2021年だけでも10社中4社近くのグローバル企業がランサムウェア攻撃の被害に遭ったことを認めており、複雑なランサムウェアオペレーション(RansomOps)が、サイバーセキュリティ関連の話題において、今以上に大きな部分を占めるようになることは明らかです。

Gartner社は、昨年、新しいランサムウェアモデルのもたらす脅威が経営者の最大の関心事であったと指摘しています。その利害関係、進化を続ける状況、そしてこれまでに公になったRansomOps攻撃を見るならば、なぜそうなったかの理由がわかるでしょう。

RansomOpsとは、複数のプレイヤーから構成されるグループにより実施される多段階のランサムウェアオペレーション全体を表しています。これらのプレイヤーは、最初の侵入からネットワーク内のラテラルムーブメント、そして最終的な暗号化ペイロードの配信に至るまで、これらの高度な標的型攻撃に貢献します。

RansomOpsは「Low & Slow」型のアプローチを採用しており、ネットワークに侵入した後、多くの場合、数週間にわたって検知されないままとなります。攻撃者は、標的とするエコシステムを軸として、機密データを流出させることがよくあります。このデータは、被害者がシステムやデータへのアクセスを回復できた場合であっても、身代金の支払いを確実にするための二重脅迫スキームで利用されます。

RansomOps攻撃の仕組みを理解することは、同攻撃から身を守る方法を知るための第一歩となります。

RansomOps攻撃チェーンを理解する

NISTによると、ランサムウェアとは「攻撃者が組織のデータを暗号化し、アクセスを回復したければ身代金を支払うよう要求する悪質な攻撃の一種」であり、複数フェーズから構成されるプロセスです。Forbes CouncilsのメンバーであるRodney Joffe氏は、「セキュリティチームは、情報が盗まれ暗号化されるずっと前に、最初の攻撃を認識できなければならない」と述べています。これは早期発見が重要であり、そのためにはRansomOpsの攻撃チェーンを理解しなければならないことを意味しています。

かつてランサムウェアは、単なる「Spray & Pray(下手な鉄砲も数撃ちゃ当たる)」式のスパムメールキャンペーンとして分類されていましたが、今やランサムウェアオペレーションは「はるかに洗練されたステルス型APTライクなオペレーション」となっています。これは、RansomOps攻撃から身を守るためには、同攻撃が持つあらゆる段階を理解する必要があることを意味します。

そのためには、MalOpを理解する必要があります。MalOpとは、悪意あるアクターが「ネットワークに侵入した瞬間から作戦目標を達成するまでに取るプロセス全体」を意味します。これを理解すれば、ランサムウェア攻撃の最初の侵入、ラテラルムーブメント、コマンド&コントロールなどの各段階で、ランサムウェア攻撃を阻止する機会を見つけることが可能となります。これにより、企業や組織は、RansomOps攻撃の最終段階であるランサムウェアのペイロードのみに注目するのではなく、キルチェーンの初期段階で対応アクションを自動化できるようになります。

ISACAは、ランサムウェアのキルチェーン段階として、感染/侵入、権限昇格とパーシステンス、クレデンシャルの悪用、そして最終的なデータの暗号化を挙げています。下記のセクションでは、これを一般的なガイドとして、各段階でどのようなセキュリティ対策を講じれば攻撃のスピードに応じた保護を(可能ならばより迅速に)提供できるのかを見ていきましょう。

ランサムウェアの阻止を自動化

Ransomware as a Service(RaaS)プラットフォームの普及に伴い、加速を続ける大量のRansomOps攻撃に対応するため、多くの組織がすでに自動化された対応戦略を採用しています。SANS Instituteの調査によると、80%以上の組織がセキュリティプロセスを部分的に自動化しており、85%が今後1年間で自動化を進める予定であることが示されています。

セキュリティ管理の自動化は良いことですが、企業や組織は、オペレーション中心のアプローチを採用することで、何を自動化すべきかに関して優先順位を付けることができます。現在のアラート中心のアプローチでは、攻撃の個別的な側面についてアラートを発行することにより、インテリジェンスのサイロ化を余儀なくされます。この結果、アナリストは、これらの異種情報源をつなぎ合わせるという時間のかかる作業を余儀なくされています。このような状態では、彼らは攻撃の全体像を提供できません。

