2017年5月12日に仕事中のサイバーセキュリティーの専門家にアンケートを実施していたら、ほとんどの専門家は、大きなサイバーセキュリティー・イベントが迫っていることを認識していたと回答したでしょう。
しかし、その日、春の朝、車、列車、またはフェリーでそれぞれのオフィスに移動するとき、これまでで最も被害の大きいサイバー攻撃であるWannaCryランサムウェアという形で、完璧な嵐の中にいるとは誰も予想していませんでした。
私たちのデバイス、システム、ネットワークはますます相互接続されています。つまり、ウイルスは以前よりもはるかに簡単にシステム間を動きできるようになっています。しかし、最近の大きな出来事がなければ、私たちのほとんどは（自分のようなサイバーセキュリティー・ジャーナリストでさえ）、少し自己満足になっていました。これらの要素とアクティブなデバイスおよびシステムの数を組み合わせると、準備が整いました。
キルスイッチが発見された後も、ウイルスはすべてのシステムとそれが触れたすべてのデータを破壊し続け、150の国または地域の300の組織のコンピューター・システムを攻撃しました。
BBCによると、ロシアは世界の国または地域で最も高い数の感染の試みを経験しました。しかし、Elbrusとして知られるソ連時代のソフトウェアを実行していたミッションクリティカルサーバーのほとんどは影響を受けませんでした。しかし、技術的な免責事項によって、ウイルスが全国のコンピューターに拡散するのは阻止できませんでした。内務省、鉄道、銀行、巨大なモバイル通信会社のエンドポイントを停止しました。
WannaCryをライブでカバーしていて、何年も経った今でも、私は興味をそそられ、疑問でいっぱいでした。過去3年間、攻撃が話題になるたびに、WannaCryは圧倒的であり、サイバーセキュリティーへのアプローチと企業に対するリスクの見方という方法を変えたという同じテーマが繰り返されています。
私にとって、その感情は、この規模のイベントに対しては範囲が広すぎると考えていました。具体的な質問がありました。2017年5月12日、セキュリティーの専門家であるとはどのような状況でしたか。世界中の企業や官公庁・自治体に対する影響の合計はどれくらいですか？その日学んだことは、現在のビジネス、テクノロジー、サイバーセキュリティーのランドスケープをどのように形成したのでしょうか。
また、ソーシャル・メディアやデジタル・ニュース・サイトを通じて、全世界がこのイベントを視聴することで、反応や全体的な影響の両方がどのように変化したかについても疑問に思っています。ビジネスのリーダーや一般市民はニュース報道を見ていましたが、何が起こっているのかを正確に知る人は誰もいませんでした。ほぼ全員が、それが不吉なものに見えることに同意していました。また、これが世間の混乱に拍車をかけたのか、それとも問題の早期解決につながるのか、知りたいと思いました。
「それでも大きいでしょう。それは、組織が準備できていなかったものとして重要です。これは、多くの企業にとって本当に良い目覚めだったのです」と、IBM X-Force Incident Command ProgramマネージャーのTracey Nashは述べています。Nashは、2017年5月12日を、組織がサイバーセキュリティー・リスクのビジネス面を考慮する必要があると学んだ瞬間と考えています。
何が起こったのかを正確に知るため、そしてさらに重要なのは、WannaCry社がランドスケープにクレーターを残した理由を知るため、私は攻撃に対応した主要なプレイヤーと話をしました。私が何時間もかけて話したのは、IBM X-Force Threat Intelligence担当バイス・プレジデントのWendi Whitmoreでした。また、IBMのセキュリティー・イノベーションおよび修復担当ディレクター（CISOオフィス）であるChristopher Scottと会話し、その日の出来事とWannaCry攻撃後の回復についての見解を得ることができました。
このストーリーでは、3年前、混沌とした日々に実際に何が起こったか、そして今日にWannaCryの影響とレガシーがどのようにつながっているかを知るまでの過程を記録しています。
多くの人、業界をリードするサイバーセキュリティーの専門家も、最初はあるツイートから攻撃を知りました。英国国民保健サービス（NHS）の医師も、Twitter上での大規模攻撃に関するニュースを最初に伝えた一人です。その後、無数の同僚がロックされたコンピューター画面の写真を見せ、「ファイルが暗号化されました！」という同じメッセージを受け取りました。
