サイバービッグゲームハンティング

サイバービッグゲームハンティングとは？

サイバービッグゲームハンティングは、通常、ランサムウェアを利用して大規模で価値の高い組織や知名度の高いエンティティを標的とするサイバー攻撃の一種です。

一般的に、被害者は身代金を支払う能力と、事業を再開したり、世間の詮索を回避したりするために身代金を支払う可能性に基づいて選択されます。一般的なターゲットには、次のものが含まれます。

• 大企業
• 銀行およびその他の金融機関
• 公益事業
• 病院およびその他の医療機関
• 政府機関
• 有名人や著名なビジネスリーダーなどの富裕層
• 知的財産、企業秘密、個人データ、医療記録などの機密データを保持する組織

ビッグゲームハンティングの現状を探る

2022年2月にCybersecurity and Infrastructure Security Agency (CISA)、FBI、およびその他のセキュリティグループによって発足された共同サイバーセキュリティアドバイザリーでは、2021年後半から始まったビッグゲームハンティングの落ち込みを指摘しています。彼らの分析は、法執行機関による監視の強化に加え、広く公表されて、FBIによる身代金の支払いの一部の奪還をもたらした2021年5月のColonial Pipeline社へのサイバー攻撃後の収益の減少により、攻撃者が他の戦術に目を向けた可能性があることを示唆しています。

ただし、クラウドストライクの最新の分析によると、場所やセクターに関係なく、大規模な組織にとって、ビッグゲームハンティングは引き続き主要なセキュリティ上の懸念事項です。脅威ユニバース内の変化を追跡するための複合スコアを提供する独自のツールであるCrowdStrike eCrime Index（ECX）は、ビッグゲームハンターが2021年5月に運用テンポを下げたり、活動を停止したりしたことを確認しています。しかし、2021年9月以降、ビッグゲームハンティング活動はピークに近いレベルに戻ったように見え、この傾向が再び増加していることを示しています。

クラウドストライクの年次グローバル脅威レポートの最新版は、この分析を確認し、「2021年のビッグゲームハンティングの拡大と影響は、世界のすべてのセクターとほぼすべての地域で感じ取られた明白な威力だった」ことを明らかにしています。一部の攻撃者とランサムウェアは2021年に運用を停止しましたが、運用中のランサムウェアファミリの総数は増加しました。事実、CrowdStrike Intelligenceは、2021年にランサムウェア関連のデータ漏洩が82%増加したことを確認しています。

サイバービッグゲームハンターとは？

サイバービッグゲームハンターは洗練されたプレーヤーであり、多くの場合、組織化されたグループの一員として重要なターゲットを倒します。多くの場合、これらのグループは法人企業とは異なり、高度に構造化および組織化されたネットワークとして活動します。彼らはしばしば国の後援を受けており、政府機関や著名な公人と関係があると疑われています。

クラウドストライクのAdversary Universeは、世界中の主要な攻撃者グループの行動にスポットライトを当て、追跡します。Adversary Universeの目的は、被害者の垂直または攻撃者のインテリジェンスプロファイルの観点から、顧客が毎日直面する脅威のビューを提供することです。

サイバービッグゲームハンターはどのように攻撃しますか？

ビッグゲームハンターは、さまざまなテクニックを駆使して攻撃を実行します。ほとんどの場合、選択される方法はランサムウェアであり、被害者のデータを暗号化して、アクセスを復元するために支払いを要求するマルウェアの一種です。

サイバー犯罪者グループは、その名前が示すように、正規のソフトウェア開発者がSaaS製品をリースするのと同じ方法でランサムウェアの亜種をリースするビジネスモデルである、サービスとしてのランサムウェア（RaaS）の活用もますます増やしています。

