~非常に迅速なインシデント対応で攻撃被害を最小限に抑え、回復時間を短縮~
~Sophos Rapid Response、新たな一連のRyuk攻撃によるランサムウェアの配信に Buerマルウェアドロッパーが初めて使用されたことを特定~
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、業界初の定額制の遠隔インシデント対応サービス「Sophos Rapid Response」の提供開始を発表しました。このサービスは、45日間の契約期間中、アクティブなサイバーセキュリティ攻撃を特定し、無力化します。Sophos Rapid Responseは、インシデント対応担当者、脅威ハンター、脅威アナリストからなる24時間365日体制の専任チームを提供することで、高度な攻撃を迅速に阻止してネットワークから攻撃者を排除し、被害とコストを最小限に抑え、回復時間を短縮します。現在、Sophos Rapid ResponseおよびSophos Managed Threat Response (MTR)は英語による対応となります。
Sophos Rapid Responseは、ランサムウェアの配信にBuerマルウェアドロッパーが初めて使用されたことを特定しました。ソフォスが本日発表した「Hacks for Sale: Inside Buer Loader's Malware-as-a-Service」と題する新しい研究調査では、Buerがいかにして Windows PC に侵入し、攻撃者によるペイロード配信を可能にしているのかを詳しく解説しています。Sophos Rapid Responseは、この事を発見して、新たなツール、手法、および手順を使用して一連のRyuk攻撃を検出して最近のRyukランサムウェア攻撃の1つを軽減しました。このインシデントでは、攻撃者が執拗にBuerの新種を使用してRyukランサムウェアを起動しようとした後、Buerを種類の異なるローダーマルウェアと組み合わせて使用し、攻撃を拡大しました。
ソフォスの最高技術責任者Joe Levyは、次のように述べています。「攻撃を受けた際、最も重要となるのが時間です。攻撃者が攻撃ライフサイクルを迅速に遂行するため、最初に侵入されてから無力化するまでは1分も無駄にできません。高度な攻撃を受けた場合、業務が即座に停止する可能性があります。ランサムウェアを実際に経験したIT管理者はこのことをよく理解しており、被害に遭っていないIT管理者と比べて、インシデント対応に時間を割き、脅威対策に費やす時間を減らす必要があると報告しています。Sophos Rapid Responseは、アクティブな攻撃を妨害し、執念深い攻撃者を阻止するための複雑で時間のかかるプロセスをなくします。これにより、企業は通常業務に迅速に戻ることができます」
Sophos Rapid Responseは、ランサムウェア、ネットワーク侵害、直接キーボードを操作する攻撃者など、広範なセキュリティインシデントを無力化します。Sophos Rapid Responseチームは数時間以内にオンボードおよびアクティベーションが可能で、攻撃の大部分は48時間以内に優先順位が決められます。
ソフォスのインシデント対応担当マネージャーのPeter Mackenzieは、次のように述べています。「残念ながら、今年は壊滅的なランサムウェア攻撃が多発しており、サイバーセキュリティ業界がこれまで経験したことのない状況となっています。Sophos Rapid Responseがこれまでに対応した攻撃の85%近くがランサムウェア、特に Ryuk、REvil、Mazeが関与していました。また、私達が招集されたその他の攻撃の大半についても、これほど迅速に対応していなければランサムウェアの被害に遭っていたと確信しています。簡単にアクセスできるツールのおかげで、攻撃者は 1 週間も作業すれば、一生のうちに稼げる金額よりも大きな報酬を得られるようになりました。攻撃者はネットワークに潜入し、密かに攻撃を計画した後、最終的なペイロードとしてランサムウェアを戦略的に起動します。この操作は多くの場合、できるだけ多くのマシンで実行する目的で、監視を受けない夜間に実行されます。Sophos Rapid Responseは、迅速な“火消し活動”を行います。たとえば、今月対応に当たったある病院は、Ryukランサムウェアの攻撃を受け、業務停止を余儀なくされていましたが、私たちの対応が生死の分かれ目となりました」
Sophos Rapid Responseは、Sophos Managed Threat Response (MTR)の一部であり、プロアクティブなフルマネージド型脅威ハンティング/検出/対応サービスを提供するグローバルチームです。1,400社以上のユーザー企業を持ち、業界で最も広く利用されているMDR (Managed Detection and Response)サービスの 1 つであるSophos MTRは、企業に代わって事前予防的に対処し、リアルタイムで脅威を軽減する機能で他のサービスの追随を許しません。
