ランサムウェア
侵害はシステムだけでなく、後から見るとこれが大きな脆弱性だった信頼も失わせます
組織的な失敗の歴史には、偶然とは言えないほど繰り返されるパターンがあります:システムが長期間順調に動作すると、誰もがそれに自信を持つようになります。ほぼ例外なく、これはシステムを最初に順調に動作させていた警戒心を静かに蝕みます。そして、システムが失敗するのです – システムが完璧な状態にあると誰もが確信していた正にその瞬間に。
直感に反するかもしれませんが、安定性自体が不安定さをもたらす可能性があります。それは自己満足を生み、その結果、準備への投資を減らし、実際のリスクと認識されたリスクの間のギャップを広げます。著者モーガン・ハウセルはこのパターンを6つの言葉に圧縮しました:「静けさは狂気の種を植える」。これは金融市場でかなり目に見える形で、ほぼ臨床的な定期性で展開しますが、人間の心理学の経糸と横糸に織り込まれているため、サイバーセキュリティも例外ではありません。
したがって、侵害されたことのない企業は、自社のセキュリティ体制を適切だと見なす傾向があります。静けさは危険が過ぎ去ったことを示す証拠のように感じられ、その結果、危険を再び招き入れるような行動の変化が起こります。この仮定は静かに固くなり、たとえ誰もが明示的には述べなくても、次のように考えるようになります:何も起きていなければ、私たちのコントロールは素晴らしいに違いない、と。しかし、場合によっては、これは証拠の欠如を欠如の証拠と勘違いしているだけかもしれません。
別の観点から見ると、目に見えるインシデントの欠如は単なる沈黙であり、沈黙はいくつかのことを意味する可能性があります。無傷の記録を持つ企業は、確かに一流の防御を持っているかもしれません。しかし、それは単に、悪意のあり、献身的である可能性のある人の注意を避けたのかもしれません – 結局のところ、海には多くの魚がいます。
これは、少なくとも2つの質問する価値のある質問を提起します:現在流行している脅威に対して、あなたの環境が可能な限り安全であることを知っていますか?それとも、あなた(のベースライン)のコントロールが実施されていることだけを知っていますか?多くの組織は、2番目の質問に答えながら、最初の質問に答えたと信じています。彼らはコンプライアンスフレームワークに頼るかもしれません。しかし、それらが現在流行している脅威に対して対策が十分であるかどうかを必ずしもチェックしません。したがって、企業はコンプライアンスと同時にエクスポージャーを持つことができます。(シュレーディンガーの猫のパラドックスの臭いがしませんか?)
さらなるトラップ
組織のセキュリティの形式的な状態は測定しやすく、すべてがうまくいくと仮定すると、気分も良くなります。従業員のログイン認証情報がダークウェブマーケットプレイスで取引されているか、あるいは組織のEDRツールが容易に入手可能な「アンチツール」によってある状況下で無効化される可能性があるかどうかを評価するのは難しいです。多くの組織が見るとは思わないところを見なければなりません。
実際、意図的な修正がない場合の人間の傾向は、容易に入手可能な情報に頼って、一貫性のある物語を構築することです。これは入手困難な情報を犠牲にして行われ、どちらのカテゴリがより有益であるかについては幸せな無視で行われます。決定的に、心は何が欠けているかをフラグを立てません – 写真は完全に見え、自信は関係なく得られたものに見えます。故心理学者ダニエル・カーネマンはこの習慣の頭文字を作り上げました:WYSIATI(You See Is All There Is)。
測定できないものは重要ではないとリスクについて考える意思決定者がどれほど多いかを考えると、問題はさらに悪化する可能性があります。実際には、反対のことが多くの場合より真実に近く、基礎となる問題はこのステータスを獲得するほどですフォールシー。さらなるポイントを作らずに済ますために、少なくともいくつかのトラップを見たら、それらを「見ない」ことはできないと言えば十分です。
2025年データ侵害調査報告書において、ベライゾンは認識されたセキュリティと実際の暴露の間のギャップがどの程度広いかについて数字を示しました:ランサムウェア被害者の54%が、攻撃前に少なくとも1つのインフォステーラーログまたは違法なマーケットプレイスの投稿にドメインが表示されていたことが判明しました。すべてが整っているように見えたときでさえ、アクセスの詳細はすでに流通していました – そして場合によっては侵害がすでに発生していたかもしれません。
このタイプのブラインドスポットは、セキュリティプロセスを無効にしようとする試みなどの攻撃者の行動上の足跡をフラグ立てできないセキュリティスタックを持つ企業に最もひどく影響します。それを改善するには、見えるものを変え、適切なツールを使用することが必要です – コントロールが実施されていることを確認する以上のツールであり、環境内の何かが疑わしく行動していることをフラグ立てするツールです。
信頼が砕けるとき
これはすべて、ランサムウェア侵入が事業継続性イベントであり、その影響が広がっているという事実を考慮すると重要です。Change Healthcareが2024年にランサムウェアの被害者になったとき、病院と薬局への下流への影響は数ヶ月続き、インシデントが米国のほぼ全人口に打撃を与えたことは言うまでもありません。総費用は推定30億ドルでした。2025年のJaguar Land Roverへのランサムウェア攻撃は同様の経済的被害を引き起こしました。
一方、IBMはデータ侵害の平均コストをダウンタイム、復旧、下流への被害を含めて約500万ドルと見積もっています。特にヘルスケア組織では、平均はほぼ1000万ドルです。そして、この数字は、更新されない顧客契約や保険料が急騰する場合など、長いテール(長期的な影響)を捉えていません。
損害は数か月から数年にかけて複合し、特に盗まれたデータが専用リークサイト(DLS)で終わる場合はそうです。これは最近のほとんどの場合です。企業データの公開暴露は、ダンプされた契約、電子メール、個人データがビジネスメールの侵害(BEC)詐欺などの後続攻撃の餌食となると、それ自体は危機をトリガーします。
規制上の義務もすぐに発動します。同時に、顧客とパートナーは、企業が答える方法さえないかもしれない質問をし始めます。また、防御者が心に留めておくべきもう1つの注意点があります:データは犯罪者が「宣伝」することを選択したものだけを反映しています – ランサムウェア被害者のうち、自分のデータがサイトにダンプされているのはごくわずかだと考えられています。
規律がすべて
適切なツールと人員に加えて、時間をかけて持ちこたえるセキュリティは、監視と適応の習慣に基づいています。これはすべて、脅威環境で何が起こっているかについての認識、あなた自身のIT環境についてはいうまでもなく、に基づいています。
確かに、目に見える急性の脅威がない場合に絶え間ない警戒を保つことは、心理的には高くつきます。人間は切迫していないと感じるイベントの警戒を保つのに不適切であり、自己満足へのドリフトはとても徐々に進行するため、誰かが下した決定として登録されることはめったにありません。
しかし、脅威の側は「方程式」の中で止まらないため、防御の側も止まることはできません。脅威インテリジェンス、特にアクティブなキャンペーンについての多くのシグナルを提供する種類のものは、その認識の主要な要素です。これはセキュリティツールが検出とアラートに「変換」できるもので、セキュリティチームが時間内に行動できます。それがないと、組織がセキュリティについて信じていることと実際に真実との間のギャップは、むしろ高価に、サイバー犯罪者によって閉じられるまで、引き続き広がる可能性があります。
翻訳元: https://www.welivesecurity.com/en/ransomware/calm-ransom-what-you-see-is-not-all-there-is/
