ランサムウェアは再び勢力を増す、その進化とトレンドについて

 2020.10.05  EDR実践ポータル

企業や個人が使うファイルを暗号化して、コンピュータやデータへのアクセスを妨害し、ロック解除と引き換えに身代金(Ransom)を要求する「ランサムウェア」。多くの場合、ランサムウェア本体を削除しても、ファイルは暗号化されたままで、復号キーがなければデータの復元は事実上不可能とされています。

2017年に「WannaCry(ワナクライ)」が世界中で被害を出し、ランサムウェアの存在が知れ渡ることになりましたが、その後も勢力を保ち、近年は“攻撃対象の拡大”と“攻撃手法の先鋭化”という二極化の方向も見えてきました。ここから先は、ランサムウェアが拡大した理由、後半は攻撃の先鋭化にフォーカスし、最後に現時点での最善の防御体制を考えてみましょう。

ransomware-1

ブレークスルーは暗号通貨とtor

コンピュータへのアクセスを妨害し、ロック解除と引き換えに身代金を要求する手口は昔からあり、1980年代には確認されています。現在のランサムウェアの原型ができたのは2000年代の中頃ですが、大規模な拡散には至りませんでした。大きな理由は換金。身代金の略奪に成功しても、金融機関への送金時に足がつきやすかったからです。

ブレークスルーになったのは、ビットコインなどの暗号通貨の進展と、「tor:the onion router(トーア)」と呼ぶ通信プロトコルの存在です。匿名性が高い状態でやり取りできる暗号通貨は、犯罪者にとっても好都合で、2010年代以降に拡散したランサムウェアの多くは、身代金の支払い手段としてビットコインを要求してきます。

ビットコインでの身代金の支払いを要求するメッセージ

torは接続経路を秘匿する技術やソフトウェアで、インターネットプロバイダやサーバの運営企業に対し、通信を匿名化するために開発されたものです。ランサムウェアを扱う攻撃者は、プライバシー保護のための技術を悪用し、身代金をより安全に搾取するための通信手段も得たというわけです。

当初は“ばら蒔き型”が拡散

2010年代にランサムウェアが拡散する温床になったのは、“ダークWeb”と呼ばれる闇市場です。この特殊なサイバー空間では、ランサムウェア本体や亜種を簡単に生成できるツールも流通しています。クラウドからソフトウェアの機能を提供する「SaaS:Software as a Service」になぞらえ、攻撃メール配信やソフトの保管など、攻撃に必要な機能を供給する「RaaS:Ransomware as a Service」も稼動。ランサムウェアは、闇市場の“ヒット商品”になってしまったのです。

攻撃者にとっては、ランサムウェアはツールが容易に入手でき、ファイルを暗号化した後は、暗号通貨の入金を待つだけです。盗んだ情報を闇市場で換金する手間も生じません。こうした特性からランサムウェアを使う攻撃者が増え、著名企業から中小の事業者まで、ばら蒔き型の攻撃が拡がっていきました。これが二極化の一方のトレンド、“攻撃対象の拡散”です。

効率低下からピンポイント攻撃へ向かう

中小企業にもターゲットを広げたランサムウェアですが、攻撃側にもコストと運用面での効率の悪さという課題が見えてきました。まず無差別攻撃を続けるには、マルウェアの管理や大量のメール配信のためのサーバの維持管理が必要です。

また中小企業は大企業に比べセキュリティがあまいところが多く、ランサムウェアを仕込むまでの成功率は高いとしても、換金が容易ではありません。暗号通貨や匿名化通信の利用には一定のスキルも必要ですから、すべての被害者が対応できるとは限らないからです。

身代金を払う苦渋の決断をした被害者に対し、ビットコインの口座開設とtorのインストールの指導が必要なケースも少なくありません。一部の犯罪組織は、“サポート窓口”を開設しているようですが、手間とコストは軽視できないでしょう。

そこで先進的な犯罪集団は、標的を厳選して攻撃の精度を上げ、手口を研き、より少ない労力で多額の身代金を狙うようになりました。これが二つ目のトレンド、“攻撃の先鋭化”です。

中堅・中小企業におけるランサムウェアの現実
2020年版グローバル脅威レポート:エグゼクティブサマリー

標的型攻撃から切り崩す

先鋭化したランサムウェアは、医療施設や地方自治体、製造業など、標的を絞って、それぞれの業態とシステムの特徴を精査し、効果を上げやすい手法を選別して攻撃をしかけてきます。多くの機密情報を持つ組織に対しては、システムをロックするだけでなく、データを外部に出すと脅す手口も目立つようになりました。

「標的型攻撃」も採り入れています。この攻撃は、特定の組織・人物を狙って、マルウェアを貼付したメールからPCを感染させ、ここを起点に内部にある機密情報を搾取などを行う手口です。メールを傍受して標的の内情を調べ上げ、経営層や取引先などを装い、タイミングを計って攻撃に出る巧みさから、警戒はしていてもなかなか根絶はできません。

