はじめに
データの窃取や暗号化をして金銭を要求する「ランサムウェア」の被害が後を絶たず、最近でも多くの企業が対応に追われています。
中でも企業内の大半のシステムが暗号化されて使用不可となるような、大規模なランサムウェア被害を受けた企業は特に対応に苦慮しています。
本記事では、ランサムウェア攻撃の流れと、リスク低減に向けて最低限実施すべき対策についてまとめました。
ランサムウェア攻撃の流れ
ランサムウェアを用いたサイバー攻撃の多くは、大きく以下の4フェーズで行われます。
- 初期アクセス
- 横展開・権限昇格
- データ窃取
- 暗号化・脅迫
以降、各フェーズについて事例を交えて説明します。
1. 初期アクセス
攻撃者が対象組織の内部ネットワークへアクセスするフェーズです。
侵入経路の多くは VPN機器 で、主に以下の2つの方法で初期侵入を行います。
①機器の脆弱性
利用しているVPN機器のバージョンが古い場合、第三者が容易に社内ネットワークに侵入できてしまう危険な脆弱性が残存している場合があります。
攻撃者にVPN機器の脆弱性を発見されてしまうと、それを悪用されて侵入を許してしまう恐れがあります。
また、脆弱性は新たに公表されることもあるため、最新バージョンのVPN機器を使っている場合でも注意が必要です。
脆弱性によっては、VPN機器のアカウント情報を窃取されている可能性があります。
侵入の可能性が疑われる場合は、脆弱性対応とともに速やかに管理者・ユーザのパスワード変更が必要となります。
②推測可能なパスワード
VPN機器への接続に利用する認証方法がパスワードのみで簡単な文字列に設定している場合、辞書攻撃などで攻撃者に認証情報を取得されてしまう可能性があります。その認証情報でVPN接続されることで、社内ネットワークへの不正アクセスを許してしまう恐れがあります。
VPN機器からの侵入の他に、インターネットから接続可能な状態となっているリモートデスクトップ(RDP)を起点に侵入されるケースもあります。
このケースでは、社内ネットワークにある端末だけでなく、モバイル通信ができるSIMカード入りのノートPCにも注意が必要です。
このような端末にはグローバルIPアドレスが付与されているため、インターネットからRDPで接続されて初期アクセスを許してしまう恐れがあります。
2. 横展開・権限昇格
攻撃者が対象組織の内部ネットワークで侵害範囲を広げるフェーズです。
ネットワーク内に存在する端末へアクセス試行を行い、攻撃者は侵害範囲を広げていきます。
内部ネットワークのセキュリティ対策を強固にしていると侵害範囲は限定的となる可能性がありますが、そうでない場合はあっという間に侵害範囲を広げられてしまう恐れがあります。
社内で稼働しているサーバにおいては、アプリケーションの稼働に影響を及ぼす可能性を懸念し、セキュリティパッチが適用されていない場合が多く見受けられ、そのようなサーバの脆弱性が突かれることで侵害範囲が広げられてしまいます。
また、近年はWindowsサーバ上で稼働するHyper-VやESXi上の仮想環境もターゲットとなっており、仮想化ソフトウェアの脆弱性や脆弱な認証情報(パスワードの使い回し等)を突いて侵害範囲が広げられた事例もあります。
そして、このフェーズで特に危険な侵害はドメイン管理者の権限(Domain Admins)を窃取されてしまうことです。
この権限を持ったユーザを窃取されると、ドメイン配下の端末全てが侵害されてしまうことになるため、大規模な被害の発生につながります。
ドメイン管理者の権限が窃取された事例として、以下のようなものがあげられます。
- ドメイン管理者のパスワードを簡単な文字列に設定していたため認証情報を取得された
- 構築や運用を委託しているベンダーに付与したドメイン管理者のアカウントが攻撃された
- 残存していた権限昇格可能な脆弱性が悪用されてドメイン管理者の権限を窃取された
3. データ窃取
攻撃者が侵害した端末からデータを窃取するフェーズです。
データ窃取の方法としては、クラウドストレージやデータ転送ツールが主に利用されます。
攻撃者が利用するクラウドストレージやデータ転送ツールには、例えば以下のようなものがあります。
-
クラウドストレージ
