「サービスとしてのサイバー犯罪」

「サービスとしてのサイバー犯罪(Cybercrime-as-a-Service、CaaS)」は、「Deep Web(ディープWeb)」のフォーラムで注視すべき動向です。これにより、サイバー犯罪ツールやサービスが広範囲に普及し、専門知識がなくても最小限のコストで誰でもサイバー犯罪者になることができます。また、サイバー犯罪者は、個人ユーザだけでなく、企業ネットワークを狙うことにも有効性を見出しており、IT管理者は対応を迫られています。本稿では、その1つとして「サービスとしてランサムウェア(Ransomware-as-a-Service、RaaS)」を説明します。

サービスとしてのランサムウェア

今日、身代金要求型不正プログラム(ランサムウェア)による被害は、最も深刻化なサイバー犯罪の1つとして周知されています。ユーザはインターネットを介してランサムウェアに感染します。ランサムウェアがインストールされると、ユーザは、感染PC内のファイルを人質として金銭を要求されます。ランサムウェアは、被害者の恐怖心を突いて大きな成果をあげています。2015年、ファミリ名「CryptoWall」のランサムウェアは、この手法で世界中の個人ユーザや企業から3億2千5百万米ドル(約330億円。2016年9月21日現在)を窃取しました。その他、多数のランサムウェアファミリが現在も活動しています。

例えば、米国ロサンゼルスの病院「Hollywood Presbyterian Medical Center (HPMC)」は、暗号化型ランサムウェア「LOCKY」に暗号化されたファイルを復号するために1万7千米ドル(約173万円、2016年9月20日現在)を支払いしました。

ランサムウェアは、かつては個人ユーザのみの問題でしたが、そのソーシャルエンジニアリングの手口やランサムウェアの機能も巧妙化し続け、現在は企業ネットワークも標的にしています。ファイルを暗号化する暗号化型ランサムウェアが台頭し、データベース関連ファイルや、Webページ、SQLファイルなど、個人PCで利用されない業務関連ファイルを狙ったケースの増加から、トレンドマイクロでもこの傾向を確認しています。

図1:ランサムウェアに暗号化される業務関連ファイル:確認済ファイルのタイプ別内訳
図1:ランサムウェアに暗号化される業務関連ファイル:確認済ファイルのタイプ別内訳

予想どおり、ランサムウェアは「サービスとしてのランサムウェア(Ransomware as a service、RaaS)」としてディープWebのフォーラム上で販売されています。このサービスを利用すれば、専門知識がなくとも、誰でもがランサムウェアを利用した攻撃を遂行できます。

図2:RaaSでは、ランサムウェア販売業者も、感染ユーザが支払った身代金の分け前を受け取る。1つのランサムウェアを複数で共有するため、従来のランサムウェアビジネスモデルよりも多くの利益が見込める
図2:RaaSでは、ランサムウェア販売業者も、感染ユーザが支払った身代金の分け前を受け取る。1つのランサムウェアを複数で共有するため、従来のランサムウェアビジネスモデルよりも多くの利益が見込める

図3:弊社は、複数のアンダーグランドのフォーラム上でRaaSの宣伝を確認。ライセンス無期限で価格39米ドル(約4千円、2016年9月20日現在)のランサムウェアを提供するサービスも散見される。
図3:弊社は、複数のアンダーグランドのフォーラム上でRaaSの宣伝を確認。ライセンス無期限で価格39米ドル(約4千円、2016年9月20日現在)のランサムウェアを提供するサービスも散見される。

図4:2016年最初の6ヵ月で79に及ぶ新たなランサムウェアファミリを確認。
図4:2016年最初の6ヵ月で79に及ぶ新たなランサムウェアファミリを確認。

企業への影響は?

