ランサムウェア攻撃交渉で最善の結果を導き出すには

Help Net Securityにて掲載 (執筆：Mirko Zorz、コンテンツディレクター)

ランサムウェア攻撃の交渉は一般的に最終的な対策として捉えられていることですが、BigID調査に参加した90%の回答者がデータとビジネスプロセスを復旧させることができる、またはより早く回復させることができるのであれば、身代金を払うことを検討すると答えています。

本ブログでは、Sygniaの英国・北欧マネージングディレクター、 Azeem Aleem氏がランサムウェア（身代金要求型ウイルス）攻撃での交渉の複雑性を紐解き、組織がサイバー脅威から身を守るために取ることができる対策を詳しく説明します。

ランサムウェア攻撃での交渉における一般的なプロセスとはどのようななものでしょうか？プロの交渉人たちはどのような戦略を駆使して身代金の額を下げる交渉をするのでしょうか？

ビジネスが攻撃を受けるとき、脅威アクターはその攻撃によってできる限り多くを引き出すために、「ドリップフィード方式」でデータを放出させる約束と恐喝を交互に行う機会としてこの状況を利用します。結果として、ビジネスは脅威アクターに身代金を払い続けるという永遠のサイクルにはまってしまうこともあります。このような場合に当社は依頼を受け、調査を実施して多額の身代金、企業スパイ行為、金銭の盗難、または国民国家キャンペーンから組織を保護します。

我々は常に防御の側面から対応します。脅威アクターのスピードに合わせるには、組織のセキュリティスタックを最下層から最上層まで調べ、盲点を見つけることができるサードパーティセキュリティエキスパートの助けを借りることを検討する必要があります。サイバー犯罪に立ち向かうには、予測可能で適応力のあるマインドセットや、脅威を実質的に「発見」ことができるようなマクロレベルとミクロレベルの両方での視点を持つことを含む多数のスキルが必要とされます。

脅威と関わる前に、適切なスキルを身につけましょう。私たちは、元軍の情報部隊員、犯罪心理学者、人質からランサムウェアのハッキング交渉官に転身した人物など、軍のエリート技術部隊やサイバー業界から選りすぐりの人材を厳選しています。技術的優位性、デジタル戦闘、データ分析、ビジネスにおける研ぎ澄まされたスキルを持つ、非常にユニークなチームです。

失ってはならないものがまだあります。交渉に前向きにならなくてはなりません。つまりこれは、最善の結果を導き出すために「ゲームに乗る」ということです。成功とは、盗まれたデータを保護しながら、金銭の支払いを最小限に抑える、または一切払わないことを意味します。当社のサイバー攻撃交渉エキスパートは、脆弱性の原因を見つけ、あなたの会社の調査チームにとって重要な情報を抽出し、脅威アクターの特定の行動とマッピングさせながら、身代金の支払いを遅らせる戦術を駆使します。例えば、当社の交渉人は特定の人員がアクターに対する共感と信頼を築き、友人関係のような感覚を作り上げることで、心を開いてより良い交渉を導き出すコミュニケーションをする手助けになると考えることもあります。

脆弱性の原因を見つけることで二重、三重の恐喝を防ぎます。交渉チームは攻撃者の動機を解明し、その原因を調査し、脅威を封じ込め、侵害暴露時間 (BET) を最小限に抑え、その後、脅威のサイクルを破壊する手段としての修正と復旧の手助けをします。交渉人は、技術チームが未知の事実を解明するのを助けることができる「ブラックスワン（想定外の出来事）」を明らかにする手助けをします。

攻撃者が利用する「ツール、戦術、手順 （TTP）」 を理解することで、攻撃の精巧レベルを特定することができます。ときには、攻撃者も使用するツールもそれほど精巧ではなくとも、彼らは未知の脆弱性を見つけだし、それを悪用し続けることができてしまう場合があります。

組織内で社内的に交渉に対処するかわりに、ランサムウェア攻撃交渉サービスを利用することの利点は何でしょうか？

サードパーティのスキルの高いインシデント対応チームは、ビジネスに従来の社内セキュリティチームが持っていない広範囲の専門知識をふんだんに提供することができます。例えばSygniaでは、元軍事機密情報員、犯罪心理学者、「人質がランサムウェアになる」ハッキング攻撃での交渉人など、エリート軍事テクノロジー部門員やサイバー産業の人員などからの一流の人材を厳選しています。これは軍隊レベルのセキュリティを組織に提供するために、技術至上主義、デジタルコンバット、データ解析およびデータビジネスで磨かれたスキルを持つ非常に独自性の高いチームです。実際に、このチームは国民がこっそりと助けを求めるようなチームです。

交渉人は身代金要求に対する企業の反応を遅らせることができます。この遅れにはどのような利点がありますか？そしてそれはランサムウェア攻撃の結果にどのような影響を与えますか？

現代の脅威アクターは人事、経理、営業チームなどを持ち大きなビジネス産業になりました。彼らは身代金の確保に依存するのと同じように、不名誉や評判を守りたいという必要性の上に繁栄します。残念なことに、いくつかのケースでは、身代金を支払うこと は攻撃そのものの性質から、避けられないことがあります。例えば、サイバー上だけでなく、人命に物理的な影響が出る産業インフラストラクチャーへの攻撃などです。

