ランサムについての海外記事を読んでいた所、下記のTripwireの記事が参照されていました。少し前の記事ですが、役立つヒントが多い様に思うので、この記事を取り上げてみます。
www.tripwire.com
キタきつねの所感
セキュリティ業界の”今年の漢字”があれば、私は「2重恐喝」に一票を投じたいと思います。
従来のランサムウェアはバックアップさえしっかり取っていれば、攻撃者の脅迫に負ける(復号化鍵を買う)事は無いと言われてきましたが、その考え方は2重脅迫を代表とする攻撃側の新たな戦略変更の前に、大きく負け越したのが2020年と言っても過言ではありません。
Tripwireの記事でのヒントは自社のランサム対策で足りない部分を気づかせてくれるかと思います。以下ご参考まで。
※下記ヒントは全てTripwire記事からの引用となります
1. 資産のインベントリを作成します。
ランサムウェアの感染から身を守るためには、まず、ネットワークに接続されているハードウェアとソフトウェアの資産を知る必要があります。アクティブな発見は役に立ちますが、他の部門の担当者によって展開された資産を発見することはできません。この欠点を認識し、包括的な資産インベントリを構築し、接続されたハードウェアとソフトウェアのリストを最新の状態に保つ手段として、パッシブディスカバリーを採用する必要があります。
キタきつね注:資産の棚卸こそセキュリティの第一歩。ランサムにおいてもそれは変わりません。
2. スパム対策設定を正しい方法でパーソナライズします。
ほとんどのランサムウェアの亜種は、悪意のある添付ファイルを含む人目を引く電子メールを介して拡散することが知られています。これらの添付ファイルの一部には、組織で一般的に使用されているWord文書またはその他のファイル形式が含まれている場合があります。ただし、使用されることはめったにない形式で届くものもあります。その後、これらの添付ファイルをブロックするようにWebメールサーバーを構成できます。(.EXE、.VBS、.SCRなどのファイル拡張子はいくつかの一般的な例です。)
キタきつね注:まずは電子メールが入口になる事が多いので、フィッシング(ZIPファイルのEmotetパターン含)や不正URLを警戒すべきです。併せてドメイン認証も検討すべきかも知れません。
【セキュリティ ニュース】国内主要企業の約8割、「DMARC」未導入 - 「Reject」ポリシーの活用わずか(1ページ目 / 全1ページ):Security NEXT
3. 疑わしいと思われる添付ファイルを開くことは控えてください。
これは、見知らぬ人から送信されたメッセージだけに当てはまるわけではありません。それはあなたがあなたの知人であるとあなたが信じる送信者にも関係します。フィッシングメールは、配信サービス、eコマースリソース、法執行機関、または銀行機関からの通知になりすます可能性があります。
キタきつね注:注意力散漫な時に開いてしまう(私も過去にやった事が・・・)事にも留意すべきかと思います。
4. 個人情報の提供は避けてください。
悪意のある攻撃者は、ランサムウェアをペイロードとして密かに隠しているフィッシングメールを送信したい場合、どこかから情報を入手する必要があります。確かに、彼らはダークウェブで公開されたデータ侵害からその情報を入手するかもしれません。しかし、彼らは、ソーシャルメディアの投稿や公開プロフィールを調べて重要な情報を探すことで、OSINT技術を使用してそれを取得することができます。そうは言っても、絶対に必要な場合を除いて、オンラインで過度に共有したり、個人情報を特定することを一般的に避けたりすることが重要です。
キタきつね注:生年月日等をSNSプロフィール等に記載していると、攻撃者にヒントになってしまう事も。(ランサムというよりAPT攻撃の範疇な気もしますが)
5. クリックする前によく考えてください。
ソーシャルネットワークやインスタントメッセンジャーを介して危険なハイパーリンクを受信する可能性があります。多くの場合、デジタル犯罪者は誰かのアカウントを侵害し、連絡先リスト全体に不正なリンクを送信します。そのため、悪いリンクの送信者は、友人、同僚、家族など、信頼できる人物である可能性があります。誰からのものかに関係なく、疑わしいリンクをクリックしないでください。連絡先があなたの注意を引くためのリンクを送信することを意図していたかどうかわからない場合は、別の通信手段を使用して連絡し、確認してください。
