標的を絞り込んで手動で攻撃を仕掛けてくるランサムウェア

世界中で「ランサムウェア」の被害が後を絶ちません。感染した端末上のデータを暗号化してしまい、「データを復号して復旧してほしければ身代金を支払え」と脅迫するランサムウェアは、ここ数年の間猛威を振るっており、日本国内でも数多くの被害が報告されています。

ちなみに従来のランサムウェア攻撃の手口は、まずフィッシングメールを無差別にばら撒いて、たまたま感染した企業・組織に対してそれぞれの支払い能力に応じた「現実的な額」の身代金を要求するやり方が多くを占めていました。この場合、感染に成功した後のデータ暗号化や脅迫の実行はランサムウェアによって自動的に行われ、できるだけ多くのターゲットから少額ずつの身代金を奪取することでトータルでの利益を確保することが攻撃者の主たる目的でした。

しかし近年では、こうした傾向に変化が生じつつあります。あらかじめ特定の企業・組織に標的を定め、手動の攻撃でその組織の脆弱性を突く「標的型ランサムウェア攻撃」が多く見られるようになってきました。こうした攻撃の多くは大企業にターゲットを絞り、緻密な情報収集と戦略に基づき感染と暗号化を図り、多額の身代金を要求します。既に米国では数多くの企業や組織、教育機関がその被害に遭っていると言われています。

そうしたランサムウェアの代表格の1つが「PYSA」です。このランサムウェアは、従来のランサムウェアの多くが備えていた自己増殖機能を持たず、代わりに攻撃者が直接操作することによって攻撃を実行します。感染手段としては他の標的型攻撃と同じくフィッシングメールが多用されますが、データの暗号化だけでなく他の脅迫手段も併用しながら、より確実に金銭を奪取しようとするのが特徴です。

その代表的な手口が、「窃取したデータをネット上に流出させる」「データを闇市場で販売する」と脅してくるものです。攻撃者はデータを暗号化すると同時に重要データを窃取し、もし攻撃対象の企業・組織が身代金の支払いを渋った場合、窃取したデータの流出や販売をちらつかせて身代金の支払いを迫ります。こうした手口は「二重脅迫」と呼ばれ、PYSAのように手動で行われる近年の精緻なランサムウェア攻撃において頻繁に用いられています。

弊社が運営するGSOC(Global Security Operation Center)でもこのPYSAランサムウェアの活動を観測しており、その感染プロセスを子細に分析するとともに、極めて重大で深刻度の高いインシデントとしてユーザーに注意を促しています。

万が一のランサムウェア感染に備えてやっておくべきこと

このようなランサムウェアの被害を防ぐために真っ先に取るべき対策は、システムやアプリケーションの脆弱性やセキュリティホールをしっかり塞ぐということです。ほとんどのランサムウェアは脆弱性を悪用することで感染を図りますから、まずはシステムやアプリケーションのアップデートとパッチ適用をきちんと行い、既知の脆弱性にいち早く対処することが大切です。

特に近年のランサムウェア攻撃は、コロナ禍に伴うリモートワークの普及で世界中で急速に利用が高まった「RDP(リモートデスクトップ)サービス」の脆弱性を悪用するものが増えています。そのためRDPを利用している企業・組織は、自社で利用しているRDP製品の脆弱性情報には特に気を配り、いち早くセキュリティパッチを適用するとともに、ブルートフォース攻撃やその他の不規則なアクティビティがないかログを定期的にチェックすることをお勧めします。

また万が一ランサムウェアに感染してデータが暗号化されてしまった場合に備え、データのバックアップを日ごろからきちんと取り、いざというときに速やかにデータをバックアップから復旧できる体制を整えておくことも大切です。

近年の高度なランサムウェアの中には、企業や組織のシステムの中からバックアップデータの在処を探し出し、これを暗号化することでバックアップからの復旧手段を断ってしまうものもあります。こうした攻撃に備えるためには、オンラインバックアップだけでなくオフラインバックアップも定期的に取っておくべきでしょう。

なお万が一ランサムウェアに感染してしまったとしても、データを暗号化される前にその存在をいち早く検知して除去できれば、被害を未然に防ぐことができます。そのために有効な手段の1つが、PCやサーバなどエンドポイント端末上のマルウェアの動きをいち早く検知できるEDR(Endpoint Detection and Response)です。弊社のEDR製品「Cybereason EDR」は国内EDR市場でトップクラスの実績を持つとともに、独自のマルウェア検知機能を備えることで企業・組織をマルウェアの被害から効果的に守ることができます。PYSAのような高度なランサムウェアに対抗するには、こうした製品の導入もぜひ検討してみるべきでしょう。

またNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

さらに、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

なお、今回紹介したPYSAランサムウェアの詳細については、別途「Cybereason GSOC セキュリティ・アップデート(2021年9月版)」で詳しく紹介しています。この資料は以下のURLから無料でダウンロードできますので、興味をお持ちの方はぜひご参照ください。
https://www.cybereason.co.jp/product-documents/survey-report/7189/

2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜

サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。

2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/