米国の多く、そして海外でも増加傾向にある感謝祭の週末は、ホリデーシーズンの重要な時期の始まりを示し、小売業界にとっては成否を分ける期間となります。
セキュリティチームにとって、ブラックフライデーの週末は警戒を強める期間であり、ランサムウェアの運営者やその他の脅威グループが熱狂的な消費者や企業のITネットワークを標的にします。
企業の従業員はしばしば家族旅行や休暇を始め、勤務時間が限られたり、遠隔地からオフィスにアクセスしたりします。企業はITネットワークの可視性が制限され、リモートワーカーの身元確認に苦労しがちで、オフタイムのスタッフも最小限に抑えられています。
「多くのセキュリティチームはホリデー期間中、体制を縮小して運用しています」と情報技術情報共有分析センターのエグゼクティブディレクター、スコット・アルガイアー氏はCybersecurity Diveに語りました。「しかし、これはネットワークが無防備になるという意味ではありません。」
境界の管理
リモートワーク時代のセキュリティ管理は、長年にわたり企業に追加の課題をもたらしています。従業員はしばしば自宅で、個人用コンピュータや未承認のソフトウェアを使用して仕事をしています。複数の家族とコンピュータネットワークを共有している場合もあります。
ホリデーシーズン中はこれらの課題がさらに複雑化し、従業員が遠隔地やさまざまなタイムゾーンから企業ネットワークにアクセスします。これにより、セキュリティチームが従業員や正規の契約社員、高い権限を持つ上級幹部の身元を確認することが難しくなります。
ランサムウェアグループやその他の脅威アクターは、初期侵入や偵察活動の大半を夜間、週末、または連休期間中に行います。これは、セキュリティチームが気を取られたり、スタッフが限られていたり、対応できない場合が多いためです。
サイバーセキュリティ企業Semperisが月曜日に発表したレポートによると、過去12か月間のランサムウェア攻撃の半数以上が休日や週末に発生しています。Semperisのレポートは、ロンドン拠点の市場調査会社Censuswideが実施したもので、世界中の1,500人のITおよびセキュリティ専門家を対象にした調査に基づいています。
調査対象者には、北米、英国、欧州大陸、アジア太平洋地域のITセキュリティリーダーが含まれていました。
レポートによると、約4社に3社が自社内にセキュリティオペレーションセンターを持っています。また、10社中8社が週末やホリデー期間中にスタッフを50%以上削減しており、これが攻撃リスクを高めています。
「ホリデーシーズン中、ほとんどのセキュリティチームが人員を減らして運用していることは分かっています」とPalo Alto NetworksのUnit 42上級主任研究員マット・ブレイディ氏は述べました。「残念ながら、サイバー犯罪者はこれを十分に理解しており、その減少したカバレッジ期間を積極的に悪用しようとしています。」
連休からの教訓
Marks & Spencerに対するソーシャルエンジニアリング攻撃は、ホリデー期間中に存在する脆弱性の一例を示しました。英国下院の小委員会での証言によると、この重大な攻撃はイースター直前の4月17日に始まりました。
この攻撃により、英国の百貨店チェーンは4億ドル以上の売上損失とコストを被りました。この攻撃は、サイバー犯罪グループ「Scattered Spider」に関連する一連の攻撃の初期の出来事の一つでした。小売業界全体が数か月にわたる攻撃に苦しみ、数百万ドルの収益損失と複数の国で顧客データの漏洩が発生しました。
小売・ホスピタリティ情報共有分析センターの関係者によると、小売業者はホリデーシーズンに備えて追加の対策を講じているとのことです。
「多くの企業は、数か月前から包括的な全社的セキュリティ意識向上プログラム、フィッシングシミュレーションの拡大、最前線の従業員向けの必須リフレッシュ研修などで防御を強化し始めます」とRH-ISACの最高セキュリティ責任者兼副社長のパム・リンデモエン氏はCybersecurity Diveに語りました。「インシデント対応計画の更新とリハーサル、より頻繁かつ現実的な机上演習の実施、重要なシステムへのアクセス制御の強化も行います。」
サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、ホリデーシーズンに関連した特定の脅威は確認していませんが、あらゆる潜在的な危機に対応する準備ができていると述べています。
「ホリデーシーズンは確かに、悪意あるアクターが脆弱なシステムを悪用するリスクが高まります」とCISAのスポークスパーソン、マーシー・マッカーシー氏は述べました。「これは、警戒が高まる時期だけでなく、年間を通じて堅牢なサイバーセキュリティ対策を維持する必要性を強調しています。」
夜間の暗号化
Google Threat Intelligence Groupの研究者は、ランサムウェア活動が必ずしもホリデー期間中に急増するわけではないと警告していますが、オフタイムの攻撃は攻撃者にデータへのより良いアクセスを与えると述べています。
GTIGの主任アナリスト、ザック・リドル氏によると、12月のランサムウェア活動は過去に若干の減少傾向が見られたとのことです。彼は、Black Bastaランサムウェアを使うハッカーの流出チャット情報を引用し、クリスマスイブからロシア正教のクリスマス休暇が終わる1月15日まで、ハッカーが休暇を取っていることを示しています。
しかしリドル氏は、ランサムウェアグループがオフタイムを利用して標的データを暗号化していると警告します。2024年には、同社が対応したケースの70%以上で午後6時から午前8時の間にデータが暗号化されていました。30%のケースでは、暗号化は週末に始まりました。
「これは、おそらく攻撃者が業務時間外にランサムウェアを展開することで検知を最小限に抑え、影響を最大化しようとしているためです」とリドル氏はCybersecurity Diveに語りました。「非業務時間中に暗号化を行うことで、特に多くのシステムを暗号化する場合、被害者がインシデントを特定し対応する前に、脅威アクターが作業を完了する時間をより多く確保できる可能性があります。」
翻訳元: https://www.cybersecuritydive.com/news/thanksgiving-holiday-threat-environment-cyber/806585/
