ランサムウェアは、あらゆる規模の組織にとっての主たるサイバー脅威であり続けています。その理由の一つとして、これらの攻撃がサイバー犯罪者にとって非常に高い収益率を実現する一方で、以前よりも簡単かつ安価になったことが挙げられます。ランサムウェア業界は、2017年のWannaCryの流行以来、次のような幾つかの段階を経て進化してきました。
- 大規模攻撃キャンペーンの実施:WannaCryのようなランサムウェア攻撃は、できる限り多くのシステムを感染させるよう設計されています。感染させることに成功した場合、それぞれの被感染システムに対して比較的小さな身代金を要求し、質より量で利益を上げようとします。
- 標的型攻撃:ランサムウェアの攻撃キャンペーンは、時間が経過するにつれ、特定の組織を標的とする極めて標的性の高い攻撃へと進化しています。サイバー犯罪者は、綿密な調査を行うことで、感染させたシステムから奪う利益を最大化する手段を突き止めるためです。
- ランサムウェア・アズ・ア・サービス(RaaS): ランサムウェアをサービスとして提供する「RaaSギャング」は、マルウェアのコピーをアフィリエイトに配布し、感染に成功した場合はその利益の一部を手に入れます。このモデルにより、攻撃力の高いランサムウェアに感染する企業が増加しました。
- 二重脅迫:二重脅迫型ランサムウェアは、被感染システム上の機密または重要データを盗み出し、暗号化します。そうしてデータ漏洩の脅威を利用し、身代金の支払い確率を高めます。
- 三重脅迫:三重脅迫とは、ランサムウェア攻撃による影響を、感染した組織からその顧客へと拡大させるものです。ランサムウェアを操る犯罪者は、データが攻撃による影響を受けた複数の組織に対して支払いを要求します。
ランサムウェアは、非常に効果的で収益性の高いサイバー脅威であることが判明しています。サイバー犯罪者は、攻撃の収益性と身代金の支払い確率の向上のため、今後も技術革新と成功体験を続けていくでしょう。
ランサムウェア攻撃に共通する攻撃手法
サイバー犯罪者は、さまざまなランサムウェアの展開・実行方法を持っていますが、代表的なもののごく一部を以下に紹介します。
- 脆弱性の悪用:非常に一般的な方法でとして、パッチが適用されていない脆弱性を狙ったランサムウェアの配布があります。サイバー犯罪者はこういった脆弱性を悪用することで、脆弱なシステム上にマルウェアを仕込み、実行することを可能とします。
- フィッシング攻撃:ソーシャルエンジニアリングを用いて、ユーザーを騙して端末にマルウェアをダウンロードさせ、実行させるものをフィッシング攻撃といいます。ランサムウェアは、メッセージに添付されていたり、悪意のあるリンク先であるフィッシングサイトに配置されていたりすることがあります。
- 認証情報の漏洩:推測や、フィッシングによる漏洩などの手段により、ユーザー認証情報が侵害されるおそれがあります。サイバー犯罪者は、これらの認証情報をリモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)を使って、システムにアクセスしたりマルウェアを展開したりすることができます。
- 悪意のあるダウンロード:フィッシングサイトでは、ランサムウェアのファイルをダウンロードする場合があります。そうしたファイルは、正規のソフトウェアに見せかけたり、ユーザーのブラウザの脆弱性を悪用してダウンロードさせ、実行することができます。
ランサムウェア攻撃の段階
ランサムウェアは、他の種類のマルウェアと同じ多くの攻撃手順を踏んでいます。攻撃の主な段階は次の通りです。
- 感染初期:ランサムウェアの攻撃は、標的となるシステムにマルウェアがアクセスするところから始まります。これは、フィッシングや漏洩した認証情報の使用など、さまざまな手段で行われる可能性を持っています。
- コマンド&コントロール:ランサムウェアが実行されると、それを操作する者とコマンド&コントロール(C2)間にチャネルを確立します。これにより、ランサムウェアは操作者にデータを送信したり、操作者からの指示を受けたりすることが可能となります。
- 横方向への動き:ランサムウェアは、暗号化される予定のある貴重なデータを持つデバイスをすぐさま襲うことはほとんどありません。マルウェアは企業ネットワークに足場を築いた後に探索をし、貴重な機密データを暗号化するために必要なアクセス権や特権を獲得するために横方向に移動します。
