ランサムウェアは、あらゆる業界の組織を標的とした世界的な脅威です。攻撃に成功した場合の影響は、データへのアクセスの喪失、システム、運用停止などがあり、組織にとって重大です。ダウンタイムの可能性に加えて、復元、復旧、新たなセキュリティ・プロセスと管理の実装にかかる不測の費用の発生も合わせると、組織にとっては頭の痛いことになる可能性があります。ここ数年、ランサムウェアは攻撃者にとってますます人気のある選択肢となってきました。なぜなら、攻撃への活用が極めて単純であるだけでなく、攻撃者にかなりの財務上の利益をもたらすためです。
FireEyeの最新のレポート『ランサムウェアの防御と封じ込め戦略:エンドポイント保護、セキュリティ強化、封じ込めのための実践的なアドバイス』(英語)では、ランサムウェア・イベントによってもたらされる影響を阻止するため、組織が環境のセキュリティを強化するために、事前に取り組むことのできる手順について説明します。また組織への推奨事項として、封じ込めと、ランサムウェア・イベント発生後の影響を最小限に抑えるために必要とされる最も重要な手順には、優先順位を付けました。
ランサムウェアは一般に、次の2つの方法で環境全体に展開されます。
- 攻撃グループが環境に侵入し、環境全体で管理者レベルの権限を入手した後、手動で拡散される:
・標的のシステムで暗号化ツールを手動で実行する
・Windows バッチ・ファイルを使用して環境全体に暗号化ツールを展開する(C$共有をマウントし、暗号化ツールをコピーして、Microsoft PsExecで実行)
・Microsoft Group Policy Objects(GPO)を使用して暗号化ツールを展開する
・標的の組織が使用している既存のソフトウェア展開ツールを使用して、暗号化プログラムを展開する
- 自動で拡散される:
・ディスクまたはメモリから認証情報またはWindowsトークンを抽出
・システム間の関係を信頼、つまりWindows Management Instrumentation(WMI)、SMB、PsExec などの手法を活用して、システムに関連づけてペイロードを実行する
・パッチが適用されていない侵入手法(例:EternalBlue - Microsoft Security Bulletin MS17-010 で解決済み)。
このレポートでは、組織がランサムウェア・イベントのリスクを軽減し、ランサムウェア・イベントの封じ込めに役立つ、以下のような技術的な推奨事項について解説します。
- エンドポイントのセグメント化
- 共通の侵入手法に対するセキュリティの強化
- 特権アカウントとサービス・アカウントの露出を減らす
- 平文パスワードの保護
このレポートを利用して、組織が現行のランサムウェア・イベントに対応できるようにしたい場合、ランサムウェアが環境にどのように展開されたかを把握し、ランサムウェアへの対応を適切に設計することが大切です。このレポートはこういったプロセスに役立つガイドとして作成されています。
今すぐレポートをご覧ください。
*注:このレポートに記載された推奨事項は、ランサムウェア・イベントのリスクを軽減し、ランサムウェア・イベントの封じ込めを目的にしており、ランサムウェア・インシデントレスポンスのすべての側面について説明しているわけではありません。バックドアを特定して削除する(ランサムウェアのオペレーターはたいていの場合、標的の環境に複数のバックドアを設置している)ための調査手法、攻撃グループとのやりとりと交渉、または復号プログラム提供後のデータの回復方法については説明していません。
本ブログは、米FireEyeが公開した「Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment」(英語)の日本語抄訳版です。
日本語版:Reviewed by Ayako Matsuda
