ランサムウェアは、現在直面するサイバー脅威の中でも最も危険で破壊的な種類の1つです。企業にとって破壊的でコストがかかるだけでなく、社会の基盤に大規模な混乱を引き起こす可能性があります。ここでは、ランサムウェアの仕組みと、Microsoft 365 クラウドでのランサムウェアの実態について説明します。
目次
2025年のランサムウェア:クラウドに焦点を当てた危機
Microsoft 365クラウドの採用は多くの組織に生産性向上をもたらしますが、適切に管理されない場合、追加のサイバーセキュリティリスクを生み出します。
Microsoftは2024年に顧客に対するランサムウェア攻撃が前年比275%増加したと報告しています。インシデント分析によると、過半数がフィッシング攻撃から始まり、平均身代金要求額は$250万ドルに上ります。
被害者が身代金を支払わなくても、ランサムウェア攻撃はダウンタイムと損失で数百万ドルのコストを発生させます。しかし、クラウドに対するランサムウェア攻撃の脅威にもかかわらず、IT管理者の9.8%がMicrosoft 365は攻撃を受けないと信じています。
病院はランサムウェアグループの標的となりやすく、攻撃が患者に危険を及ぼす可能性があります。一方、最近イギリスでの小売業者に対するランサムウェア攻撃は、数週間にわたり棚が空になる事態を引き起こしました。
ランサムウェア・アズ・ア・サービス(RaaS)モデルは、低レベルのサイバー攻撃者でも組織を人質に取ることを可能にし、クラウドサービスの利用拡大により、攻撃者がネットワークにアクセスしてファイルを暗号化することが容易になっています。
攻撃の開始点:攻撃がどのように始まるか
フィッシングメールはランサムウェアの最も一般的な侵入経路ですが、攻撃者がクラウドエコシステムに侵入する他の方法も存在します。
悪意のあるMicrosoft Teamsチャット
攻撃者は、組織内の従業員と外部からMicrosoft Teamsチャットを開始することができます。これは、外部ドメインがデフォルトで有効化されており、正当なTeams通話効率的に許可される仕組みを悪用しています。
ソーシャルエンジニアリング
攻撃者はITサポートデスクを装い、従業員に問題が発生したと偽って画面共有やリモートアクセスツールのインストールを促すソーシャルエンジニアリング手法を用います。攻撃者はまた、従業員を装ってITサポートチームにパスワードの再設定を要求するケースもあります。この手法がイギリス小売業者への攻撃の始まりだと考えられています。
拡散と影響:クラウドが敵に回る
有効なMicrosoft 365認証情報を持つ攻撃者は、ユーザと同等のクラウドアクセス権限を取得します。Microsoft 365はこれらのアカウントを正当なものと認識するため、悪意あるものと識別されません。Teams、SharePoint、OneDrive内のMicrosoft 365(旧Office 365)データにアクセスできる攻撃者は、以下の行動を実行できます:
横方向の移動
Microsoft 365環境内に侵入した攻撃者は、正当な資格情報を使用してサービスやアイデンティティ間で横方向に移動します。Exchange Online、SharePoint、Teams、OneDriveへのアクセス権限を悪用し、権限の昇格、トークンの収集、内部インフラストラクチャのマッピングを実行します。これらの活動は伝統的なエンドポイントアラートをトリガーしません。攻撃者の目標は、高価値システムや機密データリポジトリに到達することであり、通常ユーザーの活動に紛れ込むように行動します。
データ操作
攻撃者は、OneDriveやSharePointに保存された業務 criticalなファイルを漏洩、破損、または永久削除できます。有効な資格情報を使用して行動するため、その活動はデータ損失防止(DLP)ルールや監査ポリシーを回避する可能性があります。一部の攻撃者は、攻撃の影響を拡大したり、今後の再感染を準備するために、ファイルのバージョンを改変したり、既存のOffice文書に悪意のあるマクロを注入します。
ランサムウェアの展開
アクセスが確保され、重要なデータが特定されると、攻撃者はランサムウェアのペイロードを実行します。Microsoft 365環境では、これにはOneDriveやマッピングされたSharePointライブラリに同期されたファイルの暗号化が含まれることが多くあります。これらのサービスは変更を自動的に同期するため、暗号化されたファイルが複数のエンドポイントやクラウドバックアップのクリーンバージョンを上書きし、復旧を大幅に複雑化させる可能性があります。
持続的なアクセス
長期的な制御を維持するため、攻撃者は隠蔽されたメール転送ルールを作成、悪意のあるOAuthアプリを登録、または新しいユーザーや管理者アカウントをプロビジョニングします。一部のケースでは、信頼されたサードパーティツールを含む既存のバックアップ統合を標的とし、スナップショットを削除したりバックアップジョブを無効化したりします。これらの戦術により、攻撃者は修復措置が完了したように見えても後から再侵入可能です。
ネイティブのMicrosoft 365保護機能では不十分
Microsoft Teamsは、ランサムウェアのような脅威に対してデフォルトで複数の対策を提供していますが、サイバーセキュリティとデータ保護の分野では、これらは単なる出発点に過ぎません。
デフォルトの外部アクセス
例えば、Microsoft Teamsはデフォルトで外部脅威を許可しています。外部ドメインのユーザーがTeamsユーザと連絡を取る機能を無効にするには、手動で設定する必要があります。
脆弱な機能
Exchange、OneDrive、SharePointの機能はユーザーにとって有益ですが、適切に構成されていない場合、攻撃者に容易なアクセスポイントを提供します。
限定的な復旧機能
これらのシステムは、完全なバックアップソフトウェアソリューションを提供しません。組み込みの復旧ツールは、削除されたファイルを30日から90日間のみ保存するため、独立したバックアップソフトウェアが導入されていない場合、組織は永久的なデータ損失のリスクにさらされます。
経営的な影響
ランサムウェアが依然として重大な脅威である理由は単純です。身代金が支払われるケースは16.3%で、6.9%から増加しています。しかし、支払っても成功が保証されるわけではありません。ランサムウェア攻撃は企業が永久にブジネスを停止する原因となり、特に中小企業が最も影響を受けています。
RSSフィードを取得する
