全4629文字
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』

 ランサムウエアの被害の広がりはとどまるところを知らない。最近では大阪の災害拠点病院が被害を受け、救急患者の受け入れを停止するなど、一般にも影響が及ぶ事態に陥った。ランサムウエア対策や被害対応で豊富な経験を持つラック サイバー救急センターのメンバーが執筆した『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』(日経BP)から、ランサムウエアの実態と対策の考え方を連載で解説していく。今回は被害に遭ったときの技術的対応手順について概要を説明する。

 ランサムウエアの被害に遭った後、少しでも早く対応を進めるためには、攻撃者の戦略を把握することが重要です。近年のランサムウエア攻撃は手当たり次第にランダムに行うのではなく、ターゲットになる組織のことを、使用している機器やソフトなどの技術的な面だけでなく、取引先や顧客など業務的な面に至るまで調べてから攻撃を仕掛けることが多くなっています。これを標的型攻撃といい、例えば業務のメールと偽って添付ファイルを開かせるなど、より防御が難しくなり、インシデント対応も複雑になる傾向にあります。そのため、攻撃者の戦略を知り、攻撃者がどのような情報を調べ、保持している可能性があるのかといったイメージを持っておくことが重要です。

標的型ランサムウエア攻撃の被害

 標的型ランサムウエア攻撃による被害は、ファイルが暗号化され利用できなくなり、業務に支障が発生するだけではありません。攻撃者はランサムウエアを実行させるまでに、組織内で様々な活動をしており、その過程でファイル暗号化以外の被害も発生します。

標的型ランサムウエアの攻撃スキーム概要
標的型ランサムウエアの攻撃スキーム概要
[画像のクリックで拡大表示]

 攻撃者が組織内のコンピューターに侵入し、ランサムウエアを実行するまでの典型的な活動の例は次の通りです。

  • セキュリティー製品の無効化やアンインストール
  • 侵入したコンピューターの役割や格納されているデータの調査
  • 暗号化前のファイル窃取
  • バックアップの削除
  • 侵入したコンピューターを起点とした侵害拡大
  • 新しい侵入経路の確保

 コンピューターに侵入し、ランサムウエア実行を含む悪質な活動をする中で、インストールされているセキュリティー製品は攻撃者にとって厄介者です。ウイルス対策ソフトやEDR(Endpoint Detection and Response)などのセキュリティー製品によって検知されると、攻撃失敗のみならず、自身の存在を明かしてしまいます。検知を妨害するため、セキュリティー製品の無効化やソフトウエアのアンインストールを試みます。

 攻撃者は組織内のコンピューターへ侵入したとき、最初はそのコンピューターがどのような役割(ノートPC、サーバーなのかなど)を担っているのか、どのようなデータが格納されているかはわかりません。身代金を得るために利用価値のないコンピューター上でランサムウエアを実行しても、目的は達成できません。そのため、攻撃者は利用する価値のあるデータが格納されているかを把握するため、フォルダーやファイルの一覧やファイルの内容を調べます。

 利用価値のあるファイルを見つけた場合、すぐさまファイルを暗号化するのではなく、暗号化前のファイルを窃取します。この行動の目的は、身代金を要求する際に、身代金の支払いを行わなかったら窃取したファイルをリークサイトで公開すると脅迫するためです。

 ファイルを持ち出す前には、ファイル圧縮プログラムを実行し、ファイルの圧縮や分割によってファイルサイズを小さくすることがよくあります。ファイルサイズが大きいと、コマンド&コントロール(C2)サーバーやストレージサービスへファイルを送信する際に、プロキシやファイアウオールといったネットワーク機器から異常として検知されやすくなるためです。ここで、C2サーバーとは、侵入したコンピューター内のウイルスに対する指令の送信や、攻撃に使用するウイルスを配置する攻撃基盤を指します。

 ランサムウエアの実行によってファイルを暗号化しても、バックアップからファイルを復旧できれば、身代金を得ることは難しくなります。そのため、侵入したコンピューターから探すことができるバックアップファイルの削除や暗号化を行います。

 侵入したコンピューターに利用価値のあるデータがなかった場合や、更に利用価値のあるデータを収集するために、攻撃者は組織内の別のコンピューターへ侵入を拡大します。ネットワークスキャナーというプログラムを用いて、侵入したコンピューターを起点として侵害できるコンピューターのIPアドレスやホスト名を見つけます。標的となるコンピューターを定め、そのコンピューターに侵入するには、そのコンピューターにログオンするためのアカウント情報が必要です。メモリーや設定ファイルから認証情報を取り出すようなツールを実行し、侵入拡大に利用します。

 攻撃者が組織内で活動し続ければ、いずれ攻撃者の存在は気づかれます。ファイル窃取やランサムウエア実行前に気づかれ、攻撃者を排除するための対策を実施されると、目的を達成できません。これを回避するために、攻撃者は最初の入り口が塞がれたときに新たな侵入ができるようなバックドアを仕掛けます。

 ランサムウエア実行に至るまで、このような活動例があり、それに伴う影響が発生している可能性を念頭におき、インシデント対応していく必要があります。

計画に沿ったインシデント対応

 インシデントが発生したら、少しでも早くシステム復旧を行い、インシデント発生前の環境に戻したくなるでしょう。しかし、目先の障害を取り除くことに集中し場当たり的な対応をすると、攻撃者の活動の痕跡や、インシデント対応で調査するときに役立つ情報を消してしまうおそれがあります。その結果、侵入された根本原因や被害状況を正確に特定できず、攻撃者が残したバックドアの利用や同じ侵入手法を取られることで、再侵入されるリスクがあります。このような事態を招くおそれのある無計画な行動は避けるべきです。

 ランサムウエア攻撃に限らずサイバー攻撃は事業継続を脅かす災害の一種と捉え、インシデント対応手順を含め事業継続計画を策定しておくことが重要です。