近年、ランサムウェアギャングがその手口を巧妙化させていることは周知の事実です。あるレポートによると、2021年上半期だけで3億件以上の攻撃が発生しており、この数字は前年比151%増となっています。

また、身代金要求額も上昇しており、昨年の平均身代金支払額は57万ドル程度でした。なお、昨年における突出した例としては、CNA FinancialがEvil Corpに対して4千万ドルもの前代未聞の身代金を支払ったケースや、あるギャングが5千万ドルもの法外な身代金を要求したケースも見られました。

このような高額な身代金を要求する攻撃は、私たちが知っている昔からある古いランサムウェアと同じものなのでしょうか?かつてランサムウェアとは、サイバートロールやメールスパマーが利用するような、低品質で煩わしいポップアップ型のソフトウェアを指すものであり、「Spray and Pray(下手な鉄砲も数うちゃ当たる)」式のスパム攻撃やドライブバイダウンロード攻撃に使われるものでした。

しかし今や、ランサムウェアは、我々がRansomOpsとして定義する手の込んだ攻撃シーケンスの最後尾に位置するものとして見られることが多くなっています。RansomOpsとは、最も悪質で、最も蔓延している、最もプロフェッショナルな形態を備えたランサムウェア攻撃のことです。

さらに、手法の進化に伴って、業界全体も進化しています。私はRansomOpsのレポートで、「ランサムウェア提供者は、身代金要求額の低い大量攻撃から、数百万ドルの身代金を支払う能力を持つ選ばれた個別の組織を狙う、より標的を絞ったカスタム攻撃へと移行している」と指摘しました。

RansomOpsとは何か?

RansomOpsを特徴付けるものとして、最初の侵入からネットワーク内のラテラルムーブメント、そして最終的な暗号化ペイロードの配信に至るまでのランサムウェアオペレーション全体、そしてそれらの高度な標的型攻撃に貢献する複数のプレイヤーが存在していることが挙げられます。

RansomOpsは、「Low& Slow」型のアプローチを採用することで、ネットワークに侵入した後、多くの場合、数週間にわたって検知されない状態を維持します。その間に、攻撃者は、標的とするエコシステムを巡回した上で、機密データを流出させます。この機密データは、身代金の支払いを確実にするための二重脅迫スキームで利用されます。攻撃者は二重脅迫スキームを使うことで、被害者がシステムやデータへのアクセスを回復できる場合であっても、身代金を支払わなければ盗み出した機密データをネット上に公開するとして脅すことが可能となります。

「現在、REvilContiDarkSideなどのランサムウェアカルテルが存在しています。今や、ランサムウェアは単なるマルウェアの一種ではなく、むしろ包括的なランサムウェアオペレーション(RansomOps)となっています。RansomOpsにおいて、ランサムウェアの実行自体は、はるかに長い攻撃チェーンの最後のピースに過ぎません」とCybersecurity Insidersは指摘しています。

RansomOpsをランサムウェアから区別する根拠として、RansomOpsが次のような4つの基本的な構成要素を備えていること挙げられます。

  • 初期アクセスブローカー(IAB):ターゲットのネットワークに侵入し、パーシステンスを確立した後、ラテラルムーブメントを実施することで可能な限り多くのネットワークをハッキングする者です。その後、IABは、入手したアクセス権を他の脅威アクターに販売します。
  • RaaS(Ransomware-as-a-Service)プロバイダー:実際のランサムウェアのコードや支払い方法を提供するほか、ターゲットとの交渉を行い、その他の「顧客サービス」リソースを攻撃者と被害者の両方に提供する者です。
  • ランサムウェアアフィリエイト:RaaSプロバイダーと契約し、標的となる組織を選定し、実際のランサムウェア攻撃を行う者です。
  • 暗号通貨取引所:攻撃者が脅迫を通じて獲得した収益金を洗浄する場所です。

このようなランサムウェアエコノミーの進化は、ランサムウェア攻撃を開始することがより容易になり、限られた技術的スキルしか持たない攻撃者予備軍でも攻撃に参加できるようになったことを意味します。

