- 2022/07/19
- ランサムウェア
ランサムウェア攻撃の5つの段階に沿った防御とは
Post by : Anthony M. Freed
ランサムウェア攻撃の洗練度が増すにつれ、それが企業にもたらすコストはかつてないほど大きくなっています。当社が最近発表した『2022年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題するレポートによれば、2022年には73%の組織が少なくとも1回のランサムウェア攻撃に遭っていることが明らかになりました。この数字は、2021年の調査では55%でした。
また、この調査では、「身代金を支払うことは被害者にとって割に合わない」ことが再度明らかにされています。なぜなら、身代金を支払った組織の80%が2回目のランサムウェア攻撃を受けており、そして68%が2回目の攻撃は1ヶ月以内に起こっており、その際、攻撃者はより高額な身代金を要求したと回答しているからです。
今年2月にサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が発行した米国、英国、オーストラリアによる共同レポートでは、「2021年にランサムウェア市場はますます”プロフェッショナル”なものになった」と指摘されているほか、昨年見られたランサムウェアの系統における進化は「脅威アクターの技術的な洗練度が高まっていることを示している」と述べられています。
悪意あるリンクや添付ファイルを含むスパムメールを通じて、数百ドルの身代金を要求するような、個人をターゲットとしていた時代はほぼ終わりを告げ、今や時代は、高度な標的型のランサムウェアオペレーション(RansomOps)に取って代わられています。当社のレポート『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜』では、身代金要求を行う前に、できるだけ多くのネットワークに侵入し、見つけられない状態を保とうとする、これらの「Low and Slow」型の攻撃について検証しています。
最新の脅威から身を守るためには、ランサムウェア攻撃の範囲とその展開方法について広く理解し、プロアクティブなランサムウェア対策を採用することで、組織を被害から守ることが必要となります。
ランサムウェア攻撃の5つの段階
RansomOps攻撃には複数の段階があります。Gartner社では、それらの段階を、①侵入(ingress)、②ハッキング(compromis)、③潜伏/トンネリング(burrowing/tunneling)、④コマンド&コントロール(command and control)、⑤暗号化(encryption)の5つにまとめています。ここでは、これら5つの段階に関する詳細と、各段階を防ぐために何ができるかを紹介します。
- 初期侵入:攻撃は侵入により開始されます。つまり、侵入は攻撃の初期ポイントです。多くの場合、これはフィッシング攻撃を通じて配信されるハッキング済みのWebサイトへのリンク、ハッキング済みのAPIエンドポイント、または盗んだクレデンシャルを使ってネットワークに侵入した悪意あるアクターなどとして現れます。ペネトレーションテストは、このような脆弱性を発見し、セキュアでないITプラクティスを特定するのに役立ちます。このため、セキュリティチームは、OWASPガイドラインに基づくペネトレーションテストを採用する必要があります。
- ハッキング:これは、ドロッパーがワークステーションにダウンロードされ、攻撃の感染段階が開始される時期を意味します。これを防ぐためには、EDR(Endpoint Detection and Response)ツールを使って、悪意ある活動を検知し、その拡散を防ぐ必要があります。EDRは、「サイバーキルチェーンの高い位置にある侵入型サイバーセキュリティ脅威を検知、抑制、調査、排除する、一連のモダンな統合型エンドポイントセキュリティツール」として定義されます。また、NGAVによる保護の追加は、感染先のエンドポイントでマルウェアが実行されるのを防ぐプロアクティブな戦略の一環となるものです。これにより、エンドポイントを継続的に監査し、そのテレメトリを組織全体から収集したテレメトリと相互に関連付けることで、単なるアラートではなく、コンテキストに応じた脅威の全体像を提供できるようになります。
- 潜伏/トンネリング:攻撃者は侵入後、クラウド経由で「潜り込む」か、またはオンプレミスのリソースから「トンネルを掘り」ます。その後、攻撃者は、ネットワーク内でラテラルムーブメントを実施し、可能な限り多くの環境へのアクセス権を獲得した後に、ランサムウェアのペイロードを起動させようとします。このような拡散は、ファイアウォールやネットワークセグメンテーションなどのエンドポイント制御を採用し、強力な脆弱性管理およびパッチ管理を組み合わせることで抑制できます。
- コマンド&コントロール:インストール手順では、コマンド&コントロール(C2)チャネルを使用して、追加の攻撃ツールをダウンロードし、最終的に悪意あるランサムウェアのペイロードをダウンロードします。このような活動は、XDR(Extended Detection and Response)ソリューションを使うことで、検知とブロックが行えます。XDRは、AIと機械学習を活用することで、潜在的に悪意ある行動の連鎖を検知し、RansomOps攻撃を初期段階で見つけることができます。特定の組み合わせにおいて、ある行動の連鎖は、極めて稀であるか、攻撃者にとっての明確な優位性を示します。また、セキュリティチームは、正規ツールの無害な利用と悪用を区別する方法を知っておく必要があります。正規ツールを悪意ある活動に使用する例としては、LOLBins(living off the land binaries)の実行が挙げられます。
