ランサムウェア
ランサムウェア「RYUK」被害事例と対処の課題を解説
この記事では、組織のSOCが直面するさまざまな今日の脅威と、その対処に必要なセキュリティソリューションについて理解するために、ランサムウェア「RYUK」の攻撃への対処の実例を示します。組織を狙う攻撃は日に日に巧妙化していきます。これに対処しなければいけない組織のSOCは、従来の対応方法では解決できない課題を抱えています。
この記事では、組織のSOCが直面するさまざまな今日の脅威と、その対処に必要なセキュリティソリューションについて理解するために、ランサムウェア「RYUK」の攻撃への対処の実例を示します。組織を狙う攻撃は日に日に巧妙化していきます。これに対処しなければいけない組織のSOCは、従来の対応方法では解決できない課題を抱えています。
図:ランサムウェア「RYUK」が作成する脅迫状
■巧妙化する今日の脅威とランサムウェア「RYUK」
巧妙化する今日の脅威状況において、組織のインフラストラクチャの複数のレイヤーにまたがって影響を与える攻撃が一般的なものとなっています。「RYUK(リューク)」は、最近の脅威の中で最も注目されるランサムウェアの1つです。RYUKは、ランサムウェアがターゲットとして量より質を追求するようになった、新しいパラダイムをよく表している脅威と言えます。
RYUKは、表面的には従来のランサムウェアとさほど変わらないように見えます。ユーザのファイル、ドキュメント、その他重要なデータを暗号化する点においては同様です。しかし、これまでのランサムウェアのように比較的無差別にユーザを狙うばらまき型の手法とは異なり、RYUKの背後にいるサイバー犯罪者は法人組織を狙い、はるかに高額な身代金を要求します。RYUKは、金融、軍事、政府関連の重要機密情報を狙うことが多く、被害組織は、高額な支払い要求に応じる以外に道はないと感じさせられるようです。
■「RYUK」被害対処の実例
2019年、「Trend Micro™ Managed XDR」およびインシデント対応チームは、ランサムウェア「RYUK」の感染インシデントを調査しました。このインシデントでは、複数のエンドポイントと企業のネットワークを含む、多層への侵害が含まれていました。幸い、トレンドマイクロのインシデント対応チームはXDRによりさまざまなソースからデータを収集して全体的な問題を明らかにし、感染被害を受けたコンピュータと、以下の攻撃チェーンを特定することができました。
侵入時活動:確認されたRYUKの活動では、エンドポイントに到達するための感染経路として電子メールが利用されていました。組織の従業員に送信されたスパムメールから侵入し、そこからネットワークの他の部分に広がっていました。スパムメールには、ボット型マルウェア「TRICKBOT」のダウンローダが添付されていました。
端末制御:被害環境では、システムにダウンロードされたTRICKBOTにコマンドを送受信するための遠隔操作サーバ(C&Cサーバ)として脆弱なルータが利用されていました。さらにTRICKBOTはそのペイロードとしてRYUKを送り込みました。
内部活動(横展開):このTRICKBOTは、2つの方法でネットワーク内に拡散しました。1つは、2017年のWannaCryの攻撃でも利用された有名な脆弱性攻撃ツール「EternalBlue」、もう1つは収集された認証情報の利用です。
また、収集されたTRICKBOTの検体解析からは、情報収集機能も備えていることがわかりました。つまり、攻撃を受けた組織は、ファイルを暗号化された上に情報を窃取され、通常のランサムウェアファミリによってもたらされる以上の被害を受ける可能性があることになります。
■今日の脅威への対処と課題
この「RYUK」被害の対処事例のように、攻撃の流れを包括的に把握し明らかにすることは、インシデント対応における課題の1つです。多くの組織では、エンドポイントから、サーバ、ネットワーク、メール、クラウドインフラストラクチャなどそれぞれのセキュリティレイヤーに対し、脅威を検知するための製品を個別に導入しているため、脅威の相関分析や優先順位付けをする方法がほとんどないままとなっています。このような状態は結果的に、脅威情報のサイロ化と対応に過剰な負荷や時間のロスを生じさせることになります。これらの個別のソリューションを横断して脅威を調査するには、情報が断片的となり、かつ手動のプロセスが求められ、可視性と相関性が欠けるため脅威を見逃すことになりかねません。
