ランサムウェアの脅威への対処 (2023/02/28)

ランサムウェアの脅威への対処 (2023/02/28)

https://blogs.oracle.com/security/post/ransomware

投稿者: Eric Maurice | Vice President of Security Assurance


大規模なランサムウェア攻撃が成功したというニュースは、より頻繁になっています。場合によっては、米国の重要インフラの一部と見なされている企業が侵害され、通常の業務が中断されています。ランサムウェアは集団的な懸念事項となっており、多くの組織がランサムウェアから身を守る方法についてのガイダンスを求めています。オラクルは、関心のある顧客からのこのような問い合わせに数多く対応してきました。このブログの目的は、ランサムウェアの脅威について明確にし、特定のニュアンスを紹介し、この脅威に対処するための一般的なセキュリティの推奨事項を提供することです。


ランサムウェアとは? 

ランサムウェアは、悪意のあるペイロードの一種です。「ランサムウェア」という用語は、攻撃者が被害者のデータの制御に成功したため、被害者から支払いを強要しようとする加害者の悪意を最もよく表しています (「身代金」、通常は暗号通貨の形で支払われます)。またはシステム。 


加害者は通常、複数の脅威を使用します。身代金が支払われない限り:


  • 加害者は被害者のデータを公開します (データが流出した場合)。
  • 加害者は被害者の不適切な運用慣行を暴露します (構成ミスなどの明らかなミスが侵害につながった場合)。
  • 加害者は被害者のデータへのアクセスを永久にブロックするか (機密データが悪意を持って暗号化された場合)、侵害されたシステムを永久に無効にします (攻撃者が標的のシステムの管理者またはルート コントロールを取得した場合)。


ランサムウェアは技術的には、犯罪者がサイバー恐喝に関与するために使用する手段の 1 つです。サイバー恐喝は新しい現象ではなく、複数の形態をとる可能性があります。一般に、悪意のあるアクターは、IT システムを危険にさらし、マルウェアの使用の有無にかかわらず被害者の通常の運用に悪影響を与える可能性があるため、支払いを得ようとします (たとえば、数年前、最も単純な形のサイバー恐喝は、サービス拒否攻撃または Web サイトの改ざん)。 


ランサムウェア攻撃がより頻繁に発生するのはなぜですか?

2 つの理由から、ランサムウェア攻撃がより頻繁に発生していると言えます。 


第 1 の理由は、悪意のある攻撃者が大規模な攻撃を設計および実行するために、使いやすいリソースを利用できることです。加害者は一般的に日和見主義者であり、通常、特定の組織を選び出すことはありません。場合によっては、犯罪者が特定の業界を標的にすることがあります。これは、対象となる業界のセキュリティに関する専門知識が不足していると考えているため、または業界に通常関連するデータ (企業秘密など) の価値が高いためです。犯罪者は通常、多数のシステムで技術的に実行できる悪意のあるペイロードを (ダーク Web で入手可能なツールキットを使用して) 開発します。通常、このペイロードは、悪意のある Web サイトやスパムメールを通じて無差別に配布されます。興味深いことに、一部の詐欺師は特定の国を怒らせないように、悪意のあるペイロードに独自の制限を設ける場合があります。電子メール スパムの場合と同様に、サイバー恐喝者がソーシャル メディア サイトを利用して潜在的な被害者を特定する可能性もあります。


ランサムウェア攻撃がより頻繁に発生する 2 つ目の理由は、詐欺師が実行できる免責と、有形の富の移転を可能にしながら何らかの形の匿名性を提供する支払いフォームの利用可能性に関係しています。そのような犯罪の実行がより体系的に処罰されれば (加害者に対する個人的なリスクが増大する)、世界的なランサムウェア攻撃は減少するでしょう。同時に、加害者への潜在的な報酬を引き下げることによって、金銭的利益の確実性が低下します。



ランサムウェア攻撃に対する回復力を高めるために組織ができることは何ですか?

簡単に言えば、基本的なセキュリティ衛生と適切な運用慣行は、組織がランサムウェアの発生を防ぎ、その影響を制限するのに役立つということです。この短い答えを、典型的なランサムウェア攻撃のライフサイクルに当てはめてみましょう。


一般に、ランサムウェア攻撃は、無防備な被害者が標的の環境で信頼できないコードを実行したために発生する可能性があります。ランサムウェア攻撃は、次の段階を経て発生します。


  1. フェーズ 1: 悪意のあるペイロードが最初に配信され、
  2. フェーズ 2: ペイロードが実行され、
  3. フェーズ 3: ペイロードが複製され、さらに伝播する可能性があります。


組織は、悪意のあるペイロードの最初の配信をどのように防止できますか?

