ブログ(脅威調査)

ランサムウェアは業務時間外に展開される

ランサムウェアは、リモートからのゆすりです。それは破壊的で高くつき、最先端の宇宙技術企業から羊毛産業に至るまで、あらゆる種類の組織の産業環境に影響を与えます。感染によって病院は患者の受け入れを拒否したり、法当局はドラッグのディーラーに対する訴えを取り下げたりすることを余儀なくされました。ランサムウェアを展開するオペレーターは、最近、被害者への影響力を増大しようと、暗号化とデータ流出の脅威を組み合わせ始めています。しかし、これには良い面もあります。Mandiant Intelligenceチームの調査では、主要な領域に防御を集中し、迅速にアクションを取ることで、組織はランサムウェアの展開を未然にブロックできる可能性があることが示されています。

Mandiant Intelligenceチームは、2017年から2019年まで、何十ものランサムウェアのインシデント対応を調査し、ランサムウェア展開の初期の侵入経路、セキュリティ侵害の発生から検知までに要した日数、その時刻において、多くの共通した特性を確認しました。また、利益を最大化するための戦術における攻撃グループの革新にも注目しました(図1)。インシデントは、北米、欧州、アジア太平洋、中東の全域で、金融サービス、化学および資材、法律事務所や専門サービス企業、地方自治体、医療などを含む、ほぼすべての産業区分の組織に影響を与えました。FireEyeは、FIN6、TEMP.MixMaster、そして何十もの追加活動のような金銭目的のグループに起因する侵入を観察しました。


図1:ランサムウェアのインシデントで観察されるテーマ

これらのインシデントから提供されるランサムウェアのトレンドに対する深い知見はネットワーク防御者にとって役立ちますが、これらのデータはすべての活動のサンプルのみを示していることを留意しておいてください。たとえば、Mandiantによるランサムウェアの調査は、2017年から2019年で860%の増加が見られました。これらのインシデントの大部分は、侵害後の感染のように見えます。攻撃グループは、身代金支払いの可能性を高めるために、侵害後の展開を含み、戦術の使用を早めていると考えられます。また、GANDCRABやGLOBEIMPOSTERインシデントなど、ランサムウェアが即座に実行されるインシデントも確認しましたが、調査された侵入の大半は、長い期間にわたって複雑さに富む、侵害後の展開でした。

一般的な初期の感染経路

我々は、RDP、不正なリンクまたは不正なファイルの添付によるフィッシング攻撃、および後続の活動を容易にするマルウェアのドライブバイ・ダウンロードを含む複数のランサムウェア・インシデントで、さまざまな初期の感染経路に注目しました。RDPは2017年にかなり頻繁に観測され、2018年と2019年には減少しました。これらの経路は、ランサムウェアがさまざまな手段で被害者の環境に侵入できることを示していますが、そのすべてがユーザーとのやりとりを必要とするわけではありません。

RDPまたはその他のリモート・アクセス


最も頻繁に観察される経路の1つは、リモートデスクトッププロトコル(Remote Desktop Protocol; RDP)を使って、攻撃者が被害者環境のシステムへログオンしたことでした。いくつかのケースでは、攻撃者による認証情報へのブルート・フォース攻撃でした(多数の認証試行エラーの後で認証に成功)。別のケースでは、ランサムウェア感染に先立つ悪意のある活動の最初の証拠が、RDPログオンの成功でした。可能性としては、標的にされたシステム上で、デフォルトまたは弱い認証情報を使用していた攻撃者が他の監視されていない悪意のある活動を介して有効な認証情報を取得した、または、攻撃者が別の攻撃グループによって確立されたRDPアクセスを購入した、などです。2019年4月、我々は、FIN6が盗まれた認証情報とRDPを使用して水平展開し、その結果、ランサムウェアが展開されたケースに気が付きました。

リンクまたは添付ファイルを使用したフィッシング攻撃


膨大な量のランサムウェアのケースがフィッシング・キャンペーンに関連づけられ、金銭目的の攻撃(TRICKBOT、EMOTET、FLAWEDAMMYY)で最も活発なマルウェア・ファミリーの一部を展開しました。2019年1月に、インタラクティブなRyukの展開をもたらしたTEMP.MixMaster TrickBotの感染について説明しました。

ドライブバイ・ダウンロード


さまざまなランサムウェア感染は、被害者環境のユーザーが侵害されたWebサイトに誘導され、DRIDEX感染の原因となりました。2019年10月、我々は、FAKEUPDATES、DRIDEX、そして最終的にBITPAYMERまたはDOPPELPAYMER感染をもたらす侵害されたWebインフラを文書化しました。

ほとんどのランサムウェアの展開は、初期感染から3日以上経過した後に実施される

悪意のある活動の最初の証拠からランサムウェアの展開までにかかった日数は、0~299日に及びます(図2)。つまり、セキュリティ侵害の発生から検知までに要した日数は非常に長く、ほとんどの場合、最初のアクセスとランサムウェアの展開までには時間差がありました。インシデントの75%では、悪意のある活動の最初の証拠からランサムウェアの展開までに少なくとも3日かかっています。

このパターンは、初期感染が検出されて封じ込められ、迅速に修復されれば、多くの組織ではランサムウェア感染に伴う重大な損害とコストを回避できることを示唆しています。実際、ごく一部のケースでは、Mandiantのインシデント対応担当者とFireEye Managed Defenseサービスによって悪意のある活動が封じ込められ、復旧されているため、ランサムウェアの展開が防止されている可能性があります。いくつかの調査では、被害者環境にランサムウェアがインストールされたが正常に実行されなかったという証拠を検出しました。


