マイクロソフト脅威保護インテリジェンスチーム
※ 本ブログはアジア時間 5 月 20 日に公開された “Preventing attackers from taking your organization’s data ransom” の抄訳です。
サイバー犯罪者が新型コロナウイルス感染症 (COVID-19) を機に攻撃を活発化させ、緊急性の高い現状を狙うと共に、手にした情報やアクセス手段を使って今後の攻撃を計画し勢力を伸ばそうとしています。
2020 年 4 月の前半 2 週間 だけでも、複数のグループがランサムウェアを数十個ほど展開させており、数ヶ月にわたって標的としていたネットワークへのアクセスを積み重ねています。こうした攻撃が致命的な被害につながる可能性もあります。攻撃によって、援助団体や医療請求会社、製造、運輸、政府機関、教育ソフトウェア提供会社などに影響が及ぶためです。それでもランサムウェアグループは、現在世界中が危機に陥っているにもかかわらず、攻撃によって影響が出る重要なサービスのことなどほとんど考えていないようです。
脆弱なシステムは実際の攻撃よりずっと以前から標的に
過去のインシデントを深く掘り下げ、攻撃者に対抗する方法をさらに理解しようとする中で、あることが判明しました。マイクロソフトのセキュリティインテリジェンスと、マイクロソフト検知対応チーム (DART: Detection and Response Team) が関連インシデントで対応した際の犯罪科学データによると、攻撃につながったセキュリティ侵害の多くは、実際には数ヶ月前に発生していたのです。攻撃者は標的とするネットワークに潜入して静かに待ち、最も金銭的利益が出ると思われる時にランサムウェアを展開して攻撃を収益化していました。
最近のランサムウェア活動は、標的とするネットワークにアクセスしようと、インターネットと接している脆弱なシステムを悪用していました。脆弱なシステムとは、多要素認証 (MFA) が施されていないシステムなどのことです。ハッカーは、古い Windows プラットフォームで更新されておらず脆弱なパスワードを使っているものも狙っていたほか、設定を間違えたウェブサーバや、ある既存の脆弱性が存在するシステムも探していました。
こうした攻撃にはすべて、初期アクセス、認証情報の盗難、横展開 (ラテラルムーブメント)、執拗さなどが見られ、人間が操作するランサムウェア活動と同じテクニックが使われていました。攻撃者が選んだランサムウェアのペイロードを展開したところで、攻撃はすべて完了します。
人間が操作するランサムウェア活動と同様、このような最近の攻撃はあっという間にネットワーク環境全体へと広がり、メールのアイデンティティやエンドポイント、受信トレイ、アプリケーションなどに影響を及ぼします。全面的に侵害されたネットワークから攻撃者を完全に排除するのは専門家でも困難なため、脆弱でインターネットと接しているシステムには積極的にパッチを当て、こうした攻撃のリスクを抑える対策を講じることが重要となります。
攻撃が発生した際には迅速な対応を
万が一攻撃を受けた場合は、そのランサムウェア攻撃に関連するアラートがあるかどうか迅速にネットワーク全体を確認し、調査と修復を優先させなくてはなりません。何をすべきか計画していれば、現状に対応しつつさらなる攻撃を防ぐことにもつながります。
組織のネットワークに影響が及んだ場合は、直ちに以下の検査と調査活動に取りかかり、侵害の影響をより詳細に把握してそれに応じた対策を講じてください。
- 影響が及んだエンドポイントと認証情報の調査: 影響が及んだエンドポイント (デスクトップパソコンやノートパソコン、モバイルデバイスなど、エンドユーザーデバイスのアクセスポイントとなるものです) の認証情報をすべて特定してください。セキュリティ侵害が発生したのですから、認証情報は攻撃者の手元にあり、関連するすべてのアカウントが不正アクセスされたと考えましょう。ソフトウェア全般に関しては、イベントログを確認し不正アクセス後のログイン情報を探しましょう。つまり、侵害行為が疑われる最も初期段階の侵害後および侵害時のログインを見つけ出すのです。
- 不正アクセスされたエンドポイントの隔離: コマンド & コントロールビーコンのあるエンドポイントや、横展開で標的となったエンドポイントを特定し、隔離してください。高度なハンティングクエリを使うか、関連する侵害指標 (IOC: Indicators of Compromise) を直接検索するといったような他の手法で特定できます。特定した後は、Microsoft Defender ATP や NetFlow などの防御ツールで隔離が可能です。
