ランサムウェア
ランサムウェア(Ransomware)とは
ランサムウェアとは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェアです。なお、ランサムウェアという言葉はRansom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。
2019年以降のランサムウェアは、その多くが暗号化やロックだけでなく、事前に組織がもつ情報を窃取した上で「身代金を支払わなければ情報を暴露する」と二重の脅迫を行う暴露型の手法を採用しています。ただし、攻撃者が暴露による脅迫を行うためには、ランサムウェア感染前に事前に情報を窃取しておく必要があります。
このことから近年のランサムウェアは、ランサムウェア本体を直接メールに添付して感染させるばらまき型の手法から、攻撃者が標的組織の内部ネットワークにあらかじめ侵入し、情報窃取を達成した後に攻撃の最終段階でランサムウェアを展開する、標的型攻撃と同様の手法で用いられるようになっています。このようにランサムウェアを用いた一連の攻撃のことを「ランサムウェア攻撃(別名:人手によるランサムウェア攻撃、Human-Operated Ransomware)」と呼びます。
画像(左):ランサムウェア「WannaCry(ワナクライ)」の身代金要求画面
画像(右):暴露型ランサムウェア「Lockbit 2.0」の身代金要求画面
世界初のランサムウェアが出現したのは1989年であり、「AIDSTrojan」というファイルを暗号化し身代金を要求するマルウェアです。この当時はまだ現在のランサムウェアのようにインターネット経由で感染するものではなく、外部媒体等から感染していました。その後は主立った流行を見せていなかったランサムウェアですが、2005 年には感染した端末のデータを暗号化するランサムウェアが流行し、2010 年には感染した端末をロックするランサムウェアが登場します。この時期は、主にメールの添付ファイルなどを経由してランサムウェアが拡散されました。
ランサムウェアが世界的に大きな注目を浴びたのが2017年です。「WannaCry」が脆弱性を悪用することで世界中に拡散し、大きな被害をもたらしました。その後、企業のセキュリティレベル向上によってランサムウェア被害は減少の一途をたどっていましたが、2018年に標的型攻撃の手法でランサムウェア感染を試みる「Ryuk」が出現したことによって、再びセキュリティの重大脅威となりました。2019年以降は「MAZE」の登場をきっかけに、一連の攻撃の中で情報を窃取し、窃取した情報を用いて暴露の脅迫を行う「二重脅迫」の手口が普及し、更に被害を拡大させています。
図:ランサムウェアの主な変遷
想定される被害
暗号化や端末ロックによる業務・サービス停止
ランサムウェアに感染すると、ランサムウェアが実行された端末のローカルドライブおよび接続されているネットワークドライブ(ファイルサーバなど)のファイルが暗号化されます。あるいは、感染端末がロックされ通常の操作ができない状態になります。業務システムやオンラインシステムがランサムウェアの影響を受けると、通常通りのサービスを稼働できなくなる可能性があります。実際に国内の大手製造業においても、工場に関連するシステムがランサムウェアの影響を受けた結果、一時的に工場の操業を停止せざるを得なくなるという被害が発生しました。
情報漏えい
暴露による二重脅迫を採用したランサムウェア攻撃では、多くの場合攻撃者は脅迫を行うため事前に標的組織がもつ情報を窃取します。攻撃者は脅迫を成立させるために窃取した情報を自身のウェブサイト上に暴露することから、情報漏えいの被害も併せて発生します。実際に国内のソフトウェア開発企業においても、従業員の個人情報や業務計画などの機密情報が窃取され、攻撃者のウェブサイト上に公開されるという被害が発生しています。
サービス妨害・顧客や利害関係者からの信頼喪失
ランサムウェアの種類によっては、暗号化・情報暴露に加えて、被害組織の身代金支払いを促進するために更なる攻撃を仕掛ける場合があります。例えばランサムウェア「DarkSide」は、ファイルの暗号化、窃取した情報の暴露(情報漏えい)に加えて、標的型攻撃に対するDDoS攻撃、標的組織の顧客や利害関係者への警告や脅迫を行いました。これは、さらなる業務・サービス停止の恐れがあることに加えて、顧客や利害関係者からの信頼を失う可能性があります。
図:脅迫の種類および想定される被害
攻撃手口
