ランサムウェアの「早期警告システム」 国が企業に直接通知する意味とは

新しいランサムウェア攻撃が始まった時点で警告を受け取ることができれば、被害が減るはずだ。国が率先して取り組むと成果が上がるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティ関連企業はランサムウェア攻撃に関する情報をひんぱんに発信している。だが、社会に与える影響があまりにも大きいため、国が企業や組織に直接情報を通知する動きが始まった。この取り組みは役に立つのだろうか。

どの程度の損害を防ぐことができるのか

　この取り組みはリスク軽減のために、初期段階のランサムウェア活動に関して企業や組織に事前通知するというものだ。

　日本では情報処理推進機構（IPA）がランサムウェア対策特設ページを設けて、ランサムウェア攻撃の被害低減に役立つ情報を公開している（注1）。

　米国ではさらに一歩進んだ取り組みが推進中だ。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年に、ランサムウェア攻撃に関する事前通知を企業などに対して直接、1200件以上発信した。

　事前通知の対象は100以上の幼稚園から高校までの学区と大学、150以上の米国の医療機関だ。その他、緊急サービスや上下水道、物流、エネルギー、州および地方政府などの組織にも警告が共有された。

　CISAの2023年のレビューによると（注2）、この取り組みは米国内に限らず、27カ国のパートナーと294件の情報を共有した。

被害を受けた企業に対する支援策もある

　CISAの狙いは明白だ。企業や組織が潜在的なランサムウェアの活動に早く気付けば気付くほど、攻撃を食い止めたり、影響を軽減できたりする可能性が高まる。

　CISAの活動を担っているのはジョイントサイバーディフェンスコラボレーション（JCDC）部門だ。JCDCはサイバーセキュリティの研究者やインフラプロバイダー、脅威インテリジェンス企業から情報を集め、初期段階のランサムウェア活動を通知対象に連絡する。

　連邦サイバー当局は、2023年の第1四半期中に（注3）、（電力やガス、鉄道、空港などの）重要インフラ業界に所属する60の組織に対し、ランサムウェアによる侵入の可能性があることを警告した。その後、通知活動の規模を大幅に強化した。

　CISAのランサムウェア対策は警告にとどまらない。2023年2月に合わせて6000万ドルの被害を受けたFortune 500の企業に対して、今後の被害を軽減するためにCISO（最高情報セキュリティ責任者）の職を設ける手助けをした。ITインフラストラクチャとセキュリティコントロールを向上させる改善点の特定も手伝った。

　また、CISAは、重要な交通インフラ業界に対する3億5000万ドルの被害をもたらしかねないランサムウェア攻撃を防ぐため、大量輸送機関の運営企業も支援したという。

ランサムウェア脆弱性警告プログラムを実行

　この他、CISAは2023年を振り返って、ランサムウェア脆弱（ぜいじゃく）性警告プログラム（RVWP）の成果を誇った。CISAによると、ランサムウェアの脆弱性警告プログラムは2023年1月下旬に試験運用が始まり（注4）、攻撃者に悪用される可能性のある脆弱性について年末までに782件を重要インフラ業界の事業者に警告した。

　この他、2023年には重要インフラ業界に所属する約7000の組織をスキャン対象として、RVWPを含めて1700件以上を通知した。

出典：CISA’s 1,200 pre-ransomware alerts saved organizations millions in damages（Cybersecurity Dive）
注1：ランサムウェア対策特設ページ（IPA）
注2：2023 YEAR IN REVIEW（CISA）
注3：CISA summons outside tips to alert victims of early-stage ransomware（Cybersecurity Dive）
注4：Ransomware Vulnerability Warning Pilot (RVWP)（STOP RANSOMWARE）