データセキュリティの現状：データ侵害を引き起こした2024年の主な攻撃

はじめに

2024年も、サイバー攻撃が多く発生した年となりました。特にランサムウェア攻撃は、驚くべき数で重要な機関に大混乱を引き起こし続けています。Sophosによるレポート「The State of Ransomware 2024」によると、2024年は59%の組織がランサムウェア攻撃の被害を受けました。標的となった企業の98%はデータを回復できたものの、大きな混乱と多額のコスト被害が発生しました。攻撃の際、要求される身代金の平均額は200万ドルでしたが、これに復旧費用が加わり、平均273万ドルのコスト負担が組織にかかる結果となりました。

昨年、ハッカーは世界最大規模の組織や政府機関などに対して、業務の麻痺、データ損失、金銭的な損害を与えました。しかし、攻撃の多くは簡単な対策で軽減または完全に回避できた可能性があります。それでは、2024年に発生した破壊的なランサムウェア攻撃をいくつか見てみましょう。

医療機関

2024年初頭、米国最大手の医療機関がランサムウェア攻撃を受けました。その結果、1億3100万人もの患者の記録が漏洩するデータ侵害が発生しました。流出した情報には、個人健康情報（PHI）、支払い記録、患者の社会保障番号、個人識別情報（PII）などが含まれていました。この医療機関は、情報が流出したことで数々の規制に基づく制裁を受けることになりました。

さらに、処方箋を処理する目的などで提供していた医療ソフトウェアアプリの停止も余儀なくされました。また、決済サービスや歯科および医療記録アプリが停止したことで、医療に支障をきたし、患者の健康に影響を及ぼす可能性も示唆されました。

課題

攻撃者は、盗んだ認証情報を使用して医療機関のネットワークとデータ資産にアクセスしました。実際、こういった攻撃は珍しくありません。Sophosのレポートによると、ランサムウェア攻撃の29%は認証情報の侵害をきっかけとしています。この医療機関では、多要素認証(MFA)が採用されていませんでした。そのため、攻撃者は盗んだ認証情報を悪用してネットワークへ侵入することができたのです。ユーザーとそのデバイスを認証する機能がなかったことで、正規のユーザーになりすました攻撃者を識別できず、侵入を防ぐことができませんでした。

ソリューション

MFAを採用していれば、攻撃の大部分を阻止できたはずです。MFAは、ネットワークアクセスを許可する前に、テキストメッセージや電子メールで固有コードを受信するようユーザーに要求します。これにより、盗まれた認証情報の使用をブロックすることができます。また、モバイルアプリを使用した新しいMFAモードでは、モバイルデバイスのなりすましによるSMSメッセージの傍受リスクを回避でき、より強力な保護が提供されます。さらに強力な認証対策になりうるのが、マルチユーザー認証(MUA)です。MUAでは、データの削除や暗号化、アカウントの変更や削除などを行う際、複数のユーザーが確認する必要があります。これにより、システムが侵害された場合でも、ランサムウェア攻撃による悪影響を軽減することが可能です。

政府機関

2024年、世界で最も人口の多い国のひとつで、200以上の政府機関がランサムウェア攻撃の被害を受けました。この攻撃により、空港の運営や入国審査など、多くの重要な政府機能が停止を余儀なくされました。結果的には、政府は攻撃者から要求された数百万ドルの身代金の支払いを拒否し、攻撃を受けたデータを復元することができました。しかし、その過程で多くの政府サービスの再開が遅れ、統治と国民生活に悪影響を及ぼしました。

課題

攻撃の影響を悪化させたのは、多くの機関にわたって機能すべきバックアップポリシーがこの国にはなかったという点です。政府のIT部門で働いたことがある人なら、200以上の異なる機関にわたってバックアップポリシーを定義、適用、検証することがいかに困難であるかが分かるはずです。それでも、バックアップはランサムウェア攻撃に対応するうえで非常に重要です。バックアップデータを安全に復元できれば、攻撃者に屈することなく、身代金の支払いを回避することが可能になります。