- Google Drive
- OneDrive
- Amazon S3
- Dropbox
- MEGA
-
データ転送ツール
- Rclone
- WinSCP
- FIleZilla
- MEGAsync
いずれもデータ窃取用のものでは無く、一般利用されているものがデータ窃取に悪用されているという特徴があります。
そのため、例えばクラウドストレージであれば、通信先のみで不審かどうかを見分けることは困難となります。
攻撃者は窃取したデータを次のフェーズの脅迫で利用し、金銭の支払いが無い場合にはリークサイトに公開します。
4. 暗号化・脅迫
攻撃者が侵害した端末内にあるファイルを暗号化し、金銭を要求するフェーズです。
攻撃者はこの段階ではじめて表立って活動するため、ランサムウェア被害に遭った企業の多くはこの最終フェーズではじめてランサムウェア被害の事実を認識しています。
攻撃者は侵害した各端末でランサムウェアを実行し、端末内のファイルを暗号化するとともに脅迫文(ランサムノート)をデスクトップ等に配置します。
ランサムノートには、例えば以下のような内容が記載されています。
- ファイルの暗号化/データ窃取を行った事実と金銭の要求
- リークサイトのURL(攻撃者が準備したダークウェブ上のサイト)
- ID(攻撃者が被害企業を特定するためのもの)
- 攻撃者の連絡先
ダークウェブ閲覧用のブラウザを用いてリークサイトのURLにアクセスすると、データ公開までの残時間や実際に窃取したデータのサンプル等が掲載されていることがあります。
リスク低減に向けた最低限の対策
先の暗号化・脅迫のフェーズから分かる通り、多くの攻撃者の目的は金銭です。
強固なセキュリティ対策を行っている企業に対して時間(=コスト)をかけて行うよりも、スキャンなどで発見した攻撃しやすい企業に対して短時間で容易に攻撃を仕掛ける方が高い費用対効果を得られると考えます。
このことから、攻撃者は企業の知名度や規模に関わらず攻撃しやすい組織をターゲットにします。
攻撃しやすい組織から脱するため、まずは以下の5点を確認し、問題があればすぐに是正することが望ましいです。
| 確認事項 | 対策 |
|---|---|
| VPN機器のバージョンに脆弱性は無いか | 脆弱性が改修された最新版へアップデートする |
| VPN接続の認証がパスワードのみでないか | 2要素認証を必須とする |
| VPN認証ユーザに不要なアカウントが存在していないか | 退職者のアカウントや権限の高いアカウントが登録されていないか棚卸しを行う |
| 制限なく外部からRDP/SMB/SSH接続可能な端末は無いか | 必要最低限の接続のみ許可する(不要であれば無効化する) |
| 管理者アカウントのパスワードは脆弱でないか | 複雑な文字列を設定し、同一パスワードの使い回しをしない |
上記はあくまでも最低限の確認事項と対策で、他にも必要な対策はたくさんあります。
例えば、VPN認証ユーザに対して適切なアクセス制限(ACL)を設定しておくことで、万が一、VPN経由での侵害を許してしまっても被害の影響範囲が限定的となる可能性があります。
本格的な対策に向けて、弊社が提供している「ランサムウェア対策支援サービス」をご活用いただくことも可能ですので、お気軽にお問い合わせください。
本記事が皆様のランサムウェア対策の一助となれば幸いです。
(参考)ランサムウェア対策に役立つ参考URL
ランサムウェアの被害に遭った際の対応については、以下のURLにとても分かりやすく記載されています。有事に備えて是非ご一読ください。
侵入型ランサムウェア攻撃を受けたら読むFAQ:JPCERT/CC
弊社について
弊社「ストーンビートセキュリティ株式会社」は情報セキュリティの専門企業(技術者集団)です!ペネトレーションテストや脆弱性診断、フォレンジックから緊急対応支援などのサービスを展開しています。
情報セキュリティの専門企業である「ストーンビートセキュリティ株式会社」は、安心して利用できる情報社会を実現するため、情報セキュリティ人材の育成や対策支援サービスなど、人や組織に根ざした幅広いセキュリティ対策を提供しています。
弊社ホームページ : https://www.stonebeat.co.jp/