最近の報告によると、過半数の回答者が、2021年に自らの組織がランサムウェア攻撃の標的になったと答えているとのことです。Forbesが取り上げた世界的な調査によれば、IT専門家およびセキュリティ専門家の80%が、この1年間に組織がランサムウェア攻撃による被害を受けたと回答しています。

また、ランサムウェアに感染した組織のうち、60%が身代金を支払ったことを明らかにしています。しかし、身代金の支払いは、ランサムウェア攻撃の被害者となった企業が負担する多くのコストのうちの1つに過ぎません。

弊社が作成した「【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜」と題した最近のランサムウェアレポートによれば、3分の2の企業が、ランサムウェア攻撃後に大きな収益損失を被ったと答えています。また、その結果よりわずかに少ない53%が、ランサムウェア攻撃によりブランドや評判が損なわれたと回答しています。

また、ランサムウェア攻撃により被ったその他の損害としては、経営幹部クラスの人材を失ったこと(32%)、財務的な圧力から従業員の解雇を余儀なくされたこと(29%)、一時的または完全に業務を停止したこと(26%)などが挙げられています。これらの調査結果は、重要な問題を提起しています。すなわち、「ランサムウェアの脅威状況はどこに向かっているのか?」という問題です。

AI/MLを活用したランサムウェア攻撃

セキュリティコミュニティでは、攻撃フローに人工知能(AI)や機械学習(ML)を組み込んだランサムウェア攻撃が見られるようになるかもしれません。そのような攻撃に関与するランサムウェアオペレーションは、AI/MLを使用して標的の偵察を効率化し、感染チェーンの一部として標的ネットワークへのペイロードを最適化することになるでしょう。

VentureBeatは次のように報じています。「研究者の中にはラボでのテストを実施し、社内でAIマルウェアを作成した者もいます。それは確かにあり得ることですが、最も気になるのは、我々がそのようなマルウェアを実際にどのような形で、どれくらいの頻度で目にすることになるのかということです。

AIや機械学習が、情報漏洩サイト、ソーシャルメディア、あるいはその他のあらゆる場所からデータを取得し、特定のユーザーのプロファイルや理想的な被害者のプロファイルを作成するために使用されていることを確認しています。脅威アクターは、そのような情報を利用することで、自らが標的とするあらゆる企業や組織に対して、はるかに効率的なスピアフィッシングを行えるようになります」。

さらに、脅威者アクターはAI/MLを利用することで、既知のエクスプロイトチャネルをWeb上で探し出し、マルウェアを拡散させる経路を発見できます。そして、彼らはターゲットのネットワーク上に足場を築いてマルウェアを伝播させた後、AI/MLツールを援用することで、その知識を適用できるようになります。

ランサムウェア攻撃:複雑化と蔓延化が進む

現時点では、AI/ML機能がランサムウェア攻撃に使用されたことを、セキュリティコミュニティが必ずしも確認しているわけではないことに注意する必要があります。しかし、これは、今日のランサムウェア感染が、近年における従来のセキュリティアプローチに挑戦するような形では、洗練性を高めていない訳ではありません。この件に関する最も重要な指標としては、多くのマルウェアギャングが、大量のスパムメールキャンペーンや、非集中的な水飲み場型攻撃やドライブバイ攻撃を通じては、ランサムウェアを配布しなくなっていることが挙げられます。

その代わりに、多くのマルウェアギャングは、被害者から最も高額な身代金を引き出すために、標的となるネットワークのできるだけ多くの部分をハッキングするよう設計された、より複雑な「Low&Slow」型の攻撃への関与を強めています。このような攻撃はRansomOps攻撃と呼ばれています。

RansomOpsは、悪意あるアクターが「Spray&Pray(下手な鉄砲も数打ちゃ当たる)」式の戦術を用いて1人の被害者に圧力をかけ、少額の身代金を支払うように仕向けるような、過去のコモディティ型のランサムウェア攻撃とは異なっています。これとは対照的に、RansomOpsは高度に標的化された複雑な攻撃であり、APTオペレーションに近いものです。

