- 2020/12/08
- ランサムウェア
Ryukランサムウェア:緩和と防御のためのアクションアイテム
Post by : Maranda Cigna
FBI、DHS、そしてHHSなどの政府機関が、米国の病院を標的としたRyukランサムウェア攻撃に関する警告を発しています。この話題は、Krebs on Securityを含む業界メディアをはじめ、さまざまなメディア(例1、例2、例3)でも幅広く取り上げられています。
サイバーリーズン、Ryukのブロックに成功
これまでに入手されたRyukのサンプルはすべて、Cybereason NGAVを 「Moderate」モードに設定するか、またはCybereason Anti-Ransomware(Canaryファイルを使用する製品バージョン19.2および20.1)を「Visible」モードに設定することでブロックされることが確認されています。
サイバーリーズンでは、すべてのお客様に対して利用している防御機能(シグネチャベース検知、AIによる検知 、ファイルレスマルウェア防御、アンチランサムウェア)をアクティベートし、それらを「Prevent」モードに設定するよう推奨しています。
Ryukは「振る舞いの痕跡(Indicators of Behavior:IoB)」を有しています。これを活用することによりCybereason Defense Platformによって、防御を回避するプロセスインジェクション、バックアップ削除のためのWindows VSSサービスの停止、永続性を実現するためのレジストリ自動実行ファイルの作成を検知することができます。
一時的な厳戒態勢/対応に関するデューデリジェンスプロセスの維持
クリティカルなシステムをセキュアに保ち、人命を救う医療サービスの提供における混乱を回避するために、サイバーリーズンでは、この期間中に企業や組織が高度な警戒心と検知感度を維持することを推奨しています。これには次のような脅威に関する対策やセキュリティ関係のアクティビティが含まれています。
スピアフィッシングに関する認識:
脅威アクターは、企業や組織における従業員、彼らが使う専門的なビジネス用語、および企業システムに関する知識を利用して、効果的なソーシャルエンジニアリング攻撃を仕掛けようとします。このような戦術は、手遅れにならないうちに検知することが極めて困難であるため、疑わしい外部通信に関するデューデリジェンスの重要性を高める一因となっています。
第二次パスワード攻撃:
脅威アクターは、企業や組織におけるユーザーおよびサービスのクレデンシャルを盗み出すことで、組織の電子メールサービスやVPNゲートウェイに対してパスワードスプレーのような攻撃を仕掛けようとします。また、ユーザーが複数のサイトやサービスでパスワードを再利用することがよくありますが、このような場合、脅威アクターは電子メールアドレスやクラックされたパスワードのコレクションを利用して、他のサービスに侵入しようとします。
脆弱なサービスのエクスプロイテーション:
脅威アクターは、企業や組織のIT環境で利用されている製品やツールに関する知識を入手することで、エクスプロイテーションが行える可能性のある脆弱なソフトウェアやパッチが適用されていないソフトウェアを特定し、ネットワークへのアクセス権を不正に取得しようとします。
定期的なセキュリティレビュー:
少なくとも近い将来、企業や組織は定期的なセキュリティレビューを実装する必要があります。これは、脅威アクターによる継続的な標的型攻撃に結び付く可能性のあるセキュリティ上の懸念事項を明らかにすることを目的とするものです。なお、最終的には、このようなセキュリティレビューは、正式なセキュリティ運用プロセスと長期にわたるプロアクティブな監視および脅威ハンティングプログラムにより置き換える必要があります。
フィッシングに対するレジリエンスを実現するための行動計画の実装と見直し
フィッシングは、長年にわたり攻撃者にとってのお気に入りの手口となっており、特に攻撃ベクトルが個人向けメールサービスやアウトオブバンドのメールサービスを経由している場合には、対処が困難なセキュリティ脅威となります。ただし、次に示すような多層的な統合戦略を採用することで、企業のリスクを最小限に抑えることができます。
定期的な従業員トレーニングや意識向上キャンペーンに投資すること:
標的型フィッシング攻撃(別名「スピアフィッシング」)は極めて巧妙であり、被害者が気づくのが難しい攻撃です。ただし、フィッシング攻撃の大半は、日和見的で質の低いものです。