標的型攻撃と同様の手法で行われるランサムウェア攻撃は、主に「初期侵入」「内部活動」「情報送出」「ランサムウェア実行」の4つのフェーズから成り立っています。
図:ランサムウェア攻撃の手口
① 初期侵入
攻撃者は、情報窃取およびランサムウェア展開という目標を達成するために、事前に内部ネットワークに侵入します。内部ネットワークに侵入する方法として、主に以下の方法が行われます。
- VPN(Virtual Private Network)機器などのネットワーク機器の脆弱性を悪用する
- RDP(Remote Desktop Protocol)の管理不備(脆弱なパスワードなど)を悪用する
- フィッシングメールからボット型マルウェアに感染させる
なお、アンダーグラウンド上では特定の企業のアクセス権が販売されていることがあります(Access as a Service、AaaS)。ランサムウェア実行者が自身で初期侵入の侵害を行うのではなく、このサービスを利用して別の攻撃者から企業ネットワークのアクセス権を購入する場合もあります。
② 内部活動
標的組織の内部ネットワークへの侵入に成功した攻撃者は、遠隔操作ツール(RAT、Remote Access Tool)を用いて企業ネットワーク内の端末を遠隔操作することで、出来る限り強力な権限・多くの権限の獲得を試みます。なお、内部ネットワークでの活動において、攻撃者は出来る限り不正プログラムではなく正規ツールを悪用して攻撃活動を検知されないように隠蔽する「環境寄生型(Living Off th Land)」の手法が採用されます。例として、多くの内部活動では商用ペネトレーションテストツール「Cobalt Strike」が悪用されています。これらのツールは不正なツールではないため、セキュリティ製品による検出や監視の目を免れる可能性があります。
③ データ持ち出し
強力な権限を取得して企業内の様々な情報にアクセスできるようになった攻撃者は、暴露の脅迫を行うための情報を窃取して持ち出します。脅迫に値する重要な情報(機密情報や個人情報など)を集めるためにネットワーク内を探索し、取得した情報を一か所に集約した上でクラウド上または攻撃者のサーバにアップロードします。
④ ランサムウェア実行
データの窃取が完了すると、最後に標的組織へランサムウェアを展開して実行します。攻撃者はランサムウェアを確実に実行するために、展開前にセキュリティ対策ソフトを停止させることがあります。その上で、グループポリシー機能やPsExecを使ってランサムウェアを組織内ネットワークに展開・実行します。ファイルを暗号化した後は、対象の端末に身代金要求画面を表示させることで脅迫を行います。これまでのフェーズで攻撃を検知できなかった組織は、身代金要求画面を確認して初めてランサムウェア攻撃の被害を受けたことを認識することになります。
より詳しく
最新のランサムウェア攻撃の具体的なプロセスについては
こちらのホワイトペーパーをご参照ください。
対策
昨今のランサムウェアが標的型攻撃の手法を採用していることを踏まえると、被害に遭わないためには「攻撃者の初期侵入を防ぐ(未然防止策)」と「侵入後の被害発生を防ぐ(侵入を前提とした対策)」という両面での対策が必要になります。仮に侵入を許してしまった場合でも、侵入を前提とした対策を行っておく ことで、ランサムウェアを実行される前に攻撃を阻止できる場合があります。
攻撃者の初期侵入を防ぐ(未然防止策)
・外部公開されたシステムの脆弱性に素早く対応する
昨今のランサムウェアでは、特にVPN機器の脆弱性や外部公開サーバの脆弱性が悪用されています。これに対応するためには、自組織で利用しているシステムやサービスを棚卸ししたうえで脆弱性情報を適切に収集する必要があります。そのうえで、深刻な脆弱性に対しては修正プログラムを迅速に適用し、それが難しい場合は緩和策の適用や IPS 機能(仮想パッチ)による一時的な保護などを実施するようにしてください。
・標的型攻撃メールを検知/ブロックする
メールを受信するシステムにて送信元アドレスの偽装、添付ファイルの拡張子やファイルタイプなどに着目して受信者への警告やフィルタリングを行うことで、標的型攻撃メール自体に気づくことができる場合があります。
・RDPの認証やアクセス範囲を適切に管理する
まず、RDP のような遠隔操作を可能にする機能が不用意に露出していないか確認し、これらを利用するサーバは必要最低限に絞り込みます。そのうえで RDP を利用する場合は強固なパスワードを設定する、多要素認証やアクセス制限など追加のセキュリティを実装する、などの対策を行うようにしてください。