キタきつね注:リンクは、メール表示をHTML形式からテキスト形式にすると、偽装しているURLが見える事もあるのでオススメです。
6. ユーザーを教育します。
上記のベストプラクティスは、流通している最も一般的なタイプのフィッシング攻撃のいくつかについてユーザーを教育する必要性を浮き彫りにします。これを行うには、従業員全体の継続的なセキュリティ意識向上トレーニングを通じて、セキュリティ文化の育成に投資する必要があります。このプログラムでは、フィッシングシミュレーションを使用して、従業員がフィッシング戦術に精通していることを具体的にテストする必要があります。
キタきつね注:最新事例に基づく教育(常に文面パターンを更新)でないと、効果が薄いかも知れません。
フィッシング対策協議会 Council of Anti-Phishing Japan
7. ファイル拡張子の表示機能を使用します。
ファイル拡張子の表示はWindowsのネイティブ機能であり、開いているファイルの種類を簡単に確認できるため、潜在的に有害なファイルを避けることができます。これは、詐欺師が1つのファイルに2つ以上の拡張子があるように見える紛らわしい手法を利用しようとする場合に役立ちます(例:cute-dog.avi.exeまたはtable.xlsx.scr)。Pのこの種のトリックにAYの注意。
キタきつね注:拡張子やアイコン偽装はもはや当たり前ですので、ファイル拡張子を消している方は・・・少し危ないかも知れません。
8. ソフトウェアにパッチを適用して最新の状態に保ちます。
パッチがない場合、悪意のある攻撃者は、エクスプロイトキットを使用して、オペレーティングシステム、ブラウザ、ウイルス対策ツール、またはその他のソフトウェアプログラムの脆弱性を悪用する可能性があります。これらの脅威には、ランサムウェアやその他の悪意のあるペイロードをドロップできる既知の脆弱性のエクスプロイトコードが含まれています。そのため、セキュリティの専門家がそれに応じて修復と軽減の取り組みに優先順位を付けることができるように、脆弱性管理が接続されたすべてのソフトウェア資産をカバーしていることを確認する必要があります。
キタきつね注:ソフトの最新化は、セキュリティの基本ではありますが、ここにヒントとして書かれるという事は、”それだけ出来てない人が多い”という事ですので、リスクを軽減するために自動更新のONや意識してのパッチ当てを心掛ける必要があります。
9. コンピューターで疑わしいプロセスを見つけた場合は、すぐにWebを無効にします。
この手法は、攻撃の初期段階で特に効果的です。ほとんどのランサムウェアサンプルは、暗号化ルーチンを完了するために、コマンドアンドコントロール(C&C)サーバーとの接続を確立する必要があります。インターネットにアクセスできない場合、ランサムウェアは感染したデバイス上でアイドル状態になります。このようなシナリオでは、データを復号化することなく、感染したコンピューターから悪意のあるプログラムを削除することができます。
キタきつね注:いわゆるLAN線を引っこ抜け!です。最近は無線(Wi-Fi)利用も多いかと思いますので、怪しげな端末動作があれば、まずは無線機能をオフ(スマホなら機内モード)にする事を覚えておく方が良いかと思います。
10. 信頼できるサイトからのみダウンロードしてください。
信頼は、ランサムウェアの感染を防ぐ上で重要な役割を果たします。信頼できないプロセスがコンピューター上で実行されないようにする必要があるのと同様に、信頼できる場所からのダウンロードのみを許可するようにする必要もあります。これには、アドレスバーで「HTTPS」を使用するWebサイトや、モバイルデバイスの公式アプリマーケットプレイスが含まれます。
キタきつね注:公式サイト(信頼できるサイト)からソフトをダウンロードする事もセキュリティの基本ですが、Google検索等で公式サイト(広告に出てくるサイトではなく)をいつも選択する、というのも良い手な気がします。
