- 2022/06/21
- ランサムウェア
ランサムウェアに狙われたら即座に実施すべき3つのこと
Post by : Anthony M. Freed
ランサムウェア攻撃の件数は、2021年中に前年の2倍以上に増加しました。PRNewswireが発表したレポートの中で、研究者は、世界中で6億2330万件の攻撃を検知しており、これは2020年に観測された攻撃よりも3億1860万件多く、その増加率は前年比で105%に相当することを明らかにしました。さらに遡るならば、ランサムウェア攻撃件数は、2019年から2021年にかけて232%も増加しています。
ランサムウェア攻撃が増加している理由
その重要な要因として、かつては個人を標的とした典型的な迷惑行為に過ぎなかったランサムウェア攻撃が、急成長を続ける高度に専門化したランサムウェア経済により支えられた非常に複雑なランサムウェアオペレーション(RansomOps)へと進化していることが挙げられます。
このような攻撃は、悪意あるアクターが個々の被害者に対して「Spray and Pray(下手な鉄砲も数うちゃ当たる)」式の戦術を利用して少額の身代金を要求するような、昔日のコモディティ型のランサムウェア攻撃とは異なっています。今や、いくつか例外はあるものの、そのような時代は終焉を迎えました。
RansomOpsとは、高度に標的化された複雑な攻撃であり、攻撃者がランサムウェアのペイロードを実行する前にできるだけ多くのネットワークへのアクセス権を取得しようとする点では、APTオペレーションにより近いものです。攻撃者は、このようなオペレーションを通じて、自らの攻撃のインパクトを最大限に高め、数千万ドル規模の身代金を要求できるようになります。
サイバーリーズンが最近発行した『RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜』と題したホワイトペーパーでは、ランサムウェアオペレーションが、ここ数年で、主に迷惑な攻撃を行う小規模な家内工業から、非常に複雑なビジネスモデルへと劇的に変化していることが示されています。このビジネスモデルは、極めて効率的かつ専門的であり、イノベーションと技術的洗練化がますます進んでいます。
このホワイトペーパーでは、ランサムウェアオペレーターが、身代金要求額の低い大量攻撃から、数百万ドルの身代金を支払う能力があると見込まれた個別の企業や組織を対象とした、より集中的でカスタムな攻撃に移行していることを検証しています。
用心深いCISO向けのランサムウェア対応
CISOは、このような攻撃から身を守るための課題が山積していることを自覚しています。これは、より多くのCISOが、2022年にランサムウェアアクターが自社を標的にする可能性が高いと考えるようになっている理由でもあります。
たとえばITProが取り上げた調査では、CISOの10人の7人近くが、今後1年間にランサムウェア攻撃を受けると予想していると回答しています。これは、前年度に実際に攻撃を受けた組織の割合である53%よりも大幅に高い数字です。
サイバーリーズンは昨年、『【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題したレポートを発表し、ランサムウェア攻撃の被害に遭った後に直面するさまざまなコストを明らかにしました。同レポートにおける最も重要な調査結果としては、次のものが挙げられます。
- 3分の2が、攻撃後に大幅な収益減少に見舞われたと回答しました。
- 感染後、半数以上がブランドと評判に損害を受けたと回答しました。
- 3分の1が、攻撃の余波で経営幹部クラスの人材を失ったと回答しました。
- 10社中3社が、経済的圧迫が理由で、従業員の解雇を余儀なくされたと回答しました。
- 4分の1が、業務を停止せざるを得なかったと回答しました。
ランサムウェア攻撃に遭う可能性に備えて、CISOは、狙われた場合に何をすべきかを知っておく必要があります。この目的のために、米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では多くの推奨事項を発表しています。それらの中で特に重要な3つの推奨事項について下記に説明します。
感染したシステムを特定し隔離すること
ITおよびセキュリティチームは、ランサムウェア攻撃が複数のシステムやシステムのサブセットに影響を及ぼしているかどうかを判断する必要があります。そのように判断した場合、同チームは、スイッチレベルでネットワークをオフラインにすることを検討する必要があります。インシデント発生中に個々のシステムを切断することは、感染の性質によっては実行できない場合もあります。
