他人事ではないランサムウェア、被害の半数は中小企業
企業を取り巻くサイバーセキュリティ状況は刻々と変化している。最新のトレンドとして岡本氏は情報処理推進機構(IPA)の2022年版情報セキュリティ10大脅威を紹介。上位2位は2021年版と変わらず、トップが「ランサムウェアによる被害」、2位に「標的型攻撃による機密情報の窃取」となった。
ランサムウェアは大企業を狙う攻撃というイメージもあるが、令和3年(2021年)は、ランサムウェア被害の54%が中小企業だったという。「企業規模に関係なく、深刻な脅威になっている」と岡本氏は指摘する。
ランサムウェアそのものも進化している。このところ被害が増加している最新型は、攻撃手法などが従来とは異なる。たとえば、これまでは「バラマキ型」で自動拡散していく手法だったが、特定の企業を狙う「標的型」が増えているという。
侵入後に攻撃者が手動でシステム内を探索して重要度の高いサーバーを狙って攻撃する「手動拡散」と組み合わせているそうだ。また、データの暗号化に加えて、暗号化の前に重要な情報を盗み出し、盗んだ情報を公開されたくなければ身代金を支払うように求める「二重恐喝」も増えているとのこと。
攻撃者側では、簡単にランサムウェアを拡散できる「RaaS(Ransomware as a Service)」という仕組みを使って攻撃するケースが増えている。RaaSではランサムウェア攻撃に必要な技術やノウハウをサービス化して提供しているため、攻撃者は高い技術力がなくてもRaaSを利用することで簡単に攻撃を開始でき、RaaS運営側はより高度な攻撃手法の開発に注力できるという役割分担が進んでいるようだ。
二重恐喝、RaaS…最新型ランサムウェアの実態
岡本氏は実際のランサムウェア「Conti」を例にとって、上記の傾向を具体的に説明した。
Contiはトレンドマイクロの「2021年 年間セキュリティラウンドアップ」で、「REvil」「LockBit」に次いで3番目に検出数が多いランサムウェアだ。岡本氏によると3種類すべて、標的型、手動拡散、二重恐喝、そしてRaaSを利用しているランサムウェアだという。
Contiは初期侵入でフィッシング攻撃の他に、ネットワーク機器の脆弱性も利用する。「ランサムウェア対策というとエンドポイントやメールでの対策のイメージが強いが、最新型では従来の対策にあわせてネットワーク機器などの脆弱性対策も必要になる」と岡本氏。
なお、脆弱性としてはどこの企業でも使われているような製品、サービスにあるものが悪用されており、「多くの企業や団体がContiの攻撃対象になりうる可能性がある」という。
システムへの侵入後、Contiは特権昇格を試みる。ここでは、ドメイン管理者の認証情報を狙うだけでなく、脆弱性を悪用して攻撃者自身の権限を昇格するケースも確認されているとのことだ。
特権昇格した後は、クレデンシャルの入手、システム内の探索活動、攻撃検知を防ぐためのセキュリティソフトウェアの終了などを行い、後に二重恐喝ができる重要情報を盗み出す。その後、ランサムウェアを実行するという流れだ。このように、初期侵入後、内部活動を経てデータを窃取し、最後にランサムウェアを実行するという攻撃の流れは、Conti以外の最新型のランサムウェアでも共通しているそうだ。
なお、岡本氏によると最新型のランサムウェアでは侵入からデータ持ち出しまでに要する時間は平均して6.55日と、1週間も要していないのだ。
つまりランサムウェアの被害を防ぐためには5日以内に対策を実施する必要がある。
最新型ランサムウェア対抗のポイントは「防御」と「検知」
では高度化するランサムウェアに対し、どのような対策が有効なのか。
その前に現状を見てみよう。岡本氏によるとランサムウェア対策は「EDR(Endpoint Detection and Response)」(56.7%)と「NDR(Network Detection and Response)」(56.2%)が多いが、7.4%が「いずれも利用していない」と回答するなど、手付かずの状態にある企業も少なからずいる。
