米国保健福祉省が2022年第1四半期のランサムウェア動向を発表 ブックマークが追加されました
最新動向/市場予測
米国保健福祉省が2022年第1四半期のランサムウェア動向を発表
【第156号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年5月5日、米国保健福祉省(HHS)の情報セキュリティ室は、「2022年第1四半期医療・公衆衛生(HPH)セクターのランサムウェア動向」を発表しました。
第156号 2022.5.24公開
同報告書は以下のような構成になっています。
- HPHセクターにおける初期アクセスブローカー(IAB)の動向
- HPHセクターにおけるランサムウェアの動向
- 観測された注目すべきランサムウェア手法
- Mitre ATT&CKフレームワークで観察された注目すべき手法の検知
- 軽減策と教訓
初期アクセスブローカー(IAB)は、ランサムウェアグループおよび関係者にネットワークアクセスを販売することで知られています。保健セクター・サイバーセキュリティ調整センター(HC3)によると、2021年全体と比較して、2022年第1四半期の間、様々なサイバー犯罪フォーラム上で、医療・公衆衛生主体にネットワークアクセスを販売する脅威アクターが幾分堅調に推移しています。組織では、COVID-19パンデミックにより、遠隔アクセスやクラウドアプリケーションの採用が加速していますが、基本的なセキュリティ機能を導入していない場合が多々あるとしています。
次に、医療・公衆衛生セクターにおけるランサムウェア動向について、以下の3点を挙げています。
- 2022年第1四半期の医療・公衆衛生セクターに影響を及ぼしたRaaS(Ransomware as a Service)グループの上位5つは、LockBit、Conti、SunCrypt、ALPHV/BlackCat、Hiveであった
- 金銭に動機づけられたグループがランサムウェアのオペレーションにシフトしている
- ランサムウェアグループは、ランサムウェアの侵入中、正当なツールを徐々に活用しつつある
さらに、注目すべきランサムウェア手法として、自給自足型(LotL)手法を挙げています。この場合、脅威アクターは、カスタムツールやマルウェアを展開する代わりに、標的の環境ですでに利用可能なもの(例.ネイティブなWindowsツール、共通の遠隔管理ツール)を活用する傾向があります。
本報告書では、低減策を整理した上で、最後に、学ぶべき教訓として、以下のようなポイントを示しています。
- 金銭的動機型や国家支援型のアクターは、攻撃の成功に向けた戦術、戦法、手順(TTPs)を継続的に進化させる可能性が高い
- 正当なツールは、脅威アクターによる検知回避を試みるランサムウェア作戦活動において、悪用/武装化される可能性がある
- 正当なツールを活用した自給自足型(LotL)手法は検知が困難であるが、可能性はある
- 現代的なセキュリティ情報・イベント管理(SIEM)ツールが提供する行動科学に基づくアプローチは、署名に基づく検知では不可能な自給自足型手法を検知することができる
- 特定のタイプの攻撃手法は、システム機能の悪用に基づいているため、予防的な統制による低減が容易でない;幸運なことに、これらの手法を検知する機会はある
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・LockBit、Conti、SunCrypt、ALPHV/BlackCat、Hiveなど、医療・公衆衛生セクターに影響を及ぼしたとされるランサムウェアは、他の業種・業界でも同様の被害を引き起こしている。ランサムウェア予防対策の導入・強化を検討する医療機関は、金融、製造など、異業種のユースケースも参照しながら、金銭目的の攻撃者への対処法、既存ツールの悪用防止策など、新たな技術的対策についての検討をすべきである。
医療機器メーカー/医療品メーカー
・COVID-19緊急対応下で、リモートワーク環境から外部ネットワーク経由で医療機関内部の専門家と情報のやりとりをするケースが増えているが、同時に、ランサムウェアの踏み台にされるリスクも増大している。初期アクセスブローカー(IAB)、自給自足型(LotL)手法といった新たなランサムウェア攻撃手法については、メーカーのみならず、医療機関や患者・家族、IT関連パートナー/サプライヤーなど、マルチステークホルダー型エコシステム全体で、情報セキュリティ啓発活動を実施しておく必要がある。
サプライヤー
・医療機関向けにICT関連製品・サービスを提供するサプライヤーは、サイバーサプライチェーン・リスクマネジメントの観点から、自給自足型(LotL)手法で悪用される可能性がある既存製品・サービスの棚卸を行って、ランサムウェア攻撃に遭った場合のインシデント対応プロセスの見直しや、現時点で導入可能な検知・予防策を検討すべきである。
関連記事 [外部サイト]
- U.S. Department of Health and Human Services (HHS)「Ransomware Trends in the HPH Sector(Q1 2022)」(2022年5月5日) [PDF, 2,035 KB]
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
