高度化・高速化するランサムウェアにどう立ち向かうか ～セキュリティAIと自動化で実現する実効性のある対策～

RaaSの台頭がもたらすサイバー攻撃の産業化

近年のサイバー攻撃において、最も警戒すべきは「高速化」です。攻撃者が標的ネットワークに侵入してからデータを搾取するまでの時間は平均約2日間。そのうちの20%は、わずか1時間以内にすべてのプロセスを完結させています。

この高速化と共に、最近のサイバー攻撃に拍車をかけているのが、ランサムウェア攻撃の分業・産業化モデル「RaaS（Ransomware-as-a-Service）」です。認証情報を売買する「イニシャルアクセスブローカー」、マルウェアなどの各種攻撃ツールを提供する「オペレーター」、そしてこれらを統合して実際に攻撃を仕掛ける「アフィリエイター」が犯罪インフラをSaaSのように共有・利用しています。

「Qilin」の正体と、個別ツール運用の限界

RaaSを駆使し、現在世界的に猛威を振るっているのが、ランサムウェアグループ「Qilin（キリン）」です。パロアルトネットワークスの脅威インテリジェンスチームである「Unit 42」は2022年からQilinの動向を注視しており、2024年にLociBitが実質解体された後、高度な技術者が流入したことで、その活動がさらに先鋭化していることを確認しています。Qilinによる身代金の要求額は、組織の規模に応じて巨額化しており、欧州の政府系医療機関に対し、5,000万ドル（約70〜80億円）を突きつけた事例もあります。

Qilinの攻撃手法は、非常にオーソドックスなものです。フィッシングやVPN（仮想プライベートネットワーク）の脆弱性悪用、ダークウェブなどからアクセス認証情報を入手して侵入し、組織の防衛力を検証するCobalt Strikeなどのツールを足がかりに権限を昇格させます。そして、マルウェアに指令を出すC&C（Command and Control server）を確立し、管理者権限を活用しながら各端末からデータを搾取するという流れです。一般的なサイバー攻撃を組み合わせて、幅広く多数のターゲット企業に繰り返し脅威を与え続けているのがQilinの最大の特徴といえるでしょう。

では、なぜ防ぎきれないのか。多くの企業では、エンドポイントやネットワークなど各領域で個別の専門ツールが導入されています。また、同じネットワーク内でも統制カテゴリごとに異なるツールを導入しているケースも少なくありません。

このように様々なセキュリティツールを組み合わせた環境では、ツール間に守備範囲の「隙間」が生じます。インシデント後にログを検証すれば各ツールが「点」で脅威を検知していることがわかるものの、発生時点ではそれらを「線」として相関・包括管理できず、初動が遅れるという構造的な課題が浮かび上がってきます。

運用プラットフォーム「Cortex XSIAM」で人の介在を最小化

パロアルトネットワークスでは、個別最適化されたツールを組み合わせたアーキテクチャによって、リアルタイム性が求められる今日のインシデントに対応することは不可能だと考えています。そこで、広い範囲をカバーしながら多くのデータを収集・統合し、AIや自動化を活用することで高速に処理・対応できる「Platformization」を提唱しています。

街で例えるなら、家のドアに鍵を2つ設置する、貴重品のための金庫を置く、衝突に強い車を作る、といった個別の対応をするのではなく、危険な車を察知すると、自動的に信号が赤に変わり、家を施錠するという連携が、人を介することなく実践される状況です。この街は、車、インフラ、建物がデータでつながり、自律的に協調する「安全な街」としてプラットフォーム化されており、この「Platformization」こそが高速化・組織化したサイバー攻撃には有効です。

このコンセプトはSOC（Security Operation Center）にも当てはまります。当社のセキュリティ運用プラットフォーム「Cortex XSIAM」は、SIEMやEDR、SOAR、振る舞い検知（UEBA）といった豊富な機能を備えており、クラウド上で機能を有効化するだけで利用可能になります。ネットワーク、エンドポイント、認証基盤、クラウドなど、幅広いソースからデータを集約し、AIで分析、相関、優先順位付けを行い、定常対応は自動で処理されるため、セキュリティアナリストは最も優先度の高い案件に集中することができます。また、パロアルトネットワークス製品以外もデータソースとして接続でき、主要ベンダーの製品向けに多数のコネクターが用意されているので、比較的少ない操作で接続の設定を行うことができます。

ご覧いただいているCortex XSIAMのデモ環境では、収集したデータから検出されたセキュリティの脅威を約3,500件、確認できます。ここからAIが重複排除と相関分析を自動で実施し、最終的にセキュリティ担当者が優先的に対応すべきCriticalなCaseを「わずか3件」にまで絞り込みます。このプロセスに個別の設定やスタティックなルールの作成は不要で、搭載された専用エンジンが自律的に処理を進めます。

セキュリティ運用を革新するAIエージェントと
「Platformization」がもたらす究極の防御

Cortex XSIAMの自律性をさらに加速させるのが、新たに追加されたAIエージェント機能「Cortex AgentiX」です。チャット形式のプロンプト入力を通じて運用を支援するAIエージェント機能で、エンドポイントやEメール、ネットワークセキュリティの調査、脅威インテリジェンスの検索を行うエージェントがあらかじめ用意されているほか、ニーズに応じてカスタムエージェントを作成することもできます。

Cortex AgentiXには厳格なガードレール機能も実装しており、AIが実行できるアクションの範囲を制限したり、重要な操作の前には必ず人間の承認を求めるといった設定をすることも可能です。これにより、AIの利便性を享受しつつ、誤操作によるシステム停止などのリスクを最小限に抑えられます。

さらに、パロアルトネットワークスが推し進める「Platformization」は、CyberArkの買収完了によって新たな次元へと突入しました。アイデンティティが組み込まれることで、今後、特権アクセス管理領域との連携強化を図ってまいります。

金融機関にとって、信頼は最大の資産であり、システムの停止やデータ侵害は社会基盤を揺るがす重大なリスクに直結します。攻撃がAIによって高度化し高速化した現代において、個別ツールの組み合わせによる防御は限界を迎えています。導入済みの他社のセキュリティツールと組み合わせて「Cortex XSIAM」を活用することも可能ですので、お気軽にお問い合わせください。