組織は、悪意のあるペイロードが環境に最初に配信されるのを防ぐために、さまざまな対策を講じることができます。 


組織は、人間の性質がランサムウェア攻撃を可能にする可能性があることを認識する必要があります。一般ユーザーは、次の 2 つの領域について教育を受け、注意を払う必要があります。


  • 安全な電子メールとインターネット閲覧の慣行: ユーザーは、電子メールとインターネット閲覧が本質的に「安全」ではないことに注意する必要があります。電子メールを使用して、疑いを持たないユーザーをだまして危険なペイロードを実行させたり (添付ファイルをクリックするなど)、リンクをクリックして悪意のあるサイトにアクセスさせたりすることができます。ユーザーは、インターネットから取得したすべてのプログラムが安全であるとは限らず、信頼できるソースからのソフトウェアのみを使用する必要があることを認識する必要があります。一般に、ユーザーはセキュリティをより認識し、安全なオンライン プラクティスに関する定期的なリマインダーを受け取る必要があります。 
  • ソーシャル メディア プラットフォームの安全な使用: ユーザーは、自分に関する公開情報が、たとえば、悪意のある加害者が組織内の誰かになりすますことを容易にすることによって、自分自身または組織内の他のユーザーを標的にするために使用される可能性があることを認識しておく必要があります。



組織は、マルウェアの拡散を可能にするさまざまな技術的要因に対して、技術的な制御を実装する必要があります。たとえば、組織は次のことを行う必要があります。


  • 電子メールやその他の通信プラットフォーム (従業員へのマルウェアの配信を可能な限り防止するため) にフィルタリングツールと手法を実装し、レピュテーションフィルタリングなどのインターネットアクセスを使用して、既知の悪意のあるサイトへのアクセスを防止できます。
  • メールサーバー (悪意のある添付ファイルをスキャンするため) とインターネットゲートウェイ (インターネットからの悪意のあるコンテンツを防ぐため) に対して、マルウェア対策スキャン、リンク検証、およびサンドボックス技術を実装します。
  • 外部および信頼できないコードの環境でのダウンロードと使用に関する効果的なポリシーを定義して適用します (悪意のあるソフトウェアのインストールまたは悪意のあるスクリプトの実行によるシステムの侵害を防ぐため)。たとえば、汚染されたコンポーネントをダウンロードし、悪意を持って変更されたソフトウェアアップデートを実行するシステム管理者や、インターネットから入手した悪意のあるスクリプトを実行するデータベース管理者によって、より高度な攻撃が可能になりました。通常、マルウェア対策ソリューションは、これらの問題に対して限定的な保護を提供することに注意してください。



組織は、悪意のあるペイロードの実行をどのように防止できるでしょうか?

必要に応じて (既知のマルウェアに対してある程度の防御を提供するために) エンドポイント保護製品 (最新のシグネチャを使用) を実行することに加えて、組織は、その性質を反映し、データの価値に見合った ID およびアクセス管理の慣行を持つ必要があります。彼らが保護しようとしているシステム。例えば:


  • 組織は、ミッション クリティカルなシステムと機密データ ストアをより厳密に管理する必要があります。
  • 組織は、コラボレーション ツール、ファイル共有リソース、およびその他の一般的にアクセスされるシステムに対して適切な制限を適用する必要があります。
  • 組織は、必要に応じて追加の認証チャレンジを義務付ける必要があります (たとえば、機密性の高いシステムにアクセスするときの体系的なチャレンジや、信頼できない可能性のあるソースからシステムにアクセスするときの追加のチャレンジなど)。
  • 組織は、必要に応じてゼロトラスト アプローチを採用し、多くのシステム (エンド ユーザーのワークステーションなど) が不可避的に危険にさらされることを想定しながら、回復力を評価する必要があります。 


一般に、組織は、強力な認証と最小特権の原則が技術環境全体に適用されるようにする必要があります。これには明らかに以下が含まれます。


  • 匿名ログイン、汎用アカウント、脆弱な資格情報の使用の排除
  • 特権アカウントの厳密な制御 (例: root および admin OS アカウント、DBA アカウント)
  • Windows でのユーザー アカウント制御の使用(およびユーザーにプロンプ​​トに注意を払うように教える) およびSE Linuxなどの他のオペレーティング システムでの関連するセキュリティメカニズム

明らかに、組織が基本的なセキュリティ衛生を維持できない場合、上記のすべての推奨事項が役に立たなくなる可能性があります。


  • 組織は、既知のセキュリティ構成のベースラインを定義および維持する必要があります (また、適切なセキュリティ構成ガイドラインに従ってシステムを展開する必要があります)。
  • 組織は、適時にセキュリティ パッチを適用する必要があります (悪意のあるペイロードは既知のソフトウェアの脆弱性を悪用する傾向があるため、これは特に重要です)。



組織は、悪意のあるペイロードの伝播を制限するためにどのように試みることができますか?

