Network Security NSX NSX Data Center セキュリティ ネットワーク

NSX NDRでランサムウェアを止めよう – Network Detection & Response

この投稿は米国時間 2020 年 9 月 29 日に、VMware blog に投稿されたものの翻訳に、一部、日本のコンテンツを追加しています。米国のブログ本文は以下のリンクからご覧いただけます。
https://via.vmw.com/EP06

2018 年頃、いくつかのサイバーセキュリティベンダーはランサムウェアの被害よりも、クリプトマイニングのマルウェアに感染している組織の方が約 10 倍多いと発表していたことを思い出します。しかしそれから数年が経過し、ランサムウェアはネット犯罪全体の上位のポジションに上り詰めています。欧州刑事警察機構(ユーロポール)は 2019 年 10 月、2019 年に直面したサイバー攻撃の脅威のトップにランサムウェアを指名して、そのインパクトをさらに高めることとなりました。

欧州刑事警察機構(ユーロポール)は、次のようなコメントを発表しています。
「法の執行機関は、ランサムウェア攻撃の全体量は減少傾向になるとしていましたが、実際に行われる攻撃は「より標的型」に進化し、「より収益性が高く」なることで、被害者は「より大きな経済的損失」を引き起こしています。ランサムウェアが攻撃者にとって、より簡単に収益を上げ、より重大な損害と経済的損失を引き起こし続ける限り、それはサイバー犯罪の最大の脅威であり続ける可能性があります。」

日本でのランサムウェア攻撃事情

日本の独立行政法人 情報処理推進機構は、 2021 年 1 月 27 日に「情報セキュリティ10大脅威 2021 」の概要を発表しており、組織向けの脅威として「ランサムウェアによる被害」が昨年の五位から一位へランクアップしています。さらに、「標的型攻撃による機密情報の窃取」も昨年の一位からひとつランクダウンになったものの引き続き上位に入っています。これらが上位を占める理由は、これら二つの脅威を組み合わせて使用する「標的型ランサムウェア攻撃」が広く蔓延している背景からの結果であると言えます。標的型ランサムウェア攻撃は、 2018 年頃から国内外で被害が拡大しており、この被害拡大の理由は、その攻撃手法にあると考えています。

昨今のランサムウェア攻撃では、身代金を要求することを目的に、まず暗号化する前に機密データを不正取得し、その後にランサムウェアで暗号化を行います。暗号化が完了すると、身代金の要求をする画面が表示され、取得した情報の概要や身代金の金額、支払い期限などが記述されており、早期に支払いを行う場合には、スペシャルディスカウント、つまり「身代金の値引き」を得ることもできると記述している攻撃者グループも存在します。また、攻撃者は機密データを取得したことを証明するため、少しづつその取得した機密データの証拠を、公開リークサイトで公開していき、金銭を要求し続けてきます。つまり、暗号化したデータの復号化だけでなく、機密情報の公開についても脅迫を行う、「二重の脅迫」を行うことで、より高い収益を得ようと試みます。

昨年、日本でも標的型ランサムウェア攻撃の被害が出ており、その攻撃者グループ「RAGNAR LOCKER」は自身のリークサイトで犯行声明を公開し、その実力を誇示しようとしています。

標的型ランサムウェア攻撃の手法と過去の手法との比較

2017 年 5 月に日本でも猛威を振い、大きな被害を出したランサムウェア「WannaCry」はまだ記憶に新しいと思います。WannaCryの拡散はSMBv 1 の脆弱性を悪用し、自身のネットワーク内、そしてインターネットへと無差別に拡散していきますが、その手法はワームのそれと類似しており、ランサムウェアとワームを組み合わせた手法でした。このような攻撃手法に対応するには、VMware NSXマイクロセグメンテーション分散ファイアウォールを併用してアクセス制限を行うことで、その拡散リスクを低減することができます。また、SMBv 1 の脆弱性は猛威を振るった当時、既知の脆弱性だったため、分散IPSを組み合わせることで、シグネチャによるリアルタイム検出と防御を行うことでき、より高い効果が期待できます。しかし、昨今の標的型ランサムウェア攻撃では、「Human Operated Ransomware Attack(人手によるランサムウェア攻撃)」へと進化しています。この新たな攻撃手法は、以下のような攻撃を人の手によって実行します。