侵入後の被害発生を防ぐ(侵入を前提とした対策)
・端末上の不審な挙動を監視する
不正プログラムについては、仮に侵入時に検出できなくても、エンドポイント上における挙動監視機能や機械学習型検索機能のようなプログラムの挙動に着目した対策機能による警告で気づける場合があります。また、OS のログ監視機能や EDR(Endpoint Detection and Response)製品を利用することで、不審な活動の疑いがある端末の調査を迅速かつ効率的に実施することができます。
・内部ネットワーク上の不審な活動を監視する
攻撃者は初期侵入に成功すると、侵入に成功した端末に指令を下すために攻撃者のサーバ(コマンド&コントロールサーバ)と通信を行います。まず、端末が制御される段階においてはこの外部との C&C 通信を検知することが効果的です。また、情報探索や水平移動などのネットワーク内での「内部活動」を可視化できる対策も重要です。具体的には、組織内の複数の端末を横断するスキャン、不正ログイン、データ移動などの挙動が発生していないかネットワーク上で監視を行うべきです。
・内部ネットワーク上のシステムの脆弱性に素早く対応する
ランサムウェア攻撃においても、活動を拡大する手法として内部サーバ、特に AD サーバを侵害することが攻撃者の常套手段となっています。前出の個々のランサムウェア事例の中でもあったように、内部サーバへの攻撃には既知の脆弱性を利用した攻撃(N デイ攻撃)が見られています。このため、外部に公開されたサーバだけでなく、内部サーバ上の脆弱性に関しても迅速に対応するべきです。
その他ランサムウェア攻撃全体に対して有効な対策
・3-2-1ルールに従ってデータのバックアップを行う
少なくとも、データ暗号化に対してはバックアップによる復旧が有効です。3-2-1ルールは、まず3つ以上のバックアップ用コピーを作成し保存します。そして、2つの異なる種類のメディアに保存します(例:ハードディスクとUSBメモリ)。そのうちの1つは、他の2つとは異なる場所に保存します(例:オフィスとデータセンタ)。ただし、ネットワーク経由で全てのバックアップが暗号化されてしまうことを防ぐため、これらは同一のネットワーク内で管理してはいけません。
・最小権限の原則に従い、管理者権限を適切に管理する
攻撃者に管理者権限を取得されると、水平移動やランサムウェア展開など様々な行動が可能になります。ランサムウェア攻撃で利用される正規ツールやハッキングツール、通常の利用者には不要なアプリケーションなど、特定のプログラムの実行権限を最小限にすることで攻撃者による内部活動を阻害することができます。
・インシデント対応体制を構築する
昨今のランサムウェア攻撃は、前述のとおり標的型攻撃の手法で時間をかけて行う攻撃も多い傾向にあります。よって、不審な活動を迅速に検知した際に素早く対応できるインシデント体制構築は、実被害を抑制するという観点では特に重要です。「インシデント発生が疑われる不審な事象が確認された場合の対応や報告手順」「調査対象システムの保全方法(メモリダンプ・ディスクイメージの取得等)」「システム停止やネットワーク遮断など業務に直結する対処の判断方法」などは事前に決めておくべき項目です。特に、迅速な意思決定を下すためには組織の意思決定層を含めた体制作りが必要です。
トレンドマイクロによるランサムウェア対策
トレンドマイクロでは、エンドポイントからネットワークやメールなど、様々なセキュリティレイヤに対する防御を提供することで多層防御を実現しています。また、これら複数のレイヤにまたがる情報を収集し、それらの相関付けすることによって攻撃の全体を可視化するXDR(eXtended Detection and Response)機能を提供します。これによって、ランサムウェアが実行される前の段階で攻撃活動を早期に発見します。詳しくはこちら
感染してしまったら
既に数台のPCやサーバ上のファイルが暗号化された、ランサムノートが表示されている、などの事実によりランサムウェア被害が発覚した場合、できることはあまり多くありません。ただし「影響範囲の特定」「封じ込め」「根絶」といったインシデントレスポンスを適切に行うことにより、被害の拡大を防ぎ、迅速な復旧につなげることが可能です。これらのインシデントレスポンスは必ずしも段階的に行うものではなく、前後したり、同時並行で行っていったりする事になります。
