Google Cloud を使用したランサムウェア攻撃の軽減

第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃のリスクを軽減するため、 Google Cloud には、攻撃を特定、保護、検出、対応、復旧するための抑制手段が用意されています。この抑制手段により、次のことを実現できます。

• リスクを評価する。
• ビジネスを脅威から保護する。
• 継続的な運用を維持する。
• 迅速な対応と復旧を可能にする。

このドキュメントはセキュリティ アーキテクトと管理者を対象としています。ここでは、ランサムウェア攻撃の順序と、組織がランサムウェア攻撃の影響を軽減するために Google Cloud がどのように役立つかについて説明します。

ランサムウェア攻撃の順序

ランサムウェア攻撃は、潜在的な脆弱性を探す大規模なキャンペーンや、統制されたキャンペーンとして開始されることがあります。対象を絞ったキャンペーンでは、まず組織情報の確認と偵察が行われます。攻撃者はこれによって脆弱性のある組織を特定し、使用する攻撃ベクトルを決定します。

ランサムウェア攻撃の媒介物は多数あります。最も一般的なベクトルは、悪意のある URL を含むフィッシング メールや、公開されているソフトウェアの脆弱性の悪用です。このソフトウェアの脆弱性は、組織が使用するソフトウェアに存在する場合や、ソフトウェアのサプライ チェーンに存在する場合があります。ランサムウェア攻撃者は、組織、サプライ チェーン、顧客を標的とします。

最初の攻撃が成功すると、ランサムウェアはそれ自体をインストールし、指揮統制サーバーに接続して暗号鍵を取得します。ランサムウェアがネットワーク全体に広がると、リソースに感染し、取得した鍵を使用してデータが暗号化されて持ち出される可能性があります。攻撃者は、復号鍵と引き換えに、組織に身代金（通常は暗号通貨）を要求します。

上述の一般的なランサムウェア攻撃の順序（確認と予備調査から身代金の要求まで）をまとめた図を次に示します。

多くの場合、ランサムウェアは検出が困難です。そのため、重要なことは、防止、モニタリング、検出の機能を導入し、攻撃を見つけたときに迅速に対応する体制を整えておくことです。

Google Cloudのセキュリティと復元性の管理機能

Google Cloud には、ランサムウェア攻撃からお客様を保護するためにセキュリティと復元性の管理機能が組み込まれています。これらの管理機能には、次のものがあります。

• 情報処理のライフサイクル全体でセキュリティを考慮して設計されたグローバル インフラストラクチャ。
• モニタリング、脅威検出、データ損失防止、アクセス制御など、プロダクトとサービスに組み込まれた検出機能。 Google Cloud
• Assured Workloads などの組み込みの予防管理
• リージョン クラスタとグローバル ロードバランサによる高可用性。
• スケーラブルなサービスを備えた組み込みのバックアップ。
• Infrastructure as Code と構成のガードレールを使用した自動化機能。

Google Threat Intelligence、VirusTotal、 Mandiant Digital Threat Monitoring は、Google インフラストラクチャとプロダクト全体にわたり、ランサムウェアを含むさまざまな種類のマルウェアを追跡して対応します。Google Threat Intelligence は、 Google Cloud プロダクトの脅威インテリジェンスを開発する脅威研究者のチームです。VirusTotal は、企業内でのマルウェアの動きを詳細に把握できるマルウェア データベースと可視化ソリューションです。Mandiant Digital Threat Monitoring などの Mandiant サービスは、脅威調査、コンサルティング、インシデント対応のサポートを提供します。

組み込みのセキュリティ管理機能の詳細については、Google セキュリティの概要と Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

Google Workspace、Chrome ブラウザ、Chromebook のセキュリティと復元性の管理機能

Google Cloud内の管理機能に加え、Google Workspace、Google Chrome ブラウザ、Chromebook などの他の Google プロダクトにも、ランサムウェア攻撃から組織を保護するセキュリティ管理機能が含まれています。たとえば、Google プロダクトには、ロケーションや IP アドレスなどの ID とコンテキストに基づいて、リモート ワーカーがどこからでもリソースにアクセスできるようにするセキュリティ管理機能が備わっています。

ランサムウェア攻撃の順序セクションで説明したように、メールは、多くのランサムウェア攻撃の重要な媒介物です。メールは、不正なネットワーク アクセスのために認証情報を盗み出すため、またランサムウェアのバイナリを直接送りつけるために利用されます。Gmail の高度なフィッシングと不正なソフトウェアへの対策では、メールを検疫し、危険な添付ファイルの類から守り、送られてくるなりすましメールからユーザーを保護します。セキュリティ サンドボックスは、未知のマルウェアが添付ファイルに存在するかどうかを検出するように設計されています。

