- 2020/07/22
- サイバー攻撃
大量破壊兵器としてアップグレードし続けるランサムウェア
Post by : YOSSI RACHMAN
2020年5月12日、WannaCryランサムウェア攻撃は3周年を迎えました。世界150か国で数十万のエンドポイントに影響を与えたと推定されるWannaCry攻撃の被害総額は、複数の報告によると、40億ドルにまで達しました。
WannaCryランサムウェア自体は、NSAが開発した2つの独立したエクスプロイトを使用してエンドポイントに感染し、ネットワーク全体に伝播しました。
WannaCryランサムウェアは、Shadow Brokersと呼ばれる攻撃集団が開発元のNSAからオンラインで流出させたDoublePulsarというバックドアツールを使用して、不正アクセスしたエンドポイントに自身のコピーをインストールして実行していました。
その後、エンドポイントのデータを暗号化し、パッチが適用されていないMicrosoft WindowsオペレーティングシステムのSMB v1プロトコルの実装の脆弱性を悪用したEternalBlueエクスプロイト(Shadow Brokersが流出させたもう1つのNSAツール)を使用して他のエンドポイントに感染し、最終的に、暗号化されたデータを解放するための身代金としてビットコインの支払いを要求するメッセージを表示しました。
再浮上したり、特に、新たに流出したNSAのエクスプロイトで転用されたりといった、追加のランサムウェア攻撃とともに、WannaCry攻撃が行われた期間は、一部のサイバーセキュリティの専門家によって「2017年地獄の夏」(2017年夏のニューヨークの通勤地獄とは別物です)と呼ばれました。
ランサムウェアの波状攻撃に見舞われたこのサイバーセキュリティの「地獄の夏」は、サイバー攻撃全般と特にランサムウェアによる壊滅的な被害の可能性を示しました。
ランサムウェア攻撃が英国の国民保健サービスにも支障をきたし、人命に関わる手術やその他の治療が延期または中止され、それによって人命が失われたことを考えると、被害の甚大さは恐るべきものがあります。
「2017年地獄の夏」は、この種のマルウェアが出現してからの短い歴史の中で、ランサムウェア感染拡大の最大の波であると、多くの人が考えています。しかし、2017年のランサムウェア攻撃によって引き起こされた大混乱は、かなり不確かな進化の連鎖における最新のものにすぎませんでした。
それから3年が経ち、攻撃者は自身の金銭的利益を最大化し、さらに広範囲にわたる混乱を引き起こすために、これらの大量破壊兵器を常にアップグレードして最新化しています。
その一例は、サービスとして提供されるランサムウェア(RaaS)またはランサムウェアアフィリエイトプログラムの増加です。
過去2~3年の多数の事例と亜種は、実際の攻撃者(つまり、アフィリエイト)がフィッシングメールを拡散したり人々をだましてファイルをダブルクリックさせたりする以外の高度な技術的スキルを持たなくても使用できるものですが、その中でも、特に注目に値する例があります。
2018年前半に初めて登場したGandCrabランサムウェアは、その参加者に、またはGandCrabの背後にいてそれらの参加者を対象としている人々(「トラフィック販売業者、スパマー、および正式なインストールソースを持っている人」)に、被害者の身代金を6:4で分配するものでした。
同様のRaaSサービス以上に、GandCrabの作成者はパフォーマンス、柔軟性、信頼性に重点を置き、製品の継続的なサポートと更新、および参加者への技術サポートを提供することを約束していました。
流通が始まってから約1年間、GandCrabはさまざまなセキュリティソリューションによって検出・予防される可能性を最小限に抑えるための回避メカニズムをさらに進化させることに多大な労力を費やして絶えず更新と保守が行われていましたが、GandCrabの作成者はアフィリエイトプログラムの終了を宣言しました。
その中で彼らは「1年間で1億5千万ドル」以上を稼ぎ、自分たちは「悪事をしてもおとがめなしで済むことの生き証人」であると主張しました。
これにより、公式のGandCrabアフィリエイトプログラムは、ある推定によると世界のRaaS市場の約2分の1を占め、さまざまな参加者に20億ドル以上の利益をもたらして数十万の組織と個人に被害を与えたという主張とともに運営を停止しました。
それにもかかわらず、GandCrabの公式プログラムの終了後も、RaaSとGandCrab自体の最新の亜種は現在も運用されています。
