概要

  • 今年初め、サイバーリーズンは、重要インフラ事業者を標的とした国家主導型サイバー攻撃集団やサイバー犯罪者が用いる戦術、手法、手順を分析するために、最新のハニーポットを立ち上げました。このハニーポットは、重要インフラ業界を対象に2年前の2018年に立ち上げて成功を収めたハニーポットのフォローアップとして、北米と欧州で事業展開する電力会社を模して設計されたものです。
  • この新しい調査において、サイバーリーズンのチームは、データの窃取、ユーザーの資格情報の窃取、被害者のネットワーク全体でのラテラルムーブメント(できるだけ多くのエンドポイントに不正アクセスするため)に関係するランサムウェアの操作を実行している複数の攻撃者を特定しました。これには、的確に侵入するには数分から数時間を要するドメインコントローラーなどの重要資産が含まれています。
  • ランサムウェアの機能は、ハッキング操作の早い段階で展開されていましたが、すぐには実行しませんでした。ランサムウェアは、被害者に与える影響を最大限にするため、不正アクセスしたすべてのエンドポイントで攻撃の予備段階が終了してから実行するように設計されていました。
  • この戦略的攻撃パターンは、できるだけ多くの資産に被害を与えようとするため、最初にアクセスしたマシンのみに影響を及ぼすランサムウェア攻撃よりも、リスクが高くなります。しかしながら防御者にとっては、迅速な検出・対応プロセスによって初期段階で攻撃を検出し、ランサムウェアが環境に影響を与える前に効果的に対処するチャンスが生まれます。
  • この調査の結果を踏まえ、重要インフラ事業者に対する多段階式ランサムウェア攻撃が蔓延し、その危険性が高まっているとの結論を導きだしました。

背景

私たちは、コンピューターネットワークを保護しようとしている大多数の企業よりもハッカーの方が優位に立っているという「インセキュリティ」な世界に生きています。これは、積極果敢で十分な資金力を持つサイバー犯罪者集団や国家主導型サイバー犯罪者による絶え間ないサイバー攻撃の集中砲火に直面している重要インフラ事業者において、最も顕著です。

米国国土安全保障省によると、重要インフラとは、「広大な高速道路網、連絡橋やトンネル、鉄道、正常な日常生活の維持に必要な公益事業や建物であり、交通・商業・水道・電気はすべて、これらの重要なシステムに依存しています。」

長年にわたり、重要インフラに対する攻撃のなかで最も話題に上っていた攻撃は、ニューヨークのダム制御システムウクライナの電力網のシャットダウンに対するものでした。

しかし、最近では、公益事業およびエネルギー部門の企業に対する外科的ランサムウェア攻撃が激増しています。まさに今年、ポルトガル最大のエネルギープロバイダーであるEDP社がランサムウェア攻撃の被害を受け、1100万ドルの身代金を支払わなければ11テラバイトの企業機密情報を公開すると脅迫されました。

これも今年、イスラエル政府は水道システムに対する大規模なサイバー攻撃をストップさせましたが、報道によるとその背後にはイランが存在していた模様です。さらに、ロイター通信によると、メキシコの石油会社であるPemex社も同社の顧客の機能を損なわせるという脅威のサイバー攻撃を受けました

多段階式ランサムウェア攻撃:サイバーリーズンICSハニーポット2020

第1段階

今年初めに稼働を開始したICSハニーポット環境は、IT環境、OT環境、HMI(ヒューマンマシンインターフェイス)管理システムなど、発電・送電プロバイダーのネットワークの一部を模したネットワークアーキテクチャでした。この環境には、異なる環境間のセグメンテーションを含む一般的なセキュリティ制御を採用しました。

ランサムウェア攻撃は、パブリックアクセス可能なリモート管理インターフェイスを利用して足掛かりを得ることから始まりました。これらのリモート管理インターフェイスは、多くの場合、IT部門の作業や問題解決のために技術者がネットワークにリモート接続できるようにするため、ネットワークオペレーターによって作成されます。

