用は140万米ドルであったのに対して、支払わなかった場合は73万米ドルであったことが判明。その中でも、日本は被害回復に最も高い費用を支払っている国の一つであることが明らかに~

~SophosLabs、身代金の支払いに対する圧力を増大させるMazeランサムウェア 手法について報告~

ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、世界的に実施した調査に関するレポート『The State of Ransomware 2020(ランサムウェアの現状2020年版』を発表しました。この調査結果により、組織がランサムウェア攻撃を受けた際、暗号化されたデータを復元するためにサイバー犯罪者に身代金を支払うことは、被害を回復するための容易で安価な方法ではないことが明らかになりました。実際、組織が身代金を支払うと、被害を回復するのに必要な総費用は約2倍になっています。本調査は、欧州、南北アメリカ、アジア太平洋および中央アジア、中東、およびアフリカを含む6大陸の26カ国の企業の5,000人のIT意思決定者を対象に実施されました。
日本企業の約半分(42%)が過去12か月間にランサムウェア攻撃を受けており、調査したITマネージャーの55%が身代金を支払うことなくバックアップからデータを復元していました。この調査によると、調査対象の国の中で日本はランサムウェア攻撃によるデータ暗号化の防止に最も効果的な結果を得ておらず、93%の攻撃がデータの暗号化に成功しています。日本はまた、ランサムウェア攻撃の被害を回復するのに最も費用がかかっている国の1つであり、1位のスウェーデンに次いで第 2 位となっています。
身代金を含まない、ビジネスのダウンタイム、受注の損失、運用コストなど、ランサムウェア攻撃による影響に対処するための総費用は平均73万米ドルでした。企業が身代金を支払った場合、この平均コストは140万米ドルに上り、ほぼ倍になりました。ランサムウェア攻撃を受けた日本企業の3分の1(31%)が、身代金を支払ったことを認めています。日本では、身代金を支払ってもデータを復元できなかった事例は確認されませんでした。
ソフォスの主任リサーチサイエンティストのChester Wisniewskiは、次のように述べています。「ダウンタイムの発生による被害を避けるためには身代金を支払わなければならないと考えてしまうかもしれません。身代金を支払うことは、表面上、データを復元する効果的な方法のように見えるかもしれませんが、これは幻想にすぎません。ソフォスの調査結果は、身代金を支払っても、時間と費用面で復元のための負担はほとんど変わらないことを示しています。これは、すべてのデータを復元するための鍵が1つだけであることがほとんどないためと考えられます。多くの場合、攻撃者はいくつもの鍵を共有しており、これらの鍵を使用してデータを復元する場合、作業が複雑となり時間がかかるのです」
世界的には、5%の公的機関の組織が身代金を支払ってもデータを復元できませんでした。実際、暗号化されたデータを復元できなかった組織は全世界では6%でしたが、調査した公的機関の組織ではその数値は13%に上ります。
しかし、通説とは逆に、公的機関はランサムウェアによる影響が世界で最も少なくなっています。前年に大きなランサムウェア攻撃を受けたと回答した調査対象の公的機関組織は45%に留まっています。世界的には、民間のメディア、レジャー、エンターテインメント企業がランサムウェアの影響を最も受けており、回答した組織の60%が攻撃を受けたことを報告しています。
身代金の支払圧力を増す攻撃者
SophosLabsの研究者は、『Maze Ransomware: Extorting Victims for 1 Year and Counting(1年以上も恐喝を続けているMazeランサムウェア)』という新しいレポートを発表しました。このレポートでは、データの暗号化と情報窃盗および漏洩の脅威を組み合わせたMazeランサムウェアで使用されているツール、手法、手順について説明しています。被害者への身代金の支払圧力を高められるよう設計されたこのような戦略は、LockBitのような他のランサムウェアの種類でも採用されていることをソフォスの研究者は確認しています。セキュリティ専門家がソフォスのこの新しいレポートをご覧いただければ、進化するランサムウェア攻撃の詳細を理解し、攻撃を予測し、組織を保護できるようになります。
さらに、Wisniewskiは次のように述べています。「効果的なバックアップシステムは、攻撃者に身代金を払うことなく、暗号化されたデータを復元するために不可欠ですが、ランサムウェア攻撃に対して本当に回復力があるかどうかを見極めるための重要な要素は他にもあります。Mazeランサムウェアを背後で操っているような高度な技能を有するサイバー犯罪者は、ファイルを暗号化するだけでなく、組織の情報を晒したり恐喝したりする目的でデータを盗み出しています。最近では、LockBitも同じような戦術を悪用しており、その詳細についてもソフォスは報告しています。一部の攻撃者はまた、データの復旧を困難にして被害者が身代金を支払わざるを得ないようにするために、バックアップを削除したり妨害したりしています。これらの悪意のある操作への対処法は、バックアップをオフラインで維持し、さまざまな段階で攻撃を検出してブロックする効果的な多層防御のソリューションを活用することです」
詳細については、SophosLabs UncutまたはNaked Securityをご覧ください。
The State of Ransomware 2020(ランサムウェアの現状(2020年版)』の調査は、独立した市場調査を専門としているVanson Bourne社によって2020年1月と2月に実施されました。この調査では、米国、カナダ、ブラジル、コロンビア、メキシコ、フランス、ドイツ、イギリス、イタリア、オランダ、ベルギー、スペイン、スウェーデン、ポーランド、チェコ共和国、トルコ、インド、ナイジェリア、南アフリカ、オーストラリア、中国、日本、シンガポール、マレーシア、フィリピン、UAEの26か国の5,000人のIT意思決定者にインタビューしています。この調査で回答をいただいたのは、100人から5,000人の従業員を擁する組織です。
ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。 SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(synchronized security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください。
報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

