4年半にわたる国内組織のインシデントレスポンスから見えてきた「ランサムウェア攻撃のリアル」とは？

インシデントレスポンスから見えてきた組織を狙う脅威

インシデント発生の疑いが現れた際には、攻撃の特定からその封じ込め、復旧に関わる手順など様々な対応が必要になってきます。自組織内でこれらのプロセスに対して、迅速かつ効果的に対応するには、専門知識や対応人員の確保、能力向上が必要です。しかし、こうしたリソース面の不足から自組織のみでの対応は難しい組織も数多く存在します。そのような組織では、外部のセキュリティベンダーなどが提供するインシデント対応支援サービスが活用されています。

トレンドマイクロでもインシデントの疑いがあると判断されたお客さまからの依頼に基づき、感染経路や攻撃手法の調査といったフォレンジック調査や、サイバー攻撃によって業務が停止してしまった事態を受けて、業務再開に向けた復旧支援、対応方針のアドバイスを提供しています。
本記事では、トレンドマイクロのインシデント対応サービスを介して実際のインシデントレスポンスから見えてきたデータを織り交ぜながら、組織を狙う脅威のリアルに迫るとともに、その対策について紹介したいと思います。

今回対象にしているのは、2019年1月から2023年6月まで4年半の間にトレンドマイクロが国内の組織向けに提供したインシデント対応サービスの事例です。約4分の1（25.4%）を製造業が占めていますが、建設・不動産業や流通、医療、公共など様々な業界が含まれています（図1）。サイバー攻撃は、ある特定の業種だけが狙われているのではなく、あらゆる組織がその標的に成りえる状況であることが分かります。インシデントの発生原因となる攻撃を分析すると、標的型攻撃（APT）やEmotetといったサイバー攻撃がみられる中、半数以上の約54.9％がランサムウェア攻撃によるインデントの発生であることを確認しました（図2）。組織を狙う脅威の動向として、ランサムウェア攻撃がキーになっていることがデータからも読み取れます。

図1：「インシデント対応サービス」提供の業種別割合
（2019年1月～2023年6月）

図2：「インシデント対応サービス」提供の攻撃カテゴリ別割合
（2019年1月～2023年6月）

ランサムウェア攻撃の最新傾向とその対策

ランサムウェアはこれまでにも確認されているサイバー攻撃手法です。ランサムウェアは数多くの亜種がこれまでにも検知されていますが、最新のランサムウェアファミリの傾向としては、2022年1月～2023年6月までの期間に注目して見るとLockBitが全体の40.0%を占めており、多くの攻撃にLockBitが使用されていることが分かります。2022年6月にリリースされたLockBit 3.0では自身の活動を隠蔽するための解析回避技術やバグバウンティプログラムの採用など、引き続き攻撃手法を進化させています。日本国内でも、部品メーカーや、建設・不動産、医療機関、製造、運輸・交通・インフラなど様々な組織においてLockBitによる被害と疑われる事案が公表されおり、読者の方でもこのLockBitという名を耳にしたことがあるのではないでしょうか。

参考記事：ランサムウェア「LockBit」の概要と対策～名古屋港の活動停止を引き起こした犯罪集団

さてここからは、変化し続けているランサムウェア攻撃の最新傾向として以下３点に着目し、それぞれの対策についてもお話ししていきます。

① 標的型ランサムウェアの台頭
② 直接侵入の増加
③ ランサムウェア実行までのタイムリミットは24時間

① 標的型ランサムウェアの台頭これまでは広域に向けたばらまき型が主流でしたが、今回の分析からは95%が特定ターゲットに向けた標的型であることが確認されています。標的型ランサムウェアは高度な手法を用いて、脆弱性への攻撃や正規ツールの悪用と組み合わせているため、侵入時に攻撃活動を検知して対応するのは困難なケースが多いです。侵入後に攻撃者は標的組織のシステム内で内部活動を行い（ここでも正規ツールなどを悪用）、環境内を動き回り、被害が拡大するという特徴があります（図3）。