攻撃手法も巧妙化してきました。例えば「ファイルレス型攻撃」の増加。ここはランサムウェアに限った話ではないのですが、「PowerShell」や「WMI:Windows Management Instrumentation」など、OSやツールにもともと備わっている機能を悪用する攻撃で、実行ファイルをディスクに書き込むことがないため、ほとんどの従来型アンチウイルスソフトをすり抜けてしまいます。

“Big Game Hunting”への戦略転換

ばら蒔き型から、標的を絞り、攻撃手法を選別し、1度に大金を搾取する攻撃へ。“Big Game Hunting(BGH)”と形容される戦略への転換です。この傾向は、2018年頃から顕在化してきました。米国では、地方自治体や教育、医療などの公的機関、ヘルスケア、金融分野などの大企業が狙われ、多くの被害が明らかになっています。

             “Big Game Hunting”の攻撃イメージ

大企業を狙って内部で感染を拡大し巨額の身代金を要求する

BGHの首謀者が、自治体や医療施設を狙う理由は、身代金の要求に応ずる可能性が高いからです。特に医療施設における長時間のシステムダウンは患者の身体にも関わるため、絶対に避けなければなりません。米国では2018年、主に医療や教育機関を狙う「SamSam(サムサム)」というランサムウェアの攻撃を受けた病院が身代金を払い、数日で平常業務に復帰させた例も報告されていました。

2019年には「Ryuk(リューク)」も大きな被害を出しています。大企業を主な標的にするランサムウェアで、医療機関や介護施設などを対象にITサービスを提供するMSP(Managed Service Provider)が攻撃を受けました。空港と関連施設のシステム運用を担う別のMSPでも、「Sodinokibi(ソディノキビ)」というランサムウェアによる侵害があったとされています。

このようにMSPと関連事業者のようなシステムのつながり、もう少し視野を広げると、サプライチェーンを足場に感染の拡大を狙う攻撃は、今後も特に警戒しなければならないでしょう。

国家主導型組織との連携も?

BGHの標的になり得る公共機関や大企業にとって憂慮すべき事態は、この世界で知られた犯罪組織が連携する兆しも見えている点です。SamSam、Ryukなどの作成者、グループはほぼ特定できていますが、標的型攻撃の成功率を上げるため、組織間で協力を始めていることも分かってきました。

国家主導型のサイバー攻撃と、既知の犯罪組織による攻撃の境界が曖昧になってきた点も、事態を複雑にしています。二つの世界で連携が進んでいるか否かは判然としませんが、いずれもRyukの改良型を使うなど、いくつか共通する要素も見出すことができます。

日常的に攻撃手法を研いている犯罪組織が標的を絞り、執拗な攻撃を仕掛けてくれば、残念ながら100%のブロックは難しいと言わざるを得ません。日本の地方自治体、医療機関、教育機関、そして大企業もそのターゲットから逃れることは困難でしょう。

マルウェア対策とエンドポイント保護の強化を

ランサムウェアの感染経路は、メールの添付ファイルを使う手口が多いのですが、Webページのポップアップ画面のすり替え、OSやアプリケーションの脆弱性の悪用も常套手段です。例えば、経営層のメールアドレスを乗っ取り、業務連絡を装ったメールは、対標的型攻撃の訓練を実践している企業でも一定数は開封してしまいます。ポップアップの悪用も、簡単に識別ができないほど巧妙化してきました。

このような状況を加味すると、先鋭化するランサムウェア、BGHを防ぐには、まず基本的なマルウェア対策の実践が前提になります。

 ・OS、アプリケーションを常に最新の状態に保つ

 ・メールの添付ファイル、リンクは不用意に開かない

 ・標的型攻撃への対策・訓練を実施

 ・継続的なセキュリティ教育の実施

--------------------

 ・バックアップ(適切なメンテナンスの実施)

・エンドポイントセキュリティの強化

ランサムウェアに特化した対策としては、バックアップが重要です。攻撃者もバックアップの存在は想定していますから、必ず狙ってくるはずです。クライアントPCからは分離したネットワーク、あるいは物理的に切り離したストレージなどに保存すること。万一の事態に備え、バックアップの適切なメンテナンスと、バックアップを使って短時間でシステムを再稼働するための訓練も実施してください。

システム上の備えは、エンドポイント(サーバやPCなどネットワークの構成機器)に対する保護の強化です。既知のマルウェア、新種のランサムウェアも検知するための機械学習、脆弱性を突く攻撃に対するエクスプロイトブロッキング、攻撃の兆候を検知するIOA(Indicator Of Attack)など、複数の視点から多層的に企業システムを保護するエンドポイントセキュリティのソリューションでガードを固めることが有効です。

脆弱性を突く「WannaCry」の動作を検出したエンドポイント保護の画面イメージ

※ランサムウェアの種類、被害の実例、ソリューションの機能など、より詳細な情報については、ホワイトペーパー「ランサムウェアの進化:新たな攻撃トレンドとメソッドから組織を保護する方法」でご確認ください。

ランサムウェアの進化:新たな攻撃トレンドとメソッドから組織を保護する方法

RECENT POST「アンチウィルス」の最新記事


ランサムウェアは再び勢力を増す、その進化とトレンドについて
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング