Google Cloud を使用したランサムウェア攻撃の軽減

第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃のリスクを軽減するため、 Google Cloud には、攻撃を特定、保護、検出、対応、復旧するための抑制手段が用意されています。これらの制御により、次のことを実現できます。

• リスクを評価する。
• ビジネスを脅威から保護する。
• 継続的な運用を維持する。
• 迅速な対応と復旧を可能にする。

このドキュメントはセキュリティ アーキテクトと管理者を対象としています。ここでは、ランサムウェア攻撃の順序と、組織がランサムウェア攻撃の影響を軽減するために Google Cloud がどのように役立つかについて説明します。

ランサムウェア攻撃の順序

ランサムウェア攻撃は、潜在的な脆弱性を探すマス キャンペーンか、対象を絞ったキャンペーンとして開始されます。対象を絞ったキャンペーンでは、まず組織情報の確認と偵察が行われます。攻撃者はこれによって脆弱性のある組織を特定し、使用する攻撃ベクトルを決定します。

ランサムウェア攻撃の媒介物は多数あります。最も一般的なベクトルは、悪意のある URL を含むフィッシング メールや、公開されているソフトウェアの脆弱性の悪用です。この脆弱性は、組織が使用するソフトウェアに存在する場合や、ソフトウェアのサプライ チェーンに存在する場合があります。ランサムウェア攻撃者は、組織とそのサプライ チェーン、顧客を標的とします。

最初の攻撃が成功すると、ランサムウェアはそれ自体をインストールし、指揮統制サーバーに接続して暗号鍵を取得します。ランサムウェアがネットワーク全体に広がると、リソースに感染し、取得した鍵を使用してデータが暗号化されて持ち出される可能性があります。攻撃者は、復号鍵と引き換えに、組織に身代金（通常は暗号通貨）を要求します。

上述の一般的なランサムウェア攻撃の順序（確認と予備調査から身代金の要求まで）をまとめた図を次に示します。

多くの場合、ランサムウェアは検出が困難です。そのため、重要なことは、防止、モニタリング、検出の機能を導入し、攻撃を見つけたときに迅速に対応する体制を整えておくことです。

Google Cloudのセキュリティと復元性の管理機能

Google Cloud には、ランサムウェア攻撃からお客様を保護するためにセキュリティと復元性の管理機能が組み込まれています。この管理機能には、次のものがあります。

• 情報処理のライフサイクル全体でセキュリティを考慮して設計されたグローバル インフラストラクチャ。
• モニタリング、脅威検出、データ損失防止、アクセス制御など、 Google Cloud プロダクトとサービスに組み込まれた検出機能。
• Assured Workloads などの組み込みの予防的制御
• リージョン クラスタとグローバル ロードバランサによる高可用性。
• スケーラブルなサービスを備えた組み込みのバックアップ。
• Infrastructure as Code と構成のガードレールを使用した自動化機能。

Google Threat Intelligence、VirusTotal、Mandiant Digital Threat Monitoring は、Google インフラストラクチャとプロダクト全体にわたり、ランサムウェアを含むさまざまな種類のマルウェアを追跡して対応します。Google Threat Intelligence は、 Google Cloud プロダクトの脅威インテリジェンスを開発する脅威研究者のチームです。VirusTotal は、企業内でのマルウェアの動きを詳細に把握できるマルウェア データベースと可視化ソリューションです。Mandiant Digital Threat Monitoring などの Mandiant サービスは、脅威調査、コンサルティング、インシデント対応のサポートを提供します。

組み込みのセキュリティ管理機能の詳細については、Google のセキュリティの概要と、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

Google Workspace、Chrome ブラウザ、Chromebook のセキュリティと復元性の管理機能

Google Cloud内の管理機能に加え、Google Workspace、Google Chrome ブラウザ、Chromebook などの他の Google プロダクトにも、ランサムウェア攻撃から組織を保護するセキュリティ管理機能が含まれています。たとえば、Google プロダクトには、ロケーションや IP アドレスなどの ID とコンテキストに基づいて、リモート ワーカーがどこからでもリソースにアクセスできるようにするセキュリティ管理機能が備わっています。

ランサムウェア攻撃の順序セクションで説明したように、メールは、多くのランサムウェア攻撃の重要な媒介物です。メールは、不正なネットワーク アクセスのために認証情報を盗み出すため、またランサムウェアのバイナリを直接送りつけるために利用されます。Gmail の高度なフィッシングと不正なソフトウェアへの対策では、メールを検疫し、危険な添付ファイルの類から守り、送られてくるなりすましメールからユーザーを保護します。セキュリティ サンドボックスは、未知のマルウェアが添付ファイルに存在するかどうかを検出するように設計されています。

