画像をタップして拡大する

2020年1月10日

ランサムウェアの被害とその対策

ランサムウェア攻撃による被害は常に甚大であるため、防御のための費用や労力を惜しんではなりません。最大の防御策はベストプラクティスの徹底ですが、被害が発生した際の対処方法を事前に定めておくことも大切です。

ランサムウェアは、とりわけ悪質で危険性の高いマルウェアであり、実態を知れば知るほどその脅威を実感できます。被害者はある日突然、多額の現金を速やかに用意するか、廃業に追い込まれるかの二者択一を迫られます。

まずはランサムウェア攻撃について簡単に説明しましょう。標的のコンピューターにアクセスすることに成功した攻撃者は、そのコンピューター上で特殊なソフトウェアを実行することにより、あらゆるデータを暗号化したり、データのコピーを削除したりします。その後攻撃者は、指定の金額を暗号通貨で支払えばデータを解読するためのキーとソフトウェアを渡す旨の通知を被害者に送りつけます。

多くの場合、こうした攻撃の背後には犯罪組織が存在しており、彼らは人工知能を含む高度なテクノロジーを導入しています。そのため攻撃が巧妙化してきており、被害者のネットワークに足掛かりを築くことに成功する確率が大幅に高まっています。

 

ランサムウェアと中小企業 (SMB)


中小規模の企業にとってランサムウェアは命取りになりかねません。Forrester Research社によると、ランサムウェアインシデントの持続時間は平均7.3日です。その間 (あくまで平均値であり、より長期化する恐れもあります)、企業は業務に必要なデータやコンピューターを使用できません。システムとデータはいずれ復旧できるとしても、中小企業がその7.3日間を耐えられるかどうかは疑問です。それと同時に、中小企業は要求された身代金を支払えないことも考えられます。

通常、SMBには大企業のような高度なITリソースは存在していません。ランサムウェアのような企業の存続にかかわる脅威を防ぐためには、IT技能のステップアップが必要になる可能性があります。この記事では、そのための手法を大まかに説明します。

純粋に技術的な観点から捉えると、ランサムウェアとはマルウェア (ダメージを引き起こすのに十分な特権のもと、システム上で実行される悪意のあるプログラム) の一種であり、引き起こされるダメージがファイルの暗号化であることが特徴です。こうした攻撃者に、必要な特権をいったん取得されてしまうと、被害の発生を防ぐのは極めて困難です。

攻撃者はデータを人質にとるのに必要な特権を取得するために、昔からよく知られているさまざまなテクニックを駆使します。

こうした攻撃者による特権の取得を阻止するうえで、最大の防御策はお馴染みのベストプラクティスであり、すべてのユーザーにベストプラクティスを遵守させることが必要です。

 

あらゆる一般的な攻撃


多くの場合ランサムウェアは、パッチが適用されていないソフトウェアの脆弱性を突いて、システム内に足掛かりを築きます。2017年5月12日に、WannaCryと呼ばれる世界規模のランサムウェア攻撃が発生したことは記憶に新しいところです。この攻撃ソフトウェアで狙われたのが、ネットワークを介したファイル共有に使用されるWindows Server Message Block (SMB) プロトコルの古い非推奨バージョンの脆弱性でした。Microsoftは攻撃が発生する前から脆弱性を解消するパッチを提供しており、またベストプラクティスとして、非推奨のSMB v1プロトコルをシステム上で無効化することも、かなり以前から指示されてきました。しかしながら、多くのユーザーがパッチを適用していなかったか、サポート終了日を過ぎたバージョンのWindowsを実行していたために、あるレポートによると「少なくとも150か国で20万人を超える被害者が発生」しました。

ここで思い出していただきたいのが、MicrosoftによるWindows 7およびWindows Server 2008の月例アップデート (重要なセキュリティアップデートを含む) の一般公開が2020年1月14日をもって終了予定であることです。(おそらくSMBではない) ボリュームライセンス顧客が特別料金を支払う意思がある場合には、アップデートを引き続き入手できますが、永久に入手し続けることはできず、また料金は年々上昇すると予想されます。

先頃発表されたレポートによると、ランサムウェア攻撃で最も多く使われている手法が、脆弱なパスワードを使用しているアカウントに対するクレデンシャルスタッフィング攻撃です。クレデンシャルスタッフィング攻撃では、攻撃者は推定ユーザー名として電子メールアドレスを使用し、一連の脆弱な一般的パスワード (「passw0rd」など、あるいはユーザーの誕生日、配偶者や子供の名前など) でサービスへのログインを試みます。このような方法で、攻撃者は攻撃を開始するための足掛かりをネットワーク内に築きます。