上記の推奨事項の多くは、IT 環境に侵入する悪意のあるペイロードの導入と伝播を制限するのに役立ちます。ただし、いくつかの追加の推奨事項を強調する必要があります。


  • 組織は、すべてのファイル共有の脆弱性にタイムリーに対処し、サポートされていないオペレーティング システムをオフラインにする必要があります。歴史的に、脆弱なファイル共有システム (Windows SMB など) や旧式のプラットフォーム (Windows XP など) を使用することで、大規模なマルウェアの発生が助長されてきました。
  • 組織は、IT システム間に存在する信頼の連鎖を見直して、マルウェアの発生による連鎖的な影響を防ぐ必要があります。ネットワークとシステムをさらに分離することで、マルウェアの発生を隔離し、侵害による運用への影響を制限できます。



組織は、大規模なアウトブレイク後の回復にどのように備えることができますか?

高度なセキュリティ体制を維持している組織は、大規模なランサムウェアの発生を経験する可能性が低くなります。しかし、「最悪の事態に備え、最善を期待する」のが賢明です。そのため、組織の事業継続計画には、効果的で検証済みの回復手順を備えた頻繁で安全なバックアップの準備が含まれている必要があります。システムの復元に進む前に、組織は、最初の侵害がいつ、どのように発生したかを妥当なレベルで判断しておく必要があることに注意することが重要です。これは、被害を受けた組織が、回復の実行中に侵害を復元し、侵入を再確立する可能性があるためです。ビジネスの中断を最小限に抑えるために、古いが安全であることがわかっている状態を復元するか、より最近ではあるが感染している可能性がある状態に復元するかを選択するには、費用便益分析を実行する必要があります。 


明らかに、組織はバックアップ ファイルとリソースを効果的に管理する必要があります (一部のマルウェアはバックアップ ファイルとリソースを標的にすることが知られています)。これにより、必要なときにバックアップ データを利用できるようになります。


クラウドはどうですか?

通常、商用クラウドプロバイダーは、さまざまなセキュリティの脅威からクラウド リソースを保護することを目的とした、非常に成熟したセキュリティ プラクティスを採用しています。クラウドのお客様は、ランサムウェア攻撃が一般的に発生するのは、被害者が標的の環境で信頼できないコードの実行を許可したためであることを覚えておくことが重要です。クラウドであろうとデータセンターであろうと、悪意のあるコードを実行するとセキュリティ侵害につながる可能性があります。  サービスとしてのソフトウェア (SaaS) 環境通常、信頼されていないコードを顧客に実行させないため、ランサムウェア攻撃が成功した場合のリスクは非常に限られています。ただし、SaaS のお客様は、SaaS 環境に関連してサードパーティの統合、プラグイン、またはその他の形式の外部コードを有効にする場合は、注意を払う必要があります。典型的なサービスとしてのインフラストラクチャ (IaaS) 環境では、クラウドの顧客は通常、必要なものを何でも実行できます。その結果、IaaS クラウドの顧客は不本意ながら悪意のあるコードを実行する可能性があり、侵害につながる可能性があります。このような侵害は、通常、影響を受けるお客様のインスタンスに限定されます。IaaS インスタンスにコードをアップロードする前のマルウェア スキャン (クラウド プロバイダーまたは顧客のいずれかによって実行される) は、限定的な保護しか提供しないことに注意してください。


さらに、顧客は、クラウド内のバックアップが安全であると盲目的に想定すべきではありません。これは、前のセクションで説明したように、クラウドにバックアップすることで、バックアップデータの可用性が高くなるという追加レベルの保証が得られる可能性がありますが、クラウドに含まれるデータがまだ感染している可能性があるためです (マルウェアスキャンが行われたか、いいえ)。前述の費用便益分析は、まだ実施する必要があります。


Oracleの企業セキュリティ慣行について、どこで詳しく知ることができますか?

Oracleの企業セキュリティサイトでは、このブログ エントリで説明した多くのセキュリティ プラクティスを Oracle がどのように実装しているかについて説明しています。 


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む