Chrome ブラウザには、Google セーフ ブラウジングが含まれており、ユーザーが感染したサイトや悪意のあるサイトにアクセスしようすると警告が表示されます。サンドボックスとサイト分離により、同じタブの異なるプロセス内に悪意のあるコードが広がることを防止できます。パスワード保護は、個人アカウントで会社のパスワードが使用されている場合にアラートを発出し、ユーザーの保存済みパスワードがオンラインで不正使用されていないかどうかを確認するように設計されています。このような場合は、ブラウザがユーザーにパスワードの変更を求めるメッセージを表示します。

次に挙げる Chromebook の機能は、フィッシングやランサムウェア攻撃からの保護に役立ちます。

• 読み取り専用のオペレーティング システム（ChromeOS）。このシステムは、見えない形で更新し続けるように設計されています。Chrome OS は、最新の脆弱性からの保護に役立ちます。また、アプリケーションや拡張機能が OS を変更できないようにする管理機能も含まれています。
• サンドボックス化。各アプリケーションは隔離された環境で実行されるため、1 つの有害なアプリケーションが他のアプリケーションへ簡単に感染することはありません。
• 確認付きブート。Chromebook の起動時にシステムが変更されていないことを検証するように設計されています。
• セーフ ブラウジング。Chrome では、安全でないサイトの最新のセーフ ブラウジング リストを定期的にダウンロードします。ユーザーがアクセスする各サイトの URL と、ユーザーがダウンロードした各ファイルをこのリストで確認するように設計されています。
• Google セキュリティ チップ。このチップは、オペレーティング システムを悪意のある改ざんから保護します。

組織に存在する攻撃対象領域を減らすには、主にブラウザで仕事を行うユーザーに Chromebook を使用してもらうことを検討してください。

Google Cloudに対するランサムウェア攻撃を軽減するためのベスト プラクティス

企業のリソースとデータをランサムウェア攻撃から保護するには、オンプレミス環境とクラウド環境にまたがる多層制御を行う必要があります。

以降のセクションでは、組織が Google Cloudに対するランサムウェア攻撃を識別、防止、検出、対処するためのベスト プラクティスについて説明します。

リスクとアセットの特定

Google Cloudでリスクとアセットを特定するには、次のベスト プラクティスを検討してください。

• Cloud Asset Inventory を使用して、Google Cloud のリソースの 5 週間のインベントリを維持します。変更を分析するには、アセット メタデータを BigQuery にエクスポートします。
• Security Command Center の Audit Manager と攻撃パス シミュレーションを使用して、現在のリスク プロファイルを評価します。リスク保護プログラムで利用できるサイバー保険のオプションを検討してください。
• Sensitive Data Protection を使用して、機密データを検出して分類します。

リソースとデータへのアクセスを制御する

Google Cloudリソースとデータへのアクセスを制限するには、次のベスト プラクティスを検討してください。

• Identity and Access Management（IAM）を使用して、きめ細かいアクセスを設定します。ロールの推奨事項、Policy Analyzer、Cloud Infrastructure Entitlement Management（CIEM）を使用して、権限を定期的に分析できます。
• サービス アカウントを権限の高い ID として扱います。Workload Identity 連携を使用した鍵なし認証を検討し、権限を適切にスコープ設定します。サービス アカウントの保護に関するベスト プラクティスについては、サービス アカウントの使用に関するベスト プラクティスをご覧ください。
• Cloud Identity を介してすべてのユーザーに多要素認証を義務付け、フィッシング耐性のある Titan セキュリティ キーを使用します。

重要なデータを保護する

機密データを保護するため、次のベスト プラクティスを検討してください。

• データの保存に使用するクラウド ストレージ オプションで冗長性（N+2）を構成します。Cloud Storage を使用する場合は、オブジェクトのバージョニングまたはバケットロック機能を有効にできます。
• データベース（ Cloud SQL など）とファイルストア（Filestore など）のバックアップを実装して定期的にテストし、コピーを隔離された場所に保存します。包括的なワークロード バックアップには、Backup and DR サービスの使用を検討してください。復元機能を定期的に検証します。
• 鍵を定期的にローテーションし、鍵関連のアクティビティをモニタリングします。顧客指定の鍵（CSEK）または Cloud External Key Manager（Cloud EKM）を使用している場合は、堅牢な外部バックアップとローテーション プロセスを確保します。

ネットワークとインフラストラクチャの保護

ネットワークとインフラストラクチャを保護するためのおすすめの方法は次のとおりです。

• エンタープライズ基盤ブループリントを安全なベースラインとして Infrastructure as Code（Terraform など）を使用し、既知の良好な状態を確保して、迅速かつ一貫性のあるデプロイを可能にします。
• VPC Service Controls を有効にして、リソースとデータを分離する境界を作成します。ファイアウォール ルールと Cloud Load Balancing を使用し、ハイブリッド環境の安全な接続（ Cloud VPN または Cloud Interconnect を使用）を確保します。