もう1つの一般的な手法が「フィッシング」で、この場合はまず組織のメンバーに偽メールが送られてきます。こうしたメールは、受信者がその指示に従う必要があると感じる相手 (技術サポートなど) から送信されたように偽装されています。またメールにペイロードが含まれている場合もあります。ペイロードとは攻撃者が組織のコンピューターにアクセスすることを可能にするプログラムで、メールに添付されているか、メール内のリンクを介してダウンロードされます。単純なペイロードの例としては、ユーザーにログインを要求し、入力されたユーザー名とパスワードを盗むといった手法が考えられます。

この攻撃の (発生頻度は低いものの) より巧妙なバージョンは「スピアフィッシング」と呼ばれ、この場合攻撃者は特定のターゲットに合わせてメッセージをパーソナライズします。これはそれほど難しい作業ではなく、LinkedInのようなサイトを調べれば、IT部門に所属している人物の情報を簡単に得られます。非技術系のユーザーが、ITスタッフの1人から送信されたように見えるメールを受け取った場合、メールを開いてその指示に従ってしまいがちです。例えばこうしたメールに、IT部門がなんらかの調査を行っており、ユーザーはメール内のリンクをクリックして診断プログラムをダウンロードおよび実行する必要があると書かれていれば、多くの人がその指示に従ってしまいます。

攻撃者がログオン認証情報を取得したり、システム上でマルウェアを実行したりすることに成功したとしても、まだゲームオーバーではありませんが、攻撃の最も困難な部分は完了したことになります。ネットワーク内に足掛かりを築くことに成功した攻撃者は、暗号化するのに適した重要な資産、すなわち「人質」を見つけるために、ネットワーク内の探索を開始できます。攻撃者はあらゆる技法を駆使して、ネットワーク内のさまざまな領域を「横方向に移動」しながら、新たな資産を探し、追加の権限を取得して、最終的には特殊なプログラムを実行することによりデータを暗号化したり、データのコピーを削除したりします。

ランサムウェア攻撃で使用されることが多いもう1つの侵入経路がWindowsのポート3389で、この経路はターミナルサーバー、ターミナルサービス、リモートデスクトップサービス、リモートデスクトッププロトコル (RDP、ポートの名前) などのさまざまな名称で知られています。このポートは、Windowsに対するリモート ターミナルインターフェイスを提供し、通常はリモート管理で使用されます。Windowsのデフォルトではこのポートはクローズされていますが、利便性が高いために、多くのユーザーや管理者がこのポートを開放しています。さらにLinuxベースのサービス (SSHなど) も、構成が不適切であると、攻撃者の侵入経路にされる恐れがあります。

この分野に詳しい研究者によると、攻撃者がネットワーク内に足掛かりを築くことにいったん成功すれば、実際にダメージを与えることが可能なより特権的なポジションに、わずか数時間で横移動されてしまいます。このことは侵入される前に攻撃者を阻止することの重要性を示唆しており、そのためのさまざまな実証済みのテクニックが存在しています。

 

あらゆる一般的な防御策


WannaCryで狙われたような脆弱性機会は、それほど頻繁に発生するわけではありませんが、いったん発生すると同時に多数のユーザーが攻撃されるため、大規模な被害が発生します。多くの組織では、内部的な抵抗により、パッチの適用やシステムのメジャーアップデート (Windows 7からWindows 10への移行など) が遅れがちです。ランサムウェアによる被害は、こうした姿勢が危険であることを示す事例の1つに過ぎません。

パッチの適用を遅らせるもう1つの要因が、システム変更に必要なQAテストです。テストの大切さは言うまでもありませんが、パッチの適用がある程度以上遅れると、マイナス面の方が大きくなります。Microsoftおよびその他の主要ベンダーは、顧客がテストおよび導入を計画的に準備しやすいように、パッチのリリースを定期的なスケジュールに変更しています。このスケジュールに沿って、テストおよび導入を迅速に行うことが大切です。

Two-Factor認証は、ランサムウェアおよびその他のさまざまな攻撃を防御するうえで、非常に有効な対策の1つです。この手法は、WannaCryのような脆弱性ベースの攻撃に対する (少なくとも一般的な) 防御策ではありませんが、その他のほぼすべての攻撃に効果を発揮します。最近の侵害事例、例えばシカゴに本拠を置く証券会社に対する攻撃、2018年のアトランタ市に対する攻撃、およびその他のさまざまなクレデンシャルスタッフィング攻撃やスピアフィッシング攻撃は、Two-Factor認証を使用していれば防御できたと考えられます。

