世界的な法律事務所がイルミオを使用してランサムウェア攻撃を阻止した方法

世界的な法律事務所が ランサムウェアに襲われました。 

攻撃は急速に12台のサーバーに広がりました。

攻撃者はネットワーク全体に侵入し、会社を人質に取る準備ができていました。 

しかし、この法律事務所は準備ができていました。彼らにはイルミオがいました。そして、当社のテクノロジーを使用することで、次のことが可能になります。

• 攻撃をわずか12台のサーバーに封じ込めた 
• 侵害されたシステムを特定し、数秒で隔離
• 最初の侵害からわずか数時間以内に攻撃を阻止 
• 攻撃者が機密データを暗号化または盗み、会社とそのクライアントに損害を与える前に脅威を終わらせました

この投稿では、世界的な法律事務所が、ITシステム、ビジネス、そして最も重要なクライアントへの重大な損害を回避しながら、前例のないスピードでランサムウェア攻撃を阻止した方法について説明します。 

侵入から立ち退きまで(数時間): 攻撃のタイムライン

大惨事になるはずだった。

この法律事務所は、世界中の数十か所に数千人のユーザー、サーバー、ワークステーションを抱えていました。数百の顧客を抱え、デジタル インフラストラクチャに大量の機密データや法的文書を保存していました。

同社はランサムウェアの主要な標的であり、ある日それが起こりました。彼らは攻撃された。 

しかし、攻撃は失敗に終わりました。サイバー犯罪者は数時間で立ち退きさせられました。法律事務所のインシデント対応を主導したIT幹部がイルミオに語った 経緯は次のとおりです。

この事件はデリケートな性質を持っているため、すべての名前と身元を特定する詳細は伏せられています。

最初の侵害: 月曜日の午後の早い時間

同社の従業員の 1 人は、攻撃者によって侵害されたクライアントから送信されたフィッシング メールを受け取りました。

「ハッカーは卑劣でした」と幹部は言う。「彼らはExcelファイルと思われるURLを送信しましたが、それはハイパーリンクではありませんでした。そこで、従業員は URL をブラウザにコピーしてファイルをダウンロードしました。」

しかし、何も起こらなかった。そこで彼女は、それが悪意のあるコードであることにまだ気づいていなかったが、ファイルのアクセスを支援するために同社のITヘルプデスクに連絡した。

2:00 PM: 攻撃開始 

ヘルプデスクの従業員は、URLをブラウザにコピーしました。これにより、武器化されたファイルがマルウェアを起動するきっかけとなりました。 

「Excel ファイルは、悪意のある人物が彼のワークステーションを侵害し、彼のアカウント権限にアクセスできるようにするマクロを実行しました」と幹部は説明します。

午後 2:00 – 午後 3:40: 攻撃者は検出されない

IT技術者のマシンはオンラインで、ほぼ2時間チェックされていないため、犯罪者は攻撃を実行する最善の方法を調査し、評価する時間を与えました。

「悪質な攻撃者は非常に慎重かつゆっくりとネットワークスキャンを実行したため、彼らの動きはほとんど検出されませんでした」と彼は言います。

最終的に、攻撃者はヘルプデスクワークステーションから取得した権限でアクセスできるサーバーを見つけました。これが彼らがシュートを打ったときです。

午後3時40分 – 午後4時00分:攻撃者が動き出す

攻撃者は当初、SQL サーバー上のデータベース ファイルを暗号化しました。これにより、サーバーがクラッシュしました。法律事務所の IT グループはすぐにクラッシュに気づき、調査し、ランサムウェアの兆候を確認しました。 

「データベース管理者が午後 6:00 に私に電話をかけてきて、 ランサムウェアに襲われたと思うと言いました」と彼は言います。

16:00 – 16:50: 作戦室の作成

IT 幹部は CIO に何が起こったのかを通知しました。それは、CIOが決して受けたくない電話でした。彼は最悪の事態を恐れていた。彼らは時計が時を刻み始めたことを知っていました。

法律事務所は、迅速な対応を調整する必要がありました。

「約15分以内に、Zoom通話を開始し、ITチームとセキュリティチームのメンバーと会いました」と彼は説明します。「私たちはログに飛び込んで、何が起こったのか、何がすでに侵害されたのかを調べました。」

午後 4 時 50 分 – 午後 6 時 15 分: 攻撃を理解する

「私たちはすぐに、悪意のあるURLとランサムウェアファイルをホストするITヘルプデスクワークステーションである『ペイシェントゼロ』を指すログを見つけました」と彼は言います。

しかし、それだけでは十分ではありませんでした。彼らは、攻撃が他にどこに広がったのかを知る必要がありました。 

「その時点で、分は刻々と過ぎていきます」と幹部は説明する。「私たちはすぐにそのワークステーション を隔離 し、環境全体を調べて攻撃の範囲を理解し始めました。」

対応チームは、ハッカーの追跡を支援するために マネージド セキュリティ サービス プロバイダー (MSSP) を導入しました。 

MSSPは、イルミオからのリアルタイムのアプリケーショントラフィックデータを含むセキュリティ情報およびイベント管理(SIEM)ツールを使用して、SIEMにクエリを実行し、攻撃者がMicrosoft Azure上で実行されている1つのクラウドベースのサーバーを含む別の11台のサーバーに到達したと判断することができました。