GandCrabランサムウェアのアフィリエイトプログラムの広告
もう1つの例は、ランサムウェアの被害者が身代金を支払わなかった場合に、不正アクセスされた組織から漏洩した機密データをWeb上に晒す(公開する)という、最近になって付け加えられた「付加価値」です。
往時のランサムウェアとは異なり、データを暗号化する前に、これらの亜種は不正アクセスしたエンドポイントから攻撃者が管理するサーバーにデータを漏洩させます。漏洩したデータは、被害者が確実に支払いを行うよう、別のインセンティブとして、時にはより高額なインセンティブとして、利用されます。
この手法は、すぐに利用可能なバックアップと適切に設計された事業継続計画のおかげで組織が一見したところ壊滅的な攻撃から回復できる多くのケースに対処することを目的としています。
漏洩したデータの公開という脅威は、個人データ、知的財産の機密情報、財務情報、さらにはユーザーの資格情報さえもがオンラインで世界中に公開されることによる恐怖と、世評の低下やビジネス上の損害、規制違反といった潜在的なダメージに乗じるものです。
Mazeマルウェアの公開「シェーミング(侮辱)サイト」への投稿の例
新しいランサムウェア脅威の3つ目の例は、OT(運用技術)ネットワークとデバイスおよび産業用制御システム(ICS)を対象としたものです。このランサムウェア群は、世界中の産業・医療ビジネスを標的としており、COVID-19の感染拡大以来、特に事例の増加が見られています。
産業用システムを制御しているレガシーソフトウェアが最新のオペレーティングシステムに対応していないためにパッチが適用されないままになっているシステム、あるいは、あまりにも機密性が高い(または繊細な)ためパッチを適用して再起動することができないシステムへの攻撃を目的としたこれらの脅威がセキュリティメカニズムに直面することはほとんどありません。
矛盾しているように思われるかもしれませんが、多くの場合、攻撃対象のシステムは、機密性が高いために、事業継続計画から除外されています。その結果、ランサムウェア攻撃による完全なロックアウトは言うまでもなく、システムのダウンタイムはほとんどの組織にとって壊滅的な打撃となり、すぐにでも身代金を支払おうとしてしまいます。
パイプラインの運用に影響を与えるランサムウェアに関するUS-CERTアラートAA20-049A
一部の予想に反して、ランサムウェアは社会に根を下ろしてしまっているようです。ランサムウェアの件数が減少しているときやそれ以外のポピュラーな脅威の増加が見られるときは、常に、新しい革新的な技術やサービスが出現しようとしています。理由は簡単です。お手軽な内緒のお金の需要がある場所には、供給が生まれるものです。
とはいえ、ランサムウェア攻撃は軽減が可能であり、試行錯誤を重ねた方法により被害の可能性を最小限に抑えることができます。
- 信頼できないファイルや添付ファイルをダウンロードしない。未確認のリンクをクリックしない。
- 重要なエンドポイントやサーバーを含め、個人所有および会社所有のマシンの定期的なバックアップを実行する。
- 構造化された効率的なパッチ管理とソフトウェア更新プログラムを実装し、該当するすべてのオペレーティングシステムとサードパーティソフトウェアに適用する。
- 漏洩のリスクを最小限に抑えるため、ウィークポイント(パッチを適用できないエンドポイント、機密性の極めて高いデータ資産など)への「ソーシャルディスタンス」の確保を検討する。
- 可能であれば、身代金を支払わない。犯罪者への支払いはさらに多くの需要を生み出し、ランサムウェア市場を脅威アクターにとってより魅力的なものにしてしまいます。多くの場合、身代金を支払ったとしてもロックされたファイルが復元される保証はないことに注意が必要です。場合によっては、応急回復ツールでデータを復元できることがあります。
- エンドポイントセキュリティソリューションでエンドポイントを保護する。Cybereasonなど、ランサムウェア脅威の99%を即座にブロックするものもあります。
最新のランサムウェアがどのようなものであり、従来の防止ソリューションをどのように回避しているかについては、当社の最新のホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」をご覧ください。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/