11. 許可リストにアプリケーションを追加します。
信頼について言えば、環境にリスクをもたらす可能性のあるアプリケーションをインストールしないことが重要です。組織のセキュリティポリシーに従って、システムが実行できるプログラムを承認する手段として、アプリケーションを許可リストに追加する必要があります。
キタきつね注:会社の端末に制作者がよく分からないフリーソフト等を入れると、いつの間にかデータを抜かる、あるいはマルウェア感染するリスクも出てきますので、IT部門が検証(承認)済なソフトのみを使う事が重要です。
12. Windowsファイアウォールをオンにして、常に適切に構成してください。
Windowsファイアウォールは、ランサムウェアの攻撃者がマシンに感染しようとするなど、不正アクセスのインスタンスからPCを保護するのに役立ちます。Windowsファイアウォールの詳細については、MicrosoftのWebサイトを参照してください。
キタきつね注:Windows DefenderをONにするという意味かと思います。
13. 最小特権の原則を使用します。
ファイアウォールは、悪意のある攻撃者がネットワークに侵入するのを防ぐために、南北のトラフィックを確認するのに役立ちます。ただし、これらのソリューションは、横方向の動きの兆候がないか東西のトラフィックをスキャンする場合には効果が低くなります。そのため、制御のレベルと実行している書き込みアクセスのインスタンスを確認して、最小特権の原則を実装することを検討する必要があります。これにより、ランサムウェアの攻撃者が侵害されたアカウントを使用してネットワーク内を移動するのを阻止できます。
キタきつね注:ラテラルムーブメント(横移動)防止のために、特権ユーザー絞り、付与する権限も業務遂行に必要な権限のみにする事を考えるという意味かと思います。
14. 圧縮ファイルまたはアーカイブファイルをスキャンするようにセキュリティソフトウェアを調整します。
多くのランサムウェアアクターは、圧縮ファイルまたはアーカイブファイルを含む添付ファイル内にペイロードを隠すことで、電子メールフィルターを利用できると考えています。したがって、これらのタイプのファイルをスキャンしてマルウェアを検出できるツールが必要です。
キタきつね注:強力なAES暗号のZIPを狙ったEmotet等の攻撃事例を考えると、圧縮ファイルでのファイルのやり取りは、別な手段に移行するか、ZIPパスワードを別送付(例えばSMSや電話で伝える)する事を考えた方が良いかと思います。
15. 強力なスパムフィルターを使用して、ユーザーを認証します。
圧縮ファイルまたはアーカイブファイルをスキャンする機能の他に、フィッシングメールが一般にユーザーに届くのを防ぐことができる強力なスパムフィルターが必要です。また、Sender Policy Framework(SPF)、Domain Message Authentication Reporting and Conformance(DMARC)、DomainKeys Identified Mail(DKIM)などのテクノロジーを使用して、悪意のある攻撃者が電子メールのなりすまし技術を使用するのを防ぐ必要があります。
キタきつね注:ドメイン認証をしていない企業や組織は、フィッシングメールがランサムの入口になる可能性が高い事を考えて、ドメイン認証強化を考えるべきかと思います。
16. Windows ScriptHostを無効にします。
一部の悪意のある攻撃者は、.VBSファイル(VBScript)を使用して、感染したコンピューターでランサムウェアを実行します。マルウェアがこのファイルタイプを使用するのをブロックするには、Windows ScriptHostを無効にする必要があります。
キタきつね注:業務によるかと思いますが、多くの従業員はVBSを使った業務はしてないのではないでしょうか。だとすれば無効にする前提で、一度業務の洗い出しをすると、案外簡単に無効化を実現できるのではないでしょうか。
17. WindowsPowerShellを無効にします。
