「見えない」ランサムウェア攻撃への対策とは
最近のランサムウェア攻撃は、正規ツールを悪用するなどその手法が巧妙化しており攻撃の断片を捉えただけでは攻撃かどうか判断できない、つまり「見えない」ことが特徴です。組織が取るべき対策を解説します。
ランサムウェア対策は検知と対応のスピード向上が鍵
IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威2023」において、「ランサムウェアによる被害」が1位になっているように、多くの組織にとってランサムウェア攻撃への対応が喫緊の課題となっています。企業活動自体が停止してしまうような事態が国内でも散見されるようになっており、危機感を募らせている組織も多いのではないでしょうか。
実際、ランサムウェアによる被害件数は過去最大数を記録しています。(図1)
参考:2023年上半期セキュリティインシデントを振り返る
最近のランサムウェア攻撃は、大量にマルウェアスパムなどを送り付けて無差別に組織を狙う「ばらまき型」から、標的組織を定めて攻撃を行う「Human-Operated」と呼ばれる攻撃手法が主流になっています。
Human-Operatedと呼ばれる通り、攻撃は「手動」で進められます。攻撃者は、脆弱性を抱えたネットワーク機器や漏えいした従業員のアカウント情報の悪用など、組織の脆弱な点から初期侵入を行います。その後はインターネット経由で被害組織の端末を遠隔操作し、複数の攻撃ステップを踏みながら組織内の奥深くまで入り込み、より価値の高い情報資産を窃取したうえで暗号化し身代金を要求します。(典型的な攻撃手順は図2を参照。)
実際、2018年~2022年の期間にトレンドマイクロがランサムウェア被害に遭った組織への対応支援を行った案件のうち、94%がHuman-Operatedによるランサムウェア攻撃の被害事案となっています。また、攻撃者が初期侵入を開始してからランサムウェアを実行するまでの、攻撃者が組織内ネットワークに滞在した平均デュエルタイム(滞留時間)は「5.82日」となっており、昨年同時期の「6.22日」と比較すると短くなっています(図2)。
攻撃者は侵入に成功すると速やかにデータを暗号化し、身代金を要求するため、防御側は攻撃をいかに早く検知し対応していけるかが、対応策のカギとなります。
ランサムウェア攻撃を「一連のパターン」として検知する必要がある
そのためには、攻撃者の視点から攻撃を検知していく必要があります。攻撃者は、事前に入念に標的組織を調査し、初期侵入からランサムウェアの実行に至るまでどのような手法や手順で進めていくか、綿密にプラン(攻撃シナリオ)を立てたうえで侵入を進めていきます。
ランサムウェア攻撃の多くの場合では、攻撃者は検知や監視を逃れるため、正規ツール(そのツールそのものは不正ではないので、ツールが存在している事実のみで攻撃か判断しづらい)を悪用するなど様々な手法や手順が用いられますが、攻撃者ごとに好んで使用される正規ツールや脆弱性、マルウェアなどと、その使用順序があります。
図3では、Human-Operatedの攻撃手法を好む著名なランサムウェアグループ「Clop(「Cl0p」とも表記される)※」の攻撃例と、Clopが各攻撃フェーズで使う主なツールや脆弱性、手法を示しています。
攻撃者の持つ様々な攻撃テクニックは上記のように非常に洗練されているため、1つ1つの怪しい挙動(攻撃の兆候の断片)を検出するだけでは、「攻撃」であると判断することは難しくなっている、つまり「攻撃の全体像が見えづらく」なっています。そのため、攻撃がどのような手法や順序で構成されているのか、攻撃を「一連のパターン」として検知することが必要です。
図3:ランサムウェア攻撃グループ「Clop」の例
攻撃グループにより好んで使う手法やその使用順序がある。
1つ1つの怪しい挙動(攻撃の兆候の断片)だけでは「攻撃」と判断するのは難しいため、攻撃を「一連のパターン」として検知する必要がある。
※2019年以来、最も活発なランサムウェアの1つ。Clopの攻撃者はランサムウェアサービス(RaaS)モデルを利用し、多様な業界の著名な企業や組織を世界規模で侵害し、多重の恐喝手法を用いて巨額な身代金の支払いが行われており、2021年11月時点でその金額は推定5億米ドルに達しているとも言われる。
攻撃シナリオを検出するXDR
攻撃を「一連のパターン」として検知するためには、1つ1つの怪しい挙動を相関分析して繋がりを見極め、攻撃シナリオを検出していかなければなりません。
そのためのソリューションがXDRです。
XDRは、エンドポイントやメール、ネットワーク、サーバやクラウドなどを保護する各セキュリティ製品がセンサーとなり、各々のレイヤーで検知した脅威の兆候を収集・相関分析して攻撃シナリオを検出するための機能です。
攻撃シナリオをより効果的に検出するには、どれだけ検知モデルを備えているかがポイントになります。検知モデルは、脅威データやリサーチャーの脅威(攻撃者や攻撃者グループ)に対する知見をもとにベンダごとに作成され提供されています。
図4:トレンドマイクロのXDRで提供する検知モデルの概要
統合サイバーセキュリティプラットフォーム「Trend Vision One」の機能としてXDRを提供
従来のサイバーセキュリティ対策は、「攻撃を組織内ネットワークに侵入させない」という予防策を主眼とした対策でした。今でも、各レイヤーにおけるセキュリティ製品を適切に利用していれば、大半の攻撃を検知することが可能です(図5)。しかし、Human-Operatedランサムウェアに代表される最近のサイバー攻撃は、非常にその攻撃テクニックが巧妙化しており、1つ1つの脅威の兆候の検知からは、攻撃かどうかを断定するのは非常に困難になっています。そのため、組織は、攻撃者視点に立ち攻撃を一連のパターンとして検知する「攻撃シナリオ」ベースの対応策を進めることが必須です。XDRは、この対応策を支援する強力なソリューションとなります。
図5:トレンドマイクロが詳細を調査した、国内法人組織のインシデントにおける機械学習型検索・挙動監視・サンドボックスのいずれかの機能を活用する(予防策として)ことで未知検体が検出可能だった案件の割合(2019年1月~2021年12月)。詳細はこちら。
関連ウェビナー
アンダーグラウンド調査から解明したランサムウェア攻撃者グループの実態
オンデマンド配信
トレンドマイクロでは、60以上のランサムウェア攻撃者グループの活動を継続的に調査しています。本調査により、主なランサムウェア攻撃者グループの被害にあっている国や地域、組織の規模、身代金の支払い率、悪用する脆弱性の種類など様々な事実が明らかになりました。調査結果から導き出せる法人組織が行うべき実践的なサイバーセキュリティ対策もご提案します。
Security GO新着記事
堀場製作所のDX責任者が語る“ほんまもん”のグローバルセキュリティ戦略
(2024年11月15日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年11月15日)
いまさら聞けないNDRの有効性~EDRとはどう違う?
(2024年11月14日)