ソリューション

セキュリティ上のベストプラクティスとして有名なのは、定期的なバックアップを確実に行うことです。専用のバックアッププロバイダーを使用すれば、最良の結果が得られるでしょう。しかし、「特に優れた」ランサムウェア攻撃は、バックアップも標的にしています。実際、Sophosのレポートでは、バックアップが狙われたという被害者は94%を占めており、その理由も判明しています。攻撃者は、元のデータセットだけでなく、バックアップも暗号化することで、ターゲットが身代金を支払わざるを得ない状況に追い込むのです。しかし、このリスクを軽減する方法はあります。攻撃者がバックアップされたデータにアクセスできたとしても、イミュータブル機能を使っていれば、データの暗号化や削除ができなくなります。

交通機関

2024年秋、米国で最も混雑し、経済的にも重要な交通機関の1つがランサムウェア攻撃を受けました。攻撃者は複数のシステムに侵入してデータを暗号化し、主要な空港や海運施設の機能を麻痺させました。運営当局は身代金の支払いを拒否しましたが、データやシステムの復旧には予想以上の時間がかかり、旅行者や運送会社に不便を強いる結果となりました。

課題

この運営当局には、信頼性の高いバックアップと実行可能なバックアップ戦略が導入されていました。それにも関わらずダウンタイムが発生し、ビジネスが損害を受けたのは、非効率的なバックアップとリカバリを採用していたためです。攻撃の影響から回復するまでに、長い時間と多くの管理プロセスを経る必要がありました。さらに、バックアップされたデータをクラウドストレージから取り出すために、下り転送料も支払う必要がありました。

ソリューション

バックアップソリューションを選択する際には、目標復旧時間(RTO)をよく検討することが推奨されています。ランサムウェア攻撃は重大なインシデントであり、データの復元に数時間、あるいは数日かかるようでは、さらに大きな悪影響を被ることになります。また、下り転送料やAPIリクエスト料金のないバックアップサービスを採用すれば、修復にかかるコストを節約できます。

大手クラウドサービスプロバイダー

大手クラウドサービスプロバイダーのデータ分析ソフトに保存されている大量の情報が、ハッカーによって窃取されました。盗まれたデータは、銀行や娯楽施設を含む多数の大企業のものでした。この攻撃はランサムウェア攻撃ではありませんでしたが、ハッカーが貴重なデータを流出させ、ダークウェブで販売しようとする手法の変種です。結果として、銀行の顧客記録やクレジットカード口座情報などが売りに出されました。

課題

この攻撃では、まず顧客の個人デバイスからログイン認証情報を盗み、その情報を使ってデータ分析プラットフォームに侵入するという巧妙な手口が使われました。ハッカーは、クラウドプロバイダーに気付かれることなくデータを盗み出すことに成功しています。プロバイダーが侵害に気付いたときには、すでに大量の機密データが流出していました。実際に、こういったケースはよくあることであり、この場合は非常に大きな損害が発生しました。

ソリューション

下り転送アラートは、アカウントからデータが取得されたことをストレージ管理者に通知します。この機能が有効になっていれば、攻撃の影響を軽減できたはずです。クラウドプロバイダーが下り転送アラートを設定していた場合、データがストレージから流出したときに管理者が通知を受け、侵害をはるかに早く察知して、被害を抑えられた可能性があります。

まとめ

この記事では、1年間に発生した数千件のサイバーセキュリティインシデントの中から、特に深刻な被害を受けた4つの攻撃をご紹介しました。ランサムウェアは、医療、交通機関、政府に混乱と金銭的な被害をもたらし、大企業からデータを盗み出すことに成功しました。適切な対策を講じていれば、こうした攻撃の発生率と影響を軽減できたはずです。一貫したバックアップ、有意義なRTP、MFA、イミュータブルバックアップ、下り転送アラートを活用することで、ランサムウェア攻撃やデータ侵害のリスクが抑えられます。