PowerShellは、Windowsコンピューターにネイティブなタスク自動化フレームワークです。これは、コマンドラインシェルとスクリプト言語で構成されています。悪意のある個人は通常、PowerShellを使用してメモリからランサムウェアを実行し、従来のウイルス対策ソリューションによる検出を回避するのに役立ちます。したがって、フレームワークを正当に使用していない場合は、ワークステーションでPowerShellを無効にすることを検討する必要があります。
キタきつね注:優先順位で並んでないリストとは言え、PowerShellを使った(APT)攻撃は今や普通の事となりつつありますので、優先度を高めて、PowerShellを止める事を検討した方が良いかと思います。
18. MicrosoftOfficeアプリのセキュリティを強化します。
悪意のある個人は、武器化されたMicrosoftファイルを使用して悪意のあるペイロードを配布する傾向があります。これらのファイルは通常、特にマクロとActiveXを使用します。この事実を認識して、悪意のあるコードがWindows PCで実行されないようにするには、マクロとActiveXを無効にする必要があります。
キタきつね注:クラウド版(O365)を利用している場合は、特に留意が必要かと思います。多要素(多段階)認証や、O365に対する多層防御は今や必須の対策だと思います。
19. ポップアップをブロックするブラウザアドオンをインストールします。
ポップアップは、悪意のある攻撃者がランサムウェア攻撃を開始するための一般的なエントリポイントとして機能します。したがって、ブラウザアドオンのインストールを検討して、トラック内のポップアップを停止する必要があります。
キタきつね注:アンチウィルスソフト等でも同等な機能を持っているかと思いますので、敢えてアドオンを使う必要もない気がします。
20. 強力なパスワードを使用してください。
脆弱なパスワードが存在する場合、悪意のある攻撃者がシステムまたはアカウントにブルートフォース攻撃を仕掛ける可能性があります。次に、そのアクセスを利用して二次攻撃を実行したり、ランサムウェアを展開する目的でネットワーク全体を横方向に移動したりできます。そのため、すべてのアカウントに強力で一意のパスワードを使用して適用する必要があります。
キタきつね注:パスワードの使い回しは、ここ数十年無くなってません。
パスワードの父は言う「もう無理、悪夢」と | ギズモード・ジャパン
新ホワイトペーパー「日本人のためのパスワード2.0」リリースのお知らせ | JCPC | 一般社団法人日本プライバシー認証機構(JPAC)
21. 自動再生を無効にします。
自動再生は、ユーザーがUSBドライブ、メモリースティック、CDなどのデジタルメディアを即座に実行できるようにするWindowsの機能です。悪意のある攻撃者は、これらのタイプのデバイスを使用して、ランサムウェアをコンピューターに忍び込ませる可能性があります。それに応じて、すべてのワークステーションでこの機能を無効にする必要があります。
キタきつね注:外部メディアは基本禁止(デバイスロック)する事が必要かと思います。必要に応じて(申請があれば)媒体利用を許可する運用が良いのではないでしょうか。
22. なじみのないメディアは使用しないでください。
悪意のある攻撃者が組織のサプライチェーンを危険にさらし、トロイの木馬化されたメディアデバイスを送信することは1つのことです。なじみのないデバイスをコンピュータに進んで接続することも別のことです。自分のものではないUSBドライブやCDに何が隠れているのかわかりません。したがって、信頼できるプロバイダーから購入した場合を除き、これらのタイプのメディアの使用は避けてください。
キタきつね注:落ちているUSBを拾う。PCに入れて確認する。この単純な攻撃にひっかかった方が、相当数(過去には)存在する事は留意すべき点かと思います。
落ちている USB の約半数がコンピュータに接続されることが明らかに – Naked Security
23. ファイル共有を無効にしてください。
環境内の複数のマシンに感染する方法を攻撃者に与えたくはありません。そのため、ファイル共有を無効にする必要があります。ランサムウェア攻撃が発生した場合、暗号マルウェアはマシン上で隔離されたままになり、他の資産に拡散することはありません。
