K-12学区を狙うランサムウェア攻撃を終わらせる

ランサムウェア関連のインシデントは昨年だけでも1,200件以上に達し、米国を拠点とする組織から約9億ドルの支払いがあったことが報告されています。これらの攻撃は単なる脅迫にとどまらず、業務の中断や機密データの漏洩を引き起こし、さらにそのデータがダークWebで販売され悪用される可能性があります。

誰もが安全ではないように思えますが、特に学区（School district：アメリカなどで公立学校を運営する地域毎の組織のこと）は危険です。Sophosによると、2021年には世界の学区の56%がランサムウェアによる攻撃を受けたということです。これらの攻撃によって学校のネットワークが遮断され、授業が中止され、生徒やその両親、教師、その他の従業員のPII（personally identifiable information：個人を特定できる情報）が危険にさらされています。

しかし、なぜ学区なのでしょうか? なぜ攻撃者は学区を狙うのでしょうか? そして、なぜ今なのでしょうか? その理由を探ってみましょう。

学区が狙われる理由

2022 CyberEdge Cyberthreat Defense Reportによると、ランサムウェアのインシデントによる支払額の平均は、過去2年間で12,000ドルから322,000ドルへと急増していますが、これは攻撃のターゲットが個人から資金力のある大きな組織へと移行したことが原因です。授業に支障が出ることやITセキュリティのコストが増加することを避けるために、多くの学区では身代金を支払うことを選択するため、悪循環が止められなくなっているのです。

しかし残念ながら、身代金を支払ったからといって攻撃が終わるとは限りません。攻撃者は暗号化したデータを復旧させるための身代金を要求した後に、そのデータを外部に漏洩させると脅迫して被害者にさらに多くの金銭を要求することが増えており、これは二重脅迫型攻撃と呼ばれています。攻撃者は、学区が生徒、教師、管理者、職員、さらには保護者のデータ（入学や雇用のために個人情報を提供する必要がある）を持っていることを知っており、そのデータが流出することを阻止するために金銭を支払う可能性が高いことを知っているのです。これらのデータは複数のキャンパスのネットワークに分散して存在し、多くのエンドポイントからアクセスできるようになっているため、流出のリスクも高くなっています。

身代金の高騰と二重脅迫の可能性、そして攻撃対象が拡大していることから、K-12学区に対するランサムウェア攻撃が増加しています。学区のセキュリティ予算は限られており、大企業ほど防御が厳重でないことを考えると、手っ取り早くお金を得ようとするサイバー犯罪者にとって、学区が高価値で手ごろな標的として認識されていることは不思議なことではありません。

脅威の拡大が学区を危険にさらす

K-12（幼稚園から高校まで）学区の攻撃対象は、過去数年間で大幅に拡大しました。パンデミック時に学生が自宅から学習用プラットフォームにログインするようになり、個人が管理する脆弱なデスクトップPC、ノートパソコン、タブレット、携帯電話などが教育ネットワークへのアクセスポイントになりました。現在、学生は教室に戻っているかもしれませんが、学区では将来のために遠隔学習機能を維持しており、脆弱性も残っています。遠隔学習以外でも、K-12教育はインターネットへの依存度を高めており、生徒たちは日常的にオンラインの記事、ジャーナル、アプリケーションなどにアクセスします。つまり、どの教室でも多数のブラウザーやインターネットへの接続が使用されており、開いているタブのひとつひとつが、攻撃者が悪用できる脆弱性になっているのです。

同時に、多くの学区は少額かつ非常に厳しい予算で運営されているため、ITやサイバーセキュリティへの投資能力が制限されています。セキュリティリソースが限られているだけでなく、多くの場合レガシーな技術ソリューションに依存しているため、拡大する境界を強化することは非常に困難です。

従来のセキュリティツールでは学区を保護できない

今日のランサムウェア攻撃は、JavascriptやVPNなどの一見無害な技術を利用して初期アクセスを行い、その後ネットワーク全体に横展開するという、高度かつ回避的なものです。攻撃者は、遠隔学習の要であるWebブラウザーを狙って、HEAT（Highly Evasive Adaptive Threats : 高度に回避的で適応型の脅威）と呼ばれる新しい種類の脅威を展開しています。HEAT攻撃は今日の拡大した攻撃対象を利用し、従来型のセキュリティ防御を回避してランサムウェアのペイロードを送り込みます。HEATはブラウザーのウィンドウを脅威ベクトルに変え、現在のセキュリティ技術を容易に回避するのです。

学区は身代金を支払ってでもデータを復旧すべきなのか?

これは、実際に攻撃を受ける前の計画段階で決定しておくべきことです。そうすれば、攻撃の最中のストレスや時間の制約を受けることなく、冷静に判断することができます。FBIの公式な推奨は、どんなに魅力的な提案でも支払いには応ぜず、感染したシステムの制御を回復するよう努力することです。身代金の要求に応じることは、さらなる攻撃を助長することになるからです。ランサムウェアの犯罪者集団は、学区が簡単に支払いに応じることがわかれば、攻撃、攻撃、そしてさらに攻撃を続けることでしょう。

失われたシステムの復旧にかかる費用

学区が身代金を支払わないことを選択したとしても、失われたシステムの復旧には多大な時間と費用がかかります。バックアップは信頼性が低く、数分前、数週間前など、最後にバックアップが行われた時点までしか復旧できません。さらに、バックアップとリカバリーでは、流出したデータを保護することはできません。

学区が自らを守るために

悪い話ばかりではありません。脅威がネットワークに侵入する方法が変化していることは事実ですが、これは単にネットワークを保護する方法について考え方を進化させれば良いだけのことなのです。

最も重要な教訓は、ランサムウェア攻撃への対応は、攻撃の後では遅すぎるということです。その代わりに防御的なアプローチを採用し、防御ベースのテクノロジーソリューションを活用することで、システムが侵害される前にランサムウェアを阻止する必要があります。インターネットアイソレーション技術や多要素認証などの高度なセキュリティ機能により、たとえ悪意のあるコンテンツにさらされたとしても、ユーザーの認証情報が悪用されないように保護することができます。そして何よりも、予防と検知を組み合わせた多階層のアプローチを導入し、初期アクセスを防ぎ、ネットワーク内の不審な行動を監視することが重要です。