RDPを通じて侵入するランサムウェア「Phobos」

サイバーリーズンがグローバルで運営している「Global SOC（GSOC）」において、2020年9月末以降に「Phobos」と呼ばれるランサムウェアの活動が多く観測されています。Phobosは2018年12月以降に、主に欧米において被害が多く報告されたランサムウェアで、類似の手口を用いるランサムウェア「Dharma」の亜種だと見られています。

Phobosはいったん感染すると、端末内に保管されているファイルを暗号化して脅迫メッセージを表示します。そこでは、攻撃者のメールアドレス宛にメールを送るよう要求するとともに、ビットコインで身代金を支払うことでファイルを復号できる旨が記されています。このメッセージの内容がDharmaとほぼ同じであるため、PhobosはDharmaのコードを流用して開発された亜種だと推測されます。

このようにPhobosもDharmaも、感染した後の挙動は典型的なランサムウェアそのものなのですが、その感染経路には一定の傾向があります。多くの場合、PhobosはRDP（リモートデスクトップ）経由で攻撃対象に侵入することが知られています。攻撃者はインターネット上に開放されているRDPポートを探し当て、ブルートフォースアタック攻撃などを通じてRDPアカウントのパスワードを取得します。これを使ってRDPの不正ログインを行い、攻撃対象のネットワークに侵入して管理者権限への昇格を果たした後に、ファイルの暗号化や他端末への感染などを実行します。

このPhobosの被害が急拡大した背景には、新型コロナウイルス感染拡大に伴い世界中で多くの企業がリモートワークを一斉に導入したことがあると考えられます。RDPを使えば、自宅から職場のPCやサーバーを、まるでオフィスで直接利用しているかのようにリモートから操作できるようになります。そのため、リモートワークを最も手軽に実現できる手段として、多くの企業が一斉に導入しました。

しかし中には、セキュリティ対策が不十分なまま、RDPのポートを不用意にインターネット上に開放してしまった企業も少なくありません。そのため、Phobosをはじめとする「RDPポートを狙ったサイバー攻撃」の格好の標的になってしまったわけです。

まずはRDP周りの認証強化やVPN導入の検討を

では一体どのような対策を講じれば、PhobosのようなRDPを狙った攻撃を防ぐことができるのでしょうか。最も有効なのは、RDPの利用そのものを止めて、ほかのもっとセキュアなリモートアクセス手段へと乗り換えることです。時間と予算に余裕があれば、SSL-VPNを通じて社内ネットワークにログインし、インターネット上の通信を暗号化した状態でリモートアクセスできる環境を整備するべきでしょう。

ただしこうした環境を新たに用意するには、ある程度の時間とコストがかかるため、今すぐに対応するというわけにはいかないかもしれません。どうしても従来通りのインターネット経由でのRDP利用を続けざるを得ない場合は、攻撃者による不正アクセスやなりすましを防止するために、ユーザー認証をより強固にしておく必要があるでしょう。

ユーザー名やパスワードを容易に推察されにくい複雑なものにしたり、パスワードを定期的に変更するのはもちろんですが、ビルトインで用意されている管理者アカウントのユーザー名やパスワードがデフォルト設定のままで、これを攻撃者の乗っ取られるケースも相変わらず散見されます。そのため、ビルトインアカウントのユーザー名やパスワードもあらためて見直しておきたいところです。

しかし最も安全なのは、ユーザー名／パスワードによる認証だけでなく、生体認証や端末認証、スマートフォンによる認証といった異なる認証手段を加えた「多要素認証」を導入することです。生体認証などの認証情報は、攻撃者から見るとからそうたやすく盗んだり偽装できるものではありませんから、RDPの不正アクセスを防ぐ手段としてはかなり有効だといえます。

.htaバージョンのランサムノート（脅迫メッセージ）

.txtバージョンのランサムノート（脅迫メッセージ）

ランサムウェア対策に特化した機能を備える「Cybereason EDR」

とはいえ、多要素認証を導入するにはコストや時間がかかり、かつ100％完全に不正アクセスを防げる保証はありません。そのため、万が一RDP経由でのマルウェア侵入を許してしまった場合に備えた事後対策も講じておく必要があります。今日、こうした目的に最も叶うと言われているのがEDR（Endpoint Detection and Response）です。EDRはPCやサーバーなどエンドポイント端末上で怪しい動きがないか常時監視し、もし少しでもマルウェアを疑われる挙動が検知された場合は即座にアラートを発行して対応を促してくれます。

弊社が提供するEDR製品「Cybereason EDR」もこうした機能を通じてマルウェアの侵入をいち早く検知できるとともに、ランサムウェアの検知と対応に特化した機能も備えています。具体的には、ランサムウェアを検知するための「囮ファイル」を端末上に設置し、それが暗号化されたことを検知したら即座にアラートを発行するとともに、ランサムウェアのプロセスをシャットダウンします。実際にこの機能を通じて、Phobosによる被害を未然に食い止めた実績もあります。

今後訪れるニューノーマル時代においては、リモートワークの働き方が当たり前になり、RDPの利用もより広がることが予想されます。そうなると自ずとPhobosのようにRDP経由の侵入を試みるランサムウェア攻撃も、さらに増えてくることでしょう。そのようなリスクに今から備えるために、なるべく早期にCybereason EDRのような対策ツールを導入しておくことをお勧めします。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/