悪意あるメッセージ、疑わしいメッセージ、本物でないメッセージに共通する特徴について従業員を訓練することで、フィッシング攻撃の被害者となる可能性や企業を危険にさらす可能性を減らすことができます。このようなガイダンスは定期的に強化する必要があり、セキュリティチームへの報告や懸念事項のエスカレーションを行うプロセスのリマインダーを含めるようにします。
堅牢で摩擦の少ないレポーティングメカニズムを実装すること:
潜在的なスピアフィッシング攻撃を検知する可能性を高め、セキュリティ上の懸念を報告するための明確なアラートパスをユーザーに提供することを目的として、企業や組織は、フィッシングおよびその他のソーシャルエンジニアリングアクティビティに専用の社内メールボックスのようなレポーティングメカニズムの実装を検討する必要があります。
電子メール保護ソリューションを導入すること:
電子メール保護サービス、特にURL/添付ファイル保護機能や脅威アクターによる攻撃の追跡機能を提供するサービスは、潜在的なフィッシング攻撃に対抗するために有効です。なお、このようなサービスをセキュリティテレメトリーの追加レイヤー(メールに埋め込まれた悪意あるリンクをクリックした全ユーザーに関する詳細情報など)や、ホストベースおよびネットワークベースのツールと共に提供することで、フィッシングベースの侵害のトリアージにかかる時間を大幅に短縮できます。
企業デバイス経由での個人向け電子メールおよびチャットサービスの利用ポリシーを実施すること:
上記で提案したインバンドソリューションの効果を最大化するためには、あらゆるアウトオブバンドの電子メールおよび通信を信頼されないネットワークやパーソナルデバイスに制限する必要があります。
可能ならば、従業員に「ゲストネットワーク」を使用して各自の個人向け電子メールにアクセスすることを要請し、Webプロキシ経由で非公式なメールプロバイダーをブロックすること(理想的にはカテゴリ化を通じて)が推奨されます。
リモートアクセスインフラストラクチャのセキュリティを強化すること
あらゆるリモートアクセス関連のインフラストラクチャおよびサービスを、二次攻撃に対するセキュリティ強化の観点から見直す必要があります。この見直しには次の事項が含まれます。
多要素認証(MFA)の実装:
このステップにより、盗まれたクレデンシャルが合法的なアクセスゲートウェイ経由での侵入に使用される可能性を大幅に減少できます。これには、Active Directoryのハッキングに起因するものだけでなく、あらゆる形態のクレデンシャル窃盗が含まれていることに注意してください。
堅牢なMFAを利用することで、フィッシング、クレデンシャルスタッフィング、およびその他のユーザー名/パスワード認証に対する攻撃が成功する可能性を大幅に低下できます。
アクセスログの監査と監視:
アクセスゲートウェイの監視プロセスを(理想的には大規模なセキュリティ監視と中央での一元化の取り組みの一環として)実装することで、成功と失敗の両方に関して不正アクセスの試みを検知できる可能性を高めることができます。また、この機能により、将来起こる可能性のあるインシデントにおいて、事業継続性のレジリエンスを向上させることができます。
アカウントとアクセス要件に関する定期的な監査:
VPN、VDI、およびその他のアクセスゲートウェイを介したリモートアクセスは、それを必要とするユーザーだけに厳密に限定される必要があります。また、この要件を定期的にレビューすることで、脆弱なアカウントや不要なアカウントが攻撃者によりネットワークへのアクセスのために使用される可能性を最小化できます。なお、このレビュープロセスには、組織のITインフラストラクチャへのアクセスを必要とするITパートナーやサプライヤーを含める必要があります。
エンドポイントに関する可視性とカバレッジを保証すること
サイバーリーズンでは、すべての企業資産に対するエンドポイントの可視性を可能な限り満たした環境を確立することを推奨しています。これは、エンドポイントエージェントのインストールが不可能な場合における、補償的な制御と防御可能なシステムアーキテクチャと組み合わせて実現されます。
サイバーリーズンがお役に立ちます
Ryukランサムウェアの感染リスクを軽減する手順や、サイバーリーズンによるRyukランサムウェア攻撃の検知およびブロック方法の詳細については、当社までお問い合わせください。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/