以下の表は、RaaSとそれに関連するビッグゲームハンターのよく知られた例を概説しています。

RaaS	テクニック	ビッグゲームハンター
DarkSide	DarkSideオペレーターは、従来はWindowsコンピューターを狙っていましたが、近年はLinuxにも対象を広げており、パッチが適用されていないVMware ESXiハイパーバイザーを実行しているエンタープライズ環境を標的としたり、vCenter認証情報を盗んだりしています。DarkSide RaaSは、注目を集めるコロニアルパイプライン攻撃で利用された攻撃手段でもあると考えられています。	CARBON SPIDER
REvil（Sodinokibiとも呼ばれる）	REvilは、PINCHY SPIDERが最も一般的に使用しているRaaSです。このような攻撃では、身代金が支払われない場合、被害者は通常、差し迫ったデータ漏洩の警告を受け取ることになります。 REvilは、記録上最大の身代金要求の1つである1,000万米ドルの背後で使われたランサムウェアであると考えられています。	PINCHY SPIDER（ピンチースパイダー）
Dharma	Dharmaランサムウェア攻撃は、主にリモートデスクトッププロトコル（RDP）攻撃に関連しています。Dharmaの亜種は多くのソースから出現しており、本質的にほぼ同じであるため、攻撃の背後に誰がいるのかを確認することは困難です。	金銭的に動機付けられたイランの脅威グループにリンクされています。 集中管理されていません。
LockBit	2019年以降、LockBit攻撃は盗まれたデータセットの公開を回避するために身代金を要求します。RaaSは少なくとも9回の攻撃に関与していることが確認されています。	ロシア語を話すユーザーまたはロシア語を話す保証人を持つ英語を話す人と提携しています。

サイバービッグゲームハンターは、ランサムウェアやRaaSによって攻撃を実行するだけでなく、他のさまざまな脆弱性を利用して攻撃を進めています。以下の内容が含まれます。

• クラウドの脆弱性の悪用：クラウドストライクの2022年版グローバル脅威レポートによると、悪意のあるアクターは、サーバーソフトウェアの既知のリモートコード実行（RCE）の脆弱性を日和見的に悪用する傾向があり、通常は脆弱なサーバーをスキャンします。最初のアクセス後、アクターは攻撃パスを進めるためにさまざまなツールをデプロイできます。複数の攻撃者、特にビッグゲームハンターは、このような脆弱性を利用して、システムへの初期アクセスを行っています。
• ゼロデイ攻撃：脅威アクターは、開発者がソフトウェアの欠陥にパッチを適用する前に、マルウェアをリリースしてソフトウェアの脆弱性を悪用します。「ゼロデイ」という用語は、ソフトウェアベンダーがソフトウェアの脆弱性に気づいておらず、問題を修正するためのセキュリティパッチまたはアップデートに取り組む日数が「0」であったことに由来します。これらのタイプの攻撃は検知が非常に困難であり、深刻なセキュリティリスクになります。

サイバービッグゲームハンティングのコストはどれくらい？

ビッグゲームハンティングは急速に成熟しており、危険度が高まっていることから、被害者が支払う金額も増加しています。

以下は、クラウドストライクの年次グローバルセキュリティ意識調査とグローバル脅威レポートからの最近のランサムウェア統計です。

• 身代金の平均支払い額は、2020年の110万米ドルに対して、2021年には63%増加して179万米ドルになりました
• 攻撃者が要求する身代金の平均額は600万米ドルです
• 2020年と比較して、2021年にはランサムウェア関連のデータ漏洩が82%増加しました
• 初期の身代金を支払った人の96%が恐喝に対する支払いもしなければなりませんでした
• 回答者の組織の66%が今年、少なくとも1回のランサムウェア攻撃を受けました
• ランサムウェアの攻撃を受けた人の57%は、対応を調整するための包括的な戦略を策定していませんでした

サイバービッグゲームハンティングをどのように防ぐ？

クラウドストライクの2022年版グローバル脅威レポートに記されているように、2022年もビッグゲームハンティングがサイバー犯罪者の環境を支配し続けるでしょう。アクセスブローカー市場は、ランサムウェアオペレータが被害者を発見するための手段としても存続し、最初のアクセス手順を排除し、マルウェアのより迅速な展開を可能にします。

脅威を迅速に特定し、ビッグゲームハンティングのリスクを軽減するために、組織は複数のレベルで組織を保護する堅牢なサイバーセキュリティ戦略の確立を目指す必要があります。包括的なサイバーセキュリティ戦略を設定するのに役立つ推奨事項を次に示します。