【転載】企業ネットワークの68%はハッカーが本気出せば侵入可能!?

two hackers trucker hat hoodie pentesters

企業ネットワークは狙われている:

セキュリティ情報会社Positive Technologiesの侵入テストレポートが興味深いものがありました。テスターが30分未満で企業ネットワークに侵入できるケースもある様です。

www.techrepublic.com



ペンテストを受けた企業の6分の1が、過去の攻撃の痕跡を明らかにした。ローカルネットワークへの侵入にかかる平均時間は4日でしたが、ペンテスターたちは、最短30分で侵入できることを発見しました。しかし、大多数のケースでは、成功した攻撃はそれほど複雑ではなく、ペンテスターは、攻撃は「中程度の」スキルを持つハッカーの権限の範囲内であると述べています。

テストしたシステムのうち、侵入に耐えられるだけの十分な性能を持つものはわずか7%でしたが、25%が1ステップ、43%が2ステップ、25%が3~6ステップでハッキングされていました。

テストでは、71%の企業では、スキルのないハッカーでも社内ネットワークに侵入することができたという事実を含め、いくつかの驚くべき脆弱性が明らかになりました。

また、侵害の77%はウェブアプリケーションの保護が不十分なことに関連しており、ペンテスターは86%の企業で少なくとも1つのベクターを発見しました。報告書で説明されている侵入ベクトルとは、ネットワーク境界での違反を可能にした弱点を探る方法のことである。

(TechRepublic記事より引用)※機械翻訳


元レポート(Positive Technologies)





キタきつねの所感

ホワイトハッカーの侵入テスト結果の統計データは中々表に出てくる事が無い気がします。しかし、この海外の調査結果を見ると、日本企業の侵入テスト調査データは「怖くて発表出来ない」状況かも知れません。

