ランサムウェアとは?
Ransom(身代金)+Softwere(ソフトウェア)を組み合わせた造語。
端末に特定の制限をかけ、その制限の解除と引き換えに金銭を要求する不正なプログラム(=マルウエア)
※2015年あたりから、かなり多くの被害が発生している。
ランサムウェアの流れ
- 何らかの方法で端末に侵入
- ランサムウェアを端末に設置
- ランサムウェア実行→感染した端末上のファイルを暗号化する
- 端末に脅迫メッセージを表示、複合の代わりに金銭を支払うように要求する
- 内部データの操作ができる状況なので、データも盗みだされる
感染経路
- 無差別一斉送信のメール
ランサムウェア事態をコピーして他の端末にも感染拡大 - ネットワークを介して感染
脆弱性を悪用して、何らかの方法で侵入、侵入した端末から他の端末にも感染拡大
攻撃者のフロー
- ネットワークスキャン:攻撃対象の調査
- 脆弱性の調査と悪用
- ランサムウェアの設置
- ランサムウェアがシステム上で動作→攻撃者のサーバとの通信経路確立・感染拡大
- 情報の窃盗・暗号化を実施→金銭の要求
つまるところ、脆弱性を利用した標準的なサイバー攻撃の一つ
標準的なサイバー攻撃の対策について
- NIST CyberSecurity Framework (CSF) サイバー攻撃対策のためのフレームワーク
- 識別(保持しているIT資産を管理)
- 防御(対応策を実施)
- 検知(攻撃を検知する)
- 対応(マルウェアへの対応)
- 復旧(ビジネスが継続できる元の状態に戻す)
1-5のそれぞれの手順は統治されている必要がある
フレームワークを実際に当てはめると
これらのフローを回していくことになる
- 攻撃対象を理解する Inspector,Macie,SecurityHub など
- 脅威の検出 GurdDutyなど
- セキュリティ問題の調査・関連付け Cloudwatchなど
- 対応と修復 backupなど
データを保護するために大事なポイント
- 重要なデータを特定
- データへのアクセスを管理・制御
データの暗号化導入
自動化されたデータ保護の仕組みを導入する - データガバナンスとコンプライアンスの実践
モニタリングとアラートの導入 - バックアップと復旧手段の計画
DR・BCPのプランを策定 - ランサムウェア復旧手段の計画
実際にAWSで使える機能に置き換えると・・・
識別
-
AmazonVPCNetworkAccessAnalyzer
意図しないネットワークアクセスを特定する機能
インターネットへの疎通確認・パスの確認・アクセスの確認 -
AWS Inspector
パッケージの脆弱性の検出、ネットワークパスの確認
防御・検知
-
Amazon GuardDuty
AWSのAPI実行ログを見て、AWS側で脅威検出のメカニズムでリスクを検知する
マルウェアを検知する機能もある。EC2、S3、EKSなど -
Route53
マルウェアからの通信経路を検知する -
NetworkFirewall
フルマネージドなFirewallサービス。FirewallはAWS側で自動アップデートされる
対応・復旧
-
AWS System Manager
脆弱性のあるソフトウェアに対して、自動でパッチを適用する -
AWS Backup
Vaultという論理的な箱の単位ででバックアップを保護する
VaultLock機能で削除保護、更新の保護を行う
バックアップに対する考え方
多層防御する
- IAMポリシーによるアクセス制限
- MFAの有効化
- WORM・クロスアカウントでのバックアップ
- AWS KMSを用いたデータ暗号化
- ロール毎のバックアップへのアクセス制限
- 監査ログの有効化
「統治」について
ベストプラクティスをもとにシステムを構築する。