これに対し多くの組織では、SIEM(セキュリティ情報およびイベント管理)のような監視ソリューションを使用して、日々直面するさまざまな脅威情報を集約し、対応しています。しかし、SIEMは効果的ではあるものの、導入および運用に費用がかかります。加えて、大量のデータをふるいにかけて脅威の相関関係の調査および解析をおこなうため、十分なナレッジを備えたセキュリティオペレーションセンター(SOC)の存在が活用の前提条件となります。その他のセキュリティソリューションにも、強力なDetection & Response (脅威検知と対応)の機能を持つ場合がありますが、多くの場合、全体像を把握するために必要なテレメトリに欠けていることがあります。これらの課題解決のため、クロスレイヤーでの包括的な検知・対応アプローチである「XDR」に期待が集まっています。
■トレンドマイクロのソリューション:Trend Micro XDR™
「Trend Micro XDR™」は、機械学習と解析を使用し、RYUKのような脅威に対応できるよう設計されており、複数のレイヤーにまたがるさまざまなイベントを相関分析します。ソリューションプラットフォームとして、24時間年中無休でエキスパートルールによって優先順位付けされたアラートを提供し、脅威を検知対応する際に組織が直面する以下のような重要な課題に対処します。
- それぞれのセキュリティレイヤーに導入されたセキュリティツール間の互換性がないこと。従来のSOC環境では、システムのさまざまな部分を保護するため、データの保存方法とインデックス作成方法が異なる複数のソフトウェアを使用している。これらのツールはサイロ化されており、セキュリティアナリストはデータを手動で相互に関連付ける必要があり、対応に過剰な負担がかっている。
- 攻撃の全体像を正確に評価するための完全なテレメトリ情報の収集が困難なこと。
- 優先度の高いインシデント対応に費やす時間。このため、セキュリティプロセスとシステムのインフラストラクチャの強化および改善が後回しになる。
Trend Micro XDR™は、機械学習、専門家によるセキュリティ分析、アラートの相関と優先順位付けのための検出ルールを用いた環境全体のDetection & Response機能を提供することで、組織のSOCが優先順位付けと調査に必要な時間を短縮します。各防御点から収集されたテレメトリ情報を使用して、セキュリティアナリストが進行中の攻撃の全体像を把握できるようにすると同時に、将来の攻撃に備え、より迅速で効果的な対応戦略を実現するためにXDR解析エンジンを継続的に強化しています。
Trend Micro XDR™は複数のセキュリティレイヤーに渡って機能する以下のクロスレイヤーアプローチを採用しています。
メールセキュリティ
Trend Micro Cloud App Security™は、WebレピュテーションとURL動的解析、機械学習を使用した不審メール検出技術により、電子メールレイヤーを保護します。メッセージ本文だけでなく、添付ファイル内の不審なコンテンツを検出できます。また、サンドボックスによるマルウェア解析とドキュメントエクスプロイト検出を提供することができます。
エンドポイントセキュリティ
Trend Micro Apex One™は、ランサムウェアやファイルレスマルウェアなどの脅威からエンドポイントを保護するための多数の自動脅威検出機能を備えています。さらに、カスタマイズ可能なオンデマンドの調査および監視機能を介して、攻撃の影響を受けているエンドポイントを特定し対処することができます。
ネットワークセキュリティ
Deep Discovery™ Inspectorソリューションは、すべての物理、仮想、および東西南北のトラフィックを含む組織のネットワークを監視できます。特殊な検出エンジンとカスタムサンドボックス解析を使用することで、RYUKなどの高度な脅威を完全に可視化します。
クラウドワークロードのセキュリティ
Trend Micro Cloud One™ – Workload Securityソリューションは、仮想パッチや機械学習などの手法を使用して、重要なアプリケーション、オペレーティングシステム(OS)に影響する脅威からクラウドワークロード、サーバ、コンテナを保護します。
インフォグラフィック:Trend Micro XDRによる、ランサムウェア「RYUK」の攻撃への対処
インフォグラフィックは、ランサムウェアRYUKを例に、Trend Micro XDRが組織の各レイヤーをどのように保護するかを示しています。
参考記事:
- 「Addressing Threats Like Ryuk via Trend Micro XDR」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
記事構成:岡本 勝之(セキュリティエバンジェリスト)