(1) 未知のマルウェアやセキュリティ対策製品を回避する技術を駆使して内部へ侵入

(2) 複数のアクティブディレクトリ(以下、「AD」という)のサーバを見つけ出し、最低でも2台のADサーバで管理者権限を奪取し乗っ取り

(3) 内偵活動を継続して、脅迫に使える機密情報を探し出して、DNSなどの常時利用するプロトコルをトンネルして攻撃者グループがコントロールする外部サーバへ送信

(4) ADサーバから、ドメインに参加する全てのホストにランサムウェアを配信して強制的に実行することで、全てのデータの暗号化を実行

(5) ログや証拠となるデータを消去、実行したプロセスを終了

このような手法を使った水平展開はこれまでの拡散型とは異なり、「許可されている相手(ホスト)と」「許可されているプロトコルで」「通常のトラフィックと大きな差がない」ように攻撃を進めます。これではネットワークトラフィックを常時モニタリングしていたとしても、その脅威を見つけ出すことは非常に困難な状況であり、この悪意ある行動を正しく検出する新たな技術が必要となっています。また、一連の攻撃ステップを実行する時間について、2010年頃は初期侵入から数ヶ月から一年以上継続的に内部で活動をされていましたが、ここ数年では数日で目的を達成、特に上記攻撃手法の( 1 )と( 2 )の完了までに数十分という報告もあり、新たな検出技術の実装に加えて、検出のリアルタイム性も求められています。

少し話は逸れますが、 ランサムウェアの配信に利用されることもあった「Emotet(エモテット)」、2019 年頃から欧米諸国へのサイバー攻撃に利用され、日本では少し遅れてのパンデミックとなりましたが、その間、何度か進化を遂げていました。しかし、2021 年 1 月 27 日にユーロポールが、Emotetが利用するインフラ基盤をテイクダウンしたと発表し、EmotetのTier 1 C&Cサーバへの通信をDNSシンクホールへ誘導した結果、あるボットネット追跡システムでは、アクティブなC&Cサーバが 0 台になったことを確認しました。また、すでにEmotet感染しているホストから要求されるアップデートに無害化するコードを提供したことによって、Emotetの事実上の終息を迎えたと言えるでしょう。

ランサムウェアの動向と見込み

ランサムウェアの被害が拡大している背景には、標的型で仕掛けてくるからだけではなく、他にもいくつかの要因があります。以下、その一部を紹介します。

ランサムウェアを使った攻撃は儲かる

共通して言えることは、ランサムウェア攻撃による被害額が増加していることです。2020 年のレポートでは、ランサムウェア攻撃による被害から復旧させるために必要な平均コストが、 41,189 ドル(日本円で約 432 万円: 1 ドル= 105 円換算の場合)から、 84,116 ドル(日本円で約 883 万円: 1 ドル= 105 円換算の場合)と 約 2 倍に増えています。また、ウォールストリートジャーナルは、サイバー保険を提供しているマネージャは、 100 万ドル(日本円で約  1 億 5 百万円: 1 ドル= 105 円換算の場合)を超える身代金要求に対応することが多くなっているというコメントを報告しています。

身代金の支払いは、ランサムウェアに関連するコストだけではありません。同じウォールストリートジャーナルのレポートでは、ランサムウェア攻撃が成功してから復旧するまでのダウンタイムは、 2019 年の Q2 では 9.6 日だったのが、2019 年の Q3 では 12.1 日、2019 年の Q4 では 16.2 日まで延びていると報告されています。また、ドメインコントローラやデータベースなどの主要な資産を標的にする「Ryuk」によって、特に陰湿なランサムウェア攻撃の犠牲になった場合、回復の時間と労力は大幅に増える可能性が高くなります。

幅広い産業に影響

ヘルスケアのマーケットは、以前からサイバー攻撃者の標的になることが多いマーケットのひとつです。2019 年 Q1 から Q3 の間のランサムウェアの動向調査では、あるベンダーでは、ヘルスケアの組織を狙ったランサムウェア攻撃が 500 回も発生していたと報告されている例もあり、攻撃キャンペーン全体のおおよそ 80% に相当すると報告しています