最近の報告では、2023年の上旬のみで企業が4.491億ドルもの身代金を支払った経緯が説明されています。共感に訴える交渉で攻撃者の知られざる事実を見出だし、彼らをなだめ、身代金の総額を減らすのを手助けすることができます。これにより、将来的な攻撃を抑止できるケースもあります。当社の基本は、脅威を封じ込め、データを復旧させ、セキュリティに存在するあらゆるギャップを修正するために時間を稼ぐことです。

組織は、ランサムウェア攻撃を受けた直後にまず何をすれば交渉をうまく成立させる最善の立場に立つことができますか？

• 安全なオフラインチャネルを設立することです。戦略的なチームのコミュニケーションを簡素化するための事実上の作戦指令室です。サイバー攻撃はもはやITの考慮事項ではなく、特に必要な文書や規制手順が抜けていないかどうか自らが見つける事ができる最高経営責任者のような経営陣が関わらなけらばなりません。
• 落ち着いて反射的な反応を避けましょう。恐れはパニックを生み、判断を鈍らせます。脅威アクターに対応しようと試みることで、彼らの攻撃を成功させる「ヒント」を与えてしまうかもしれません。
• 外部のインシデント対応専門家の協力を得て危機を調査、評価、マッピングしましょう。脅威アクターに単独で対応してはいけません。
• ネットワークセグメンテーションを適用し、ネットワークからバックアップ環境を分離させましょう。
• 従業員のメールやサーバーへの接続を切断し、攻撃が広がるのを防ぎましょう。サプライチェーンへの攻撃の多くはこの方法によって規模を軽減することができたでしょう。
• 環境を評価し、攻撃の原因を理解しましょう。
• 注意深く修正の実施と裏の侵入経路根絶に取り組みましょう。このような緩和の取り組みは、脅威アクターに誰かが自分を認識していると思わせるかもしれません。実行している手順が包括的であるようにし、さらなるリスクを防ぎ、見逃していた裏の侵入経路を検知するための特別なモニタリングの取り組みによる修正策をサポートしましょう。

組織がランサムウェア攻撃交渉サービスをうまく利用してランサムウェア攻撃の影響を緩和した例をいくつか教えてください。

当社のランサムウェア攻撃交渉サービスは、企業への損害を制限し、脅威を解き明かすための時間を作り、最終的にはいかなる身代金も速やかに低減させます。当社の調査は、脅威アクターを検知し、身代金を最低限に抑える、または最善の結果として、一切支払わなくて済むことを可能にします。

バーチャルと物理的な世界の両方が影響を受けることもあるため、身代金を支払うことが必要となるOT攻撃のケースが増えてきています。Sygniaは大手グロバール製造会社との取り組みを実施しました。本企業は、さらに大規模な製造会社の一部であり、複数のOT生産環境を保有していました。本企業は製造フロアサービスを暗号化し、工場運営と顧客への納品をストップさせるPYSA、またはMespinozaランサムウェアグループからの攻撃に苦しめられていました。この規模の会社にとって、日々の運営におけるどんな種類の中断でも、150万ドルから200万ドルのコストが発生すると予測されています。

この会社はこのような損失を抱えたまま運営し続けることは不可能であったため、Sygniaに既存の作業の流れと並行して、復旧と脅威アクターとの交渉をしながら調査をし、脅威アクターを封じ込めるため協力を依頼しました。当社の交渉エキスパートチームは、攻撃の原因を深く理解し、封じ込めチームが正しい領域にターゲットを絞っているようにするのを助けることにより、脅威アクターとの信頼と共感を築き上げる方法を見つけました。

攻撃の侵入ポイントを明らかにすると、並行に移動するベクターが見つかったため、攻撃の原因がグループ内の姉妹会社にあることを追跡することができました。当社は、このような攻撃を外部会社同士が効率を上げるために知識のないシステムをお互いに共有し、さらに脅威アクターがこれを悪用し、攻撃を野火のように広げる方法を提供するようなサプライチェーンへの攻撃 で何度も目にしています。

Sygniaは調査結果を提示し、双方の法務チームを解析できる、秘密裡に抽出された機密データを共有しました。このシナリオでは、当社の「セキュア・アイランド」から環境を復旧させることができたため、身代金を払う必要はありませんでした。また、当社は脆弱性を修正して攻撃の再発を予防し、この製造業者が最初の攻撃から2週間以内に工場をフル稼働で復帰させることができるよう手助けしました。

ランサムウェア攻撃交渉サービスがどのように法執行機関と連携し、この連携がどのように被害者組織の利点となり得るかを教えてください。

多くのケースにおいて、Sygniaの交渉チームは広範囲にわたり法執行機関と共に取り組んできています。これは主に攻撃の範囲を理解し、敵対するグループのTTPを洗練させ、封じ込め手順を素早く進めるための重要な時間を稼ぐことを目的としています。