1. サイバーセキュリティのベストプラクティスについてすべての従業員をトレーニングする：従業員はセキュリティの最前線にいます。強力なパスワード保護を使用する、安全なWi-Fiにのみ接続する、迷惑メールからのリンクをクリックしないなど、適切なハイジーン慣行に従っていることを確認してください。
2. オペレーティングシステムやその他のソフトウェアにパッチを適用して最新の状態に保つ：サイバー犯罪者は、悪用する穴やバックドアを常に探しています。システムを注意深く更新することで、既知の脆弱性への露出を最小限に抑えることができます。
3. Eメールセキュリティの実装と強化：クラウドストライクは、URLフィルタリングおよび添付ファイルサンドボックスを実行するEメールセキュリティソリューションの実装を推奨しています。これらの作業を効率化するために、自動応答機能を使用すると、ユーザーが対応する前に、配信されたEメールを遡及的に隔離できるようになります。
4. 悪意のあるアクティビティと攻撃の兆候（IOA）について環境を継続的に監視する：エンドポイントでの検出と対応（EDR）は、すべてのエンドポイントの監視カメラのように機能し、防止方法で識別されない悪意のあるアクティビティを自動的に検出するための生のイベントをキャプチャし、プロアクティブな脅威ハンティングに可視性を提供します。
5. 脅威インテリジェンスをセキュリティ戦略に統合する：システムをリアルタイムで監視し、最新の脅威インテリジェンスを常に把握することで、攻撃を迅速に検出し、最善の対応方法を理解し、拡散を防ぎます。
6. ランサムウェア対策としてのオフラインバックアップを開発する：ランサムウェア対策のバックアップインフラストラクチャを開発する場合に、考慮すべき最も重要なことは、脅威アクターがランサムウェアを環境に展開する前にオンラインバックアップを標的にしていることです。このような理由から、ランサムウェア攻撃中にデータを救出する唯一の確実な方法は、ランサムウェア対策バックアップを通じたものになります。例えば、データのオフラインバックアップを保持しておくと、緊急時にさらに迅速な復元が可能になります。
7. 堅牢なアイデンティティ保護プログラムを実装する：組織は、堅牢なアイデンティティ保護プログラムを実装して、オンプレミスおよびクラウドアイデンティティストアハイジーン（Active Directory、Azure ADなど）を理解することで、セキュリティ体制を改善できます。ギャップを確認し、すべての従業員アカウント（人間ユーザー、特権アカウント、サービスアカウント）の振る舞いと偏差を分析します。またラテラルムーブメントを検知し、リスクベースの条件付きアクセスを実装して、ランサムウェア脅威を検知し阻止します。

クラウドストライクによるビッグゲームハンターおよびランサムウェアからの組織保護

サイバーセキュリティアラートへの対応に苦労し、新たな脅威の一歩先を行くための時間や専門知識がないサイバープロテクションチームにとって、CrowdStrike CROWDSTRIKE FALCON^® INTELLIGENCE™ソリューションは、インシデント調査のリソースを浪費する複雑さを排除しながら、必要かつ重要なインテリジェンスを提供します。CrowdStrike Falcon^® Intelligenceは、脅威インテリジェンスをエンドポイント保護に真に統合し、調査を自動的に実行し、対応を迅速化し、セキュリティチームが事後対応型から予測型のプロアクティブな状態に移行できるようにする唯一のソリューションです。

主な利点：

• エンドポイントに到達するすべての脅威の調査を自動化
• カスタムIOCを提供して、回避型の脅威からプロアクティブに保護する
• 攻撃に関する完全な情報を提供し、より迅速で適切な意思決定を可能にする
• CrowdStrike Intelligenceの専門家による分析でチームを支援
• CrowdStrike Falcon®プラットフォームとのシームレスな統合により運用を簡素化

詳細については、 CrowdStrike Falcon^®Intelligence製品ページをご覧いただくか、CrowdStrike Falcon® Intelligenceデータシートをダウンロードしてください。

EYとクラウドストライクによる防御、検知、対応、復旧

EYの次世代セキュリティオペレーション&レスポンス（NGSOAR）サービスとソリューションは、CrowdStrike Falcon®プラットフォームとともに、サイバー脅威インテリジェンスと24時間365日体制の脅威ハンティングにより、業界をリードする保護および検知機能を提供し、ランサムウェアの脅威に対して大きな優位性を獲得します。このソリューションは、ジョイントカスタマーに組織の環境を即座にリアルタイムで可視化し、潜在的な侵害を特定して排除し、サイレント障害を防止します。この強力な組み合わせは、アクティブな脅威を封じ込め、ネットワークから迅速に排除し、ランサムウェアの脅威を迅速かつ効率的に排除するのに役立ちます。

EYの次世代セキュリティ運用と対応におけるランサムウェアへの備えとレジリエンスソリューションの詳細をご覧ください。