一方、オペレーション中心のアプローチを採用すると、「防御者は、すべてのデバイスとすべてのユーザーにおいて、攻撃に関するすべての詳細情報を即座に配信する多段階の可視化を通じて、根本原因から影響を受けるすべてのエンドポイントに至るまで、MaloOp全体をリアルタイムに視覚化できます」。

これは、アナリストが、影響を受けたすべてのデバイス、ユーザー、システムにおいて、攻撃のあらゆる側面に直ちに対処することができること、そして多数の相互関連付けされていないアラート(その多くが誤検知であると判明するもの)のトリアージや調査という面倒な作業を行わずに修正策を返せるようになることを意味します。

平均検知時間と平均修復時間が、ここでの重要な指標となります。これらを使うことで、イベントへの対応にかかる時間と、すでに成功した攻撃の緩和にかかる時間の差を明らかにできます。

何を自動化できるのか?

ISACAが提供しているリストをガイドとして利用することで、ランサムウェアの攻撃チェーンをいくつかの要素に分解し、その中でセキュリティの自動化をどのように利用できるかを検討してみましょう。RansomOps(その多くはRaaSを採用している)は攻撃のほぼすべての段階を自動化していますが、ここでは、XDR(Extended Detection and Response)ソリューションを使用した自動化が、これらのすべての段階で、いかに攻撃者を妨害するために利用できるかを見ていきます。

  • 偵察:最初の攻撃を行う前に、悪意あるアクターは、被害者のネットワークとその防御策を調査しています。従来の「Spray & Pray(下手な鉄砲も数撃ちゃ当たる)」式のランサムウェアモデルとは異なり、RansomOpsの被害者にはターゲットとして選ばれる理由があります。それは通常、彼らが多額の身代金を支払う能力を持っているからですが、彼らが脆弱性を持っているからでもあります。XDRソリューションを使うと、異なるテレメトリソースからの手がかりを相互に関連付けることで、ネットワークがプローブされていることを明らかにできます。また、XDRソリューションを使うことで、防御者は、予期しないソースから起動されたネットワークマッピングや検知の試みを容易に調査できます。
  • 侵入:これは、攻撃者(RansomOpsに関連する初期アクセスブローカー)が被害者のネットワークに最初にアクセスする段階です。オペレーション中心のアプローチを採用したXDRソリューションを使うと、この初期段階での検知と対応を自動化できます。このため、もし私たちが正しく作業を行っているならば、私たちはそれが潜在的なランサムウェア攻撃であったとは気付かず、その代わりにありふれた侵入の試みが行われたと気付くことになります。防御者はXDRソリューションを利用することで、フィッシングの試みを阻止できるほか、電子メールの添付ファイルに含まれる汚染リンクや悪意あるマクロを無効化できます。また、エンドポイントで新しいレジストリ値やその他の疑わしい活動を作成しようとするバイナリを検視してブロックすることもできます。
  • ラテラルムーブメントとパーシステンス:攻撃者は、侵入先がオンプレミスであるかクラウドであるかにかかわらず、いったん侵入すると、被害者のネットワークにより深く入り込もうとします。XDRソリューションは、通常とは異なるユーザーの活動、ネットワーク上の南北方向のトラフィック、通常とは異なる場所にあるマシンとの外部通信、追加プロセスの発生などの間にある点を、迅速につなぐためのカギとなります。相互関連付けとコンテキストは、ここでの対応に要する平均時間を短縮するためのカギとなります。また、防御者はXDRが持つ「振る舞いの検知」機能を使用して、アカウントのハッキングやクレデンシャルの窃取の試みを阻止できるほか、通常は相互作用しない他のネットワークリソースへのアクセスを取得しようとする試みにフラグを立てることができます。
  • データの流出と暗号化:この段階までに攻撃を検知して阻止できなかった場合、攻撃者は簡単に望みのデータを持ち出し、システムを暗号化して身代金要求を出せる立場にあります。攻撃者がコマンド&コントロールの確立やデータの流出を試みる場合、防御者はXDRソリューションを活用することで、攻撃インフラへのアウトバウンド接続をブロックできます。また、XDRソリューションを使用すると、防御者は、正規サービスの悪用を防止し、承認されていないスクリプトやペイロードの実行をシステム上でブロックできます。