Chrome ブラウザには、Google セーフ ブラウジングが含まれており、ユーザーが感染したサイトや悪意のあるサイトにアクセスしようすると警告が表示されます。サンドボックスとサイト分離により、同じタブの異なるプロセス内に悪意のあるコードが広がることを防止できます。パスワード保護は、個人アカウントで会社のパスワードが使用されている場合にアラートを発出し、ユーザーの保存済みパスワードがオンラインで不正使用されていないかどうかを確認するように設計されています。このような場合は、ブラウザがユーザーにパスワードの変更を求めるメッセージを表示します。

次に挙げる Chromebook の機能は、フィッシングやランサムウェア攻撃からの保護に役立ちます。

• 読み取り専用のオペレーティング システム（ChromeOS）。このシステムは、見えない形で更新し続けるように設計されています。ChromeOS は、最新の脆弱性からの保護に役立ちます。また、アプリケーションや拡張機能が OS を変更できないようにする管理機能も含まれています。
• サンドボックス化。各アプリケーションは隔離された環境で実行されるため、1 つの有害なアプリケーションが他のアプリケーションへ簡単に感染することはありません。
• 確認付きブート。Chromebook の起動時にシステムが変更されていないことを検証するように設計されています。
• セーフ ブラウジング。Chrome では、安全でないサイトの最新のセーフ ブラウジング リストを定期的にダウンロードします。ユーザーがアクセスする各サイトの URL と、ユーザーがダウンロードした各ファイルをこのリストで確認するように設計されています。
• Google セキュリティ チップ。このチップは、オペレーティング システムを悪意のある改ざんから保護します。

組織に存在する攻撃対象領域を減らすには、主にブラウザで仕事を行うユーザーに Chromebook を使用してもらうことを検討してください。

Google Cloudでのランサムウェア攻撃を軽減するためのベスト プラクティス

企業のリソースとデータをランサムウェア攻撃から保護するには、オンプレミス環境とクラウド環境にまたがる多層制御を行う必要があります。

以降のセクションでは、組織が Google Cloudに対するランサムウェア攻撃を特定、防止、検出、対応するためのベスト プラクティスについて説明します。

リスクとアセットの特定

Google Cloudでリスクとアセットを特定するには、次のベスト プラクティスを検討してください。

• Cloud Asset Inventory を使用して、Google Cloud のリソースの 5 週間分のインベントリを維持します。変更を分析するには、アセット メタデータを BigQuery にエクスポートします。
• Security Command Center の Audit Manager と攻撃パス シミュレーションを使用して、リスク評価を行い、現在のリスク プロファイルを評価します。Risk Protection Program で利用可能なサイバー保険オプションを検討してください。
• 機密データ保護を使用して、機密データを検出して分類します。

リソースとデータへのアクセスを制御する

リソースとデータへのアクセスを制限するには、次のベスト プラクティスを検討してください。 Google Cloud

• Identity and Access Management（IAM）を使用してきめ細かいアクセスを設定します。ロールの推奨事項、Policy Analyzer、クラウド インフラストラクチャ権限管理（CIEM）を使用して、権限を定期的に分析できます。
• サービス アカウントを高度な権限を持つ ID として扱います。Workload Identity 連携を使用した鍵のない認証を検討し、適切に権限をスコープします。サービス アカウントの保護に関するベスト プラクティスについては、サービス アカウントの使用に関するベスト プラクティスをご覧ください。
• Cloud Identity を介してすべてのユーザーに多要素認証を義務付け、フィッシング耐性のある Titan セキュリティ キーを使用します。

重要なデータを保護する

機密データを保護するために、次のベスト プラクティスを検討してください。

• データの保存に使用するクラウド ストレージ オプションで冗長性（N+2）を構成します。Cloud Storage を使用する場合は、オブジェクトのバージョニングまたはバケットロック機能を有効にできます。
• データベース（ Cloud SQL など）とファイルストア（Filestore など）のバックアップを実装し、定期的にテストして、コピーを分離された場所に保存します。包括的なワークロード バックアップには、Backup and DR サービスを検討してください。復元機能は頻繁に確認してください。
• 鍵を定期的にローテーションし、鍵関連のアクティビティをモニタリングします。顧客指定の鍵（CSEK）または Cloud External Key Manager（Cloud EKM）を使用する場合は、堅牢な外部バックアップとローテーションのプロセスを確立します。

ネットワークとインフラストラクチャを保護する

ネットワークとインフラストラクチャを保護するためのおすすめの方法は次のとおりです。

• エンタープライズ基盤ブループリントを安全なベースラインとして、Infrastructure as Code（Terraform など）を使用して、正常な状態を確保し、迅速で一貫したデプロイを可能にします。
• VPC Service Controls を有効にして、リソースとデータを分離する境界を作成します。ハイブリッド環境では、ファイアウォール ルールを使用して Cloud ロード バランシングを使用し、接続を保護します（ Cloud VPN または Cloud Interconnect を使用）。