※侵入テストをした企業の1/6が既に「攻撃を受けていた」データがありますが、日本企業でも同程度の比率であったとすると、やはり開示しない企業も多いかと思います。



要塞化されているとはずの企業ネットワークが2Stepの攻撃で68%が破られており、攻撃をはじき返して合格点を得たのはわずか7%の企業だけです。

この数字を見ると、最近攻撃者(ハッカー)がランサムウェア等を駆使して2重恐喝を企業に仕掛けて問題となっているのも、この辺りに原因がある気がしてなりません。



しかし、データとして一番衝撃だったのは「中」程度のスキルのペンテスター(ホワイトハッカー)がほとんどのケースで侵入出来た事です。

つまりこれは、本当の攻撃者(ブラックハッカー)も1ステップ(大した攻撃スキルがなくても)侵入が出来てしまう事に他なりません。

f:id:foxcafelate:20200829093938p:plain

※Positive Technologiesレポートより引用



その攻撃手法(=脆弱点)も調査レポートには載っていて、



f:id:foxcafelate:20200829094056p:plain

※Positive Technologiesレポートより引用



Webアプリケーションの脆弱性が77%ブルートフォース攻撃(DB管理認証とリモートアクセス認証)で21%であって、内部ネットワークには、これらの脆弱点を突く攻撃、つまり既知の脆弱性でほとんどのケースで侵入が出来てしまった事が浮かび上がってきます。

ゼロディ脆弱性に関しては14%しか使われてない事から、高度なスキルを持つペンテスター(ホワイトハッカー)でなくても、企業ネットワークへの侵入が可能であるというのはこのデータにも表れていそうです。



企業が求められる対策は、要は、



可及的速やかにパッチを当てる



の一言で済んでしまうのですが、レポートにはペンテスターが侵入に使った脆弱性のレベル(CVSS v3.1ベース)が載っていて、これが各企業がパッチ管理を考える上で参考になるかと思います。

f:id:foxcafelate:20200829095006p:plain

※Positive Technologiesレポートより引用

Webアプリ、パスワードポリシーフロー、Configフローについては、当然と言えば当然ですが、CVSSの緊急(Critical)と高リスク(High)のパッチを意識していれば、60~80%はカバーされる事が分かります。

一方で、脆弱なソフトウェアに関しては中リスク(Medium)までの脆弱性パッチを当てないと、ペンテスターの攻撃(=ブラックハッカーの攻撃)の多くを防げないと思われます。



パッチ管理については、全てのパッチファイルを当てるのが理想ではありますが、なかなかそうも言えない場合も多いかと思いますので、リスク軽減策として、こうしたデータを活用し、カバーしきれない脆弱点はWAFや監視ツール等の併用といった多層防御を考えていく事が必要なのかと思います。



日本で調査した場合、どういったデータになるのか気になる所ですが、テレワーク環境など、企業が守るべき情報資産は日々拡大していますので、外部のホワイトハッカーを使って自社のセキュリティ状況を定期的にテストする事も、これからは必須になってくるのではないでしょうか。





※その他、テスターの攻撃例(詳細)なども掲載されていますので、ご興味ある方は元レポートをご覧になって下さい。

    2020/08/30

    無金利ローン「CREZIT(クレジット)」の用途を考える

     

    以前株主優待に積極的にチャレンジしていた際、資金効率をいかに上げるかに腐心していた。

    というのも、株主優待の権利落ちは月1回。しかもエントリーした翌日には決済してしまうため、1ヶ月のうち、1週間程度の資金需要を満たせればよいのである。

    当時取った方法は、サラ金のノーローンを使う方法だった。

    ここは、少し条件があるものの、何度でも1週間無利息で借り入れることができ、その借り入れや返済もオンラインで行う事ができたため、非常に使い勝手が良かった。

    しかし、無利息借り入れを3年くらい続けていたら、契約を打ち切られてしまった。

    最近久しぶりにサイトにアクセスしたら、2020年6月末日で一般ローンの受付を終了してしまったらしい。

    そんな中、新たな無金利ローンを見つけた。

    それが、

    CREZIT(クレジット)

    である。

    スマホ完結型というのが、個人的には気に入らないのだが、とりあえず登録してみた。

    最初は10万円までしか借り入れができないようだが、借入と返済を繰り返すことで信用スコアが積み上がり、借入可能額が増えていく仕組みのようだ。

    株主優待での活用を考えてみることにしよう。