オーストラリア政府のランサム対策

オーストラリアのサイバーセキュリティセンター（ACSC）がMailtoランサムウェアに対する警告と、一般的なランサム対策についての防御方法をアドバイザリ公開していました。

公式発表

　・Advisory 2020-003: Mailto ransomware incidents　

キタきつねの所感

「Mailto」ランサムウェアについては、フィッシングやパスワードスプレー（遅延）攻撃によってメールアカウントを侵害して、アドレス帳に掲載されたメールアドレス宛にマルウェアを送信して感染拡大を狙うものです。具体的な手法はACSCのアラートにも書かれてないのですが、侵害後はネットワーク全体をラテラルムーブメント（横展開）していく兆候もある様です。

ACSCは「Mailto」ランサムウェアだけでなく、他のランサムウェアも含めて対策推奨案を出していましたので、（むしろこちらの方が参考になりそうな気がしましたので）引用します。

※以下ACSCからの引用（機械翻訳）です

①セキュリティアプライアンスを更新し、悪意のあるインジケータをスキャンする

（キタきつね意訳：セキュリティ機器とアンチウィルス等のセキュリティツールの最新化）

インバウンドとアウトバウンドの両方のトラフィックに対して、最新の侵害のインジケータ（IOC）を組織のゲートウェイとファイアウォールに適用する必要があります。組織は、ウイルス対策シグネチャを更新し、ウイルス対策ツールまたはホストベースのセキュリティツールを使用してインジケーターをスキャンする必要があります。

②Essential 8セキュリティコントロールを実装する

（キタきつね注：ACSCが2019年4月に更新したサイバーセキュリティインシデント対策がEssential 8です）

センターは、ICTシステムに対する脅威を緩和するために、ASD Essential 8緩和策の実装を推奨しています。特に、ICTシステムに対するランサムウェアの脅威と戦うために、政府機関は次の緩和策を実施する必要があります。

キタきつね補足（ASD Essential 8の内容）

・アプリケーションホワイトリスト

・Microsoft Officeマクロ設定（インターネットからのマクロブロック）

・Flash, Webブラウザ, Microsoft Office, Java, PDFビューワ等のアプリのパッチ適用（最新化）

・ユーザアプリケーションの強化（Flash、広告、Javaブロック）

・管理者権限の制限（特権の定期的見直し）

・VPN, RDP, SSH, その他リモートアクセス, 特権アクション, データリポジトリへのアクセスへの多要素認証

・OSへのパッチ適用（最新化、48時間以内にCriticalパッチ適用）

・毎日のバックアップ

③オペレーティングシステムにパッチを適用する

（キタきつね注：Essential 8にも記載されているので重複？）

定期的なパッチプロセスの維持により、ランサムウェアがネットワーク内を横方向に移動するために使用できるエクスプロイトの可用性が制限され、感染の影響を受けたホストの数が制限されます。

④毎日のバックアップ

（キタきつね注：Essential 8にも記載されているので重複？）

センターでは、ネットワークの隔離されたオフラインバックアップを維持して、ランサムウェアが広範囲に展開された場合に回復できるようにすることをお勧めします。

⑤追加のセキュリティ制御を実装する

（キタきつね注：Essential 8＋αの包括的なリストが公開されています。＜英語＞）

ACSCは、サイバーセキュリティインシデントを緩和するための戦略の包括的なリストを公開しています。ランサムウェアのICTシステムに対する脅威に特に対処するには、政府機関は次の緩和策を実施する必要があります。

（キタきつね注：すべて掲載はできませんが一部を参考まで）

Strategies to Mitigate Cyber Security Incidents | Cyber.gov.au

f:id:foxcafelate:20200215072542p:plain

⑥メールコンテンツスキャン

（キタきつね注：ここで防げるのが良いのですが・・・）

Mailtoは、悪意のある添付ファイルを含む電子メールを介して拡散する可能性があります。電子メールコンテンツフィルターと動的な電子メール分析サンドボックス機能を導入して、悪意のあるコンテンツがユーザーに到達するのを防ぎ、侵害の可能性を減らすことができます。これを補完するために、ヒューリスティックおよびレピュテーション評価を使用するウイルス対策ソフトウェアもインストールして、エンドユーザーに悪意のある添付ファイルを特定して防止する必要があります。

⑦ネットワークセグメンテーション

（キタきつね注：侵害を受ける事を前提としたNW構成は、今や常識になりつつあります）

組織は、特定のホストとサービス間の通信を分離および分離するために、ネットワークを小さなセクションに分割する必要があります。適切なセグメンテーションと分離により、ネットワーク上でランサムウェアの感染が成功する範囲が制限されます。

⑧計画を立てる

（キタきつね注：インシデント対応計画は、恐らく「LANケーブル抜け」「無線LAN切れ」が最も重要です）

ランサムウェアに感染した場合に組織が対応できるように、対応計画を作成します。最も重要なことは、影響を受けるマシン/ネットワークを直ちに隔離し、インターネットから切断することです。

⑨スタッフへの警告と教育

（キタきつね注：人の脆弱性が突かれるのがランサムです）

異常な電子メールの添付ファイルを開くことに関連する危険性の認識を高めるために、組織全体のアラートを送信することを検討してください。教育プログラムを実装して、サイバーセキュリティに関するスタッフの認識を改善するか、疑わしいメールを見つける方法を検討してください。

余談です。このACSCのアドバイザリをUS-CERTが推奨していました。

www.us-cert.gov

本日もご来訪ありがとうございました。