攻撃者は、変電所のハニーポット環境からリアルタイムで収集したデータに基づき、総当たり攻撃で管理者アカウントのパスワードを解読し、リモートでログインすることができました。これは、リモートデスクトッププロトコル(RDP)を介してCybereason Defense Platformから得られた次のスクリーンショットで確認できます。

ログインが可能になると、攻撃者はnet.exeコマンドを使用してバックドアユーザー(ユーザー名「admin」)を作成するPowerShellスクリプトをアップロードして実行しました。このバックドアユーザーは持続性を得るために作成されたものなので、これにより攻撃者は、正当な管理者アカウントが異常に使用されていることを標的に気付かせることなく、こっそりと操作を続行することができます。


図1:RDPインターフェイスへの不正アクセスを足掛かりとしたバックドアユーザーの作成

第2段階

この攻撃では、確立した持続性を利用して、不正アクセスするサーバーにログインし直し、PowerShellを使用して追加の攻撃ツールがアップロードされました。

アップロードされたツールの1つはユーザーの資格情報を窃取する「Mimikatz」ツールで、不正アクセスしたサーバーからユーザーの資格情報を窃取するために使用されました。その後、ユーザーの資格情報は、リモート実行ユーティリティ「PsExec」を使用してネットワーク運用バックボーンの一部であるドメインコントローラーへ水平移動するために使用されました。

攻撃者が資格情報を盗むことができたユーザーアカウントのいずれも、ドメインコントローラーへのアクセスが許可されていなかったので、ハニーポット環境におけるこの水平移動の試みは失敗に終わりました。


図2:攻撃者は「Mimikatz」を使用してサーバーからユーザーの資格情報を盗み、リモート実行ユーティリティ「PSExec」を使用して水平移動を画策

第3段階

マルウェアは、ネットワークスキャナを使用して他のエンドポイントを検出することによって、ネットワークの水平移動を画策し続けます。


図3:攻撃者はネットワークスキャナを使用して他のエンドポイントを検出

第4段階

これらのアクティビティが完了すると、不正アクセスされたすべてのエンドポイントでランサムウェアが実行されます。

このアクティビティは、ランサムウェア攻撃の興味深い傾向を示しています。攻撃者は、1段階のみでランサムウェアを展開・実行させるアプローチに的を絞る代わりに、多段階方式を用いることでできるだけ多額の金銭を得ようとします。

ランサムウェアを展開するだけでなく、できるだけ多くのマシンに感染を拡大して資格情報を窃取するために水平移動してから、最終的にランサムウェアを実行させるということも行っています。

重要インフラ事業者にとってのベストプラクティスとヒント

現在、重要インフラ事業者を保護しているネットワークの多くは、古くて脆弱です。一部の攻撃者はネットワークを乗っ取って身代金を奪うことに重点を置いているように見受けられるかもしれませんが、多くの犯罪者集団はシステムの回復力を試し続けています。国家規模の停電が発生したり、電力網や水道システム、SCADAネットワークの完全性が損なわれたりといった壊滅的な出来事の発生は、時間の問題です。

これを防ぐために、3つの重要なベストプラクティスを推奨しています。

1. ITネットワークとOTネットワークの両方における、平均応答時間を最小限に抑えることを目標としたサイバーインシデント対策のツールと手順の確立

ダメージを最小限に抑えること、ICSネットワークがオフラインにされないようにすることは、言うなれば攻撃者と防御者のいたちごっこです。ハッカー集団を寄せ付けないためには、脅威への対応にかかる時間を最小限に抑える必要があります。これは、24時間体制の脅威ハンティングサービスを導入することで実現可能です。

2. IT環境とOT環境の両方をカバーする統合セキュリティオペレーションセンターとワークフローの確立

攻撃者はIT環境をOT環境へのゲートウェイとして使用しようとするので、統合セキュリティオペレーションセンター(SOC)の運営によりIT環境とOT環境を可視化できます。OT環境を監視するネットワークオペレーションセンターをすでに所有している企業もありますが、SOCを組み合わせると、オペレーターはネットワーク内を移動してすべての運用状況を確認できます。