複雑なRansomOpsから身を守るには

簡単に言えば、従来の方法ではRansomOpsから身を守ることはできません。なぜならRansomOpsは従来型の脅威ではないからです。最近のレポートによると、エンタープライズSIEMツールは、MITRE ATT&CK手法に基づく検知を80%も見逃しているとのことです。また、ランサムウェアの実行ファイルの検知だけを重視するのは危険です。なぜなら、それはより長期にわたる攻撃シーケンスの最後尾に位置するものであり、攻撃者はすでにあなたの会社のネットワークに自由にアクセスできるようになっており、あなたの会社のデータを流出させている可能性があるからです。

RansomOpsとは1つのキャンペーン全体を意味するため、Cybersecurity Insidersが指摘するように、ペイロードのみを重視した対策を行うことは、「爆発物のみに注目してテロと戦う、または爆発音が聞こえるまで待ってからどこにリソースを集中させるかを知る」ようなものです。RansomOpsから身を守るためには、結論部分だけではなく、この悪意あるオペレーション全体のストーリーを見る必要があるのです。

「このような状況を背景として、2022年には、暗号化を行うマルウェア自体に注目するアンチランサムウェア戦術から、RansomOpsに関連する振る舞いの痕跡(Indicators of Behavior、IOB)に焦点を当てたアンチランサムウェア戦術への移行が必要となるでしょう。これにより、防御側の組織はRansomOpsによる暗号化を完全に回避できるようになります」とIntelligent CISOは指摘しています

効果的なランサムウェア阻止計画には、次のようなアクションを含める必要があります。

  • セキュリティ衛生のベストプラクティスに従うこと:これには、タイムリーなパッチ管理、オペレーティングシステムやその他のソフトウェアの定期的な更新、従業員へのセキュリティ啓発プログラムの実施、ネットワークにおけるクラス最高のセキュリティソリューションの導入などが含まれます。
  • 多層的防止機能を実装すること:既知のTTPとカスタムマルウェアの両方を活用したランサムウェア攻撃を阻止するために、NGAVのような防止ソリューションを、ネットワーク上のすべての企業エンドポイントに標準装備する必要があります。
  • EDRとXDRを導入すること:RansomOps攻撃のような悪意ある活動を環境全体で検知するポイントソリューションは、データの流出が起こる前、またはランサムウェアのペイロードが配信される前に、ランサムウェア攻撃を終了させるのに必要となる可視性を提供します。
  • キーパーソンといつでも連絡が取れるようにしておくこと:週末や休日には、重要な対応が遅れる可能性があるため、対応者は一日中いつでも対応できるようにしておく必要があります。このような場合に備えて、時間外のセキュリティインシデントに対するオンコール体制を明確にしておくことが不可欠です。
  • 机上演習を定期的に実施すること:スムーズなインシデント対応を実現するために、法務、人事、ITサポート、経営幹部など、主要な意思決定者を含めた、部門の垣根を越えた机上演習や机上訓練を定期的に実施する必要があります。
  • 明確な隔離方法を確立すること:これは、ネットワークへの侵入や他のデバイスへのランサムウェアの拡散を阻止するためです。セキュリティチームは、ホストの切断、ハッキングされたアカウントのロックダウン、悪意あるドメインのブロックなどに習熟している必要があります。
  • マネージドセキュリティサービスプロバイダー(MSP)の採用を検討すること:あなたの会社のセキュリティチームに人材や専門知識不足の問題がある場合、MSPと協力することで、事前に合意した計画に従って即座に対応する手順を確立しておく必要があります。
  • 週末や休日には重要なアカウントをロックダウンすること:攻撃者はランサムウェアを被害者のネットワークに感染させる場合、通常、自らの権限を管理者ドメインレベルに昇格させた後、ランサムウェアを導入します。また、セキュリティチームは、Active Directory内に安全性の高い緊急時専用アカウントを作成する必要があります。このアカウントは、他の運用アカウントが予防措置として一時的に無効化されている場合や、ランサムウェア攻撃時にアクセスできない場合にのみ使用されます。また、VPNアクセスについても同様に、業務上の必要性に応じて、週末や休日の利用を制限するなどの配慮が必要です。

    週末や休日に発生するランサムウェア脅威に関する詳細は、当社が2021年に作成した調査レポート『組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜』をご覧ください。

なおサイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/