また、RansomOpsには通常、より大きなランサムウェア経済に属している複数の脅威アクターが関与しています。これには、ネットワークに侵入するイニシャルアクセスブローカー(IAB)をはじめ、攻撃インフラストラクチャと悪意あるコードを提供するRaaS(Ransomware-as-a-Service)プロバイダー、そして攻撃を実行するRaaSアソシエイトなどの脅威アクターが含まれています。

RansomOpsは、検知と対応を困難にするために、各種の高度な手法を利用します。たとえば、2021年3月、Threatpostは、ワームとして自己増殖する能力を備えた新しいRyukランサムウェアのバリアントについて報告しました。Ryukのオペレーターは、ネットワーク共有をスキャンした後、Windowsのサーバーメッセージブロック(SMB)機能を使って資産を見つけたあらゆる場所に、当該ランサムウェアの実行バージョンをコピーすることで、このような自己増殖を実現していました。

また、RansomOpsの中には、従来のセキュリティソリューションのレーダーをかいくぐるために検知回避戦術を用いるものもあります。たとえば、2021年2月に観測されたContiランサムウェアのバリアントは、「API-by-hash」を使って、その機能に2層の暗号化を適用することで、リバースエンジニアリングをより困難なものにしています。White Rabbitが特定のコマンドラインパスワードを使用して内部設定を隠蔽していたことを研究者が記事にしたのは、それから約1年後のことでした。その他にも多くの例が挙げられます。

AI/MLを通じてRansomOpsに立ち向かう

企業や組織は、このような脅威から守るために、あらゆる手段を用意する必要があります。すなわち、ランサムウェアアクターがAI/MLの活用を開始する前に、企業や組織は、すでに過剰なタスクを抱えているセキュリティチームの戦力を増大させるものとして、AI/MLを搭載したソリューションを活用する必要があるのです。
従来のランサムウェア防止アプローチがRansomOps攻撃に対して有効でない理由としては、攻撃の最終目的である「ランサムウェアペイロードの起動」に焦点が当てられすぎていることが挙げられます。

その一方で、脅威アクターが数週間から数ヶ月にわたって行う検知可能なアクティビティにはほとんど注意が払われていません。これには、最初の侵入、ラテラルムーブメント、クレデンシャルのハッキング、権限昇格、コマンド&コントロールの確立など、実際のランサムウェアが問題となるずっと前に行われるアクティビティが含まれます。

現在、多くの企業や組織が、AI/MLを搭載したXDR(Extended Detection and Response)ソリューションの採用を検討するようになっています。同ソリューションを使うと、企業や組織は、自社のセキュリティチームによるトリアージ、調査、修復作業の大規模な自動化を実現することで、攻撃の初期段階においてRansomOpsを検知できるようになります。

AI/ML駆動型のXDRを使うと、セキュリティチームは、脅威アラートの洪水がもたらすノイズを遮断できるようになります。これにより、セキュリティ担当者は、アラートの選別や誤判定の追跡にかかる時間を減らし、組織全体のセキュリティ体制を改善する作業により多くの時間をかけることが可能となります。

また、大規模なテレメトリーデータセットを高い精度で分析した上で、人間が行う手動分析では決して敵わない規模で、最も微細な「振る舞いの痕跡(Indicators of Behavior、IOB)」を特定できるようになります。これにより、通常は人手による分析が必要となるイベントの検知を自動化できるようになるほか、ネットワーク上のノイズからシグナルを選別するという非効率的な作業からセキュリティチームを解放できます。

AI/MLはデータの相互関連付けを自動化するために不可欠であり、AI/MLを使うことで1秒間に数百万件のペースでデータを分析できるようになります。これにより、アナリストは、手動でデータを照会する代わりに、ネットワーク上のさまざまな資産を通じてAI/MLが生成するインサイトに基づいて行動することに、より多くの時間を費やせるようになります。

さらに、AI駆動型のXDRソリューションを利用することで、アナリストは、悪意ある振る舞いの連鎖や、これまでにないマルウェアのバリアントを迅速に特定し、複雑なRansomOps攻撃を早期に検知することで、脅威が組織環境内のどこで発生したかにかかわらず、既知および未知の脅威を迅速に修正できるようになります。

このような可視性を確保することで、セキュリティチームは、あるイベントがセキュリティ上の重大な問題になる前に同イベントにいち早く対応できるようになり、攻撃者の負担を増やすように設計された対策を導入することが可能となります。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/