• 次のような制限付きの組織のポリシーを実装します。

  • 新しい Vertex AI Workbench のノートブックとインスタンスに対するパブリック IP アクセスを制限する
  • Cloud SQL インスタンスに対するパブリック IP のアクセスを制限する
  • VM シリアルポート アクセスを無効にする
  • Shielded VM

ワークロードを保護

ワークロードを保護するためのおすすめの方法は次のとおりです。

• ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティを統合します。GKE ワークロードの場合、信頼できるビルド、アプリケーションの分離、Pod の分離など、ソフトウェア サプライ チェーンのセキュリティを実装します。
• Cloud Build を使用してビルドステップを追跡し、Artifact Registry を使用してコンテナ イメージの脆弱性スキャンを完了します。Binary Authorization を使用して、イメージが基準を満たしていることを確認します。
• レイヤ 7 のフィルタリングと一般的なウェブ攻撃に対する保護には、Google Cloud Armor を使用します。
• GKE の自動アップグレードとメンテナンスの時間枠を使用します。Cloud Build でビルドを自動化して、コード commit 時に脆弱性スキャンを含めます。

攻撃の検出

攻撃の検出に役立つベスト プラクティスは次のとおりです。

• Cloud Logging を使用して Google Cloud のサービスのログを管理、分析し、Cloud Monitoring を使用してサービスとリソースのパフォーマンスを測定します。
• Security Command Center を使用して、潜在的な攻撃を検出し、アラートを分析します。
• 詳細なセキュリティ分析と脅威ハンティングを行うには、Google Security Operations と統合します。

インシデントの計画

• 事業継続計画と障害復旧計画を完了します。

• ランサムウェア インシデント対応ハンドブックを作成し、机上演習を実施します。復元手順を定期的に練習して、準備状況を確認し、ギャップを特定します。

• 攻撃を関係当局に報告する義務を理解し、プレイブックに関連する連絡先情報を記載します。

セキュリティに関するその他のベスト プラクティスについては、Well-Architected Framework: セキュリティ、プライバシー、コンプライアンスの柱をご覧ください。

攻撃への対応と復旧

ランサムウェア攻撃を検出したら、インシデント対応計画を有効にします。インシデントが誤検出ではなく、Google Cloud サービスに影響することを確認したら、P1 サポートケースを開きます。Cloud カスタマーケアの対応は、Google Cloud: 技術サポート サービス ガイドラインに記載されています。

プランを有効にしたら、組織内でインシデントの調整と解決プロセスに関与する必要があるチームを収集します。インシデントの調査と解決のために、こうしたツールとプロセスが設定されるようにしてください。

インシデント対応計画に沿ってランサムウェアを削除し、環境を正常な状態に戻します。攻撃の重大度と有効にしたセキュリティ制御に応じて、計画には次のようなアクティビティを含めることができます。

• 感染したシステムの隔離。
• 正常なバックアップからの復元。
• CI/CD パイプラインを使用して、インフラストラクチャを以前の正常な状態に復元する。
• 脆弱性が削除されたことの確認。
• 同様の攻撃に弱い可能性があるすべてのシステムへのパッチの適用。
• 同様の攻撃を回避するために必要な制御手段の実装。

対応プロセスを進めながら、Google サポート チケットを引き続きモニタリングします。Cloud カスタマーケアは、Google Cloud 内で環境を取り込み、消去し、（可能であれば）復旧するための適切な措置を講じます。

インシデントが解決され、環境が復元されたら、Cloud カスタマーケアに連絡します。予定されている場合は、Google 担当者と共同の振り返りに参加してください。

インシデントから得た教訓を記録し、同様の攻撃を回避するために必要な制御手段を設定します。攻撃の特徴に応じて、次のアクションを検討できます。

• 攻撃が再発した場合に自動的にトリガーされる検出ルールとアラートを作成する。
• インシデント対応ハンドブックを更新して、学習した教訓を追加する。
• 振り返りによる知見に基づいてセキュリティ体制を改善する。

次のステップ

• セキュリティと耐障害性のフレームワークを使用し、悪意あるサイバー イベントに対してビジネスの継続性と保護を確保する。
• ランサムウェア対策の評価については、Mandiant のコンサルタントにお問い合わせください。
• その他のベスト プラクティスについては、Google Cloud Well-Architected Framework をご覧ください。
• Google によるインシデントの管理方法については、データ インシデント対応プロセスをご覧ください。