しかし、ランサムウェアの攻撃者は、他の業界も同様に狙っています。2019 年 1 月から 9 月の間には、米国内で相当な数の市町村も標的になっています。実際には、 2020 年の上半期に発生したランサムウェア攻撃の 2 / 3 は、市町村などの行政機関や、学校、図書館、裁判所などを標的にしていました。

これらの攻撃には、影響を受ける政府や行政機関向けに、より高価な価格で脅迫することがあります。例えば、WIREDの記事では、2012年のランサムウェア攻撃によって暗号化されたデータを復旧するために、少なくとも 260 万ドル(日本円で約 2 億 7 千万円: 1 ドル= 105 円換算の場合)を支払ったと報じています。一方で、Baltimore Sunは、昨今の市町村を狙ったランサムウェア攻撃による被害額は 1,800 万ドル(日本円で約 18 億 9 千万円: 1 ドル= 105 円換算の場合)に上ると報告しています。

簡単にできるランサムウェアを使った攻撃キャンペーン

なぜランサムウェアがまだ攻撃者に人気なのか、他にも理由があります。ランサムウェア攻撃キャンペーンを準備するのが非常に簡単にできる点です。初心者である攻撃者でもマルウェア制作者のランサムウェアを簡単に購入して利用できるようになっており、この協業者間で身代金を山分けしています。そのやり取りが行われるアンダーグランドマーケットは急拡大しています。多くのRaaS (Ransomware-as-a-Service)組織やランサムウェア制作者は、自身が制作したランサムウェアを多くの攻撃者に利用してもらい、確実に攻撃が成功するように、利用方法やトラブルの問合せを行うチケッティングシステム、詳細なマニュアルまで、購入者に提供していることがあります。

どのようにして、組織は自身を守るのか

ランサムウェアは、エンドポイントに感染させたり、ネットワークに潜入するために、ウェブサイトやドライブバイダウンロードを通じて拡散されます。理想論で言えば、我々防御側にいる組織はその組織とインターネットとの境界ポイントにあるファイアウォールやアンチウイルスソフトウェアでランサムウェアを検出してブロックすることができます。しかし、サイバー犯罪者が使うパッカー(マルウェアの圧縮手法のひとつ)や、ポリモーフィックなマルウェア(変装したり、感染時に姿形を変化させたりする)、難読化や暗号化をすることでセキュリティ対策製品の解析を回避する技術などが洗練されるにしたがって、その脅威を検出することや、防御することがますます困難になっています。

このような攻撃を阻止するため、各組織ではすでにこれらの予防的対策を行ってきているが、残念ながら攻撃の被害者となっています。これには、複数の要因が考えられますが、共通して言えることは次のポイントです。

  • 最新の高度な攻撃への対応が後手に回っている
  • SOCアナリストやインシデントレスポンダーが多忙で対応に遅れ
  • SOCアナリストやインシデントレスポンダーが多忙故に、最近流行りの攻撃手法や新たな攻撃手法などを学習する時間がない
  • サイロ化されたセキュリティ対策環境によって、アラートの肥大化や、製品やソリューションごとでのアラートの不一致、制限されたサーバーキルチェインの可視化による弊害
  • 点での対策は進めているが、ネットワーク全体を俯瞰的にモニタリングする面での対策に遅れ

これに代わって、Detection & Response(検出とその対応)はさらに有効な防御戦術を高度化するもので、特に複数のテクノロジをひとつのプラットフォームにまとめて、相互に連携している場合にその能力を発揮します。

NSX Network Detection & ResponseはNDRのプラットフォームとして、次の 3 つの機能を統合することで、重大な損害を与える前にランサムウェアの侵入を止めたり、Human Operatedな(人手による)内部での水平展開を実行する攻撃を、正しく検出して防御することも可能です。

 

〜お知らせ〜

NSX-T Data Center、および VMware SD-WAN by VeloCloud について入門編から中級編まで各種セミナーも定期開催しております。
より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。 

各種オンラインセミナーの開催日時はこちらから https://www.event-vmware.net/

VMwareでは、各種製品をクラウド上でご評価いただくHands-on LabsHOL という仕組みを無償でご提供しています。
今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。

おすすめのHOLメニューはこちらから ( http://labs.hol.vmware.com/HOL/catalogs/catalog/1212 )

 

関連記事