法律事務所のランサムウェア攻撃：あなたの慣行を保護するために知っておくべきこと

法律事務所は、ますます深刻になるランサムウェア攻撃の主要な標的です。 脅威をもっと真剣に受け止める時が来ました。

注：この記事は、米国におけるビジネス関連の懸念について読者に通知することを目的としています。 法律上の助言を提供したり、特定の行動方針を支持したりすることを意図したものではありません。 特定の状況に関するアドバイスについては、弁護士にご相談ください。

あなたの法律事務所は、顧客の税務書類から会社の企業秘密まで、あらゆるものを含む非常に機密性の高い情報の山を保持しています。 これにより、日ごとに攻撃的になるランサムウェア攻撃者の主な標的になります。シナリオは、想像以上に可能性が高くなります。 最近の調査によると、昨年、法律事務所の3分の1が攻撃を受けました。

このレポートでは、最近の法律事務所のセキュリティ調査の結果を明らかにし、ランサムウェアの脅威が急速に拡大している理由を理解し、そのリスクを軽減するための戦略を提供します。

法律事務所のランサムウェアは深刻で高まる脅威です

6月4日、バイデン政権は、現代のランサムウェアの脅威を国際テロの脅威と比較し、すべての企業に脅威をより深刻に受け止めるよう促しました。 これは、5月のコロニアルパイプラインへの攻撃に続き、東海岸沿いのガス不足と、それに続く世界最大の食肉生産者であるJBSへの攻撃につながりました。

ランサムウェアは1980年代後半から存在していますが、2017年のWannaCry攻撃がこのスキームを世界的な注目を集めるまで、聞いたことがないかもしれません。 数日のうちに、150か国以上で数十万のWannaCry攻撃が発生し、英国の国民保健サービスからスペイン最大の電気通信会社であるTelefonicaまですべてが封鎖されました。

検索用語ランサムウェアの8年間のGoogleトレンドデータ。 2017年の大きな急上昇はWannaCryです。最近の急上昇は、5月のコロニアルパイプライン攻撃から始まりました。 （出典）

しかし、2017年には、NotPetyaと呼ばれる別の深刻な（まだあまり知られていない）ランサムウェア株があり、世界で12億ドル以上の損失を引き起こしました。 NotPetyaは、WannaCryよりもさらに洗練された脅威であり、世界のトップ3の法律事務所の1つであるDLAPiperを含む無数の大手企業を壊滅させました。

DLA Piperのネットワークは1週間以上影響を受け、弁護士はクライアントデータ、電子メール、さらには電話システムにさえアクセスできなくなりました。 最終的に、攻撃はDLA Piperに推定3億ドルの費用をかけ、会社が再び完全に機能するようになるには数か月の修復が必要でした。

DLA Piperがランサムウェアの攻撃を防ぐことができない場合、あなたのような中小企業はどれだけうまくいくと期待できますか？

私たちが調査した法律事務所によると、あまりよくありません。

過去12か月間にランサムウェアに攻撃された法律事務所の3分の1

私たちの調査によると、中小規模の法律事務所の58％がランサムウェアのインシデントを経験しています。 さらに驚くべきことに、私たちの調査によると、過去12か月間に3人に1人（33％）が攻撃を受けています。

WannaCryやNotPetyaなどの自動拡散ランサムウェア株とは対照的に、RyukやREvilなどの新しい人間が操作するランサムウェアの亜種はますます特定の組織を対象としています。 彼らは、利益の削減と引き換えにアフィリエイトが攻撃を開始できるようにするサービスとしてのランサムウェアモデルを運用しています。

そのため、病院、地方自治体、法律事務所など、時間に敏感な貴重なデータを所有していることがわかっているエンティティに対する、標的を絞ったランサムウェア攻撃が急増しています。 ランサムウェアのギャングは、これらの組織にはダウンタイムに対する許容度がほとんどなく、運用を可能な限り迅速に再開して実行することを強く望んでいることを十分に理解しています。

しかし、それはさらに悪化します。 データをロックするだけでなく、身代金が支払われない場合にインターネット上で盗まれたファイルのコピーを解放する恐れのある2方面のランサムウェア攻撃が出現しました。潜在的なデータ侵害を利用して、さらに圧力をかけます。