3. 回復力を念頭に置いた設計と運用

回復力とセキュリティは後付けで対策可能なものではありません。新しい重要インフラのシステムが構築・設置されると、従来のネットワークは廃止されてオフラインになります。次世代のシステムは、回復力とセキュリティを念頭に設計することが極めて重要です。システムの設計と継続的な運用においては、数か月から数年後に一般化するセキュリティ脅威を考慮する必要があります。

  1. エキスパートとの連携:ICSの脅威に関する豊富な知識を持つエキスパートと連携する。公的機関と民間企業が協力して産業の保護にあたる必要があります。新しい脅威に先んじ、オペレーターによるリアルタイムの問題対処を支援するセキュリティ企業と提携してください。
  2. テスト、テスト、テスト:定期的なテストを中心に据えることが重要です。実際にリアルタイムで脅威に対処する必要が生じたときに備え、レッドチームとブルーチームがさまざまな最悪のシナリオのロールプレイを実施してそれらのシナリオにリアルタイムで対応できるようにするための机上演習が重要です。机上演習を過小評価せず、弱体化した防御力の強化と経営陣によるセキュリティの重要性の理解に役立ててください。

サイバーリーズンのハニーポットの比較 | 2018年版 VS. 2020年版

2018年、サイバーリーズンは有名な大手電力会社に似せたハニーポットを作成しました。2日も経たないうちに攻撃者がこの環境に入り込み、IT環境からOT環境へのエントリーポイントを見つけるための偵察活動を行いました。サイバーリーズンでは、攻撃者がインストールしたツールに基づき、闇市場の売り手がこの環境を発見し、XDedicで販売しようとしていると判断しました。

売り手は追加のユーザーを作成してバックドアを設置していましたが、これもxDedicで資産の販売が準備されていたことの表れです。バックドアにより、管理者パスワードが変更された場合でも、攻撃者はハニーポットにアクセスできます。バックドアの稼働中は、クリプトマイナー、フィッシング、DDoSの試行など、インターネットに接続された資産に対する典型的なアクティビティを含む、さまざまなタイプのマルウェアの攻撃を受けました。

サイバーリーズンでは、環境内のアクティビティが、重要インフラ事業者のリスクが高まることを示唆していると結論付けました。ハニーポットのICSネットワークが危険にさらされ続けているため、敵対者が重要インフラ業界に対してランサムウェア攻撃を絶え間なく繰り返していると確信を持って言うことができます。

サイバーリーズンが実施した前回のハニーポット調査、特に2018年のICSネットワークのハニーポットでも、連続的なランサムウェア攻撃が見られました。これらの攻撃には典型的なファイル暗号化機能が含まれ、いくつかのケースではオペレーティングシステムの既知の脆弱性を利用してファイル暗号化を実行する自己伝染機能が含まれていました。

2018年版のハニーポットと2020年版のハニーポットによる最近の観測結果の比較により、いくつかのランサムウェア攻撃が典型的なファイル暗号化機能にハッキング機能を追加したことが判明しました。これは、被害者に与える攻撃の影響を増幅し、被害者の負担を増大させ、被害者が身代金を支払う傾向を強めるための試みであると考えています。

結論

今回の調査では、攻撃者がハッキング操作の一環として多段階式ランサムウェア攻撃へと移行しつつあるという、過去2年間の変化が明らかになりました。重要インフラ事業者に対するランサムウェアの脅威は、セキュリティチームにとって最重要課題でなければなりません。

ICS分野とその他の分野に共通して見られる傾向として、2020年は新型のランサムウェアが少なくなっていますが、従来型がより多くの利益を上げています。ハッカーは、標的の絞り込みとそれぞれの標的から得る金額の増加により、これを達成しています。近い将来、ハッキング操作に埋め込まれた多段階式ランサムウェアが増加すると予想されます。

また、攻撃者は企業に侵入して弱体化させ、莫大な請求をすることで、これらの操作を成功させていますが、さらに、実際に身代金を支払うのは保険会社ということもよくあります。ニュースを見れば見るほど、保険料を支払う企業が増え、攻撃件数も増加します。保険の費用が問題解決のための費用と同等になるまで、増加は続きます。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」