ランサムウェアは「Human Operated」へと高度化が進む
IPAから今年発表された『情報セキュリティ10大脅威 2023【組織編】』において、「ランサムウェアによる被害」が3年連続トップを占めるように、近年ランサムウェアの脅威が高止まりしている。特に直近の2022年10~12月期は過去最多を記録した。被害に遭った企業を業種別に見ると、トップは製造業が約3割(29%)占めたものの、他は様々な業種にわたる。
トレンドマイクロの岡本詩織氏は「業種に関係なく被害に遭っているため、『うちは製造業じゃないから大丈夫』と油断しないように」とくぎを刺す。脆弱なVPNをはじめ、侵入可能な弱点を残していれば、すべからく狙われると考えていいだろう。
ランサムウェアは徐々に進化を遂げている。初期のものはメールでばらまかれ、起動してしまうと暗号化処理が自動的に進むという単純なものだった。最近の主流は「Human Operated」だ。ターゲットとなる環境に侵入が成功すると、攻撃者が手を動かして侵害範囲を広げていく。内部活動で高い権限を獲得したり、データを持ち出したり、より多くの成果を得るための下準備を経た上で、最終的にランサムウェアが実行されるという流れになってきている。
一連の流れのなかでも、近年の特徴となる初期侵入と内部活動について詳しく見ていこう。侵入経路は2019~2020年にはメールが約3割を占めていたものの、2021年~2022年6月に至ると4.2%と大幅に減少している。逆に増えているのが脆弱性、RDP(Remote Desktop Protocol)、VPNだ。これらの合計は約2割から半数へと増加した。メールにおける対策は功を奏したものの、「それなら別の手段を」と攻撃の入口が変化してきている。
内部活動は複数の段階と攻撃手法がある。権限昇格、認証情報窃取、コールバック、内部探索、横展開などだ。脆弱性の悪用や攻撃ツールのほかにも、最近ではRDPやPsExecのような正規のツールを悪用するケースもあり、注意が必要だ。通常業務でも使うため一律に止めることはできず、正規利用なのか攻撃なのか判別が付きにくい。
クラウド環境で起きたランサムウェア被害実例
これからランサムウェア動向で最も注意すべきは「クラウド環境を狙ったもの」と岡本氏は警鐘を鳴らす。ここからは、実際のクラウド環境におけるランサムウェア感染事例を3件見ていこう。
感染事例1
情報通信業の企業で、従業員規模はグループ会社を含めて1千人以上、クラウド上で社内システムを運用していた。メンテナンスでサーバーのRDPポートを一時的に緩めたところ(ここまでは正規の作業)、閉めるのを忘れたまま運用していため攻撃者が侵入に成功してしまった。攻撃者はクラウド上のシステムにランサムウェアを展開し、結果として業務サーバー群が攻撃を受け、業務が一部停止となった。
感染事例2
同じく情報通信業、従業員規模は1千名以上、クラウド上で社内システムを運用していた。クラウドのファイルサーバーは本来であれば公開範囲を限定していたところ、設定ミスで公開状態にあり、侵入を許してしまった。そこから攻撃者は情報を収集し、オンプレミスにある社内システムにもログインできるようになり、結果としてオンプレミスの業務サーバーが攻撃を受けて業務停止に追いやられた。
感染事例3
小売業、従業員規模は500名以上、クラウド上で社内システムを運用していた。社内向けのサーバーなので本来であれば外部からアクセスできないはずが、なぜか外部IPを設定して公開状態となっており、侵入を許してしまった。そこから攻撃者はRDPで業務サーバー群に接続してツールを入手するといった過程を経て業務サーバーを攻撃し、結果として業務が一部停止となってしまった。
こうしたクラウド環境を狙うランサムウェアの攻撃はこれからも増えていくと想像できる。そこで対策のポイントとなるのが「防御」と「検知」の両立だ。岡本氏は「ランサムウェアというとどうしても防御に目が向きがちですが、同じくらい重要なのがなるべく早く攻撃に対処するための検知の仕組み作りです。どちらかだけではなく、両立が重要です」と強調する。
防御のポイントは「多層防御」だ。最新のランサムウェアでは複数の攻撃ステップがあるため、複数の防御策を重ねることで脅威を低減させていくことができる。検知のポイントはEDR/XDR。各種ログを分析すれば検知につなげられるものの、手動では厳しい。様々なデータを迅速に収集し、関連付けて脅威を検知できるEDR/XDRの活用が有効になる。
なおEDRとXDRの違いはデータを収集する範囲となる。EDRはエンドポイントが中心となり、XDRはエンドポイントのほかにもメール、サーバー、クラウドワークロード、ネットワークも担当領域とする。どちらも不審な挙動を検知して、迅速な対応ができるように支援するソリューションとなる。