標的を絞った攻撃はまた、天文学的な身代金要求をもたらしています。 DarkSide（REvilの関連会社）として知られるランサムウェアギャングは、コロニアルパイプライン攻撃から500万ドル近くを集め、JBS攻撃者はなんと1100万ドルを集めました。 しかし、これらの金額でさえ、1週間にわたるランサムウェア攻撃に続く3月の保険大手CNAFinancialの衝撃的な4000万ドルの身代金支払いと比較すると見劣りします。

法律事務所はランサムウェア攻撃にどのように対応しますか？

私たちの調査によると、法律事務所の69％が身代金を支払っています。 身代金を支払う企業のうち、約3分の2（65％）がデータへのアクセスを取り戻すことができます。 しかし、それはまた、35％の企業が身代金を支払って何の見返りも得られないことを意味します。

身代金の支払いを拒否した法律事務所のうち、57％がマルウェアを復号化または削除することができました。 支払いをしなかった企業の別の32％は、データバックアップを使用して攻撃から回復することができました。これは、ランサムウェア攻撃の最悪のシナリオである、データ全体の損失を防ぐための重要な戦略です。

あなたの会社がランサムウェアの被害者になっていることに気付いた場合は、最寄りのFBI現地事務所に連絡し、その事件をインターネット犯罪苦情センター（IC3）に報告してください。

IDRansomwareやNoMoreRansomware Projectなどの無料のリソースを調べて、処理しているマルウェアの種類を正確に把握し、支払いを行わずにランサムウェアを削除できる可能性のある復号化キーを見つけることもできます。

他のすべてが失敗した場合、すべての法律事務所は、頼りになる強力なデータのバックアップと復元の戦略を持っている必要があります。 そうでない場合は、Capterraのデータバックアップソフトウェアの候補リストを確認して、会社に最適なツールを見つけてください。

ランサムウェア攻撃から法律事務所を保護するための5つのヒント

ランサムウェアの亜種の中には、ネットワーククレデンシャルを収集するものもあれば、安全でないポートやリモートデバイスを介してネットワークに侵入するものもあります。 しかし、ほとんどのランサムウェア感染は、不十分なネットワークセキュリティ、フィッシングスキーム、および不十分な従業員のセキュリティ衛生に起因します。 ランサムウェアによる企業への攻撃の脅威を軽減するために実行できるいくつかの手順を次に示します。

ヒント1：セキュリティ体制を改善する

サイバーセキュリティリスク評価を実施して、企業の情報資産を完全に理解し、それらを危険にさらすセキュリティの脆弱性を特定します。 一部の企業は、さらに一歩進んで侵入テスト（つまり、制御されたハッキン​​グ）を使用して、ネットワークの脆弱性を特定して修正することを選択しています。

幸い、調査対象の企業の83％は、過去のある時点でデジタルシステムのセキュリティ評価を実施しましたが、昨年は39％しか実施していません。 サイバー脅威の動的な性質により、セキュリティ評価を毎年実施する必要があります。

セキュリティを向上させたいが、どこから始めればよいかわからない場合、1つのオプションは、ISO / IEC 270001フレームワークを使用して、認証を取得するかどうかに関係なく、会社のベンチマークを設定することです。 ISO / IEC 270001によって提供される標準は、企業がセキュリティの弱点を特定し、サイバーセキュリティの脅威から保護するために必要なポリシーと制御を開発するのに役立ちます。

ヒント2：すべてのソフトウェアが更新されていることを確認します

WannaCryおよびNotPetya攻撃は、EternalBlueエクスプロイトを利用して、まだパッチが適用されていないWindowsデバイスに感染しました。 苛立たしいことに、Microsoftは最初のWannaCry攻撃の数か月前にパッチを利用可能にしており、システムを適切に更新した組織であれば、感染を簡単に回避できたはずです。

ここでの簡単な教訓は、すべてのソフトウェアが常に最新であることを確認することです。 それを提供するソフトウェアの自動更新を有効にし、提供しないソフトウェアの更新を定期的にチェックします。 ソフトウェアがサポート終了状態になり、その後、アップデートでサポートされなくなる可能性があることに注意してください。 このような状況では、新しいソフトウェアにアップグレードするか、サポートされていないデバイスを交換する必要があります。

