脅威リサーチ

ランサムウェア入門

TALOS Japan
2021年2月15日

ランサムウェア防御

サイバーセキュリティは、シスコのお客様を含めた誰にとっても常に重要なテーマです。マルウェアの一種であるランサムウェアは高額な身代金を獲得できそうな企業や組織を標的にしており、関連分野で最大級の注目を集めつつあります。それに伴い、ランサムウェア攻撃に対する準備・検出・防御方法に関して多くのお客様から質問を受けています。また、ランサムウェアの影響を受けているベンダーからもシスコの専門技術に対して期待が寄せられています。お客様のテクノロジー資産を保護するトップ企業として、シスコはプロアクティブな対策とインシデント発生後の対応に関するガイダンスを提供してきました。しかし、ランサムウェアの防御と修復は複雑なテーマであり、「万能」なアプローチなどありません。

この記事では、一連のリスク軽減戦略についてご説明します。今回ご紹介する防御技術や手法はいずれも目新しいものではありませんが、組み合わせて実践することにより、インシデントの兆候が見られたときの対応を強化し、インシデントが発生してしまった場合でも脅威を封じ込めることが可能になります。

パッチ適用

ほとんどの企業はランサムウェアを回避できません。そのためセキュリティ業界で長年叫ばれてきたように、セキュリティ対策では効果的なパッチ管理が不可欠です。パッチの適用を怠ったという理由だけで侵入を許した事例は枚挙に暇がないからです。ゼロデイの脆弱性を狙ったエクスプロイトは実効性こそ高いものの、攻撃者にとっては一般に莫大な労力が必要です。一方、すでに情報が公開されていて、パッチが存在するエクスプロイトであればそこまで苦労しません。より楽に侵入できる手段が他にあるのであれば、普通はゼロデイ脆弱性を狙わないでしょう。逆に言えば、ゼロデイ脆弱性から侵入されたとすれば、それは概してよい兆候です。ゼロデイ脆弱性以外への対策がすべて効果的であり、もっと手間を掛けずに防御を突破する方法がなかったことの裏返しだからです。この場合は、パッチの適用以外の戦略が役に立ちます。

最小限の機能

システムが所定の役割または機能を実行する上で必要な機能だけをシステムに導入するようにしてください。たとえば Microsoft 社は、必要ない限り SMBv1 を無効にすることを推奨しています。別の不可欠な対策は、システムやサービスへのアクセスを制限することです。システムで SMBv1 が使用されている場合でも、インターネットのような「危険な」ネットワーク環境にまで公開することは（よどの事情がない限り）避けてください。同時に、Windows OS に組み込まれているようなホストベースのファイアウォールを、内部ネットワークセグメント上でも活用しましょう。

最小限の権限

WMI や PSExec のような管理ツールの使用は、システム管理者がシステムの管理に使用するシステムだけに制限するようにしてください。組織のネットワーク全体で、これらのツールが使用されていないかを監視することができます。予防的なセキュリティ対策としてはこれも不十分かもしれませんが、侵入されたシステムをすばやく特定して、必要な初期対応を講じることにつながります。

Microsoft 社のガイドラインに従って、重要なシステムの管理に使う管理ホストをセキュリティで保護しましょう。

組織内に複数の Active Directory ドメインコントローラがある場合は、Microsoft 社が推奨する読み取り専用ドメインコントローラの実装を検討してください。

システムとネットワークの監視

ワームは非常に早く伝播します。そのため大半の環境では、きわめて大きな兆候を示します。ほとんどの場合、ワームはスキャン能力により新たな伝播先となるホストを特定します。ワームの兆候を早期に掴むには、短時間のうちにネットワーク内の単一のシステムから大量のサービススキャンが行われていないか、あるいは多数のシステムへの接続が試行されていないかを監視しましょう。これにより、問題が拡大する前に対処することができます。

ネットワークセグメンテーション

ホストとアプリケーションの脆弱性にセキュリティ更新プログラムを適用することがまったく不可能な環境でも、ネットワークセグメンテーションは有効です。攻撃の成功を防ぐだけでなく、攻撃が成功してしまった場合にも横方向の移動を阻む効果が期待できます。通信経路内に「チョークポイント」を設けておけば、侵害を許した場合の影響を最小限に留める上で有効です。また、防御の最前線となるネットワークベースのセキュリティ制御を展開するための理想的な場所にもなります。前述した「最小限の権限」の原則は、各チョークポイントに対しても当てはまります。つまり、アクセス制御を展開する際には、システムが業務上の役割を果たす上で必要な通信のみに制限しましょう。フラットなネットワークは管理と維持が容易ですが、その一方で、ランサムウェア攻撃の影響を軽減する上ではほとんど役に立ちません。

プロセスとポリシー

予期せぬ事態が発生した場合に適切かつ効果的に対応できるようにするためには、ポリシーとプロセスを定めておくことが必須です。その一例がインシデント対応計画やディザスタリカバリ計画、事業継続計画です。これらの計画により、想定外のシステム停止や障害からの復旧が可能となります。各プロセスの効果を長らく持続させるには、まず計画を練り、相当の時間をかけて計画を検証した上で、組織のニーズを継続的に満たせるか確認しなければなりません。ご自身の組織は、迅速にシステムの停止から復旧し、ビジネスニーズに応えられるでしょうか。バックアップ戦略は機能していますか。バックアップだけでリカバリできますか。ニーズは時間の経過とともに変化します。必要なプロセスをテストしておけば、システム障害や災害が発生する前に、効果が維持されていることを確認できます。インシデント対応も、定期的にテストした上で定めておくべきプロセスです。テストは、ハンティング演習、机上演習、実地検証を使用して行います。これ以外の方法では、インシデントが発生した際に効果的に対応できるだけの知識とツールをインシデント対応チームが備えているか、確実に検証することはできません。

組織にインシデント対応専任チームがない場合は、インシデント対応担当者の配置を検討しましょう。インシデント対応担当者は、組織のセキュリティ態勢をプロアクティブに強化し、データ侵害やランサムウェアインシデントが発生した際の調査担当・連絡先となります。

国立標準技術研究所（NIST）は、特別刊行物 800-53『Security and Privacy Controls for Federal Information Systems and Organizations（連邦情報システムおよび組織のためのセキュリティとプライバシーの制御）』を発表しました。この刊行物では、適切な防御アーキテクチャを確立する上で推奨されるベストプラクティスセキュリティ制御の選択肢について、包括的なガイダンスが提供されています。このガイダンスは、以下でご覧いただけます。