クラウド環境も含めた、最新のランサムウェア対策決定版
クラウド環境も視野に入れたランサムウェア対策で防御と検知が有効となる中、トレンドマイクロが提供しているのが「Trend Micro Cloud One - Workload Security」と「Trend Vision One」だ。
「Trend Micro Cloud One - Workload Security」(以下、Workload Security)はクラウド環境における脆弱性対策や多層防御を実現する。クラウド環境のサーバーにエージェントをインストールすれば、トレンドマイクロの管理サーバー経由で機能が提供されるため管理サーバーの構築や運用は必要ない。
「Trend Vision One」(以下、Vision One)は、一言でいえばリスクが可視化されたコンソールだ。高度なスレットインテリジェンスと相関分析で迅速なインシデント対応、環境全体のリスクを可視化、リスクに基づく動的なアクセス制御などを通じてゼロトラストを実現するサイバーセキュリティプラットフォームとなる。
「Workload Security」から様々なデータを収集し、「Vision One」で脅威の可視化とインシデント対応するため、メールやエンドポイント製品と組み合わせればXDRとして機能させることが可能となっている。
クレデンシャル情報の窃取を「Vision One」から見ると?
ここからは岡本氏が「Workload Security」と「Vision One」が導入された環境において、ランサムウェア攻撃がどのように見えて、何ができるのかをデモを通して解説した。今回のデモで注目すべきは、以下の3点だ。
- 防御よりも検知に焦点を当てていること
- クレデンシャル情報の窃取を検知できること
- 正規ツールの悪用を検知できること
デモでは「攻撃者がRDSで社内サーバーAに接続し(権限昇格済み)、PsExecを使い別の社内サーバーBへとログインし、レジストリからAdmin権限のパスワードハッシュを取得してクレデンシャル情報を窃取する」という流れとなる。
デモで示した、トレンドマイクロの多層防御
こうした攻撃が行われる中、「Vision One」からはクレデンシャルが窃取されているところと、PsExecが実行されているところが検知されているのが確認できる。
コンソールでは誰が何を実行したのかが図示されていて、掘り下げていくと「何時にどのようなコマンドが発行されたか、どのようなプロセスが起動したか」といった情報を確認できる。
たとえば、「業務時間外」であったり「業務では普段使わないコマンド」であれば、リスクが高いと判断するヒントになる。またPsExecの部分では「内部展開ではないか」という警告も表示されているし、この部分の詳細を確認すると、どこのサーバーと接続したのかも確認できる。
クレデンシャル窃取に該当する警告部分も同様に、コンソールから誰が何をしたかをも確認できる。掘り下げていくと、PsExecで侵入し、コマンドプロンプトを起動し、レジストリに対して操作したという一連の動きが確認可能だ。実際に実行されたコマンドを見ると、クレデンシャルが窃取されたのがわかるようになっている。
また今回の攻撃シナリオでは、マシンAからマシンBへと侵入しクレデンシャルを窃取したため、攻撃者が再度マシンBに侵入するのを防ぐためにマシンBを隔離することも可能となっている。「Vision One」のコンソールからエンドポイントを隔離するタスクを実行すれば、この「Vision One」以外からマシンBへはログインができなくなるという形だ。
このように「Workload Security」と「Vision One」を併用することで、クラウド環境で多層防御とEDR/XDR機能を利用できる。岡本氏は「Workload Securityをご購入いただければ、最新のランサムウェアに対する防御と検知となる「Vision One」のXDR機能を無料でお使いいただけます」と念を押す。
冒頭に述べたように、2019年からランサムウェアの被害が増え続けている。これからのランサムウェア対策は(オンプレにある)エンドポイントだけではなく、クラウド環境も視野に入れていく必要がある。最新型のランサムウェアに対応し、被害を最小限に抑えるには、サーバーにおける多層防御とEDR/XDRによる検知の両立が重要となる。
最後に岡本氏は、「実際にサーバーの多層防御とEDR/XDRを実現したいとなった場合には「Trend Micro Cloud One - Workload Security」と「Vision One」を思い出していただければと思います」と述べて講演を締めた。
