2020年6月9日

ランサムウェア攻撃からの復旧

Ransomware.  Just that one word can strike fear into the hearts of the most hardened security professionals.  The word itself has become scary but bec

ランサムウェア – この言葉を聞いただけで、セキュリティ関係者は恐怖を感じることでしょう。 この言葉自体も怖いですが、ランサムウェアは、企業が悪意ある者からの攻撃を受け、マシンが危険にさらされたり、暗号化されたりした場合に、生活に支障をきたす可能性があるからです。しかし、これは大したことではありません。ただのコンピュータとファイルなのですから、それを削除して生活は続けることができます。おそらくそうでしょう・・・?

おそらく?  このようなリスクがある以上、「おそらく」で済ませることはできません。ランサムウェアに攻撃された後の復旧には、数え切れない程の対応があり、その多くはほとんどの企業で準備ができていません。ランサムウェアから復旧する最も簡単な方法は、何事もなかったかのようにバックアップから全てを復元することでした。さらに重要なことは、バックアップから復元することで、攻撃されたことを外部に知られることがないということです。早くて簡単な方法ではありますが、ランサムウェアの攻撃から復旧するためには想定外の隠れたコストがかかり、すぐに大きく膨らんでしまいます。  この記事では、Maersk 社の事件を取り上げます。この事件は復旧に関連する価格が非常に高かったことから有名になりました。

2017 年 6 月、Maersk 社は NotPetya というランサムウェアの被害に遭いました。  その影響は、 2 週間弱で、4000 台のサーバーと 4 万 5000 台のPC、そして 2500 のアプリケーション  に及びました。ここでは、49,000 台のマシン(サーバーとワークステーション)のコストに焦点を当て、それらが停止していた 10 日間の総コスト(約 3 億ドル)を分析してみたいと思います。 240 時間強で 3 億ドルとなると、復旧と事業中断の両方で 1 日あたり約 125 万ドルのコストがかかったことになります。小規模な企業であれば、ランサムウェアの被害からの復旧に 8 万ドル 程度の費用がかかると考えられています。

ここでは、ランサムウェア攻撃の典型的なライフサイクルとその影響、今後の対策に役立つ、被害を受けた環境において気づくべき兆候を説明します。なお、各ステップの名称は「業界標準」ではありませんが、ライフサイクルについて、より適切に理解できると思います。

ステップ 1  – プロービング : ランサムウェアの攻撃を成功させるためには、企業とその防衛能力について理解する必要があります。  最新のソリューションを導入しているか?  防御はどのように構成されているか?誰かに環境に「簡単にアクセスできる」クレデンシャルやパーミッションを与えてしまうようなものを使っていませんか?例えば、セキュリティが脆弱な外部へのオープンな RDP などです。  一般的な手法としては、複数の異なるツールやプログラムをマシンにインストールして、何が防げるか、何が防げないかを確認し、検出されなかったプログラムの 1 つ(主に デュアルユース のツール) を武器にして、マシンのローカル セキュリティを回避します。一般的には、セキュリティ・ソリューションの管理コンソールで確認することができますが、これを継続的に監視するには人手と時間が必要です。これを強化するためのオプションとして、ゼロトラスト モデルの導入がありますが、これは内部ソース(従業員など)からの保護のみで、必要なゼロタイム モデルは含まれません。

ステップ2  – 攻撃: 悪者は、お客様の環境とその欠点を把握すると、攻撃を開始します。セキュリティが脆弱な RMM ツールにアクセスできる場合、それは格好のエントリーポイントとなります。通常、RMM ツールに与えられている権限は、何かを実行するには十分です。また、標準的な Eメールを利用して、アーカイブ内にパスワードで保護された「文書」を添付することも考えられます(保護されたアーカイブ内をスキャンできないため、エンドポイント・ソリューションによる削除を防ぐことができます)。さらに、すでに環境に存在する デュアルユース のツールを武器にするなど、他にも利用可能なオプションがあります。この攻撃の一部は、暗号化サブルーチンを含むペイロードであり、そのコード化の仕方によっては、1 台のマシンと、マッピングされたネットワークドライブを攻撃することができます。私が見てきたランサムウェアのほとんどは、ファイルの暗号化に最低でも AES-256 を使用していたので、ここに違和感を覚えました。

ステップ 3  – 身代金の請求:この時点で、すべてのファイルはマシン上で AES-256 で暗号化されており、マシン上には悪者からいくら欲しいかが書かれた身代金請求書があります(一般的にはビットコインでの請求です)。そのメモには、お金を匿名のウォレットにアップロードする方法が書かれており、その見返りとして、すべてのファイルを解読して機能を回復するためのユーティリティが提供されます。身代金を支払った人はファイルが復号化されますが、私がいつも疑問に思うのは、本当に彼らは私たちのファイルを保管していたかということです。

このような状況に関して、私がセキュリティ分野で聞いた最も一般的な意見は、「お金を払わないでください。バックアップから復元して、一日を過ごしなさい」というものでした。  正直なところ、理論的には悪い考えではありませんが、もしあなたの会社がひどく人手不足で、定期的なバックアッププロセスを持っていなかったとしたらどうでしょう?    たとえバックアップがあったとしても、それらのマシンでリカバリプロセスを行っている間は、数日もしくは数週間もダウンすることになります。それがあなたのビジネスにどのような影響を与えるのでしょうか? 復旧する作業だけでも大変なときに、更に復旧中のビジネスへの影響という新たな問題も出てきます。私はこれを 「カオス」と呼んでいます。