チームが作業を進めているうちに、リアルタイムのテレメトリから、攻撃の範囲が目の前で拡大していることがわかりました。時間が迫っていた。 

午後6時20分:イルミオが攻撃を終了

法律事務所は、侵害を封じ込めるために迅速に行動する必要がありました。

Illumioを使用することで、チームはAzureクラウドインスタンスを含む12台のサーバーすべてをセ グメンテーションリングフェンスに即座に配置し、ネットワークやコンピューティングリソースにアクセスできませんでした。

結局、これが攻撃を冷たく止める決定的な行動だった。 

「文字通り、ドラッグ&ドロップで数回クリックするだけで、影響を受けたすべてのシステムを隔離することができました」とエグゼクティブは言います。「従来の方法でそれを行おうとすると、はるかに時間がかかり、悪質な行為者が他のシステムに飛びつき、拡散し続ける機会がたくさん与えられていたでしょう。イルミオを使用すると、すぐにシャットダウンすることができました。彼らは私たちを避けて広がり続けるために他の場所に飛び込む方法がありませんでした。夜の彼らの楽しみは終わりました。」

午後 6:20 – 午前 1:00: 被害の評価

脅威は終わったが、やるべきことはまだあった。 

「悪意のある攻撃者が私たちのデータを盗んだかどうかを確認するために、攻撃全体を調査する必要がありました」と幹部は言います。「法律事務所として、データを失った場合、クライアントに通知する必要があります。そうすると、風評被害が生じ、非常に損害を与える可能性があります。」

彼は インシデント対応(IR)会社 に依頼して、攻撃の全範囲を調査しました。 

火曜日〜金曜日:流出したデータの証拠を探す 

法律事務所のITグループは、IR事務所のソフトウェアエージェントをインストールし、Illumioを使用して侵害されたマシンからファイルを安全に送信しました(他に誤って再感染しないようにするため)。IRチームは作業に取り掛かりました。 

「そこからは、ただ待つしかありませんでした」と幹部は言う。

週末にIRチームは調査を終了した。 

「彼らは戻ってきて、他のシステムが侵害されていないと言い、データの流出はなかったことを確認しました」と彼は言います。 

このニュースはこれ以上ないほど良いものでした。そして、その結果は前例のないものでした。 

「インシデント対応チームからMSSPまで、誰もがランサムウェア攻撃にこれほど迅速に対応する企業を見たことがないと言いました」とエグゼクティブは言います。「彼らは、攻撃が非常に急速に広がるため、攻撃を十数台のシステムに限定することは前代未聞だと言いました。しかし、イルミオのおかげで、私たちはまさにそれを実現しました。」

ランサムウェア防御が容易

IT幹部は、イルミオが侵害を事後対応的に阻止する上で極めて重要だった一方で、侵害前に イルミオのゼロトラストセグメンテーション 機能を導入したことも決定的な違いを生んだと述べています。 

同社は イルミオの導入を約40%しか完了していませんが、すでに実施されているアクセス制御により、攻撃中にハッカーが利用できる経路とオプションが大幅に制限され、ハッカーの速度が低下し、ネットワーク内に入った後にアクセスできるものが大幅に制限されました。

「環境をセグメント化するためにイルミオの実装をまだ開始していなかったら、この攻撃ははるかにひどいものになっていたでしょう」と幹部は言います。「悪質な行為者は、ワークステーションから複数の経路を見つけ、はるかに遠く、はるかに速く広がる可能性があるでしょう。」  

この法律事務所がランサムウェア攻撃を防御することに成功したことから得た教訓は明らかです: 適切なリーダーシップ、適切なチーム、適切な管理 を整えて、侵害が発生したときに即座に対応できるようにすることです。 

「独自の侵害が発生するのは時間の問題です」と幹部は言う。「この時代では、ハッカーやマルウェアが必然的にネットワークに侵入した場合に、ラテラルムーブメントを制限するために マイクロセグメンテーションを実装することが不可欠です 。イルミオのおかげで、以前は不可能だった方法でこれを行うことができました。それが大きな違いを生みました。」

今すぐイルミオを組織に導入し、ランサムウェアがあなたの会社を人質に取る前に阻止する準備をしてください。 

• 同社の攻撃の詳細については、 ケーススタディの全文 をお読みください。
• ゼロ トラスト・インパクト・レポートを入手して、組織がゼロトラストにどのようにアプローチし、セグメンテーションの実装から定量化可能なメリットを実感しているかについての調査をご覧ください。
• 高速、シンプル、スケーラブルなゼロトラストセグメンテーションを実装する方法については、ガイド「 Illumioによるゼロトラストセグメンテーションの達成」をご覧ください。
• ゼロトラストセグメンテーションの専門家による無料相談とデモを予約してください。