だが対策を取っていても、最新型のランサムウェアを効果的に検出できているとは言えないことがデータから明らかになった。検出できるタイミングとして最も多いのは、「ランサムウェア実行時」だ。
この場合、「既にシステム内の探索が進んでおり、重要なデータが持ち出されてしまっている可能性が高い」(岡本氏)ということになる。「企業やシステムへの影響を考えると、初期侵入や内部探索の段階で攻撃を検出できることが理想的」と岡本氏は指摘する。
取るべき対策を考えるに当たって岡本氏は、すべてのステップ(初期導入、アンチウイルスなどセキュリティソフトウェアの無効化、遠隔操作の通信(コールバック)、認証の取得、内部探索、データ持ち出し、ランサムウェア実行)で取るべき対策は異なるとしながら、ポイントとして「防御」と「検知」を挙げる。
「様々な攻撃に対する防御はもちろん、データを関連づけながら早期に攻撃に対処する検知を組み合わせた仕組みを構築することが重要」と岡本氏。
さらに防御においては、1製品で複数のセキュリティ機能を備える「多層防御」により対策を効率化できるという。既にセキュリティ製品を導入している場合、足りない部分だけを新しいセキュリティ製品で補うアプローチでも良いとのことだ。
検知は、EDRはデータの収集範囲がエンドポイントに限定されるのに対し、エンドポイントだけでなく、メール、サーバー、クラウドワークロード、ネットワークなど複数のレイヤーのデータを収集できるXDR(Extended Detection and Response)の方が「より横断的、俯瞰的な分析ができる」と岡本氏。
特にサーバー環境でのEDRの必要性については、「最新型ランサムウェアの最終目的地はエンドポイントではなくシステム内のサーバーであり、この場合、攻撃が行われているサーバーの情報をもとに分析することが効果的」との見解を示す。初期侵入からデータ持ち出しまでの平均所要日数が6.55日であることを考慮すると、「EDRよりもXDRの方が望ましい」と続けた。
なおサーバーEDRの必要性については、ランサムウェアが攻撃対象をLinuxにも広げていることも要因に挙げている。
サーバ向け「Trend Micro Cloud One - Workload Security」ができること
このような最新型ランサムウェアなどの脅威トレンドに対応できるトレンドマイクロのセキュリティ製品が「Trend Micro Cloud One - Workload Security」だ。
Workload Securityは、保護対象サーバーにエージェントをインストールすることで、サーバーの脆弱性や不正プログラムなどの脅威に対する多層防御機能とXDR機能が得られる製品だ。クラウド環境にあるサーバー、仮想マシン、物理マシンも保護できるため、「クラウド移行を進める中で複数の環境が混在するというケースでもセキュリティレベルを統一できる」と岡本氏は説明する。
Windows、Linuxに対応し、IPS/IDSとファイアウォールから不正プログラム対策/変更監視まで、ランサムウェアの攻撃の流れすべてに対応する機能を有するため、「ランサムウェア脅威の軽減を支援できる」と岡本氏。
特に、サーバー向けXDR機能では、サーバーからデータを収集してユーザー情報や起動プロセス、実行コマンドなどを相関づけて可視化したり、感染端末隔離などの対処もできるという。これにより、最新型ランサムウェアで求められる「防御」と「検知」で必要な多層防御とXDRを得られる。
最後に岡本氏は、ランサムウェア攻撃が高度化し、RaaSにより被害が拡大している現状に対して、「初期侵入からデータ持ち出しまでの期間は6.55日。短期間で攻撃を効率よく発見して被害拡大を防ぐ仕組みを構築することが重要」とアドバイスした。トレンドマイクロのWorkload Securityは30日間の無料体験を用意しているので、ぜひ試してみてはいかがだろうか。
クラウドワークロードのセキュリティを検討中の方におすすめ!
AWS環境をはじめとするクラウドを利用する際に、セキュリティに悩む方は多いのではないでしょうか? クラウド環境のワークロードに対して、どんなセキュリティを実装すれば良いかご興味のある方は、トレンドマイクロ公式サイトから是非お気軽にお問い合わせください。