出典:Jerome(Alamy Stock Photoより)
ランサムウェアに攻撃されるのに良いタイミングはありませんが、オフタイムや週末、祝日に攻撃が発生すると、その影響はさらに壊滅的になる可能性があります。これは、企業が人手不足になるタイミングを狙って攻撃者が仕掛けてくるからです。
ランサムウェア集団は、正規のビジネスのように運営されているという報告もある、着実に増加している脅威です。カスタマーサービスやヘルプデスク要員まで備えており、攻撃の手順もよく考え抜かれています。特に、組織の週末や祝日のダウンタイムに合わせて攻撃する傾向があり、これはスタッフの燃え尽き対策にもなっています。
過去12か月間に報告されたランサムウェア攻撃の52%が週末や祝日に発生しており、これは最近のSemperisレポート(10か国8業界の回答を分析)で明らかになっています。こうした攻撃は、従業員が燃え尽きを避けるため休暇を取ることで、セキュリティオペレーションセンター(SOC)の人員確保が困難になるタイミングと重なっています。この期間、調査回答者の78%がSOCチームを50%以上削減したと述べています。さらに、6%は「通常の勤務時間外はSOCを全く配置していない」と認めています。
この懸念は新しいものではありません。Cybereasonは継続的な問題を2022年のレポートで記録しており、「組織は休日や週末のランサムウェア攻撃への対応準備ができていない」ことが、対応時間の長期化や財務損失の増大につながっていると指摘しています。調査対象となったサイバーセキュリティ専門家の88%が、ランサムウェア攻撃のために休日や週末の行事を逃したと報告しています。
Googleは祝日期間中のランサムウェアリスクの増加を観測していませんが、同社の調査では「ランサムウェア攻撃者が意図的に非稼働時間帯に活動している可能性が高い」と、Google脅威インテリジェンスグループの主席アナリスト、Zach Riddle氏は説明します。
2024年に対応したケースの70%以上で暗号化イベントが午前8時前または午後6時以降に発生しており、「これは運用上の明確な傾向を示している」とRiddle氏は述べます。また、同期間中のランサムウェア暗号化の30%が週末に開始されていました。
『すでに手遅れ』
攻撃者が企業の最も脆弱なタイミングを狙うのは驚くことではありませんが、このランサムウェアの苦境には2つの重要な要因があります:燃え尽きと最小限の人員体制です。
組織は日常的にセキュリティリソースや人員不足に直面していますが、祝日や週末はその問題をさらに悪化させると、Omdiaの主席アナリスト、Adam Strange氏は述べています。「IT人員が必ずしも削減されるわけではありませんが、休暇中の同僚のカバーを残ったスタッフが担当するため、より薄く分散されることになります」と彼は説明します。
多くの従業員が休日に休暇を取り、勤務している人も注意散漫になったり、過労を感じたりすることがあると、Huntressの主任プロダクトリサーチャー、Truman Kain氏は説明します。注意散漫な従業員は、悪意のあるリンクをうっかりクリックしたり、ますます巧妙になるフィッシング攻撃に引っかかったりする可能性があります。
週末は多くの組織が人手不足のため、攻撃が月曜の朝まで気付かれないこともあります。しかし、その時にはすでに手遅れだとKain氏は警告します。
「もしあなたのセキュリティチームが週末や祝日に最小限の体制であれば、ランサムウェアの被害に遭う可能性が高くなります」とKain氏は言います。「問題は“それが起きるかどうか”ではなく、“いつ起きるか”です。」
攻撃者は、組織が人員を減らし、燃え尽きを避けるために休暇を奨励する状況を利用していると、SANS Instituteの攻撃的オペレーション主任インストラクター、Jonathan Reiter氏は推測します。
燃え尽きは、継続的な懸念事項であり、特にCISOやSOCチームは長時間労働や多くの課題への対応を求められています。多くの組織は、過労気味の従業員の燃え尽きを防ぐために、休日は最小限のスタッフ体制を維持していますが、ランサムウェア集団はこの不在に気付き、そこを狙っているとReiter氏は述べています。
人手不足の企業はランサムウェアに対応できるか?
従業員の休養時間を確保することは燃え尽きを防ぐために不可欠ですが、それによってセキュリティの隙間が生じます。インシデント対応や危機管理、事業継続など、十分に文書化された計画を策定・維持することで、こうした課題を補うことができます。
「祝日などでスタッフが交代制になる場合、全員がどこにそのドキュメントがあるか、エスカレーションの経路、追加支援が必要な場合に誰に連絡すべきかを把握しておく必要があります」と、Arctic Wolfのデジタルフォレンジック&インシデントレスポンス担当副社長のKerri Shafer-Page氏は推奨します。
人員が限られていても、明確なプロセス、強力なドキュメント、そしてAIによる自動化がノイズの多い作業を支援することで、攻撃者がオフタイムの隙間を突こうとした際にも迅速に対応できるとShafer-Page氏は付け加えます。
Reiter氏は、企業が取るべきアクションとして、ネットワーク分離を実施し、重要なコンポーネントをユーザーが利用するネットワークから分離することを推奨しています。また、年に数回、クリスマス休暇中の大規模攻撃などのシナリオをテストするテーブルトップ演習を行い、企業の計画がそうした脅威にどれだけ耐えられるか確認するのも有効だと述べています。
「祝日にフルスタッフを配置する必要はありませんが、緊急時にオンコールで対応できる専任チームは用意しておくべきです」とReiter氏はDark Readingに語ります。「呼び出されて大切な家族との時間を犠牲にしたチームには、しっかりとしたボーナスを与えるべきです。」
年間を通じた影響も考慮を
SOCチームが最小限でもフル体制でも、日々ランサムウェアから守るための強固な防御策を実施することが同じくらい重要です。Strange氏は、祝日や週末、営業時間外であっても、常に一定レベルのセキュリティカバレッジを維持する必要があると強調します。
攻撃の防止や被害軽減は通常の勤務時間に限定されるものではなく、過去1年間の攻撃増加がその証拠です。企業が非稼働時間帯の人員問題でセキュリティに隙間が生じている場合、戦略の見直しが必要かもしれません。効果的でないセキュリティ体制には、自動化などの新技術、外部委託、コスト効率の良いアウトソーシング、または祝日期間中の休暇ポリシーの調整が求められる場合もあります。
「合意された最低レベル以上の追加リソースが投入できればもちろん有効ですが、あまりにも多くのセキュリティスタッフが休暇で不在となり、組織が脆弱になる事態は絶対に避けるべきであり、早急に是正する必要があります」とStrange氏は助言します。