• 次のような制限付きの組織のポリシーを実装します。

  • 新しい Vertex AI Workbench のノートブックとインスタンスに対するパブリック IP アクセスを制限する
  • Cloud SQL インスタンスに対するパブリック IP のアクセスを制限する
  • VM シリアルポート アクセスを無効にする
  • Shielded VM

ワークロードを保護

ワークロードを保護するためのおすすめの方法は次のとおりです。

• ソフトウェア開発ライフサイクルのすべてのフェーズにセキュリティを統合します。GKE ワークロードの場合は、信頼できるビルド、アプリケーションの分離、Pod の分離など、ソフトウェア サプライ チェーンのセキュリティを実装します。
• Cloud Build を使用してビルドステップを追跡し、Artifact Registry を使用してコンテナ イメージの脆弱性スキャンを完了します。Binary Authorization を使用して、イメージが基準を満たしていることを確認します。
• レイヤ 7 フィルタリングと一般的なウェブ攻撃からの保護には、Google Cloud Armor を使用します。
• GKE の自動アップグレードとメンテナンスの時間枠を使用します。Cloud Build でビルドを自動化して、コード commit 時の脆弱性スキャンを含めます。

攻撃の検出

攻撃を検出するために、次のベスト プラクティスを検討してください。

• Cloud Logging を使用してサービスのログを管理、分析し、Cloud Monitoring を使用してサービスとリソースのパフォーマンスを測定します。 Google Cloud
• Security Command Center を使用して、潜在的な攻撃を検出し、アラートを分析します。
• 詳細なセキュリティ分析と脅威の検出を行うには、Google Security Operations と統合します。

インシデントへの備え

• 事業継続計画と障害復旧計画を完成させます。

• ランサムウェア インシデント対応ハンドブックを作成し、机上演習を行います。復旧手順を定期的に練習して、準備状況を確認し、ギャップを特定します。

• 攻撃を当局に報告する義務を理解し、関連する連絡先情報をハンドブックに含めます。

セキュリティに関するその他のベスト プラクティスについては、Well-Architected Framework: セキュリティ、プライバシー、コンプライアンスの柱をご覧ください。

攻撃への対応と復旧

ランサムウェア攻撃を検出したら、インシデント対応計画を有効にします。インシデントが誤検出ではなく、Google Cloud サービスに影響することを確認したら、P1 サポートケースを開きます。Cloud カスタマーケアの対応は、Google Cloud: 技術サポート サービス ガイドラインに記載されています。

プランを有効にしたら、組織内でインシデントの調整と解決プロセスに関与する必要があるチームを収集します。インシデントの調査と解決のために、こうしたツールとプロセスが設定されるようにしてください。

インシデント対応計画に沿ってランサムウェアを削除し、環境を正常な状態に戻します。攻撃の重大度と有効にしたセキュリティ制御に応じて、計画には次のようなアクティビティを含めることができます。

• 感染したシステムの隔離。
• 正常なバックアップからの復元。
• CI/CD パイプラインを使用して、インフラストラクチャを以前の正常な状態に復旧する。
• 脆弱性が削除されたことの確認。
• 同様の攻撃に弱い可能性があるすべてのシステムへのパッチの適用。
• 同様の攻撃を回避するために必要な制御手段の実装。

回答プロセスを進めながら、Google サポート チケットを引き続きモニタリングします。Cloud カスタマーケアは、Google Cloud 内で適切な措置を講じ、環境を抑制、根絶し、（可能であれば）復元します。

インシデントが解決され、環境が復元されたら、Cloud カスタマーケアに連絡します。予定されている場合は、Google 担当者と共同の振り返りに参加してください。

インシデントから得た教訓を記録し、同様の攻撃を回避するために必要な制御手段を設定します。攻撃の特徴に応じて、次のアクションを検討できます。

• 攻撃が再発した場合に自動的にトリガーされる検出ルールとアラートを作成する。
• インシデント対応ハンドブックを更新して、学習した教訓を追加する。
• 振り返りによる知見に基づいてセキュリティ体制を改善する。

次のステップ

• セキュリティと耐障害性のフレームワークを使用し、悪意あるサイバー イベントに対してビジネスの継続性と保護を確保する。
• ランサムウェア防御評価については、Mandiant コンサルタントにお問い合わせください。
• その他のベスト プラクティスについては、Google Cloud Well-Architected Framework をご覧ください。
• Google によるインシデントの管理方法については、データ インシデント対応プロセスをご覧ください。