こうしたRaaS普及に伴い、ランサムウェアの利用は拡大しています。弊社の調査でも、ランサムウェアのファミリ数は、2016年上半期だけで2015年全体の2.7倍に達したことが判明しました。

この傾向は、今まで以上にあらゆるタイプのファイルが危険にさらされることを意味します。例えば、製薬会社で機密の薬品製法や販売会社の重要顧客リスト、さらには、病院や、原子力発電所、産業制御システム(ICS)の運用に不可欠なシステムファイルなどです。ランサムウェアは、直接的にも間接的にも企業の根幹に影響を与える恐れがあります。以下のような被害が考えられます。

  • 売上損失
  • 支払い、配達、取引の遅延
  • 注文の未処理
  • 取引の障害
  • 生産性の損失
  • 刑事処分
  • 課徴金
  • 企業のブランド毀損や評価の失墜

企業は身代金を支払うべきなのでしょうか。米国カンザス州の病院「Kansas Heart Hospital」は、身代金を支払いましたが、サイバー犯罪者はファイルを復元する復号鍵を渡さず、二度目の支払いを要求してきました。

図5:技術的改良が多数確認され、ランサムウェアの検出や駆除が困難化している。
図5:技術的改良が多数確認され、ランサムウェアの検出や駆除が困難化している

「WALTRIX/CryptXXX」は、検出回避と侵入手法の両方を利用します。例えば、 「Angler Exploit Kit(Angler EK)」と正規のサービス、急速に変化するバイナリなどを利用します。 その他の侵入手法は以下のとおりです。

  • 「SURPRISE」は、リモートデスクトップコントロールソフトウェアを介して侵入します。
  • 「PETYA」は、人事部宛の「履歴書」をダウンロードするリンクが記載された職務応募者を装ったスパムメールで侵入します。
以下は最近のランサムウェアの挙動です。
  • 「SURPRISE」は、リモートデスクトップコントロールソフトウェアを介して侵入します。
  • 「PETYA」は、感染PCの「マスター・ブート・レコード(MBR)」を上書きし、ブルースクリーン(BSoD)を引き起こします。
  • 「SAMSAM(サムサム)」および「KIMCILWARE」は、Webサーバの脆弱性を利用します。
  • 「CERBER」は、Windowsのスタートアップ修復を無効にします。

ランサムウェアの脅威は、終息の気配もなく複雑に進化し、検出を回避し駆除や復旧の阻害する新たな手法を考案し続けています。企業を狙った最近のランサムウェアファミリも、弊社の解析で技術的改良が多数確認されており、セキュリティ企業にとってランサムウェアの検出や駆除はより困難になっています。

ランサムウェア対策

ネットワークを保護するIT管理者は、企業の生産性を損なわない中、ランサムウェアの脅威に対して多層的対策や、データバックアップや復旧の戦略、アクセス制御、適切な修正パッチ適用、従業員教育などの最善策を講じることです。

ランサムウェア活動段階(不正URLやスパムメール、脆弱性利用、その他の侵入経路から、PC感染とサイバー犯罪者との通信等の活動まで)を把握し、ランサムウェア実行前のブロック強化も重要です。

企業ではIT管理者が数百から数千に及ぶエンドポイント保護が必要な中、多層防御で各レイヤーが相互連携し、サイバー攻撃に先手を打つ「Connected Threat Defense」戦略が有効です。以下のセキュリティ技術が提供する脅威インテリジェンス、セキュリティ更新、各種保護機能がすべてのレイヤーでのアクセス可能となります。そしてサイバー攻撃への「防御」「検知」「対処」のスレットディフェンスライフサイクルのプロセスの自動化と、「エンドポイント」「サーバ」「ネットワーク」を跨いだシステム全体の一元的な可視化・統制を実現します。

図6:ランサムウェア検知の感染経路別の割合
図6:ランサムウェア検知の感染経路別の割合

ほとんどの脅威は上述のセキュリティ技術で検出’可能ですが、ランサムウェアが巧妙化する中、挙動監視機能や、不正変更監視機能、サウンドボックス機能を用いた、ゼロデイ攻撃や未知の脅威の対策も推奨します。