ラクス Advent Calendar 2023
12月21日(木)担当の某インフラエンジニアです。
今回はランサムウェアの事について書くことにしました (他に書くことが思いつかなかった)。
よろしくお願いします。
はじめに
今回はランサムウェアについて触れていきたいと思います。といっても会社で導入している細かい対策などをここで大公開してしまうのもセキュリティ的にアレなのである程度の一般論になる事はご承知の上でお願いします。
目的としては、ランサムウェア怖い、まじでうちも対策検討しないとマズいのでは?と思っていただける方が一人でも現れれば幸いと言ったところです。
ランサムウェアとは
そもそもランサムウェアって何すか?という話ですが、まあ今更知らないエンジニアは少ないと思いますが名前の由来から。
ランサムとは、 「Ransom(身代金)」 のことです。
それを要求するソフトウェアだからランサムウェアと言われています。
ランサムウェアに感染した端末をロックしたり暗号化したりしてサーバや端末を使えないようにした上で金銭を要求するのが主な手口です。
いや、そんなの感染する奴がウマシカじゃね?と思うかもしれませんがそんな単純な話ではなく、むしろ現在は手法は多岐にわたっており完全に防ぐことは難易度が高いとして、感染したとしてもデータを守れる方法は無いか?という話が出てくるくらい脅威になっています。
国内事例
他人事っしょそんなの、と思った人はもう時代遅れです。本気で考えを改めた方がいいです。国内でも山ほど被害報告は出ています。2022年、2023年の事例をBARDさんに聞いただけでもこれだけ出てきました。
■2022年
3月:大手自動車メーカーと取引関係にある部品メーカーがランサムウェア攻撃を受け、基幹システムや生産ラインが停止。
5月:大手食品メーカーがランサムウェア攻撃を受け、製造ラインが停止。
7月:大手医療機関がランサムウェア攻撃を受け、電子カルテや診療予約システムが停止。
10月:大阪の某病院がランサムウェア攻撃を受け、電子カルテや医療画像データが暗号化され、診療に支障をきたす。
11月:大手物流会社がランサムウェア攻撃を受け、荷物の配送に支障をきたす。
■2023年
1月:大手建設会社がランサムウェア攻撃を受け、設計図や工事日程などが暗号化され、工事に支障をきたす。
2月:大手メーカーがランサムウェア攻撃を受け、製造ラインが停止。
3月:大手金融機関がランサムウェア攻撃を受け、顧客情報などが流出。
4月:大手航空会社がランサムウェア攻撃を受け、予約システムが停止。
5月:大手商社がランサムウェア攻撃を受け、取引先情報などが流出。
6月:大手自治体がランサムウェア攻撃を受け、住民情報などが流出。
7月:某港のコンテナターミナルがランサムウェア攻撃を受け、荷物の積み下ろしが停止。
ぶっちゃけこれだけじゃないですね。警視庁の資料だと100件超えているそうです。
眺めるとわかりますが、業種問わず、あらゆる組織を対象としています。被害の規模も情報流出にとどまらず、物流、金融、命に係わる医療まで対象にされており、社会基盤ごとゴッソリ持っていくインパクトがあります。もはやテロですね。
どんな動きをするのか
ということでランサムウェアがどういう動きをするのか見ていきます。
感染・侵入
まずはここからですね。何もないところから生まれるわけがないので何かしらの悪意が侵入を試むわけですが、代表的な事例ではこんなあたりです。
・VPNの脆弱性
・webからファイルをダウンロード
・メールの添付ファイル
・RDP(リモートデスクトップ)関連
etc.
とにもかくにも昨今良く聞いたのがVPNの脆弱性ですね。ここをつかれて侵入されちゃうと、ぶっちゃけなんでもできるやんって感じです。
一般論になりますがFireWallなどでSSL-VPNを設定している場合はおおよそこんな話が原因になってきます。
・初期パスワードから変えてない
・管理アクセスが外部から可能
・セキュリティパッチ(アップデート)を怠っていた
・そもそも脆弱性チェックをしていない(もしくは知識的に追従できない)
・なんならサポート切れの機器を運用している
どれもこれもエンジニアなら「まさかねぇ」と思う内容かもしれませんが、一部ちょっとギクッとした人もいるかもしれませんね。いや、脆弱性をチェックしていないことは無くても、内容的に緊急か判断が難しいけどアップデート大変だから後回し、とか、今別のタスクがクッソ忙しすぎて後回し、とか、後でやろうと思っていたがタスクが漏れて気づいたらまだやってなかった、とか、対策しきれていない原因は山ほど考えられそうな予感はします。
そしてこれも拍車をかけた要因ですがコロナ禍でリモートワークが普及したことも一因としてはあると思います。そもそも2000年よりも前からランサムウェアはありましたが、昨今大規模に話題になってきているのはリモートワーク化をしたはいいもののちゃんと侵入対策できていませんでした、というのは全然あると思います。
あとは、こういう攻撃は昔はシステムを熟知した最強ハッカーみたいな人がやっている、みたいなお伽話みたいな世界でしたが、今はそんなことは全然なく、Raas(Ransomware as a Service )というものが世に出ています。Saasみたいにかっこよく言うなよと思うかもしれませんが、それと同じようにランサムウェアがサービスとして提供され簡単に攻撃できてしまう時代となりました。
熟達した知識やノウハウがなくても犯罪組織、テロ組織などが簡単に資金調達の手段として利用することができるようになりました。大企業じゃなくても中小、または個人レベルの人間が個人レベルへの攻撃で資金を集めるという戦略も考えられます。
実行
そして内部に活動するためのソフトウェアを埋め込まれます。こっそり。
このソフトウェアが自動的に増殖して感染していく、という事もあれば、遠隔のコントロールマシンと通信経路を確保し、適宜通信を行いながら人手で操作をしていくという事もあります。
・遠隔コントロールをよくサービスで使われるようなポートを拝借して経路確保
・仕込んだエージェントでポーリングしながらサーバ情報(当然IPやMACや経路情報なども含めて)を送る
・再起動後も活動再開できるように色んな手法で永続化を図る
・他のサーバへの横展開
怖いですね。よくあるポート(例えば443とか53とか)を使われていると検知するのも非常に難しいですし、バックアップデータを取っていてもバックアップサーバごとやられることも想定されます(もちろん、感染が発覚してからバックアップを取ったらランサムウェアごと保管しちゃうので最悪)
で、データを暗号化して脅迫ページを表示するようにしたら出来上がりですね。もちろん、従ってはいけません。払ってはいけません。(理由は後述)
そして何より怖いのが、やったことは暗号化だけ?という保証がない事です。つまり、機密情報を抜き取られている可能性も考慮しなくてはいけません。
はい、二重脅迫の出来上がりです。仮に身代金を支払い暗号化したデータの複合ができたとしましょう。犯人から、実は機密情報も抜かせてもらった、複合するとは言ったが情報を返すとは言ってないと言われたらどうしますか?
