ランサムウェア、あなどるなかれ〜今こそ総点検を〜
目次
1.ランサムウェア攻撃手法を知る
ランサムウェア(Ransomware)とは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。ファイルを、読めない形式に変換で人質にし、身代金を要求するマルウエアで、最悪業務をストップさせてしまう、非常にリスクが高いサイバー攻撃の1つです。
ChatGPTは非常に便利で、色々と教えてくれます。もうまとめることすら必要ありません。ChatGPTに、「ランサムウェア攻撃手法って何?」と質問すると、ある程度的確に答えてくれ、それを手直しすれば、立派な文になってしまいます。
ランサムウェア攻撃は、不正に侵入したパソコンやサーバのデータを、読めない形に変換(暗号化)し、身代金の請求を行うという攻撃手法です。主な攻撃は次の通りです。
フィッシングメール、スパムメール、メールに添付された悪意のあるファイル、インターネット上の悪意のある広告、悪意のあるウェブサイト等から、不正プログラムがダウンロードされ、それをインストールすることで侵入し攻撃を展開
インターネット上に公開されているルータや、サーバの設定ミスや脆弱性を悪用し、システムに侵入し攻撃を展開
データが読めなくなるため、データのバックアップを定期的に行い、セキュリティソフトウェアを最新の状態に保つことも重要です。
2.多重脅迫型
トレンドマイクロ社の報告(2022年9月)では、最近のトレンドは、ばらまき型ではなく、標的型攻撃となっており、「情報窃取」 と「暴露」による脅迫を行う「二重脅迫型」が主流となっているということを発表されています。それだけでなく、最近では、サイバー攻撃者が標的組織の顧客やビジネスパートナーへ連絡し、被害組織に金銭の支払いを促す「四重脅迫」の被害も発生していると警笛を鳴らしています。
このトレンドマイクロ社の資料で、ランサムウェア(暗号化)されたデータを復旧できたのか?という調査に対し、バックアップサーバから復旧できた割合は5〜60%程度で、一部復旧できた割合を含めると90%以上占めていました。つまり、「バックアップ」がいかに重要か、を指しているといえます。
3.ランサムウェア攻撃の展開
ランサムウェア展開の対策として、ランサムウェアの攻撃活動を「初期侵入」「ツール実行」「横展開(ラテラルムーブメント)」「データ流出」「ランサムウェア実行」の5つで定義されることが多く、それらのテーマに対し、早期に不正行動を見つけ出すことが重要になってきています。
1)初期侵入
攻撃者は、情報窃取やランサムウェア展開という目標を達成するために、事前に内部ネットワークに侵入します。内部ネットワークに侵入する方法として、次のことが挙げられます。トレンドマイクロ社の「ランサムウエア」記事を参考にまとめると、
①RDP(外部からシステムを遠隔操作する方法)の設定ミスを悪用
②VPN(外部からネットワークに侵入する方法)の脆弱性を悪用
③マルウエア感染から
があげられます。
①RDP(Remote Desktop Protocol)
例えば、DMZ(インターネット上にシステムを公開できるネットワーク)上にサーバを設置したものの、パスワードが貧弱だった場合に、不正にパスワードが取得され、不正侵入されてしまう可能性があります。
ただ、UTMの設定で、RDPポート(TCP 3389)を防いでおけば、RDP接続はできないため、DMZの設定を点検しましょう!
システム的に公開が必要な場合には、多要素認証を利用し、簡単にシステムに入られないようにする、ということが重要です。
②VPN(Virtual Private Network)
テレワーク加速化の影響で、自宅等から会社のネットワークに接続する方法が多いと思います。そのために利用する技術に、このVPNを利用されるケースが一般的です。
つまり、インターネットから社内ネットワークに接続できる、このVPNという仕組みが標的になりやすい。そして、最近の多くのランサムウェア被害が、このVPN経由ではないか?と想像されます。
国内でもシェアが高いUTM製品(総合脅威管理製品)の1つの、Fortinet(フォーティネット)社から深刻な脆弱性(CVE-2023-27997)が昨日公開されましたので、簡単に触れましょう。
IPA
Fortinet社公式ブログ
Fortinet社公式ブログによると、SSL-VPNを有効にしていなくても、リスクが軽減できるだけで影響を受けるとの。よって、ファームウェアは1日でも早く適用したいところですが、ファームウェア適用時に失敗すると、UTM自体が機能しなくなるため、適用には十分に注意が必要だったりします。
こういった感じに、脆弱性が公開され、後回しにしておくことで、その欠陥が悪用され、ネットワークに不正に侵入されてしまう可能性があるということです。
2)内部活動
社内ネットワークに侵入が成功した場合、宝探しをされます。例えば、ドメインコントローラ(Active Directory)の特権ユーザー(Administrator)を奪うため、カスタマイズされた「zer0dump」を利用して、ドメイン管理者の認証を「Mimikatz(ミミカツ)」を利用して取得する攻撃スタイルがあります。
zer0dump
ドメインコントローラを乗っ取ることができる脆弱性、Zerologon(CVE-2020-1472)とも呼ばれます。対応方法は、Microsoft記事を参考ください。
Mimikatz
オープンソースの認証部分の脆弱性診断ツール。ツール自体は安全ですが、使い道を間違えると、脅威となります。
3)ツール実行
ドメインコントローラの特権ユーザ取得後は、RDP等を利用し横展開し、ファイルサーバからデータを取得し、オンラインストレージに持ち出したりする行為を行います。
オンラインストレージとして、MegaやGoogleドライブ等が利用されます。不正にデータを持ち出すには、各種セキュリティツールを停止させる必要があります。例えば、Process Hackerを利用してプロセスを停止させるとか…。
その他、ランサムウェア攻撃で悪用されやすいツールは、トレンドマイクロ社の解説を参考ください。横展開用のCobalt Strike、プロセス実行用のPsExec等の解説が掲載されています。