ネットワークをオフラインにすることが不可能な場合、ITおよびセキュリティチームは、ネットワークケーブルを探し出すことで、感染したデバイスだけを切断できます。感染したデバイスをWi-Fiネットワークから取り外すことで、ITおよびセキュリティチームは感染を食い止めることが可能になります。
対応策を進める中で、ITおよびセキュリティチームは、電話やその他のアウトオブバンド型の通信手段を使用して、対応策を調整できます。攻撃者が感染プロセスにおいて利用した可能性のある電子メールやその他のデジタル手段を使用することは避けなければなりません。なぜなら、脅威アクターは、防御者の会話を盗聴して対応策に対抗する場合や、そのような情報を利用して将来的に組織のシステムを再び狙う可能性があるからです。
ログやその他の証拠を確認し、攻撃の初期段階を調査すること
次に、ITおよびセキュリティチームは、自社の検知および防御システムと共にログを確認し、攻撃の初期段階を示す証拠を特定する必要があります。この段階において、チームは、攻撃を準備するためにランサムウェアをデバイスに「ドロップする」タイプのマルウェア(Trickbot、Dridex、Emotetなど)を見つけることができます。
これらの脅威を検知することで、ITおよびセキュリティチームは、 Initial Access Broker(IAB)を通じて、ランサムウェアアクターがネットワークへのアクセス権を奪取することを阻止できます。これにより、データの復元を試みる際に、ランサムウェア攻撃者がバックアップを暗号化するのを防ぐことができます。
拡張された分析を通じてパーシステンスメカニズムを特定すること
最後に、ITおよびセキュリティチームは、ランサムウェア攻撃者が採用しているパーシステンスメカニズムを分析する必要があります。境界システム上のバックドアのようなパーシステンスメカニズムの場合、外部を調べる必要があります。
また、「Living off the land(環境寄生)」型の手法を利用するCobalt Strikeやその他のマルウェアが、内部ネットワークに侵入していないかどうかにも目を光らせる必要があります。そうすることで、データの復元を開始する前に、ランサムウェア感染を確実に修復できるようになります。
ランサムウェアとRansomOps攻撃から身を守るには
企業や組織がランサムウェアやRansomOps攻撃から守る唯一の方法は、早期にそれを検知し、データの流出や重要なファイルやシステムの暗号化が行われる前に終わらせることができるようにすることです。明らかに、ランサムウェア攻撃に関しては、マルウェアの最終的なペイロードが身代金要求書を表示する際以外にも、検知すべきアクティビティが数多く存在しています。
問題は、他の環境での攻撃から導出された後ろ向きの「侵害の痕跡(Indicators of Compromise、IOC)」を利用することでは、企業や組織は、高度な標的型RansomOps攻撃の初期段階に関する可視性を必ずしも実現できないことです。なぜなら、そのようなRansomOps攻撃で用いられるツールや手法は、個々のターゲット環境に固有のものである可能性が高いためです。
これを実現するには、影響を受けるすべてのデバイスとアカウントにわたって攻撃を根本原因から理解できるようになる「オペレーション中心のアプローチ」を採用する必要があります。そのようなアプローチでは、IOCと振る舞いの痕跡(Indicators of Behavior、IOB)の両方を活用することでこれを実現します。
IOBとは侵害の微細な兆候であり、IOBを利用することでネットワーク環境において振る舞いが単独では一般的であるかまたは予測されるものである場合であっても、極めて稀な状況を生み出すか、または攻撃者にとって明らかに有利な状況を生み出す振る舞いの連鎖に基づいて、潜在的なセキュリティインシデントを識別できるようになります。
そのため、IOBは斬新な攻撃やこれまで検知されたことのない攻撃チェーンに対するインサイトを提供できます。RansomOps攻撃から身を守るためには、IOCとIOBの両方を追跡することで得られる可視性が必要となります。
サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。
加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/