多くの小規模企業もランサムウェアの標的となっており、とりわけ深刻なのがヘルスケア業界です。ミシガン州バトルクリークの2人の医師が運営していたBrookside耳鼻咽喉科は、ランサムウェア攻撃により閉鎖に追い込まれました。ランサムウェア (およびその他の攻撃、さらには攻撃とは無関係の情報漏洩) に見舞われた医療機関の膨大なリストについては、米国保健福祉省 (HHS) 市民権局が管理する、いわゆる「Wall of Shame (不名誉の殿堂)」データベースで確認できます。

メールやテキストメッセージのような脆弱なTwo-Factorスキームでも、それなりの効果は得られますが、より高度なテクノロジーも手頃な価格になりつつあります。とりわけ重要な製品および標準は、FIDOアライアンスによって管理されています。

なお高度なTwo-Factor認証を実装しても、適切なパスワードポリシーが不要になるわけではありません。高度な保護という観点から、攻撃者の負担を減らしてやる理由はなく、適切なパスワードポリシーは侵入をそれだけ難しくします。最近の記事でパスワードに関する最新のベストプラクティスを取り上げましたが、何よりも重要な点として、パスワードは強力かつユニークでなければならず、設定時には危険な一般的パスワードの公開リストと照合する必要があります。パスワードマネージャーをユーザーに提供すると、パスワード管理に伴うユーザーの負担を軽減できます。

一般的なルールとして、最小権限の原則に従うことも重要で、すなわちネットワーク内で使用するあらゆる認証情報において、担当業務に必要な最小限の特権のみをユーザーに付与するようにします。また管理者アカウントの使用は最小限に留めます。こうした方針を体系的に運用するには、CyberArk社が提供しているような特権管理ツールが便利ですが、このようなツールがなくても数多くの取り組みが可能です。最低限、システムからローカル管理者アカウントを削除することを、ポリシーとして定めてください。また最小権限の原則を推進するうえで、ロールベースのアクセス管理を徹底することも大切です。

RDPおよびその他のターミナルインターフェイスを介した攻撃に対しては、ファイアウォールを適切に構成する、ポート番号をデフォルトから変更するなど、数多くの防御アプローチが存在しますが、正当な目的のために必要性がある場合を除き、通常はこのサービスを有効にせず、ポートをブロックすることが何よりも大切です。

その他の重要なセキュリティ対策として、以下のような点にも留意してください。

  • パッチ管理を常に確実に実施します。WannaCryの被害者らはパッチを適用していなかったために甚大な損害を被りました。
  • マルウェア対策ソリューションを最新状態に保つとともに、従来のウイルス対策製品を補完する、あるいは代替するテクノロジーとして、動作に焦点を当てた次世代ソリューションの導入を検討します。
  • 資産管理ソリューションを最新状態に保ちます。所有している資産を把握できておらず、大規模な整理が必要な状況は、断じて避けなければなりません。
  • すべてをログに記録し、ログを監視するための人員とプロセスを配備します。
  • マルウェア感染の急速な拡散を防ぐために、ネットワークを適切にセグメント化します。
  • セキュリティフレームワークを導入します。セキュリティフレームワークとは、セキュリティリスクを抑制するための確立された一連の標準、ガイドライン、およびベストプラクティスを指します。定評あるフレームワークがNISTから提供されていますが、個々の組織に最適なフレームワークは、業種、国、およびその他のファクターによって異なります。
  • 従業員にセキュリティ意識向上トレーニングを受けさせ、フィッシングおよびその他の攻撃に対する抵抗力を高めます。従業員の誰1人として深刻な被害の引き金になりたくはないはずです。

 

バックアップに関する留意点


バックアップの重要性については今更言うまでもないでしょうが、ランサムウェアの脅威が増すなか、より洗練されたバックアップ計画が求められています。巧妙化する攻撃者はバックアップの消去や暗号化を試みます。そのため攻撃者が到達できない場所にバックアップを保管することが重要です。

被害が発生した場合、インシデント応答担当者は、正常かつなるべく多くのパッチが適用されているイメージからシステムの再構築を試みます。システムの再構築と構成が完了したら、次にバックアップからデータを復元します。こうしたケースで必要なリカバリ作業を迅速化するための製品も販売されています。

ベストプラクティスとしては、データ保護の3-2-1ルールに従うことが推奨されます。これはデータコピーを3部作成し、そのうち2つを別々のストレージメディアに保管し、残る1つをオフサイトに保管することを意味します。バックアップをオフサイトに保管するか、少なくともオフライン状態で保持することは、データを確実にリカバリするうえで非常に重要なポイントです。その重要性を示す実例がカリフォルニア州シミバレーのWood Ranch Medicalで、この診療所はランサムウェアによって暗号化されたハードドライブ上に唯一のバックアップを保管していました。ダメージは非常に深刻で、診療所は閉鎖に追い込まれました。

