本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
最近のランサムウェア攻撃と横移動の危険性
侵入はしばしば、最悪の形で起こります。
攻撃者は一度小さな亀裂を見つけると、横方向に移動し、ネットワーク境界をすり抜け、オペレーション全体を人質に取れるまでになります。
最近話題になった情報漏えい事件から学んだことは、どんな環境も防弾仕様ではないということだ。誰かが、どこかで、侵入経路を見つけるのです。
2023年にロイヤル・ランサムウェアに襲われたダラス市の例を見てみましょう。
最初は1通のフィッシングメールから始まりましたが、すぐに危機的状況へとエスカレートしました。
ハッカーたちは約1ヶ月間、忍び足で情報を収集し、1テラバイト以上のデータを流出させました。
そして一度の組織的な攻撃で、彼らはダラスの管理ツールを使って重要な自治体サービスを暗号化し、その修復に800万ドル以上の費用がかかりました。
MGM Resortsでは、ソーシャル・エンジニアがヘルプデスクに甘い言葉をかけ、特権アカウントをリセットし、数時間以内にMGMのOktaアイデンティティ・システムのスーパー管理者権限を手に入れました。
突然、スロットマシンは真っ暗になり、ATMは動かなくなり、宿泊客は耐え難いほど長いチェックインの列に並ぶことになりました。
これが横の動き(ラテラルムーブメント)です。
いったん侵入者がネットワークへの鍵を握ると、彼らは自由に歩き回り、悪用し、爆発させます。
残念ながら、どの業界も安全ではないようです。
医療業界は、Prospect Medical HoldingsとChange Healthcareへの攻撃で打撃を受け、病院は緊急治療室の閉鎖を余儀なくされ、処方箋サービスは数日から数週間にわたって中断されました。
製造業では、Johnson Controlsが機密ビルの設計を含む27テラバイトのデータをハッキング集団「the Dark Angels」に奪われ、5,100万ドルの身代金を要求されました。
Dole Food Companyは生産停止を余儀なくされ、食料品店の棚にはサラダキットが一時的に並ぶことになった。
また、金融サービス大手のION Groupは、ロックビット(LockBit)ランサムウェアの攻撃を受け、世界中の顧客に飛び火し、大手銀行や証券会社の取引や決済が滞った。
伝統的な守備が機能しない理由
これらの話は厳しい真実を明らかにしています。
すべての侵害を防ぐことはできないのだ。業界のデータによると、ランサムウェアに感染した後のダウンタイムは平均24日間で、復旧費用は約500万ドルにのぼるといいます。
これは辛い現実の確認だ。そして、古い「予防-検知-修復」モデルがもはや十分でない理由でもあります。
攻撃は、標的の絞り込み、最初の侵害、横の動き、そして暗号化やデータ盗難という最終的な打撃という明確な段階を経ます。
侵入のタイミングが重要なのです。侵入者を素早く捕まえないと、最も重要なシステムに侵入されるまで、さらに深く潜り続けることになります。
では、どう反撃するのでしょうか?
多くの組織は、常に最悪の事態を想定して計画を立てる、常時侵入を想定する考え方にシフトしています。
論理的な境界でネットワークを分割する、従来のマイクロセグメンテーションを試みるところもあります。
しかし、こうした標準的なアプローチでは、攻撃がどのように拡散していくのかに対処できないことが多く、また明確な可視化もできません。
結局、どのセグメントが最も重要かを推測することになり、もし間違っていれば、攻撃者は侵害されたマシンからデータセンター全体に飛び火するかもしれません。
そこでColorTokens Xshield(カラートークンズ エックスシールド) エンタープライズ マイクロセグメンテーション プラットフォームが活躍します。
エックスシールドは、ネットワークを単に分割するのではなく、脅威がどのように横方向に移動するかをマッピングし、重要なプロセスの周囲にマイクロペリメータを自動的に作成します。
エックスシールドのアプローチは、ゼロトラスト哲学(デフォルトでは何も信用せず、すべてを検証する)に完全に合致しています。
また、「侵害への備え」をするのにも役立ちます。
サーバー、コンテナ、OTデバイス、古いレガシーシステムまで、環境を常に可視化し、どの接続が正常で、どの接続が疑わしいかを表示します。
レッドアラートを待つ代わりに、疑わしいフローやオープンポートをリアルタイムで表示します。
これは、横の動きを抑制する上で極めて重要です。
また、このプラットフォームは自動テンプレートとダイナミックタギングを提供しているため、複雑なファイアウォールルールを手動で作成する必要がありません。
ポリシーは、アプリケーションやワークロードの進化に合わせて適応します。
攻撃時(および攻撃後)の作戦の安全確保
攻撃が発生した場合、エックスシールドを使用すれば、ビジネス全体をオフラインにすることなく、侵害されたゾーンを即座に隔離できます。
ネットワークの片隅に悪意者が潜んでいたとしても、漏れたパイプのようにそのゾーンを遮断し、重要なシステムを維持して運用を継続することができます。
どのサーバーのプラグを抜けばいいのか、慌てふためく必要はありません。
すべて中央のポリシー・エンジンによって制御され、環境はすでにマッピングされているため、悪意のあるトラフィックのブロックは推測ではなく、正確なアクションになります。
エックスシールドの侵害後の洞察により、何が問題であったかを容易に学ぶことができます。
攻撃者がパッチの適用されていないシステムを悪用したり、設定ミスのセグメントを通過したりした場合、その教訓はすぐにプラットフォームにフィードバックされます。
ポリシーは改善され、脆弱性は封鎖され、組織はより強くなります。
エックスシールドを使用している企業は、攻撃対象領域を最大90%削減し、知的財産を保護し、ダウンタイムを数週間から数日に短縮したと報告しています。
この逸話的証拠を補強するために、このプラットフォームはForrester Wave Microsegmentation Reportの「リーダー」に認定され、GigaOmとConstellation Researchからも、インシデントレスポンスとOT、ヘルスケア、IoTのような複雑な環境の保護における卓越性が評価されています。
防御だけでなく、侵害への備えを築く
ランサムウェア攻撃の猛威は、あらゆる組織が脆弱であることを示しています。
しかし同時に、レジリエンスが可能であることも証明しています。
継続的な可視化を採用し、インテリジェントにセグメンテーションし、リアルタイムの防御戦略を導入することで、避けられない侵害を、ビジネスを破壊するような出来事から、阻止し、回復できる出来事へと変えることができます。
それが、安全であることを願うことと、実際に安全であることの違いなのです。
そのため、次のランサムウェアの波が押し寄せたときに、脅威を迅速に隔離し、重要な資産を保護し、コアビジネスを継続できる能力が求められます。
なぜなら、最終的には、すべての侵害を防ぐだけでなく、最終的に侵害されたときに立ち続けることが重要だからです。
カラートークンズ エックスシールドがどのように横移動の脅威に先手を打つのに役立つか、ColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「Recent Ransomware Attacks and the Danger of Lateral Movement」
最終更新日:2025/4/17
著者:Tanuj Mitra
この記事の著者:電巧社セキュリティブログ編集部
電巧社がおすすめするサイバーセキュリティ(マイクロセグメンテーション)の
資料をダウンロードする
メルマガ登録
ゼロトラストセキュリティ・マイクロセグメンテーションをはじめとして、サイバーセキュリティの最新情報や事例、セミナー開催情報などをお届けします。
本記事に関連するサービス
エンドポイントごとに分割して守る新サイバーセキュリティ技術「マイクロセグメンテーション」で、ランサムウェアなどのサイバー攻撃から情報資産を保護します。
「会社に情報システム部門がない…」
そんな企業様に最適!
最短2週間で導入可能・シンプルな運用・低コストでサイバー攻撃の被害を最小限に抑えます。
よく読まれている記事
関連する用語集