4)ランサムウェアの実行
十分なデータを持ち出した後は、ランサムウェアを展開し身代金を要求します。
残念ながら、ファイルが読めなくなったことが分かり、感染に気づきます。言い換えると、ランサムウェアに感染に気づいた頃には、データが持ち出された後、ということなのです。
昨今、ランサムウェア被害を受けた報道がありますが、データが持ち出された後の行為であることを認識する必要があります。では、どのように対策が必要なのか、を考えてみましょう。
4.セキュリティソフトではXDRまでを
EDRまで対策しても、プロセスの挙動が不正なものかどうかは専門家でなければ分かりません。EDRについては、過去記事を参考ください。
ランサムウェア攻撃に利用されるツールは、悪用しなければ普通の一般的なツールです。ただ、悪用されると危険なだけです。EDRによって、プロセスに対し検知があったとしても、異常かどうかは分かりません。
EDR(Endpoint Detection & Response)は、従来のウイルス対策ソフトEPP(Endpoint Protection Platform)ですり抜けた脅威を検知してくれる機能です。ただ、脅威を検知してくれるだけであって、それを、セキュリティ無関係企業が判断することは非常に難しい。それを専門家の立場で調査分析して監視代行くれるサービスとして、MDR(Managed Detection and Response)があります。ただ、監視代行だけでは、隔離というアクションを行なってもらわなければ、十分なセキュリティ対策には繋がりません。XDR(Extended Detection and Response)こそが次のステップになります。
愛用のCylanceには、XDRまでカバーする製品として、Cylance GUARDというサービスがあります。平日営業時間内は日本語対応、それ以外は英語対応とのことですので、十分なサービスレベルと想定されます。
Cylance製品については、過去の記事を参考ください。
5.プラスアルファの対策
ランサムウェア攻撃の手法は、ネットワークに不正侵入し、横展開によって、ドメインコントローラを奪取したり、ファイルサーバへのアクセスでデータを不正に持ち出し、最後に暗号化で身代金という一連の活動流れがあります。
ネットワークへの不正侵入を防ぐために、外部からの不正接続をいかに防ぐか、が重要です。UTMのファームウェアのアップデート等によって、脆弱性を防ぐ、UTMの設定ミスを防ぐ、UTMに対しての手抜きの抜け道を防ぐことが重要です。
次に不正にネットワークに侵入されると、ネットワーク上にある機器への不正アクセスを防ぐことが重要です。例えば、パスワードを多重に制御する多要素認証の対応です。
ドメインコントローラやファイルサーバへのアクセスを試みる、横展開に対し、その行動分析が必要です。Windowsであれば、イベントログに各種ログが記録されます。これらのイベントログを相関分析する方法が必要です。この相関分析には、SIEM(Security Information and Event Management)で実現できます。SIEMにも幅広く、Splunk、Logpoint、Exabeam、Microsoft Sentinel等がありますが、高性能ながら、なかなか準備も必要。
色々と私なりに調査した結果、SolarWinds SEMが比較的安価でシンプルで即効性があると把握しましたので、SEMについて簡単に紹介しましょう。
簡易SIEM製品、SolarWinds SEM
SolarWinds SEM(Security Event Manager)は、Agentツールをサーバにインストールすることで、シスログデータとしてSEMに送信してくれ、SEMで相関分析を行ってくれるツール。そして便利な機能としては、既に検索軸が用意されており、このAgentをインストールさえすれば、すぐに管理が可能になる。SEMサーバは、ESXi / Hyper-Vでのイメージが公開されているため、セットアップ不要で、イメージファイルを仮想化環境にデプロイしてあげれば、すぐにでも利用できるという便利製品です。しかも1ヶ月間は無料で利用できます。
例えば、横展開対策として、リモートユーザの情報を簡単に取得するということができます。また、パスワードロックがかかっているユーザーも簡単に取得ができます。
また、このSEM製品は、UTMとかエージェントレスにも対応できます。単純にシスログをSEMに渡すだけです。たとえば、Fortigateの場合だとシスログ転送先は、複数設定が可能なため、その1つにSEMに向ければ簡単に管理が可能です。
6.バックアップサーバを見直そう
最近のランサムウェア攻撃で標的され始めてきているのが、バックアップサーバと言われています。バックアップサーバもランサムウェアが実行されてしまうと、全てが終わりです。これを防ぐためには、「イミューダブル(immutable)」ストレージが注目されると想定されます。
イミューダブルストレージとは、WORM(Write Once, Read Many)となり、CD-R、DVD-Rといった、1回書き込みだけというイメージに相応します。つまり、バックアップしたデータが、WORMであれば、ランサムウェアが実行されたとしても、リライトされないということになります。
ランサムウェア対策として、セキュリティ面での管理をしつつ、運用面でのバックアップの方法も見直す、ということが重要と考えられます。
7.まとめ
ランサムウェアは対策方法があります。しかし、どこか1つでも弱い部分があれば、攻撃を喰らいます。明日は我が身という姿勢で、現在の設定内容を洗い出し、通常あけてはいけないポートが空いていないか、調査すべきです。また、脆弱性のあるバージョンであれば、ファームウェアを最新な状態にあげるべきです。対策すべき箇所は、徹底的に対策を行う、ということが重要です。
ただ、会社がセキュリティ投資をなかなか出してもらえにくい場合には、5で紹介したSIEM製品を利用し、UTMからのログをSIEMで受け入れ、常に狙われていることを提示するのも1つの方法かなと思われます。
ランサムウェア被害を受け、多額な賠償金を払う前に、対策を。
この記事が気に入ったらサポートをしてみませんか?