図2:初期アクセスからランサムウェア展開までの経過日数

ランサムウェアが最も頻繁に展開されるのは勤務時間外

調査したインシデントの76%において、ランサムウェアは勤務時間外に展開されていました。つまり、被害者組織のタイムゾーンと稼働の週調整をした上で、週末または稼働日の午前8時以前か午後6時以降で実行されました(図3および図4)。このことは、大半の従業員が働いていない可能性のある時間を狙って、攻撃グループが攻撃を仕掛けていることを明確に示しています。

時間外、週末、休日にランサムウェアを意図的に展開する攻撃者もいます。これは、通常の勤務時間よりも復旧対策の実施が遅れるという想定の下、攻撃の潜在的な有効性を最大化する目的です。攻撃者がランサムウェアの展開をユーザー・アクションに連係させている場合もあります。たとえば、2019年の小売業および専門サービス企業でのインシデントでは、攻撃者がActive Directoryグループポリシーオブジェクトを作成し、ユーザーのログオンとログオフに基づいてランサムウェアの実行がトリガーされました。


図3:ランサムウェアは勤務時間外に頻繁に実行される


図4:時間ごとに見るランサムウェアの実行状況

緩和策の推奨事項

ランサムウェア感染の影響の予防策または緩和策を検討している場合、以下の項目をご確認ください。ランサムウェアに対処するためのより包括的な推奨事項については、弊社のブログ「ランサムウェアの防御と封じ込め戦略 : エンドポイント保護、セキュリティ強化、封じ込めのための実践的なアドバイス」およびそこにリンクされたホワイトペーパーを参照してください。

感染経路のアドレス


  • エンタープライズ・ネットワーク、Eメール、およびホストベースのセキュリティ製品を最新の検知ルールで使用して、TRICKBOT、DRIDEX、EMOTETなどの多くの一般的なマルウェアの影響を防止および検出します。
  • 感染を迅速に封じ込めて復旧し、攻撃者が追加活動を行ったり、さらなる攻撃のために他の攻撃グループへのアクセスを販売したりすることを防止します。
  • ネットワーク境界およびファイアウォール・ルールの定期的な監査を実行して、不注意でインターネットへのアクセスを放置しているシステムを特定します。このアクセスが明示的に必要でないシステムに対しては、RDPおよびその他のプロトコルを無効にします。可能な場合は多要素認証を有効にします。特にインターネットにアクセス可能な接続については、ホワイトペーパーの4~15ページを参照してください。
  • 多要素認証を強制実施します。つまり、有効にした場合、多要素認証を設定していない単一要素認証のユーザーを許可しません。

ベスト・プラクティスの実装


  • たとえば、社内ネットワーク上でデバイスを操作するすべての従業員に対して、定期的なフィッシング対策トレーニングを実施します。脅威、脅威防御におけるロール、および感染してしまった場合の潜在的なコストを従業員が認識していることを確認します。
  • 可能な場合はネットワークのセグメント化を実施して、潜在的な感染の拡散を防止します。
  • ビジネスの継続性を確保するために必要な重要データの定期的なバックアップを作成し、可能であればオフサイトに保存します。攻撃者からバックアップを標的にされないためです。
  • 特定の種類のログからローカル管理者アカウントを制限する詳細については、ホワイトペーパーの18ページを参照してください。
  • LAPSなどのソリューションを使用して、システムごとに一意のローカル管理者パスワードを生成します。
  • Mimikatzによる認証情報のハーベスティングを防止するために、平文パスワードをメモリに保存することを禁止します。詳細については、ホワイトペーパーの20ページを参照してください。
  • ランサムウェア感染をカバーするサイバー保険を検討します。

緊急事態対応計画の策定


  • 緊急事態が発生した場合に、時間外の対応が一定期間内に可能であることを確認します。
  • 時間外の緊急エスカレーション計画を策定し、組織内の複数の利害関係者に連絡方法と、関連するサードパーティ・ベンダーの24時間の緊急連絡先情報などの豊富な手段を含みます。

展望

ランサムウェアは破壊的で高くつきます。攻撃グループの革新は、近年、ランサムウェア感染の潜在的な被害を増加させただけですが、この傾向は減少の兆しがまったく見えません。我々は、金銭目的の攻撃者が、ランサムウェア感染から生み出される利益を最大化するために戦術を進化させ続けると予測しています。侵害後のランサムウェアの感染は今後も増加し続け、攻撃者はランサムウェアの展開と、データ窃取や脅迫、身代金要求の増加、重要なシステムの標的設定などの他の戦術とを組み合わせた攻撃が増加すると考えています。

良い面としては、特に侵害後の感染では、ほとんどの場合、初期の悪意のある活動とランサムウェアの展開との間に時間差があることです。ネットワーク防御者がネットワーク内部への侵入をすばやく検知して修復できれば、ランサムウェア感染による重大な損害と費用を回避できるということです。

詳細については、今後のランサムウェアのWebセミナーに登録(英語)して、その内容をご確認ください。

 

本ブログは、米FireEyeが公開した March 16, 2020「They Come in the Night: Ransomware Deployment Trends」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura