エディンバラ・フェスティバル・フリンジ協会に対するランサムウェア攻撃

要約

非営利団体は、セキュリティ予算の限界、旧式の技術インフラ、思想的反対、闇市場で価値のある機密データの保有などの理由で、サイバー犯罪者にとって魅力的なターゲットとなります。. The Edinburgh Festival Fringe Society に対するランサムウェア攻撃は、標準によると[7.1.1 ゼロデイマルウェア]に該当します。非営利団体を狙うさまざまなサイバー攻撃に効果的に対応するためには、必ず攻撃タイプを理解し、セキュリティ要件に基づいた予防的対策を守ることが重要です。これは国際電気通信連合（ITU）の国際メールセキュリティ標準に具体的に説明されています。以下の文は、国際標準に基づいて、実際の非営利団体のハッキング事例と攻撃タイプ、対応ソリューションについて分析します。

1. 概要

非営利団体はサイバー犯罪者にとって魅力的なターゲットです。非営利団体は、以下の理由によりサイバー攻撃の対象になりやすいです。まず、非営利団体にはセキュリティチームを雇うリソースがなく、攻撃されやすい古い技術インフラを持っていると考えられます。ほとんどの非営利団体はセキュリティ対策に資金を支援するのに多くの制約を受けています。非営利団体で生成されるすべての収益は通常、組織の全体的な使命を向上させることに使用されるため、通常、ファイアウォールの維持やITセキュリティシステムの向上に大きな予算が割り当てられません。これは、しばしば情報と資金を脆弱にする弱いシステムにつながります。サイバーピース研究所（スイスに拠点を置く非営利団体で、NGOにサイバーセキュリティ支援を提供する）の最高運営責任者Adrien Ogée 氏は「非営利団体が自らを守る能力は、業界で見られる最も低いレベルだ」と述べています。

次に、非営利団体は財政的な目的以外の思想的動機を持つ行為者（例えば政治、過激主義など）によってハッキングの脅威にさらされます。非営利団体は、何らかの理由でその哲学に同意しない憎しみに満ちた人々が多いため、運営を妨害しようとする個人行為者によってターゲットにされる可能性があります。また、非営利団体が持っているリソースや請求/医療データはダークウェブで価値があります。すべての非営利組織には寄付者がおり、寄付者に対するハッカーのアクセスが可能な脆弱性があります。

非営利団体に対するランサムウェア攻撃は莫大な影響を及ぼし、増加しています。2023年の英国政府のサイバー侵害調査によると、2022年には慈善団体の24%が過去12ヶ月間に侵害または攻撃を受けました。サイバー攻撃は非営利団体に財政的リスクをもたらすだけでなく、活動運営能力にも深刻な影響を与えます。 Adrien Ogée 氏は、サイバー攻撃者が非営利団体内の著しいセキュリティ資金不足および支援不足の状況を認識することを懸念しています。「犯罪者にとって、自らを守る能力が非常に限られている非営利団体は、ますます魅力的な獲物になっている」と Adrien Ogée 氏は言っていいます。

2. 実際の攻撃事例分析 - 攻撃タイプ

詐欺メールを見破るためには、ハッカーがどのような攻撃タイプと意図を持って被害者を攻撃するのか、これに対してどのような予防的なセキュリティ要件が必要なのかを知ることが重要です。これは国際電気通信連合（ITU）の国際メールセキュリティ標準に具体的に説明されています。メールセキュリティの国際標準は、UNの専門機関である国際電気通信連合（ITU）に登録されているため、国際的に信頼できる内容です。このような国際標準に基づいて、実際の非営利団体のサイバー攻撃事例を分析し、攻撃タイプを特定し、予防的な対応可能なソリューションを共有したいと思います。

事例）2022年1月エディンバラ・フェスティバル・フリンジ協会に対するランサムウェア攻撃 - マルウェアメール攻撃（ゼロデイマルウェア）

2022年1月、The Edinburgh Festival Fringe Societyに対するランサムウェア攻撃により、慈善団体に£95,000の被害が発生しました。これにより、組織の内部HR、財務、20年前のメディアおよびマーケティングアーカイブの大部分にアクセスできなくなりました。ロシアと関連すると推定されるコンティギャングが送ったとされるランサムウェアメモがメールを通じて送信され、該当組織はネットワークに再びアクセスしたいなら$15,000支払いを要求されました。しかし、協会は支払いを拒否し、£65,000に達する復旧費用が発生し、そのうちの約半分は最終的に保険会社のChubbによって賄われました。このサイバー攻撃により、該当団体は甚大な経済的被害を受け、数ヶ月にわたる復旧期間が必要でした。