ヒント3：強力なパスワードと認証方法を使用する

複雑なパスワードまたは12文字以上のパスフレーズ（常に数字、大文字、小文字、特殊文字を含む）を使用し、アカウントごとに一意のパスワードを使用してください。 これを簡単にするために、多くの企業は、強力なパスワードを自動的に作成して安全に保存するパスワード管理ソフトウェアを選択しています。

しかし、パスワードだけでは十分ではありません。 すべてのビジネスアプリケーションで2要素認証（2FA）が有効になっていることを確認します（つまり、携帯電話に送信されるコードなどの二次セキュリティ対策が必要です）。 これは、サイバー犯罪者がネットワークを侵害し、アカウントを乗っ取り、最終的にランサムウェアをインストールするために使用するほとんどの方法を防ぐための唯一の最も効果的な方法です。

残念ながら、調査対象の企業の54％のみが、すべてのビジネスアプリケーションに2FAを使用しています。 この数は非常に少ないため、すべての法律事務所のほぼ半数が、データを保護するためにパスワードだけを利用していることを意味します。 コロニアルパイプライン攻撃は、2要素認証が有効になっていない企業VPNログインの単一の侵害されたパスワードの結果であったことは注目に値します。

ヒント4：フィッシング詐欺から保護する

フィッシングスキームは、ランサムウェア攻撃の主要な攻撃ベクトルであり続けています。 実際、DLA Piperランサムウェア攻撃は、管理者がフィッシングメールのリンクをクリックした同社のウクライナオフィスにまでさかのぼります。

すべての法律事務所のスタッフが、個々の従業員を標的とする洗練されたフィッシングスキームを最新の状態に保ち、悪意のあるリンクをクリックしたり、マルウェアを含む添付ファイルをダウンロードしたり、偽のWebサイトに資格情報を入力したりすることが重要です。 フィッシングテストを実施して、ソーシャルエンジニアリングの戦術やフィッシングスキームに対するスタッフの脆弱性を判断します。

私たちの調査によると、法律事務所の52％が、内部コミュニケーションの主要な手段として電子メールに依存しています。 これは、電子メールの脅威からの保護が最優先事項の1つでなければならないことを意味します。 あなたの会社に最適なツールを見つけるために私たちの電子メールセキュリティカタログにアクセスしてください。

ヒント5：定期的なセキュリティ意識向上トレーニングを実施する

あらゆる種類のサイバーセキュリティの脅威を防ぐための鍵は、セキュリティ意識のトレーニングです。 調査によると、中小企業の75％が定期的にセキュリティ意識向上トレーニングを実施しています。

そして、4つのうち3つは悪くはありませんが、詳しく調べてみると、中小企業は中規模企業に大きく遅れをとっています。 中小企業の84％と比較して、中小企業の65％のみが定期的なセキュリティ意識向上トレーニングを実施しています。 さらに、10社に1社の驚くべき中小企業は、セキュリティ意識向上トレーニングを提供していないと述べています。

従業員のセキュリティ意識向上トレーニングプログラムの開始についてサポートが必要な場合は、偏りのないデータとユーザーレビューのコレクションに従って、最高のトレーニングソフトウェアプラットフォームの候補リストをご覧ください。 従業員が数人しかない場合は、無料のオープンソース学習管理システム（LMS）ソフトウェアのリストを参照して、低コストのトレーニングソリューションを見つけてください。

1オンスの予防は1ポンドのセキュリティの価値があります

2018年、米国法曹協会は正式な意見483を発表しました。これは、弁護士の能力の義務をテクノロジーの安全な使用に拡大し、データ侵害を監視し、効果的に対応する義務を確立したものです。

これは、会社のデータを保護するために基本的な予防策を採用することは、単なるベストプラクティスではなく、義務であることを意味します。

結局、身代金を支払うかどうかの決定は、各企業とその固有の状況次第です。 私たちの調査によると、身代金の支払いはそうでない場合よりも頻繁に機能しますが、その支払いを行うと、脅威アクターは計画を継続するようになり、その後の攻撃を助長する可能性もあります。

方法論

Capterraの2021年法務管理調査は、法律事務所の自動化、セキュリティ、およびその他の慣行について詳しく知るために、2021年5月に401人の法律専門家（うち240人は弁護士）を対象に実施されました。 回答者は、小規模（1〜14人の弁護士）および中規模（15〜49人の弁護士）の法律事務所でフルタイムの雇用についてスクリーニングされました。 調査では、従業員のいない個人開業医は除外されました。