図3：ランサムウェア攻撃の手法の変化
（当社で確認した複数の事例を基にトレンドマイクロで整理）

【対策】「EDRの活用」
正規ツールの悪用と組み合わせた攻撃に対しては、ステルス化した攻撃への検知力が重要となります。トレンドマイクロの調査では、標的型攻撃が行われた際に、パターンマッチングや挙動監視、サンドボックス分析、AI/機械学習などのEPP（Endpoint Protection Platform）機能により89％の脅威はブロックできることが明らかになっています※。EPP機能を有効活用することで既知のマルウェアや新種・亜種といった未知のマルウェアを事前に防ぐことはできますが、正規ツールの悪用などは“正規”であるがゆえにそのまま通過してしまう場合もあり、残り11％は残念ながらEPP機能を通り抜けてしまいます。そのため、この11％をいかに検知・対処していくのかが重要となります。
近年、攻撃者が扱う攻撃手法を検知する対策として、EDR（Endpoint Detection and Response）が注目されています。EDRを活用することで、万が一脅威が法人組織のユーザ環境に侵入した場合においても、脅威の侵入に気がつき、影響範囲や根本原因を特定して、対処を行うことができます。正・不正問わずファイルやプロセスに対するアクティビティデータであるテレメトリを収集するため、実際に使用されている攻撃者の手法と照らしあわせることで、エンドポイント上の不審な挙動を検知し被害端末の状況を可視化することで被害範囲の特定や感染原因の特定を明らかにすることができます。
※参考トレンドマイクロウェビナー「標的型攻撃の89%はEPPで止まる！？それでもEDR/XCRが必要な理由」

参考記事：Living Off The Land（環境寄生型）のサイバー攻撃～正規ログの中に埋没する侵入者をあぶりだすには？

② 直接侵入の増加

侵入方法として、VPNやRDPなどの脆弱性を悪用し内部ネットワークへ直接侵入する経路が増加していることが分かりました（図4）。対象期間（2019年1月から2023年6月まで）を前半（2019年1月～2020年12月）と後半（2021年1月～2023年6月）の2つに分けてそれぞれの侵入経路を分析したところ、前半では22.2%だったVPNやRDPなどの脆弱性を介した侵入経路が後半では66.7％と急増しているのが分かりました（図4）。この背景には、コロナ禍の影響で組織が在宅ワークの導入を進めてきた事が影響しているのではないかと推測できます。新たにVPNなどの技術を採用・活用する一方でセキュリティ対策への不慣れや漏れなどが生じ、攻撃者はその弱点を悪用していることが分かります。

参考記事：VPN、サイバー攻撃被害に共通するセキュリティの注意点

図4：「インシデント対応サービス」で確認されたランサムウェア被害における侵入経路の割合

【対策】「アタックサーフェスリスクマネジメントの推進」
リモートワークやクラウドシフト、DXの推進などにより、組織のITインフラも大きく変化しています。この変化に伴い、組織においてサイバー攻撃の起点や経路となるアタックサーフェス（攻撃対象領域）も増加しています。保護するべきデジタル資産が増加する一方でアタックサーフェスにおけるサイバーリスクを把握できていないことが、直接侵入の大きな要因となっています。どこから攻撃されるのか、リスクが高いデジタル資産は何なのかを把握し管理すること、つまり「アタックサーフェスリスクマネジメント」がここでは重要になります。

