- 2020/07/30
- ランサムウェア
ランサムウェアを阻止する防御スタックの設計方法
Post by : NOA KATSOVICH
現在、「ランサムウェア攻撃」をGoogleでランダムに検索すると、ランサムウェアの影響を受けた組織の新しい事例が、通常は一度ならず、表示されます。
ランサムウェア攻撃は、重要データの漏洩や生産性の低下、ブランド評価の低下を通じて企業に害を加えたいと考える犯罪者にとって、効率的で効果的な武器です。これらの攻撃は、身代金を支払う企業と攻撃によって企業が被る実際のダウンタイムを合わせた、高額なものになることもしばしばです。
サイバーリーズンでは、特に最近の事件で、ランサムウェア攻撃の増加を確認しています。また先ごろ、ハニーポットの結果をリリースし、資格情報を窃取してネットワーク上での持続性を確立するために使用されている多段階式ランサムウェアについて掘り下げました。
これらのアクティビティはどちらもかなり一般的ですが、特にこの攻撃が重要インフラのプロバイダを標的としたものであることを考えると、その全体像には興味深いものがあります。
攻撃は感染から始まります。ユーザーに悪意のあるファイルを開かせたり悪意のあるURLをクリックさせたりするソーシャルエンジニアリングに限らず、攻撃者はさまざまな手法でマルウェアを組織に送り込みます。悪意のあるコードを含んでいる誰のものかわからないUSBが標的のマシンにプラグインされていることさえあります。
攻撃者を感染フェーズで阻止できなかった場合、被害者がファイルを開くと、ランサムウェアは直ちに機密データの暗号化を開始します。暗号化されたこれらのファイルにアクセスするには、暗号化鍵の代金を支払うしかありません。
ランサムウェアはディスクに保存せずに実行することもでき、その方が対策を回避しやすくなります。これらはファイルレス攻撃と呼ばれ、コードはメモリ内でPowerShellや.NETなどの一般的な署名付きツールでのみ実行されます。
多層防御
ランサムウェア攻撃から組織を保護するには、多層式の防御を活用することが重要です。サイバーリーズンでは、多層的なアプローチによって最大限の保護を実現しています。多層的なアプローチでは、複数のレベルでランサムウェアをブロックできるため、攻撃面を削減でき、ランサムウェアに関しては攻撃者のオプションが少なくなります。
- デバイス制御: デバイス制御とパーソナルファイアウォール機能により、見知らぬUSBデバイスがマシンにアクセスしたり安全でないWebサイトにアクセスしたりすることを防ぎます。
- フィッシング対策:強力なフィッシング対策メカニズムにより、疑わしい文書の動作を検出し、悪意のあるマクロが実行されるのを防ぐことができます。
- ファイルレス対策:脅威が最初のアクセスに成功して実行を開始できた場合でも、ファイルレス対策層がそのアクティビティやPowerShellまたは.NETの悪意のある使用を認識して分析できます。
- エクスプロイト対策:エクスプロイト対策は、攻撃がOSの脆弱性を悪用したりゼロデイ攻撃を実行しようとしたりするタイミングを特定し、ブロックします。
- マルウェア対策:マルウェア対策機能は、既知および未知のマルウェアを検出し、実行された場合にそれらをブロックします。
これらの防御層は99%のケースで十分に機能します。しかし、レッドチーミングからわかるように、攻撃者は常に十分なリソースと努力で組織に侵入する方法を見つけ出します。これを防ぐために、弊社のソリューションにはデセプション手法の層が追加されています。
デセプション手法は、ランサムウェアの動作を特定し、攻撃者を罠にかけるように設計されています。ランサムウェアの動作が特定されると、正当な機密データに危害が加わる前に、暗号化を阻止できます。
これらすべての防御層を組み合わせることにより、可能な限り多くの攻撃側面をカバーする、より強力でより完全な防御スタックを作成できます。
最新のランサムウェアがどのようなものであり、従来の防止ソリューションをどのように回避しているかについては、ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」をご覧ください。
ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/