当時、NHSの従業員は、この攻撃が最終的に70,000台の感染デバイスと全NHS病院の3分の1の閉鎖につながるとは思っていませんでした。世界中のNHSやその他の病院に対するWannaCryの影響は、サイバー犯罪が医療におけるモノのインターネット（IoMT）時代に大混乱を引き起こす可能性があることを証明しています。ありがたいことに、臨床安全性の研究者たちは、クリプトワーム・カオスによって患者の死亡者が出ることがなかったと確信しています。
コンピューターの前にいない人でさえ、何か大きなことが起こっていることをすぐに知っていました。
ドイツでの通勤列車の到着・出発を知らせるデジタルサイネージに、ビットコインの需要が表示されました。
その正確な言葉は、韓国の何十もの映画の画面にもポップアップ表示されました。
インドネシアのジャカルタでは、医師がコンピューターシステムから紙の記録に切り替えるまで、入院患者が数時間待っていました。
当時、X-Force Threat Intelligenceのグローバル・パートナー兼インシデント対応のリーダーとして働いていたWhitmoreは、攻撃が始まってすぐに、彼女のチームは頭をかきむしり、「これは奇妙だ」と口に出して言い始めたと語ります。
具体的には、Whitmoreのチームは、感染ファイルをリリースすることが文字通り不可能であることを知ったとき、自分たちが何か異なるものに直面していることを認識しました。ハッカーは、誰が身代金を支払ったかを知る方法を提供していません。
彼女の最優先事項の1つは、マルウェアのコピーを入手することでした。その仕組みを正確に知るまで、阻止できないことを知っていました。しかし、世界が急速に停止しつつあることを知るというプレッシャーの下では、コピーを入手し、分解することは困難でした。
WannaCryは、これまでで最も急速に広がったサイバー犯罪攻撃でした。パッチが適用されていないインターネットに接続されたコンピューターは、数分以内に被害を受け、ネットワークを通じて急速にワームを拡散し始める可能性があります。多くのニュース記事では、同僚が仕事用PCを起動したときに、ITチームが被害を封じ込めるために急いで動き回っている様子が取り上げられています。
X-Force Threat Intelligenceのグローバル・リード（当時、グローバルなマネージド・サービス・プロバイダーに勤務）であるLaurance Dineに尋ねたところ、その日の最大の記憶にあるのは、絶えず電話がかかっていたことだと言いました。向こう側にいる人は皆、助けを必要としているパニックに陥った顧客でした。彼はその日のことを「絶対的な自閉症」と語っています。
すぐに、インシデント対応チームに属していなかった他のセキュリティ専門家を含む彼のチーム全体が最前線に配置されたことに気づきました。
「何よりも最優先で、誰もが巻き込まれているように感じました。「平均的な市民は、ランサムウェアで何が起こっているかを知っていました」とDineは言います。「彼らはニュースや何が起こっているかを理解していたものの、病院に行くことができず、人々の生活はそれに影響を受けました」
一日を通して、インシデント対応担当者は集団的に計画をキャンセルし、長い週末の仕事に追われていました。誰もが、WannaCryワームを受けて混乱するグローバル企業を目の当たりにしていました。
当時私たち誰も知りませんでしたが、攻撃したすべてのシステムを破壊するクリプトワームが、実際にはEternalBlueとして知られている2カ月前の脆弱性によるものでした。「Wanna Decryptor」が単一ネットワーク上の単一マシンに感染することに成功すると、WannaCryはパッチが適用されていない他のマシンをインターネットでスキャンしながら、同じネットワーク上の他のコンピューターにも拡散し始めました。EternalBlueによって悪用された脆弱性により、パッチが適用されていないWindowsマシンが感染しやすい状態に保たれ、WannaCryウイルスが拡散しました。
クリプトワームは通常、企業ネットワーク上で迅速に検知できます。しかし、WannaCryは検知されないままでした。検知は、多くの高度な脅威アクターが、特に高度に標的を絞った攻撃の際には、あらゆるコストで回避しようとするものですが、WannaCryは標的を絞った攻撃ではありませんでした。可能な限り注目を集めるように設計された、綿密に計画された世界的な攻撃であり、まさに起こったことです。