- 暗号化:続いて、攻撃者は、ランサムウェアのペイロードを起動し、ネットワーク上の資産を暗号化し、被害者が身代金を支払うまで、それらの資産を暗号化された状態のまま維持します。身代金の支払いを確実にするために、RansomOpsアクターは、二重脅迫スキームも実装しています。二重脅迫とは、一部のランサムウェアギャングが採用している戦術であり、それは暗号化ルーチンを起動する前に、まずターゲットから機密情報を流出させることから始まります。その後、攻撃者は、データをオンラインで公開されたくなければ身代金を支払うよう被害者に要求します。サイバーリーズンのCEOであるLior Divは、ハッキングされた企業が直面するさまざまな脅迫の階層について説明しています。
ランサムウェアの阻止
WannaCryは、最初の1時間で7000台のコンピューターに感染し、最初の2日間で1億件を超えるIPアドレスに感染しました。この感染型マルウェアは最終的に阻止されていたことが分かっています。しかし、史上最大級のランサムウェア攻撃を引き起こしたこのマルウェアは、本質的に未熟なものであり、阻止できた可能性があります。ランサムウェアへの対処には、基本的に2つのアプローチがあます。それに「対応」するか、もしくはそれを「阻止」するかです。
ランサムウェア攻撃に対する防御策として、多くの組織が攻撃後の修復のためにデータのバックアップを採用していますが、上述したように、その効果は極めて限定的です。システムやデータをバックアップすることは賢明な選択ではありますが、それは二重脅迫の問題を解決するものではありません。
効果的なランサムウェア阻止計画には、次のようなアクションを含める必要があります。
- セキュリティ衛生のベストプラクティスに従うこと:これには、タイムリーなパッチ管理、オペレーティングシステムやその他のソフトウェアの定期的な更新、従業員へのセキュリティ啓発プログラムの実施、ネットワークにおけるクラス最高のセキュリティソリューションの導入などが含まれます。
- 多層的防止機能を実装すること:既知のTTPとカスタムマルウェアの両方を活用したランサムウェア攻撃を阻止するために、NGAVのような防御ソリューションを、ネットワーク上のすべての企業エンドポイントに標準装備する必要があります。
- EDRとXDRを導入すること:RansomOps攻撃のような悪意ある活動を環境全体で検知するポイントソリューションは、データの流出が起こる前、またはランサムウェアのペイロードが配信される前に、ランサムウェア攻撃を終了させるのに必要となる可視性を提供します。
- キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があるため、担当者はいつでも対応できるようにしておく必要があります。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
- 机上演習や机上訓練を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、主要な意思決定者を含めた、部門の垣根を超えた机上演習や机上訓練を定期的に実施する必要があります。
- 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。セキュリティチームは、ホストの切断、ハッキングされたアカウントのロック、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1回は、これらの手順を定期的または非定期的な訓練を通じてテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。
- マネージドセキュリティサービスプロバイダー(MSP)の採用を検討すること:セキュリティチームに人員や専門知識不足の問題がある場合、MSPと協力することで、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
- 週末や休日には重要なアカウントをロックダウンすること:攻撃者はランサムウェアをネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入します。また、セキュリティチームは、Active Directory内に安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。また、VPNアクセスについても同様に、業務上の必要性に応じて、週末や休日の利用を制限するなどの配慮が必要です。週末や休日に発生するランサムウェア脅威に関する詳細は、当社が作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。
最終的には、多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを阻止することで、真にプロアクティブなアンチランサムウェア戦略を確立できるようになります。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/