③ ランサムウェア実行までのタイムリミットは24時間

今回の対象事例では、初期侵入からランサムウェア実行までの平均日数は6.47日となっていますが、28.6％のケースで1日(24時間)以内にデータが暗号化されているのを確認しています（図5）。初期侵入からランサムウェア実行が確認された最短の事例はわずか3時間10分程でした。このデータが示すように、侵入されてから暗号化までの時間が短いため、気づいた時には暗号化されていた、または暗号化されてその攻撃に初めて気づいたというケースも多く見られています。なお、トレンドマイクロが対応した事例では、暗号化まで1日以上かかるケースにおいても、初期侵入からそのまま侵害行為を継続しているパターンが多いことが明らかになっていますが、初期侵入からデータ暗号化までの期間が長いケース（3～4日程度ではなく更に長いケース）では、Access Brokerの存在も考えられます。Access Brokerとは、初期侵入時など侵入手口となる組織へのアクセス権を販売するブローカーで、VPNやRDPの脆弱性を見つけたり、認証情報の窃取を行い、その情報を実際の攻撃者に販売することで利益を得ています。そのような場合には、Access Brokerによってアクセス権が窃取された後、別の攻撃者がそれを購入してその後の攻撃活動を行うまでにタイムラグが発生するため、侵入されてから暗号化までの期間は長くなります。

図5：ランサムウェア事例における初期侵入からランサムウェア実行までの期間
（2019年1月～2023年6月）

【対策】「XDRの導入」
ランサムウェア実行までのタイムリミットの課題を解決するには、脅威の検知・調査・対処能力のスピードを高めるしかありません。インシデントが発生した際に、セキュリティ担当者は各セキュリティ製品から上げられる大量のログの中から関連するものを探すことから始めます。この作業は担当者にとっては時間と集中力の面からかなりの負荷となります。やっとのことで対象ログを見つけ、さらにそれらを関連付けて分析を行うためには、ネットワーク機器のログやWebサーバのログなどを一つずつ確認・照らし合わせをしなければならず、原因を解明する以前のプロセスに膨大な時間とリソースを要します。勿論、その間にも被害範囲が拡大している可能性があります。これらの作業を自動化し、効率よく運用するソリューションとして、XDR（Extended Detection and Response）があります。XDRは、組織内のさまざまなレイヤーのセキュリティデータを収集して相関分析を行います。そのため組織のITインフラ全体で何が起こっているのか、つまり攻撃の全体像を自動的に可視化することができ、調査から対処までの一連の対応を、スピード感をもって行うことができます。自組織にインシデントレスポンスを担うSOC（Security Operation Center）を備えていない場合やXDRを運用するためのリソース・専門知識が不足している場合にはマネージドサービス（MDR）を活用するのも有効です。

より効果的なセキュリティ対策

組織を狙っている脅威の最新傾向として標的型ランサムウェアについて説明しました。その特徴を分析した上で３つの有効策もそれぞれ紹介しました。最後に、これらのセキュリティ対策をより効果的に運用するためのコツを紹介します。実はアタックサーフェスリスクマネジメント（ASRM）とEDR/XDRはそれぞれ単体に運用するのではなく、相互補完することでセキュリティインシデントの減少に繋げることが出来ます（図6）。ASRMは攻撃や侵入の可能性を軽減することを目的としているため、平時からそのマネジメントを行うことが重要となります。一方で、EDR/XDRはセキュリティインシデントから企業を守ることが目的のため、有事の際にその力を発揮します。セキュリティ運用の際にはそれぞれの役割を理解した上で施すことで、限られたリソースを有効かつ効果的に活用できるとともに、組織のセキュリティ脅威へのリスクの減少にも繋げることができます。

この考え方は、米国国立標準技術研究所NISTのサイバーリスクを軽減するためのガイダンス「NIST Cybersecurity Framework（CSF）」にも当てはめて考えることができます。CSFを構成する5つのフレームワークコア、すなわち、被害の発生防止のために用いられる「識別」・「防御」（プロテクト戦略）と、被害の影響範囲を最小限にとどめるための「検知」・「対応」・「復旧」（レスポンス戦略）です（図7）。（2024年初からは、これに「ガバナンス(Govern：統率)」が追加される予定です。）事前の被害防止に関わる「識別」・「防御」の分野にはASRMを、後半の万が一の被害拡大の縮小化に関わる「検知」・「対応」をツールとしてXDRでカバーするという考え方です。組織のセキュリティ戦略に則った各分野で強みを持つ両者を組み合わせることで、組織としてのセキュリティ体制はより強固なものになるでしょう。

参考記事：新たに「ガバナンス」が追加されたNIST Cybersecurity Framework 2.0の変更点を解説