多くの場合、Scottが「M&Mネットワーク」と呼ぶものによってもこの拡大が可能だったと彼は説明します。このような場合、ネットワーク構造は外側がハードで、内側はソフトになります。ここは、脅威アクターやクリプトワームにとっても最適な内部環境でした。彼は、クリプトワームがネットワークのエッジにあるハードキャンディーのシェルを通過したとき、WannaCryは環境を動き回る自由を得たと指摘しています。
その後7時間にわたって、サイバーセキュリティーの研究者のMarcus Hutchins氏とJamie Hankins氏がキルスイッチを発見するまで、この「big slimy worm」は世界的な大混乱を引き起こしました。さらに2つのキルスイッチが発見され、最終的にランサムウェア株はほとんど不活性になりました。
しかし、世界中の300の組織に対して長い修復プロセスが始まったばかりで、被害の程度やそれを修正するための修復を認識した人は誰もいませんでした。修正プログラムの適用に急いでいたScottのチームも含めて、私たちはまだマッピングされていない領域に残っていました。
「これらの環境を運用機能に復旧させる必要がありました」とScottは言います。「しかし、修正が正常であることを確認するためには、どのようにテストを実施すればよいでしょうか。ユーザーによる受け入れをどのように行うのでしょうか？そして、それを本番環境にどのように動かすのでしょうか？
多くの場合、Scottのチームは従来のテストプロセスを回避しなければならず、急いで「いくつかのことを壊してしまう」リスクを冒さなければなりませんでした。WannaCryは人々に正確な選択肢を提供していなかったことが、大規模な破壊が起こった大きな理由の1つでした。
ほとんどのサイバーセキュリティーの専門家は、WannaCryが経済的に成功しているとは限らず、純利益に関するデータによると、WannaCryは予想よりもはるかに低いことを示しています。ブロックチェーンの記録によると、2017年5月から2019年12月の間に、WannaCryは攻撃者から総額で約386,000米ドルを獲得しました。ただし、合計額はビットコインの評価によって変動します。これは、感染したコンピューター1台あたり1.08米ドル以下のことに相当します。
はるかに以前のEメールウイルスと比較すると、厳密には金額面で、ほとんどバーゲン価格でした。Symantec社は2018年に、WannaCryによる損失額は40億ドルと推定していましたが、現在ではその数は増加している可能性があります。Confickerウイルスは2007年に91億米ドル以上の損害を引き起こし、世界中で数百万台のコンピューターに感染しました。2004年、MyDoomは約380億米ドルの損害を引き起こし、その年の間に送信されたEメールの約25%に影響を与えました。
このクリプトワームは、単一のターゲットから利益を得るのではなく、多くのノイズを発生させることを目的としていました。Dineによると、WannaCryの背後にいる攻撃者は、特にウクライナの税務会計ソフトウェアを使用していました。このソフトウェアは、ウクライナで事業を行うすべての組織に対して政府が義務付けていたソフトウェアです。脅威アクターはソフトウェア・アップデートをプッシュすることで、その過程でウクライナの国家インフラの大部分を破壊することに成功しました。
サイバー犯罪の大部分は金銭的な目的で構成されています。実際の身代金をほとんど気にせずに、大規模な大混乱を引き起こすように設計されたランサムウェアに遭遇することはほとんどありません。
WannaCryの最も重要な部分は何だと思うかを尋ねると、Whitmoreはすべてが重要だったと答えます。
「それは間違いなく大きな目覚めでした」とWhitmoreは言います。「そのため、これらの世界的な複合企業を目の当たりにした組織（ウイルスの影響を受けた優れたセキュリティー・プログラムやプロトコルを導入している組織）にとって、認識は高まりました」
WannaCryを受けて、よりターゲットを絞ったキャンペーンがより一般的になったと彼女は言います。攻撃は必ずしも単一のクライアントに対するものではありませんが、現在の脅威アクターは多数のフィッシングEメールを送信し、10のクライアントにアクセスする可能性があります。そこから、脅威アクターが6～12カ月かけて潜在的なターゲットを慎重に偵察し、ネットワーク内での検知を回避しているのを確認しています。
