ランサムウェア被害の大半はパッチ未適用が原因？ Microsoftが語るその対策：パッチインストールの管理プロセス整備を

Microsoftは、ランサムウェア攻撃とその予防策、攻撃を封じ込め、回復するために必要な措置について公式ブログで解説した。

[＠IT]

　Microsoftは2023年6月29日（米国時間）、ランサムウェア攻撃とその予防策、攻撃を封じ込め、回復するために必要な措置について公式ブログで解説した。

ランサムウェア攻撃の検証

　同社によると、2021年に発見された既知のネットワーク脆弱（ぜいじゃく）性の半数以上は、パッチが適用されていないことが判明しているという。さらに、ランサムウェア攻撃を受けた組織の68%は、効果的な脆弱性とパッチの管理プロセスを持っておらず、その多くは、自動化されたパッチ適用機能ではなく、手動プロセスへの依存度が高かった。

　同社は、攻撃者が連携するようになったために、パッチを悪用される可能性がかつてないほど高まっているとし、攻撃はより速く起こっているだけでなく、より協調的になっていると主張している。また、脆弱性の発表からその脆弱性が商品化されるまでの時間が短縮されていることも確認しているとした。

脆弱性のコモディティ化

　ゼロデイ脆弱性攻撃は、当初は限られた組織を標的とすることが多いものの、すぐに大規模な攻撃者のエコシステムに採用される。「このため、潜在的なターゲットがパッチをインストールする前に、攻撃者は脆弱性を可能な限り広く悪用しようとする」（Microsoft）

　「サービスとしてのサイバー犯罪」や「サービスとしてのランサムウェア」を提供するWebサイトは、侵害されたアカウントへのアクセスを日常的に自動化し、侵害された認証情報の有効性を確認した後簡単に共有する。サイバー犯罪者の一団は、侵害されたアプリへのアクセスを獲得し、これを他の複数の悪質な行為者に販売する。

サイバーセキュリティハイジーンの重要性

　同社によると、ランサムウェアに対する最も効果的な防御には、多要素認証、頻繁なセキュリティパッチ、ネットワークアーキテクチャ全体にわたるゼロトラスト原則が含まれるという。攻撃者は通常、頻繁でないパッチ適用から多要素認証の実装の失敗まで、組織のサイバーセキュリティが不十分な状態を利用している。

　サイバーセキュリティハイジーン（衛生管理）は、コンピュータやデジタル環境におけるセキュリティの良好な状態を維持するための行動やプラクティスを指す。攻撃者はパッチ未適用の脆弱性をいち早く悪用し、高度なテクニックと総当たりの両方を使用して認証情報を盗み出す。オープンソースもしくは正規のソフトウェアを使用し操作を難読化するため、今後一層サイバーセキュリティハイジーンが重要になるという。

　ゼロデイ脆弱性が発見されると、他の攻撃者に販売された後に短期間で広範囲に悪用され、パッチが適用されていないシステムは危険にさらされる。

　「ゼロデイ脆弱性の検知は困難だが、一度悪用されればすぐに分かることが多い。また、完全にパッチが適用されたソフトウェアであれば、侵害の警告サインが機能し、ビジネスへの影響は最小限に抑えられる」（Microsoft）