アクロニスがサイバー攻撃を考察、CISOがコメント

　アクロニスの最高セキュリティ責任者（CISO）であるジェラード・ブショルト氏は、イギリスの小売業者であるMarks ＆ Spencer（マークス＆スペンサー）が4月22日にサイバー攻撃によってアイルランドのウェブサイトとアプリ、一部の国際ウェブサイトの注文受付を一時停止したと報じられたことに関するコメントを5月2日に公表した。

その他の画像はこちら

●バックアップシステムとウイルス対策を組み合わせる

　今回Marks ＆ Spencerが受けた攻撃は、ハッキンググループ「Scattered Spider」（米Microsoftでは「Octo Tempest」とも呼称）によるランサムウェア攻撃だと報道されている。

　同攻撃によって、オンライン注文が停止するとともに、支払いやその他のサービスといった店内システムに問題が引き起こされ、Marks ＆ Spencerの業務が混乱させられた。同社は、CrowdStrike、Microsoft、Fenix24と協力して調査と対応に取り組んでいるものの、この攻撃がランサムウェアによるものだとは公式に認めていない。

　ブショルト氏は、Scattered Spiderグループの動機を「金銭的な利益」と述べており、報道された内容が正しければ今回の攻撃はDragonForceランサムウェアファミリに関連している可能性があり、アクロニスの「Active Protectionテクノロジー」を使用していれば、この攻撃による被害を防げた可能性が高かったと述べている。

　Scattered Spiderのような高度な攻撃は、特に統合されたデジタルオペレーションを持つ組織において、長期にわたる事業中断を引き起こす可能性があるものの、予防的なサイバーセキュリティ対策を行うことで、このような攻撃による影響の緩和や期間短縮が可能であり、ディザスタリカバリプログラムが重要なサービスの復旧を加速するのに役立つと語った。

　あわせて同氏は、今回のインシデントの影響の長さから、復旧計画やバックアップシステムがこの規模のサイバー攻撃に十分に対処していなかった可能性が示唆されるとしており、このようなインシデントを完全に防ぐことは困難ながら、堅牢で定期的にテストされたバックアップシステムと包括的なディザスタリカバリプランの使用によって、影響を軽減できオンライン注文などの重要な業務の迅速な再開が可能になると語っている。

　さらに、このようなサイバー攻撃が起きている原因の一つとして、生成AIがマルウェアのエコシステムの進化を加速させているからだと指摘し、生成AIを活用したツールが攻撃者による洗練された高度なマルウェアの作成を容易にし、標的型フィッシングやソーシャルエンジニアリングをさらに迅速に展開させられるようになっていると解説する。生成AIによる攻撃ツールが登場することで、脅威の状況はより迅速かつ複雑になり、階層化されたプロアクティブなセキュリティ戦略なしでは防御が難しくなっているという。

　そのほか、今後のサイバー攻撃リスクを減らすため、既存のサイバーセキュリティ計画を見直して、外部の専門家とのギャップ評価を実施するとともに、潜在的なギャップに対処する必要性を指摘した。このような対策には、Scattered Spiderのようなハッキンググループがよく使用するフィッシングやソーシャルエンジニアリングの戦術を認識するための、定期的な従業員トレーニングが含まれるほか、ディザスタリカバリやインシデント対応といった主要な計画の定期的なテストを優先する必要がある。また、エンドポイントの保護を見直して、疑わしい動作のActive Directoryにおけるアクティビティの監視が必要となる場合もあるという。

　同氏は、Marks ＆ Spencerにおける現在のバックアップ構成は不明ながら、セキュリティで保護された頻繁なバックアップシステムとウイルス対策の組み合わせが不可欠であり、それによって迅速なリカバリが可能になり、侵害が発生した場合の被害を抑えられると述べた。