身代金を支払ってはいけない
ということで感染した場合に身代金を支払うべきか?論争について。これについてはまた諸説ありますが、基本的には支払うべきではないと言われています。理由ですが、
まず第一に複合できる保証がない事です。金だけもらって要求に答えないこともありますし、ツールなんかを使って未熟な犯罪者が暗号化をした結果、複合できませんでした、というのもあり得ます。また、仮に複合化できたとしても持ち出した機密情報で二重脅迫される可能性もあります。
第二に、相手は確実な悪です。テロ組織なんかの資金調達にも使われる可能性がありますし、資金を払って解決した企業の信頼はがた落ち、そして何より犯罪グループのお得意様になってしまいます。あそこは対策も甘いし金払いがいいと。そこからは地獄のような攻勢が始まると思います。最悪ですね。
対策について
細かい対策について述べていくとキリがないのでまず第一に考えるべきこととして、
他人事ではない ということ。アニメじゃないんです。ほんとのことです。
そして、まずはもしも被害にあったら?ということを想定してシミュレーションすることが大事かと思います。
・インシデントをどうやって発見するのか?
⇒調べ方は具体的にどうするの?
・発見した場合にどこに連絡するのか?
⇒社内組織も然り、警察やセキュリティ機関も然り、です。当日調べるとかならない用意。
・感染を発見した場合にどういう対処をまず取るのか
⇒極論ネットワーク遮断に至るとして、そこまでにどこまでの確認や調査がなされるべきなのか?
そのうえで細部を埋めていくといいのかなと思います。
・侵入経路で怖いところはあるか?
・通信を監視しているか?
・ログを監視しているか?
・最悪ケース現在のデータは捨てるとしてバックアップから復旧できるか?
バックアップについてはバックアップサーバもやられる可能性があると書きましたが、それなら絶対に暗号化・削除されない仕組みを考慮するなども対策としてはありですね(昨今のストレージは絶対削除させないマン機能があったりします)
こういったことから逆算して、今我々に足りていないことは?という形で課題管理・リスク管理をしていってはどうでしょうか。
もちろん、セキュリティに強い会社、SIerさんなどを頼るのもいい事です。はっきり言いますけど自営でつよつよエンジニアが頑張るから大丈夫、ではなく外の情報に目を向けることや、お金を払ってソリューションを提供してもらうことはむしろ賢いと思ってます。
おまけ(有名?なランサムウェア)
一般論に終始しすぎたのでちょっとおまけで過去の有名なランサムウェアなど。
・WannaCry
全世界規模で大規模な被害が出たランサムウェア。
手口としてはwindows端末が標的で、メールに添付してきたファイルをうかつに開くケース、および、脆弱性をついたケースがあります。データを暗号化しビットコインの支払いを要求します。
・Maze
これもWannacry同様の手口をしてきますが、暗号化だけでなくデータを盗み取り二重脅迫をすることが特徴となっています。
・Lockbit
2023年に話題になったランサムウェアというか犯罪組織。某港がまさにこれの被害にあいました。プリンターから脅迫文が印刷されてきたそうです(怖すぎる)。対象はwindowsだけではなくESXやLinux向けの攻撃もありバージョンが上がるごとに手口が巧妙化・複雑化しているそうです。現在も脅威であり続けています。
・Clop
これもLockbitと並んで有名なランサムウェアというか犯罪組織。まだ公表されていないような脆弱性をついたこともあると言われ、ファイル転送サービスを好んで標的としたそうです。今も世界中で脅威となっています。ロシアを拠点として資金調達をしており、それがどこに流れているかは、、ご想像にお任せします。
ということで
今回はランサムウェアについて雑多に書きました。
ま、セキュリティってさ、硬くしすぎても不便になったり、何よりそれで売り上げが上がるわけじゃないんですよね。そこで二の足を踏んでいる経営者ってのはかつては山ほどいたんだと思います。
しかし、今はそんな時代ではないのです。
何度でも言いますが、ランサムウェアは今あなたの会社の目の前まで来ています。
それを意識するだけでも変わると思います。
いや、もしくはこう思ったかもしれない。AWS使えば良くね?(恒例のAWSオチ)
(一応補足しておきますがセキュリティ対策が必要なのはオンプレでもクラウドでも変わらないです)