- インターネットと接する脆弱性への対策: 攻撃者がネットワークへのアクセスに使った可能性のある周辺システムを特定しましょう。その後、io をはじめとするパブリックスキャンインターフェースを使えば独自データを増強できます。リスクがあるとされている既知のシステムや、MFA の施されていないエンドポイントなどは特に注意してください。
- 関連マルウェアに感染したデバイスの検査と再構築: ランサムウェア操作者の多くは、既存のマルウェア感染を経由して標的とするネットワークに侵入します。既知の感染はすぐに調査して修復し、そこから巧妙な人間の敵対者が侵入する可能性があると考えましょう。暴かれてしまった認証情報や、新たなペイロード、横展開の形跡がないかしっかり確認した上で、感染したエンドポイントの再構築やパスワードのリセットを実施してください。
プロアクティブなセキュリティ衛生の構築でネットワークを防御
ランサムウェア操作者は継続的に新たな標的を狙ってセキュリティ侵害を仕掛けていることから、最善の防御戦略は入手可能なあらゆるツールを使ってプロアクティブにリスクを査定することです。認証情報の衛生状態を保つことや権限を最小限に抑えること、さらにはホストファイアウォールなど、実績のある対策を引き続き施行し、こうした攻撃を防御してください。
新たな侵害や、休眠組織の再活動、横展開の発生に対し、ネットワークの回復力を高めるには、以下のような施策を講じなくてはなりません。
- ローカル管理者パスワードソリューション (LAPS) などのツールで、ローカル管理者パスワードをランダム化しましょう。
- アカウントのロックアウトポリシーを施行し、誤ったパスワードで数回以上システムにログインしようと試みた人物はブロックするようにしましょう。
- 無防備なシステムにパッチをあて、MFA やベンダーが提供する緩和策など脆弱性を軽減させる対策を採用し、周辺セキュリティを良好に保ちましょう。
- ホストファイアウォールを利用し、横展開を制限してエンドポイントが SMB の TCP ポート 445 で通信できないようにしましょう。これにより、悪意のある活動は著しく阻害されます。
- ウイルス対策製品のクラウド保護機能を利用し、急速に進化する攻撃者のツールやテクニックに対抗しましょう。クラウドベースの機械学習保護機能は、新たな亜種や未知の亜種の大半をブロックします。
- ソフトウェアはすべて標準セキュリティベースラインの指示に従うようにしましょう。Microsoft Secure Score などのツールは、セキュリティに対する姿勢を測定し、改善や指導、管理に必要な行動を示してくれます。
- 改ざん防止機能を使って攻撃者がセキュリティサービスを停止しないようにしましょう。
- 攻撃面を削減するルールを施行しましょう。これには、ランサムウェア活動をブロックするルールも含まれます。
休みなく活動するランサムウェア攻撃者
4 月にランサムウェア攻撃が増加したことでわかったのは、攻撃者はこのような世界的危機の最中でも、攻撃によって引き起こされるサービスの中断が実世界にどんな影響を及ぼすか全く気に留めていないということです。ハッカーは、人や社会全体に対する影響がどのようなものであっても、混乱と潜在的な金銭的報酬以外のことは考えておらず、組織もハッカーが他のことも考慮していると考えるべきではないのです。
人間が操作するランサムウェア攻撃にはさまざまな脅威レベルが存在します。攻撃者がシステム管理やセキュリティの設定ミスを熟知していることから、侵害ネットワークの中で最も妨害の少ない経路に順応できるためです。攻撃者は巧妙にブロックを操り、攻撃を進める別の方法を見つけ出しています。こうした攻撃は複雑かつ広範囲で、全く同じ攻撃はひとつとして存在しません。
COVID-19 によって一部急速に進んだデジタルトランスフォーメーションにより、組織は迫り来る攻撃のリスクを軽減させる必要があることを認識し、準備を進めなくてはなりません。最新の防御策やツールで警戒状態を保ち、攻撃を受けた場合の対応策を知っていれば、組織の現在と未来を保護する上で大いに役立つでしょう。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。