メールセキュリティ標準には、このようなハッキングタイプが[7.Threats for targeted email attacks の 7.1 Malware email attacks（マルウェアメール攻撃）]として定義されています。これは、ランサムウェア攻撃に含まれる悪質なコードで、該当するランサムウェアメモが正確にURLか添付ファイルかは明示されていませんが、被害者のコンピュータシステムのメモリにアクセスし、ファイルやプログラムを損傷または削除すると脅迫することから、ゼロデイマルウェアタイプと考えられます。

標準によると、[7.1.1 Zero-day malware]は以下のように定義されます。

ゼロデイの脆弱性を利用してセキュリティシステムで検出できない悪質なコードを含む添付ファイルやクリック可能なリンクを挿入し、ユーザーのクリックを誘導するメールを送信します。ゼロデイマルウェアは、被害者のコンピュータシステムのメモリにアクセスし、ファイルやプログラムを損傷または削除することができます。

3. 実際の攻撃事例分析 - ソリューション

私たちは皆忙しく、状況が表面上大きな問題に見えない場合、詳細に観察しない傾向があります。そして、忙しい職員にメールが合法かどうかを確認するために詳細なフォレンジック分析を行うよう求めることは非常に面倒なことです。では、組織はこの種の詐欺からどのように自己を保護することができるでしょうか？このようなフィッシングメールに効果的に対応するためには、事前に送信者情報を分析してユーザーに警告し、先制的に攻撃に対応できるようにする必要があります。国際標準8項目、9項目に基づく[ターゲットメール攻撃に対するセキュリティ要件]と[ターゲットメール攻撃に対する対策]マニュアルを遵守すれば、効果的な解決及び先制的対応が可能です。

まず、ゼロデイマルウェア攻撃に対応するためには、標準の[8.1.1 ゼロデイマルウェア攻撃に対するセキュリティ要件]に従ったセキュリティ要件を遵守する必要があります。

ステップ1. 新しいマルウェア攻撃の脅威に対応するためには、パターンに登録されていない新しいウイルスを検出するための行動ベースの分析検査が必要です。

ステップ2. 新たに発見されたり検出されたマルウェアの動作については、手動または自動化されたプロセスを通じて報告する必要があります。

このようなセキュリティ要件を反映して国際標準[9.1.1 ゼロデイマルウェアに対する対策]のソリューション導入を通じて、ゼロデイマルウェア攻撃に対する先制的な対応が可能です。

マルウェア分類管理によって、セキュリティ管理者はユーザーが再送信を要求しても、マルウェアファイルやウイルスの送信が不可能なことが確認されたメールを構成することができます。
多重分析検査は、静的テストと動的テストの組み合わせで、システムに対するマルウェアの動作をスキャンする環境オペレーティングシステムの変更テストを通じて、1次テストで検出されない未知のマルウェアを検出します。例えば、動作結果は「偽造」、「メモリアクセス」、「フッキング警告」、「ファイル作成」、「ファイル削除」または「実行プロセス」に分類されます。

4. 結論

デジタル時代において、あなたのデータは物理的資産と同じくらい価値があります。ハッキング技術はますます巧妙になり、高度化するため、ハッキング被害を防ぐためには認識と警戒が核心です。サイバー犯罪者たちの魅力的な標的である非営利団体は、財政的損失を防ぎ、機密データを安全に保護するために効率的なセキュリティポリシーとメール国際セキュリティ標準教育を組み合わせる方法でハッキング攻撃を警戒すべきです。メールセキュリティ標準は多くのメール攻撃タイプに対するセキュリティ要件とソリューションを提供します。標準に対する認識と、これを基にした継続的なメールセキュリティの診断は、高度化するハッキング技術に対する先制的な対応方法です。メールセキュリティ国際標準の遵守状況は、メールインスペクターを通じたメールセキュリティ標準遵守状況の診断から始めることができます。