Google Cloud を使用したランサムウェア攻撃の軽減

第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃のリスクを軽減するため、Google Cloud には、攻撃を特定、保護、検出、対応、復旧するための抑制手段が用意されています。この抑制手段により、次のことを実現できます。

• リスクを評価する。
• ビジネスを脅威から保護する。
• 継続的な運用を維持する。
• 迅速な対応と復旧を可能にする。

このドキュメントは、セキュリティ アーキテクトと管理者を対象とするシリーズの一部です。ここでは、組織がランサムウェア攻撃の影響を軽減するために Google Cloud がどのように役立つかについて説明します。また、ランサムウェア攻撃の順序と、Google プロダクトに組み込まれたセキュリティ管理機能についても説明します。この機能は、ランサムウェア攻撃の防止に役立ちます。

このシリーズは、次のパートから構成されています。

• Google Cloud を使用したランサムウェア攻撃の軽減（このドキュメント）
• Google Cloud を使用してランサムウェア攻撃を軽減するためのベスト プラクティス

ランサムウェア攻撃の順序

ランサムウェア攻撃は、潜在的な脆弱性を探す大規模なキャンペーンや、統制されたキャンペーンとして開始されることがあります。統制されたキャンペーンは、確認と予備調査から始まり、攻撃者は脆弱な組織を特定して使用する攻撃の媒介物を決定します。

ランサムウェア攻撃の媒介物は多数あります。最も一般的なものは、悪意のある URL を含むフィッシング メールや、公開されているソフトウェアの脆弱性を利用することです。このソフトウェアの脆弱性は、組織が使用するソフトウェアに存在する場合や、ソフトウェアのサプライ チェーンに存在する場合があります。ランサムウェア攻撃を行う者は、組織、サプライ チェーン、顧客を標的とします。

最初の攻撃が成功すると、ランサムウェアはそれ自体をインストールし、指揮統制サーバーに接続して暗号鍵を取得します。ランサムウェアがネットワーク全体に広がると、リソースに感染し、取得した鍵を使用してデータが暗号化されて持ち出される可能性があります。攻撃者は、通常、復号鍵と引き換えに暗号通貨の身代金を要求します。

上述の一般的なランサムウェア攻撃の順序（確認と予備調査から身代金の要求まで）をまとめた図を次に示します。

多くの場合、ランサムウェアは検出が困難です。Sophos によると、組織がランサムウェア攻撃を発見するには約 11 日かかります。一方、FireEye では、平均時間を 24 日と報告しています。そのため、重要なことは、防止、モニタリング、検出の機能を導入し、攻撃を見つけたときに迅速に対応する体制を整えておくことです。

Google Cloud のセキュリティと復元性の管理機能

Google Cloud には、ランサムウェア攻撃からお客様を保護するためにセキュリティと復元性の管理機能が組み込まれています。この管理機能には、次のものがあります。

• 情報処理のライフサイクル全体でセキュリティを考慮して設計されたグローバル インフラストラクチャ。
• モニタリング、脅威検出、データ損失防止、アクセス制御など、Google Cloud プロダクトとサービスに組み込まれたセキュリティ機能。
• リージョン クラスタとグローバル ロードバランサによる高可用性。
• 簡単にスケールできるサービスを備えた組み込みのバックアップ。
• Infrastructure as Code と構成のガードレールを使用した自動化機能。

Google Cloud の Threat Intelligence for Chronicle と VirusTotal は、Google インフラストラクチャとプロダクト全体にわたり、ランサムウェアを含むさまざまな種類のマルウェアを追跡して対応します。Google Cloud の Threat Intelligence for Chronicle は、Chronicle の脅威インテリジェンスを開発する脅威研究者のチームです。VirusTotal は、企業内でのマルウェアの動きを詳細に把握できるマルウェア データベースと可視化ソリューションです。

組み込みのセキュリティ管理機能の詳細については、Google のセキュリティに関するホワイトペーパーと、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

Google Workspace、Chrome ブラウザ、Chromebook のセキュリティと復元性の管理機能

Google Cloud 内の管理機能に加え、Google Workspace、Google Chrome ブラウザ、Chromebook などの他の Google プロダクトにも、ランサムウェア攻撃から組織を保護するセキュリティ管理機能が含まれています。たとえば、Google プロダクトには、ロケーションや IP アドレスなどの ID とコンテキストに基づいて、リモート ワーカーがどこからでもリソースにアクセスできるようにするセキュリティ管理機能が備わっています。

ランサムウェア攻撃の順序セクションで説明したように、メールは、多くのランサムウェア攻撃の重要な媒介物です。メールは、不正なネットワーク アクセスのために認証情報を盗み出すため、またランサムウェアのバイナリを直接送りつけるために利用されます。Gmail の高度なフィッシングと不正なソフトウェアへの対策では、メールを検疫し、危険な添付ファイルの類から守り、送られてくるなりすましメールからユーザーを保護します。セキュリティ サンドボックスは、未知のマルウェアが添付ファイルに存在するかどうかを検出するように設計されています。

Chrome ブラウザには、Google セーフ ブラウジングが含まれており、ユーザーが感染したサイトや悪意のあるサイトにアクセスしようすると警告が表示されます。サンドボックスとサイト分離により、同じタブの異なるプロセス内に悪意のあるコードが広がることを防止できます。パスワード保護は、個人アカウントで会社のパスワードが使用されている場合にアラートを発出し、ユーザーの保存済みパスワードがオンラインで不正使用されていないかどうかを確認するように設計されています。このような場合には、ブラウザがユーザーにパスワードの変更を求めるメッセージを表示します。

次に挙げる Chromebook の機能は、フィッシングやランサムウェア攻撃からの保護に役立ちます。

• 読み取り専用のオペレーティング システム（Chrome OS）。このシステムは、見えない形で更新し続けるように設計されています。Chrome OS は、最新の脆弱性からの保護に役立ちます。また、アプリケーションや拡張機能が OS を変更できないようにする管理機能も含まれています。
• サンドボックス化。各アプリケーションは隔離された環境で実行されるため、1 つの有害なアプリケーションが他のアプリケーションへ簡単に感染することはありません。
• 確認付きブート。Chromebook の起動時にシステムが変更されていないことを検証するように設計されています。
• セーフ ブラウジング。Chrome では、安全でないサイトの最新のセーフ ブラウジング リストを定期的にダウンロードします。ユーザーがアクセスする各サイトの URL と、ユーザーがダウンロードした各ファイルをこのリストで確認するように設計されています。
• Titan C セキュリティ チップ。このチップは、2 要素認証プロセスを有効にすることでユーザーをフィッシング攻撃から保護し、さらにオペレーティング システムを悪意のある改ざんから保護します。

組織に存在する攻撃対象領域を減らすには、主にブラウザで仕事を行うユーザーに Chromebook を使用してもらうことを検討してください。

次のステップ

• ランサムウェア攻撃を軽減するためのベスト プラクティスを実装する（次のドキュメント）。
• ランサムウェア攻撃の防止と対応の方法について、ランサムウェア攻撃を防ぐ 5 つの柱を確認する。
• ゼロトラスト ソリューションの詳細について、デバイスとゼロトラストを確認する。
• セキュリティと耐障害性のフレームワークを使用し、悪意あるサイバー イベントに対してビジネスの継続性と保護を確保する。