- データ盗用と暗号化:マルウェアは必要なアクセス権を獲得すると、データの暗号化とバックアップの削除を開始します。また、C2チャネルを通じて、データのコピーをマルウェア操作者に流出させたりもします。
- 身代金ノート:マルウェアはデータの暗号化が完了すると、身代金ノートを公開し、システム上に存在することを示します。その後、身代金が支払われ、復号化キーが提供された場合、ランサムウェアは暗号化されたすべてのファイルを復号化します。
ランサムウェア対策
一度データの盗用や暗号化をされてしまうと、組織ができるランサムウェア対策は限られたものになってしまいます。しかし、ランサムウェアへの感染率を下げるため、企業は以下のような対策をとることができます。
- 脆弱性管理:定期的に脆弱性をスキャンし、パッチを適用することにより、ランサムウェア配信のため悪用されるセキュリティホールを解消することができます。さらに、Web Application and API Protection (WebアプリケーションとAPIの保護、WAAP)ソリューションは、パッチ未適用の脆弱性の悪用を試みる動きを遮断することができます。
- メールセキュリティ:ランサムウェアやその他のマルウェアを配信するもう一つの一般的な手段として、フィッシングが挙げられます。メールセキュリティソリューションは、悪意のある添付ファイルやフィッシングページへのリンクを含むメッセージを識別して遮断します。
- 多要素認証(MFA):認証情報が漏洩した場合、リモートアクセスソリューションを通じて企業システムへのアクセスやマルウェアの配信に利用される可能性があります。強度の高いMFAを導入することで、漏洩した認証情報の悪用が困難になります。
- ウェブセキュリティ:悪意のあるサイトから意図的に、もしくは意図せずにランサムウェアがダウンロードされることがあります。セキュアWebゲートウェイ(SWG)は、危険なサイトの閲覧や悪意のあるダウンロードを遮断することができます。
- エンドポイントセキュリティ:ランサムウェアは、被感染エンドポイント上で実行され、ファイルを暗号化するマルウェアです。エンドポイントセキュリティソリューションは、ランサムウェアの感染の特定、および修復を可能にします。
Catoによる企業向けランサムウェア対策アプローチ
機械学習アルゴリズムと、Cato SASEクラウドの詳細なネットワークインサイトを使うことで、エンドポイントエージェントを配置せずともネットワーク上におけるランサムウェアの拡散を検出し、防止することができます。被感染マシンを特定し、即座に隔離して修復を行います。
Catoは、豊富な多層マルウェア軽減戦略により、MITRE ATT&CKフレームワーク全体において攻撃を妨害します。.Catoのマルウェア対策エンジンは、全般的にマルウェアの配布を防止します。Cato IPSは、サイバーキルチェーン全体で使用される異常な動作を検出します。また、CatoはIPSと次世代型アンチマルウェアを使用して、一般的なランサムウェアグループが使用するMITRE ATT&CKテクニックを検出・防止し、発生段階の前に攻撃を発見しています。また、Catoのセキュリティ研究者はこの戦略の一環として、ランサムウェアグループが使用するテクニックを追跡してCatoの防御を更新し、企業を既知の脆弱性の悪用から記録的な速さで保護しています。
当社は、ランサムウェアの検出と遮断に特化した、発見的アルゴリズムを使用しています。機械学習による発見的アルゴリズムは、SMBのライブトラフィックフローを、次のようなネットワーク属性の組み合わせにより検査します。
- 既知のマルウェアファイルの配信を遮断する。
- C2トラフィック、および横方向の移動試行を検出する。
- リモートドライブやフォルダのアクセス試行を識別する。
- ドライブの暗号化を秒単位で行うなど、間隔時間をモニタリングする。
Cato Networksは、ランサムウェア攻撃の検知と低減を、エンドポイントにエージェントを展開せずに実現します。Catoのネットワークベースのランサムウェア対策について、詳しく知りたい方はこちらから。.