Whitmoreによると、最終的には、身代金を支払える可能性が高いと知っている、またはそう考えられる場所でランサムウェアを仕掛けました。
おそらく、WannaCryは、現在の脅威ベクトルと商用ランサムウェア攻撃の人気の高まりに、少なくとも部分的に原因があると考えられています。2018年のデータ侵害調査レポート（DBIR）によると、2017年にデータ損失をもたらしたマルウェア・インシデントのうち、ランサムウェアは全体の39％を占めました。それ以来、攻撃はより高度になり、被害者にとってコストのかかるものへと変貌を遂げました。商用ランサムウェアは、検知手法を回避する能力が非常に高いことがよくあります。
影響を受けた組織の多くは、データのバックアップをしていたが、必ずしも復元できるわけではありませんでした。多くの場合、バックアップはネットワークに接続されており、WannaCryによってロックされている脆弱性がありました。また、組織はオフサイトでバックアップを行っていて、簡単に復元できるかどうかをテストしていなかったケースもありました。
2017年5月に発生したクリプト・ランサムウェア・インシデントは、脅威ランドスケープの転機となりました。WannaCryは、企業のサイバーセキュリティー文化にプラスの影響を与えましたが、同時にランサムウェアを世界的な脅威アクターの認識に急上昇させました。現在、多くの商用ランサムウェアの脅威アクターは、被害者のデータが紛失したり、競合他社に販売されたりした場合の価値について研究しています。
典型事例：Whitmoreは、過去6週間の間に組織に対するランサムウェア攻撃を目にしました。「攻撃者は身代金として2,500万米ドルを要求しました。これは決して巨大な会社ではありませんでした」とWhitmoreは言います。
WannaCryが登場する前は、ほとんどの企業リーダーは、特に医療分野の外では「自分たちには関係ない」と考えていたようです。今では、私がランサムウェアの話をすると、人々は耳を傾けます。多くの企業リーダーが、私や他のサイバーセキュリティー専門家とともに、最初にランサムウェアについて話し合っています。私の観点から見ると、WannaCryの心的外傷と破壊がもたらした最も重要な影響の1つは、企業のリーダーシップがランサムウェアを重要な脅威であると認識したことです。
このイベントは、企業におけるサイバーセキュリティーの役割と取締役会でのCISOの役割にも大きな影響を与えました。経営陣は今、大規模なサイバー侵害に遭遇しても、結果的に評判の改善を達成できることを認識しています。
EUに拠点を置くある物流ブランドは、WannaCryによって風評被害がほとんどなかったことを示しています。CEOは公的な役割を担い、攻撃の数日後には一般の人々や顧客と直接話しました。クリプトワームと、自信に満ちたコミュニケーションをとるCEOとの組み合わせは、企業のサイバーセキュリティー文化が責任を共有することに向けた重要な第一歩でした。
最初のWannaCry攻撃の後には、数え切れないほどの模倣犯罪者と余波が続きました。ESETは2020年5月に、2020年第1四半期に検知されたランサムウェア攻撃の40.5％がWannaCryであったことを発表しました。一部の国では、大手ISPがキルスイッチ・ドメインをブロックしたため、依然としてWannaCryの余波を受けています。こうした長引く感染の中には、サイバー衛生管理の不備が原因であるものもあります。その他の感染は、多くの企業にとって検知が難しく、管理はもちろんのこと、従来とは異なるエンドポイントで存続しています。
2020年の世界的なクリプトワーム攻撃に対して、企業が2017年よりも大幅に準備ができていたかどうかは判断できません。しかし、私が話した専門家のほとんどは、サイバーセキュリティーの人的要素が劇的に進化したことに同意しており、インシデント対応の専門家には希望を与えるはずです。
しかし、ESETによると、検索エンジンのShodanからのデータによって、2019年5月時点でも100万台近くのデバイスが依然としてEternalBlueの脆弱性に対してパッチが適用されていないことが明らかになりました。2017年5月下旬以降、その数字の差異はほとんどなく、非常に懸念されています。