Rapid Responseの対応によって差し迫った脅威が無力化されると、Sophos Rapid ResponseプログラムはソフォスのMTRチームによる24時間体制の事前予防的な脅威ハンティング、調査、検出、対応による継続的監視へと移行します。脅威調査レポートには、調査結果、実行されたアクション、その他の修復勧告が詳細に記載されており、攻撃の起点だけでなく、侵害を受けた資産、アクセスされ流出したデータを把握することができます。
Sophos Rapid Responseは、既存の顧客およびソフォスの顧客以外の企業でも利用できます。従来のインシデント対応/フォレンジックサービスでは複雑で長時間にわたる導入作業が必要な上、時間単位の料金体系でしたが、Sophos Rapid Responseは企業のユーザー数やサーバー数に応じた定額料金モデルを採用した遠隔サービスです。また、Sophos Rapid Responseはこれまでリテイナー契約無しではこのようなサービスを簡単には利用できなかった小規模企業を含めて、あらゆる規模の企業に対応できるような料金体系となっています。
●アナリスト、チャネルパートナーの声:
*IDC プログラムバイスプレジデント Frank Dickson 氏談
「サイバー攻撃はますます深刻化、巧妙化しています。今年を振り返ればわかるように、危機の時にあっても、誰もが攻撃の標的になり得ます。IDC の調査対象となったセキュリティ専門家の 85% 以上が、過去 2 年間に少なくとも 1 回のセキュリティ侵害を経験しており、その復旧に多額の余分なリソースを費やしたと回答しています。Sophos Rapid Responseは、必要になるまで誰も欲しがらないサービスです。多くの企業では、アクティブな攻撃に対抗する準備ができていないか、社内のリソースだけでは不可能なほど迅速かつ積極的に対応したいと考えています。Sophos Rapid Responseは、予測可能な固定料金設定と即日アクティベーション機能を通じて、顧客が最も必要としている時に確実な対応を提供してくれます」
*Netcetera 社長 Steve Weeks 氏談
「数千人の社会的弱者の人々に住宅や支援サービスを提供している慈善団体がランサムウェア攻撃を受け、40 を超えるすべての施設で業務が停止しました。この団体から支援の要請を受けた当社は、直ちに Sophos Rapid Responseを導入しました。Sophos Rapid Responseとの連携により、迅速な復旧と稼働が可能となり、必要としている人々にサービスを提供し続けることができました。ソフォスの次世代セキュリティスイートをすでに導入している当社 の顧客は保護が行き届いており、当社の管理下にある顧客でランサムウェアのインシデントが発生したことは何年もありません。しかし、新規顧客から助けを求める電話を受けた時には、常にSophos Rapid Responseを導入することにしています。このチームは対応が極めて早く、当社と協力して不正アクセスされた企業を確実に救い出します。そして、最終的には当社の新たな事業機会の獲得に貢献してくれます」
*CDWサイバーセキュリティプラクティス主任のJeremy Weiss氏談
「Sophos Rapid Responseは、既存の社内インシデント対応サービスを完璧に補完し、プロアクティブな対策計画と最悪のケースに備えた即時サポートを提供する能力を高めてくれます。当社が販売しているのは単なる取引サービスではありません。Sophos Rapid Responseを導入することで、長期的な問題を修正し、問題の再発を防ぐことができます。Sophos Rapid Responseチームが数時間以内にセキュリティインシデントを迅速に修正するのをこの目で見てきました。そして、お客様からの評価は並外れたものでした。Sophos Rapid Responseは、お客様のセキュリティ体制を次のレベルへと引き上げてくれる優れたサービスです」
その他の参考資料
- Sophos Rapid ResponseとSophos Managed Threat Responseがいかにして ランサムウェア攻撃による 1,500 万ドルの被害を阻止したのかを解説しています。
- Sophos Rapid Response による Ryuk攻撃の再来の分析をご確認ください。
- 攻撃者の存在を示す5つの早期指標をお読みになり、ランサムウェア攻撃の阻止にお役立てください。
- 受賞歴のあるソフォスのニュースサイト Naked Security と Sophos News では、最新のセキュリティニュースとソフォスによる見解をお読みいただけます。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com(日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com