影響範囲の特定
・ランサムウェア被害を受けているエンドポイントやデータの特定
ファイルが暗号化されている、もしくはランサムノートが表示/存在するクライアント、サーバを特定しリストアップします。また、暗号化され使用不能になったデータも特定します。
・遠隔操作の特定
ネットワーク内でのランサムウェア拡散前には、外部からの侵入と遠隔操作が行われている可能性が高いです。プロキシなどの通信ログ、ネットワーク監視ログなどから不審な通信を行っている被疑端末を特定します。被疑端末にEDRなとの挙動監視製品がある場合はそのログも参照し、通信を行っている不審なプロセスなどを特定します。同時に内部活動に必要な管理者アカウントが乗っ取られている可能性もあります。システムログなどを参照し、本来使用されるはずのない端末上でネットワーク管理者アカウントが使われている、などの不審な事象がないか確認します。
・被窃取情報の特定
現在のランサムウェア攻撃ではネットワーク内の情報窃取とそれらの暴露を元にした脅迫が行われます。通信ログから外部に送出された通信を確認します。また被疑端末上に窃取情報を集約した圧縮ファイルなどが残っていないか確認することで窃取された情報が特定できる場合があります。また、既にランサムウェアの暴露サイト上で暴露が行われていないか調査することも考慮してください。多くのセキュリティベンダーはランサムウェア種別とその暴露サイトに関する知見を有しており、調査を支援可能です。
封じ込めと根絶
・インターネットの切断
組織のネットワークをインターネットから切断するかどうか判断します。ランサムウェア被害は外部から何らかの手段で侵入されたことを示しています。インターネットから切断することにより、更なる侵入や遠隔操作による感染拡大・情報漏洩の危険性をほぼ回避することができますが、当然業務などに大きな支障がでます。被害の発生時にどのような対応を行うかのポリシー策定を事前に行っておくことが望ましいです。影響範囲が特定できている場合は、侵害を受けているセグメントのみを切り離すなどの対処も可能です。またランサムウェアの横展開時にはRDPやファイル共有機能の悪用が行われている場合がありますので、それらの通信を遮断することも有効です。
・被害システムの隔離や調査
被害を受けた端末や、遠隔操作の踏み台となっている可能性のある被疑端末として特定された端末への対応を行います。被害の拡大を防ぐ観点からは速やかにネットワークから隔離してください。そして端末上にて不審な操作、アカウント、プロセスやセッションの有無などを調査し、対応を決めてください。ランサムウェア被害を受けている場合、ネットワーク管理者アカウントの乗っ取りや、ドメインコントローラ・ADサーバも侵害されている可能性があります。管理者アカウントのパスワード変更や、ドメインコントローラやADサーバ上で変更された設定やポリシーの無効化を行ってください。
ランサムウェアの種類と手口
ランサムウェアには様々な種類(ファミリー)があり、それぞれ異なるオペレーターが背後に存在します。また、ランサムウェアファミリーによって攻撃対象の傾向や攻撃手口が異なります。トレンドマイクロでは、主要なランサムウェアファミリーの解説をブログでまとめています。特定のファミリーの活動が活発化した際、あるいはランサムウェア攻撃を受けた際にファミリーが特定できる場合は、被害原因の特定などのためにご参照ください。
また、最近のランサムウェア攻撃においては、ランサムウェアを攻撃に使いたいと考える利用者(アフィリエイター)向けにランサムウェアを販売・レンタルするサービス「Ransomware as a Service(RaaS)」が普及しています。これまでのランサムウェア攻撃はランサムウェアの作成および運営をこなす攻撃者自身が仕掛けるものが中心でしたが、RaaS が登場したことで、技術的な知識を持たない攻撃者でも自分たちが狙う対象に対して容易にランサムウェア攻撃を仕掛けることが可能になり、世界的にランサムウェア攻撃が拡大している要因の一つにもなっています。実際に、Locky、REvil、Ryukなどを始めとする、トレンドマイクロでも検出台数が多いランサムウェアファミリーのほとんどがRaaSによって提供されています。RaaSの詳細については、リサーチペーパー「広範な攻撃を可能にするサービスとしてのランサムウェア(RaaS)」をご覧ください。
図:ランサムウェアの直接運用(左)および RaaS を介した運用(右)の比較
ウェビナーによる解説