最近の調査によると、グローバル組織の27％が、データ侵害インシデントの原因がパッチが適用されていない脆弱性に起因していました。さらに懸念されるのは、ネットワーク上のどのエンドポイントがリスクを引き起こしているのかをほとんど正確に把握していない割合が高いことです。一方、組織の39％が脆弱性スキャンを月に1回未満で実行していることを認めています。CA Veracodeによると、脆弱性の70%以上が30日後もパッチが適用されないままになっています。
高度に破壊的な攻撃からの復旧にかかるコストは2億3,900万米ドルで、データ損失を伴う平均的なインシデントの61倍でした。
スコットは、ワームの急速な拡散を可能にした「ハードキャンディーシェル」状態を回避するために、組織が環境と管理ポイントにアプローチする方法に大きな変化が起きていることを確認しました。クライアントは現在、2017年以前には一般的だったソフトで執拗なネットワーク・ターゲットを攻撃者に提供するのではなく、コンテナ化とマイクロサービスについて考えるようになりました。これは、WannaCryに部分的に関連している可能性がありますが、企業ネットワークの境界が変化したという事実にも起因している可能性があります。
今日のネットワークでは、ワークステーションにアクセスできないサーバーが多数存在することは珍しくありません。代わりに、ユーザーはエージェントを介してクラウドデータにアクセスできます。安全なクラウドにより、セキュリティー・ポリシーや一部のワークフローが複雑になりましたが、多くの点でセキュリティー体制も改善されました。クラウド主導の分離により、組織は1つの大きなネットワーク上で運用されなくなります。
昨日のキャンディー・ネットワークからの切り替えは、ユーザー特権にも影響を与えました。Scottは、これは高度な持続的脅威（APT）や特権アカウントから防御する上で大きなプラスになると考えています。最も重要なことは、多くの組織が、スーパー・ユーザーを指定して特権を再構築するのではなく、信頼ベースで必要ベースのアクセス・モデルに切り替えていることです。
しかし、WannaCryワームから3年が経過した今では、高度に標的を絞ったランサムウェアやAPTから回復するためのコストは過去最高を記録しています。これはとてつもなく不快です。2019年のデータ侵害のコストに関する調査によると、昨年はデータ侵害の平均回復コストは392万ドルでした。高度に破壊的な攻撃からの復旧にかかるコストは2億3,900万米ドルで、データ損失を伴う平均的なインシデントの61倍でした。
脅威アクターは、より大胆かつ計画的で、被害者のデータに価値があると考察する金額を正確に要求しています。2020年の商用ランサムウェアは、ネットワーク全体でウイルス的に拡散したり、パッチが適用されていない数十万のエンドポイントを標的にしたりすることを目的としたものではありません。代わりに、脅威アクターは、数百万ドルの身代金を支払う可能性のある企業を標的にしています。
脅威アクターは、被害者に焦点を絞り、適切なシステムすべてに侵入してテロ環境を作り出していることを確認します。多くの場合、バックアップサーバーに到達して、被害者に身代金の支払いを強制しようとします。
コラボレーションの強化は、過去3年間で最もプラスに影響したことの1つです。WannaCryは、業種・業務、公共部門、国際政策立案者間のより大きな連携を促進するきっかけとなったかもしれません。
X-Force Incident Commandのプログラム・ディレクターであるMike BarComb氏と話をし、変化についての見解を聞きました。
「企業は、これらの[インシデント対応]プログラムを構築することに重点を置いていますが、同時に同業他社や業界の企業と協力することも重要です」とBarcomb氏は言います。「企業は脅威アクターに関するベスト・プラクティスと脅威情報、つまり見てきたことや経験したことを共有できるエネルギーを構築しています。
IBM X-Force Threat Intelligence North AmericanのリードであるKurt Rohrbacher氏は、適切なサイバー衛生を確保する上で、準備という人的要素は技術的準備と同じくらい重要であると述べています。組織があらゆる世界的なインシデントに備えるための唯一の最善の方法は、制御が失敗したときに何が起こるかを考え、それぞれの決定の重みを検討することです。