キタきつね注:共有サーバーは最初の端末が侵害されて真っ先に狙われます。
24. リモートサービスを無効にします。
リモートデスクトッププロトコルは、ブラックハットハッカーが攻撃対象領域を拡大し、ネットワークへの足がかりを得るために利用できます。この脅威を抑えるには、リモートサービスを無効にする必要があります。そうすることで、リモート攻撃の1つのベクトルを閉じるのに役立ちます。
キタきつね注:一般ユーザーのRDPを無効にする、又は監視する事も当然ですが、もしメンテナンス等の正規の理由があってRDPを利用させる場合は”多要素認証”の導入が無いと、今やリスクでしか無いかと思います。
リモートアクセスにもゼロトラスト - Fox on Security
25. Bluetoothや赤外線ポートなどの未使用のワイヤレス接続をオフにします。
悪意のある攻撃者がマシンを危険にさらすためにBluetoothを悪用する場合があります。組織で使用されていない可能性のあるBluetooth、赤外線ポート、およびその他のワイヤレス接続をオフにして、この脅威ベクトルに対処する必要があります。
キタきつね注:ワイヤレス接続は目に見えないだけに、その不正利用を警戒すべきです。定期的に不正ワイヤレス接続が無いかチェックしたり、不正接続を検知するツールを入れたりするのが良いかと思います。
26. ソフトウェア制限ポリシーを使用します。
パーMicrosoftのドキュメント、ソフトウェア制限ポリシーは、自分のコンピュータ上でアプリケーションを実行するプロセスを管理するために、組織を有効に信頼ポリシーです。たとえば、アプリの実行を許可する場所と許可しない場所を指定する機能が付属しています。攻撃者は通常、ProgramData、AppData、Temp、およびWindows \ SysWowを使用して悪意のあるプロセスをホストするため、これはランサムウェアの感染を防ぐのに役立ちます。
キタきつね注:ホワイトリスト制限という意味かと思います。
27. 既知の悪意のあるTorIPアドレスをブロックします。
Tor(オニオンルーター)ゲートウェイは、ランサムウェアの脅威がC&Cサーバーと通信するための主要な手段の1つです。したがって、既知の悪意のあるTor IPアドレスをブロックできます。これらは、重大な悪意のあるプロセスの通過を妨げる可能性があるためです。
キタきつね注:Torを使っていたら既に相当侵害が進んでいる事に他なりません。併せてVPNも監視対象に入れておくべきかも知れません。
28. 脅威インテリジェンスを活用します。
ランサムウェアの攻撃者は、新しい技術を革新し、新しい攻撃を開始し、新しい種類の暗号マルウェアを作成し続けています。この現実に照らして、脅威の状況で何が起こっているのか、同じ地域または業界の他の組織にどのようなリスクが影響を及ぼしているのかについて、何らかの方法で対応する必要があります。これを行うには、信頼できる脅威インテリジェンスフィードにアクセスできることを確認します。
キタきつね注:AI対AIの時代は近い気がします。
29. ネットワークをセグメント化します。
攻撃者は、継続的なネットワークを使用して、インフラストラクチャ全体に拡散する可能性があります。ネットワークをセグメント化することで、これを防ぐことができます。特に、産業資産とIoTデバイスをそれぞれのセグメントに配置することを検討することをお勧めします。
キタきつね注:セグメントが「本当に分離されているのか」を定期的にチェックする事も重要です。新しい機器が勝手に繋がれていて、いつの間にかネットワーク構成が変わってしまっている事にご留意ください。
30. 疑わしいアクティビティがないかネットワークを監視します。
ネットワークを編成する方法が何であれ、ランサムウェア攻撃やセキュリティインシデントを示す可能性のある脅威の動作に注意する必要があります。そのため、疑わしいアクティビティがないかネットワークを監視するためにツールを使用する必要があります。
キタきつね注:最後はゼロトラストに行きつくのでしょうが、膨大なログデータを分析するには、良い分析ツールが必要です。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