ステップ 4  – 混乱: 上記のような状況は、企業にとって限界に近いものですが、「カオス」は、このプロセスに全く新しいレベルの心配事を加えます。  それは、身代金という 従業員への給与の支払いさえも危ぶまれるものです。  特に、数年前にランサムウェアが登場して以来、多くの企業がバックアップを強化してきたため、悪者は環境を暗号化するだけでは影響が足りないこ、そしてマシン上のデータよりも価値のあるものが存在することを知ったのです。

企業は、顧客データを非公開にしたり、社内の知財を非公開にすることを誇りにしています。この事件は 2019 年末に始まり、2020 年の1 月に大きく勢いを増しました。5 つの法律事務所が被害に遭い、支払いを強制するために暗号化されたデータを公開すると脅されました。  データ流出の基本は、当該企業がどのように侵入されたかを示すことであり、その過程の一部として、彼らが極めて深刻であることを示すために、いくつかのデータが顧客に開示されます。

身代金を支払わない場合、データはダークウェブで公開されます。また、取り引きのある企業にも連絡を取り、データ保護違反で訴訟を起こされた場合にデータを提供します。  多くの人は、身代金を支払って次のステップに進むことが最善の方法だと考えていますが、復旧のプロセスには、多くの人が考慮していない重要な部分があります。

ランサムウェアの中には、ランサムウェアのプロセスを停止させても、一定期間が経過したり、再起動したりすると、ランサムウェアがまだ活動を続けてしまう「パーシステンス(持続性)」という手法を用いるものがあります。  パーシステンスに対抗する唯一の方法は、ランサムウェアに限らず、マルウェアがパーシステンス機能を獲得する場所や方法をすべて知り、熟知することです。  ランサムウェアに限らず、マルウェアがその持続性を獲得する場所や方法をすべて知り、熟知することです。あなたが感染したマルウェアがどのように持続性メカニズムを利用しているかを知らなければ、身代金を支払っても、そのマシンが次にソフトウェアを実行したときに、自分自身や他のマシン(ネットワークコンポーネントがある場合)を再感染させることができるのであれば、無駄な行為となります。

ステップ 5  – 落ち込み: 悪者は、企業にとって漏洩したことを公にされることは大きな打撃であることを知っています。暗号化インシデントによる企業イメージは壊滅的なものになる可能性があり、もしのその企業の事業内容がサイバーセキュリティであった場合、公になれば、倒産になりかねません。このように、悪者が確実に報酬を得ようとする「努力」を重ねた結果、これらの事件を積極的にカバーするために、ランサムウェア保険 という新たなセキュリティ層が導入されました。

企業がランサムウェア保険を利用して悪者に支払いを行い、データを取り戻すという記事が多く掲載されています。企業が負担するのは免責金額( 40 万ドル以上の身代金の場合は約 1 万ドル)だけなので、費用対効果は自ずと明らかになります。  保険は企業の運営を助けるものですが、すべての脆弱性を排除するものではありません。  ランサムウェアを利用したイベントを修復するために免責金額が支払われますが、セキュリティが侵害されたことは簡単に判明します。これは、他の悪者に「確実にお金が稼げる企業」と公表するだけでなく、企業のセキュリティ対策がが万全ではなかったことを不本意ながら認めることにもなります。さらに、保険会社は、攻撃を受けた理由を徹底的に分析し、保険の補償の対象外とするために全力を尽くします。これにより、多くの企業が身代金の総額を負担することになりますが、多くの場合、すぐに支払えるような流動的な現金はありません。

ステップ 6  – 最善の方法と今後について:  悪者は、企業にとってブランドイメージとと評判が重要であることも見逃していません。セキュリティ対策が甘く、事を穏便に済ませたいと考えている企業を利用して、確実にお金を稼ごうとしています。ランサムウェアに感染した企業は、近い将来、ほぼ 50 %の確率で同じ攻撃を受けることになるからです。  実際、あるセキュリティ担当者の話によると、身代金を支払って約束通りにデータが復号化された後、復号化の最後に、感染したユーザーの画面に見知らぬアイコンが残されていたそうです(これが感染の始まり)。好奇心旺盛なユーザーがそのアイコンをダブルクリックすると、マシン上で 2 回目の暗号化サブルーチンが起動し、データが再び暗号化されてしまいました。

では、どうすればいいのでしょうか?データの復号化、強制的な支払いにデータがさらされる脅威、そして再犯の可能性を防ぐにはどうすればよいのでしょうか?

まずは、強固なセキュリティ体制を構築することから始めましょう。最新ソリューションを利用することは、今すぐできる最良の選択肢です。ゼロトラストとゼロタイムの組み合わせは、セキュリティの完璧な防御であり、Deep Instinct の出番です。  私たちは未知の脅威の領域で活躍し、お客様の環境を悪者とその恐ろしいランサムウェアから守ります。

Deep Instinctは、他社が見つけられないものを防ぎます。