「人々は、インシデントの最初の数時間で、これに1日、1週間、1カ月、場合によっては1年間対処するかどうかを、一般的には考察していません」とRohrbacher氏は言います。「インシデント発生の早い段階で、取るべき行動を特定することが、最終的な対応を左右します」
ストレスやパニックが意思決定能力に与える影響を過小評価することが多いので、この発言には本当に共感しました。これらの一見小さな決定が、数百万ドルと何年もの回復または数か月の違いを生み出す可能性があります。
Scottは、主要業績評価指標（KPI）の変化の始まりを見ることを期待している、この分野は特に情熱を持っている分野であると語りました。同氏はよくチームに「従業員が正しく仕事をするよう追跡し、実際に動機づけるにはどうすればよいか」と問いかけます。
SOCアナリストの場合、解決までのスピードと時間フレームに焦点を当てたメトリクスは逆生産的になる可能性があります。SOCアナリストは、効率を重視しすぎる環境で運用していると、脇に追いやられてしまう可能性があります。調査を完了する前にチケットをクローズアウトして、攻撃の侵入ポイントなど、全体像を把握していない可能性があります。
業界のサイバー衛生とパッチ適用の習慣は、2017年5月以降、それほど改善されていないかもしれませんが、専門家は、ランサムウェア攻撃に直面した業種・業務以外であっても、以前よりも準備をしっかりと行っておくことに同意しています。サイバーセキュリティーの人的要素の変化にかかっています
企業やサイバーセキュリティーの専門家は予期せぬ事態にどのように備えているかと尋ねると、Rohrbacher氏は笑いました。同氏は肩を組んで言います。「もう、本物に勝るものはありません」
同氏は、WannaCryのような実際のインシデントは認識と準備の両方を向上させると教えてくれました。さらに、私が話をしたインシデント対応の専門家のほぼすべてが、マッスル・メモリーの構築には、四半期ごとの机上演習と定期的な通信ツールのテストが不可欠であることに同意しています。
同氏は、組織が予期せぬ結果に備えることができる2つの方法として、フィッシング・シミュレーションとサイバー・レンジ活動を挙げました。Rohrbacher氏は、演習や訓練が実際に人々をその状況に引き込み、楽しませることがあれば、より適切に対応する方法について独自のポイントがある可能性が高くなると述べています。
私は、現在の新型コロナウイルス感染症のパンデミックとWannaCry攻撃の類似性には常に驚かされています。攻撃の初期段階は、誰もが危機モードに動き、前代未聞の状況に対処しようとしている2020年3月と非常に似たような感じでした。さて、パンデミックが長引く中、そのような考えは、今日でもWannaCry感染を見つけている私たちと似ているものです。パンデミックは、私たちのほとんどに、より個人的なレベルで影響を与える可能性があります。しかし、どちらの危機も、誰も想像しなかった、予測できなかった形で私たちの日常生活に影響を与えました。
両方のイベントから得た重要な教訓は、結局のところ、準備です。WannaCryもパンデミックも、誰もが不意を突かれたので、これは、これまでに起こったことのないことにどのように備えるかという、何年も前から続く設定の疑問を投げかけています。
準備について考察するとき、ほとんどの人が思い描くのは、戦略的な計画、シミュレーション、教育プログラム、復旧のためのバックアップなどのツールの使用です。しかし、これらの対策は、新たな攻撃が発生した場合に限定され、何が起こっているかを正確に把握する計画は存在しません。新しい視点とアプローチになることだと考察します。
Rohrbacher氏は、「危機の真っ只中にあるとき、マッスル・メモリー以外のすべての機能が停止してしまいます」と言います。
もちろん、テクノロジーをデプロイし、計画を作成し、復旧オプションをバックアップできる必要があります。しかし、すべてのインシデント対応担当者に自信とマッスル・メモリーを構築することにも重点を置く必要があります。
自信は、1回のトレーニング・セッションや、木曜日の午後にチェック・ボックスをオンにすることで得られるものではありません。文化とプロセスの根本的な変化です。準備とは、結局のところ、個人が自信を持って指揮を執ることに必要な力を与えることです。予期せぬ事態が発生した場合でも、チームに深呼吸して「OK、わかりました」と言ってもらいたいものです。