RansomOpsは、今やビッグプレーヤーの間でも主流の手口となっており、ゲームチャンジャーになりつつあります。急成長しているRaaS業界は、複雑な攻撃インフラを低スキルの脅威アクターが利用できるようにすることで、多くの攻撃者予備軍の技術的ハードルを下げ、大規模なターゲットを攻撃対象として成果を上げることが可能になっています。

Colonial Pipeline社への攻撃を覚えていますか?あの攻撃は、Darksideと呼ばれるRaaSのバリアントが引き起こしたものでした。RaaSプラットフォームの普及により、巧妙なマルウェア攻撃が安価で利用しやすいものとなり、大量に実行することが容易になったことが、過去1年半でRansomOps攻撃件数が急増したことの理由だと思われます。

複雑なRansomOpsから身を守るには

簡単に言えば、従来の方法ではRansomOpsから身を守ることはできません。なぜならRansomOpsは従来型の脅威ではないからです。最近のレポートによると、エンタープライズSIEMツールは、MITRE ATT&CK手法に基づく検知を80%も見逃しているとのことです。また、ランサムウェアの実行ファイルの検知だけを重視するのは危険です。なぜなら、それはより長期にわたる攻撃シーケンスの最後尾に位置するものであり、攻撃者はすでにあなたの会社のネットワークに自由にアクセスできるようになっており、あなたの会社のデータを流出させている可能性があるからです。

RansomOpsとは1つのキャンペーン全体を意味するため、Cybersecurity Insidersが指摘するように、ペイロードのみを重視した対策を行うことは、「爆発物のみに注目してテロと戦う、または爆発音が聞こえるまで待ってからどこにリソースを集中させるかを知る」ようなものです。RansomOpsから身を守るためには、結論部分だけではなく、この悪意あるオペレーション全体のストーリーを見る必要があるのです。

「このような状況を背景として、2022年には、暗号化を行うマルウェア自体に注目するアンチランサムウェア戦術から、RansomOpsに関連する振る舞いの痕跡(Indicators of Behavior、IOB)に焦点を当てたアンチランサムウェア戦術への移行が必要となるでしょう。これにより、防御側の組織はRansomOpsによる暗号化を完全に回避できるようになります」とIntelligent CISOは指摘しています

効果的なランサムウェア阻止計画には、次のようなアクションを含める必要があります。

  • セキュリティ衛生のベストプラクティスに従うこと:これには、タイムリーなパッチ管理、オペレーティングシステムやその他のソフトウェアの定期的な更新、従業員へのセキュリティ啓発プログラムの実施、ネットワークにおけるクラス最高のセキュリティソリューションの導入などが含まれます。
  • 多層的防御機能を実装すること:既知のTTPとカスタムマルウェアの両方を活用したランサムウェア攻撃を阻止するために、NGAVのような防御ソリューションを、ネットワーク上のすべての企業エンドポイントに標準装備する必要があります。
  • EDRXDRを導入すること:RansomOps攻撃のような悪意ある活動を環境全体で検知するポイントソリューションは、データの流出が起こる前、またはランサムウェアのペイロードが配信される前に、ランサムウェア攻撃を終了させるのに必要となる可視性を提供します。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があるため、担当者は一日中いつでも対応できるようにしておく必要があります。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
  • 机上演習や机上訓練を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、主要な意思決定者を含めた、部門の垣根を超えた机上演習や机上訓練を定期的に実施する必要があります。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。セキュリティチームは、ホストの切断、ハッキングされたアカウントのロック、悪意あるドメインのブロックなどに習熟している必要があります。少なくとも四半期に1回は、これらの手順を定期的または非定期的な訓練を通じてテストすることで、すべての担当者と手順が期待通りに機能することを確認することが推奨されます。
  • マネージドセキュリティサービスプロバイダー(MSP)の採用を検討すること:自社のセキュリティチームに人材や専門知識不足の問題がある場合、MSPと協力することで、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
  • 週末や休日には重要なアカウントをロックダウンすること:攻撃者はランサムウェアを被害者のネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入します。週末や休日に発生するランサムウェア脅威に関する詳細は、当社が2021年に作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。

多層的なアプローチを通じて、エンドポイントデータだけでなく、すべてのデータをリアルタイムで分析し、二重脅迫から身を守り、見たこともない実行ファイルを阻止することを目指して、企業や組織は、真にプロアクティブなアンチランサムウェア戦略を確立しましょう。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/