 

訓練が大切


多くの大企業はインシデント対応訓練に費用をかけています。実地に訓練しなければ、すべての計画およびバックアップが適切に機能するかどうかを確認できません。訓練を通じて得られる知識と経験は、インシデントが実際に発生した際に的確に対処するうえで大きな助けとなります。

 

保険


もう1つ忘れてはならないのがセキュリティ保険の重要性で、総合的なセキュリティ計画の一部として検討する必要があります。サイバーセキュリティ保険は比較的新しく登場した、競争の激しいビジネスです。市場の主なターゲットは大企業ですが、より小規模な組織も契約可能であり、少なくとも検討に値します。

私が先頃発表した別の記事では、サイバーセキュリティ保険の一般的な必要性、およびセキュリティの強化に対する組織内の意欲を高めるイノベーションについて解説しています。

 

責任は外部に丸投げできない


セキュリティを含めたIT業務のアウトソーシングは、SMBの間で広く行われています。こうした状況は大企業にも広がっており、ある経営幹部が述べていたように、「セキュリティ業務は非常に複雑であるため、料金を払って外部の専門組織に委ねる方が効率的」との考え方も無理はありません。

こうしたアプローチには合理的な側面もありますが、セキュリティに対する責任から完全に逃れることはできません。運用を外部に委ねることはできても、組織のリスクを丸投げすることは不可能です。

さらに委託したマネージドサービスプロバイダー (MSP) が攻撃を受ける可能性もあります。ベストプラクティスを厳格に適用しており、ランサムウェア攻撃に対する備えが万全なMSPは確かに存在します。しかしながら、そうではないMSPも存在しており、そうしたMSPはランサムウェア攻撃者にとって格好の標的です。MSPを利用することも決して誤りではありませんが、そのポリシーや評判を精査して選定することが欠かせません。

 

結論


ランサムウェアの被害にあった組織は、多額の身代金を即座に用意するか、あるいは十分なITリソースを投入することで、身代金を払うことなく自力での復旧を目指すかの判断を早急に下さなければなりません。判断を難しくするのが、身代金を払ってもデータを取り戻せる保証がないことです。悪名高いランサムウェアNotPetyaは身代金を要求しながら、多くのファイルを消去し、それらのファイルは復旧できませんでした。したがって、いざとなれば身代金を支払えばよいという考え方をすべきではありません。

ランサムウェア攻撃を退けることは可能です。その好例が、2019年7月に発生したマサチューセッツ州ニューベッドフォードの政府機関に対するランサムウェア攻撃です。この政府機関では監視スタッフが、攻撃が完了する前に事態を把握し、迅速な対処により攻撃を阻止することに成功しました。同機関では影響を受けたすべてのシステムを復旧でき、また影響を受ける可能性があった多くのシステムを守ることができました。明らかに、ニューベッドフォードの政府機関はこの種のインシデントへの備えができており、攻撃者と交渉することでスタッフに必要な時間を稼ぎました。ニューベッドフォード市の対応は、多くのニュース記事やソーシャルメディアで称賛されました。

中小企業もこうした被害を切り抜けることが可能です。HHSデータベースに記録されている、コロラド州の診療所Longs Peak Family Practiceの事案では、ネットワークとシステムがハッカーに侵入され、ランサムウェアによって複数のファイルが暗号化されました。しかしながら、この診療所は感染を除去し、失われたデータをバックアップから復元できました。こうした状況下で一般的に行われるように、この診療所はその後ITプロバイダーを変更し、多くの新しいセキュリティ制御を追加しました。

こうしたセキュアプラクティスの実装には、トレーニングを積んだセキュリティ専門家が必要とされ、内部に適切な人材がいなければ、外部の専門家 (HPE Pointnextサービスなど) の手を借りる必要があります。こうした専門家を社内に雇用しているSMBはごくわずかです。

ランサムウェア攻撃による被害が発生すると、身代金として、または短期間でシステムをいったん解体して再構築するための費用として、多額の資金を迅速に投入しなければならず、さらにその間本来の業務は確実に滞ります。そうした事態を想像すれば、犯罪者が足場を築いたり、攻撃を拡大したりするのを阻止するために、日ごろから高レベルのセキュリティを維持し、バックアップを確実に作成することの重要性がお分かりいただけるはずです。

この記事の執筆にあたっては、CISSP-ISSAP、CCSK、CISM、CRISCの資格を有するSimon Leech氏にご協力いただきました。Simon氏は、HPE Pointnextサービスのアドバイザリ/プロフェッショナルサービス部門でセキュリティ・リスクマネジメント プラクティスを担当しています。


この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。