Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムウェア攻撃を今年も警戒すべき理由

IPAが発表した2021年の情報セキュリティ10大脅威(組織)の第1位はランサムウェアによる被害」でしたが、Dark Readingの記事を読むと、2022年もランサムウェア被害が上位に入ってくる脅威となる気がしてなりません。

www.darkreading.com

セキュリティの専門家は、オペレーターが身代金の恐喝に成功し続けているため今年はランサムウェア攻撃のペースが加速すると予測しています。キャンペーンがより組織化され、ターゲットが絞られ、必要なツールにアクセスしやすくなるにつれて、防御側にとって将来は不吉に見えます。

業界が注目している重要な傾向は、二重恐喝攻撃の増加です。オペレーターは2つの戦略を使用します。盗まれたデータを返すために身代金を要求し、組織が支払いをしない場合はデータを公開すると脅迫します。過去1年間にこの傾向が現れたことは、データのバックアップなどの保護のために、時間の経過とともに、より多くの被害者が身代金の支払いを拒否したことを示しています。

(Dark Reading記事より引用)※機械翻訳

 

キタきつねの所感

ランサムは脅威については、今更言うまでも無い事ではありますが、多くのランサムオペレータが利用していたEmotetがEuropolやFBI、各国の司法機関などの共同キャンペーンによりテイクダウンされた事など、ランサムの活動が低下する兆候を見せている中、それでも多くの専門家は「ランサムは依然として脅威である」と分析している様です。

この記事ではいくつかの調査レポートを元に、ランサムオペレータの攻撃手法を分析していますが、中でも一番気になるデータが出ていたのが、Crowdstrike社の「2021 Global Threat Report」です。

www.crowdstrike.com

CrowdStrikeの研究者は、最新の「サイバー最前線レポート」で、ランサムウェアが配備されるまで侵害されたことを知らない企業もあると述べています。被害者の69%がセキュリティインシデントを自己認識しましたが、14%のケースでは、ランサムウェアの実行が原因で違反が発見されました

ランサムウェア攻撃の平均滞留時間は2020年で45日でした。ただし、ランサムウェア攻撃の26%で、滞留時間が1日であったことは注目に値します。48%では、1週間未満でした。

(Dark Reading記事より引用)※機械翻訳

 

ランサムオペレータ(攻撃者)の攻撃を受けた企業の約半分が、侵害を検知できてないという事もさる事ながら、ランサム攻撃の1/4が1日で攻撃を「終わらせている」と言う”現実”は驚きを禁じ得ません。

 

Mitre ATT&CK のサイバーキルチェーン(ATT&CK)では、攻撃者の攻撃行動を7つのステップに分解して説明していますが、

エンタープライズ戦術

 ①偵察(Recon)

 ②武器化(Weaponize)

 ③デリバリー(Deliver)※③以降は企業のネットワークに侵入

 ④攻撃(Exploit)

 ⑤コントロール(Control)

 ⑥実行(Execute)

 ⑦維持(Maintain)

 

③以降の企業への攻撃ステップにおける、③デリバリー(フィッシングメール等で攻撃対象にマルウェア等を送り込む初期侵入)を防ぎきれないのは仕方が無いとしても、④攻撃~⑤コントロールの部分、つまり企業側の検知(対応)が遅れている、あるいは(又は)攻撃側の手法が洗練されてきているという事なのかと思います。

 

誤解を恐れずに言えば、ランサムオペレータ(攻撃者)は、企業の侵入成功(2重脅迫等)によって大きな収益が見込める「ビジネスモデル」が確立されており、彼らの持つ資源を集中的に投入しているのかと思います。

『約1/4の攻撃が1日以内に完結する』というのは、企業内に侵入した後の横移動(ラテラルムーブメント)が非常に早い事を示唆しており、攻撃側はそれだけ優秀な(技術的に優れた)人材又はチームを当てている事に他なりません。

※Dark Readingの記事では、攻撃者が通常以上のリソースを横移動(ラテラルムーブメント)に当てている事が伺える、研究者の分析コメントが書かれています。

「これは、マルウェアによって生成されたレポートを手動で分類し、より興味深い被害者に優先順位を付け、より深い潜水のために特別なケースを割り当て、手動の偵察と横方向の伝播を実行する人々のチームがあることを意味します」と研究者はレポートで述べています。

(Dark Reading記事より引用)※機械翻訳

 

では彼ら(攻撃者) は、どうして従来よりも攻撃スピードを速く出来たのでしょうか?その主原因と考えられるのが、2020年のコロナ禍を受けて急速に移行したテレワークです。日本も含めた世界の企業は、急遽テレワークを『強いられた』事により、パッチ適用(=機密性)よりもリモート環境の構築/維持(=可用性)を優先しました

リモートデスクトップ脆弱性は、パッチが適用されるCVEの数が増加し、組織が新たにリモートの従業員を保護するために急いでいるため、2020年にパッチ適用の優先順位を上回りました。TenableのスタッフリサーチエンジニアであるSatnamNarangは、リモートデスクトッププロトコル(RDP)の脆弱性を、ランサムウェアの攻撃者と金銭的利益を求めるサイバー犯罪者の両方にとって「パンとバター」と呼んでいます。

 

(Dark Reading記事より引用)※機械翻訳

 

 

多くの企業にとってテレワークシフトは、企業存続の為に必須な施策ではありましたが、機密性と可用性のバランスが大きく崩れ、そこに露出した脆弱点が、攻撃者にとって『大きなビジネスチャンス』に化けたのは間違いありません。

 

記事でも触れていますが、1月8日のZscalerの記事は(※2020/12/8の調査記事に基づきますが)、ランサムの攻撃の多くがクラウドの設定ミス』を狙ったものであった事を表しており、併せて企業のIT部門の(パッチ)対応が後手に回った事を示唆しています。

www.zscaler.com

Zscaler ThreatLabZは最近、セキュリティの設定ミスがパブリッククラウドインフラストラクチャに対するサイバー攻撃の主な原因であることを示した、2020年のパブリッククラウドセキュリティの状態に関するレポートを公開しました。このブログでは、一般的に悪用されるセキュリティの設定ミスの1つであるインターネットに開いたままのRDPサービスポートと、サイバー犯罪者がそれを悪用する方法について説明します。

ブルートフォーシングRDP(リモートデスクトッププロトコル)は、Windowsシステムにアクセスしてマルウェアを実行しようとする攻撃者が使用する最も一般的な方法です。理由は単純です。パブリッククラウドの脅威に関する調査では、システムの70%がパブリッククラウドでRDPポートを開いたままにしていることがわかりました。攻撃者は、これらの公開されているRDPポートをスキャンして、分散型ブルートフォース攻撃を実行します。弱い資格情報を使用するシステムは簡単な標的であり、一度侵害されると、攻撃者はダークウェブ上のハッキングされたシステムへのアクセスを他のサイバー犯罪者に売ります

Zscaler記事より引用)※機械翻訳

 

12月の記事の(RDPも関係する)データからも容易に想像できますが、企業側がパブリッククラウドRDPポートの保護を重視してない状況である事がよく分かります。

主な調査結果
・63%がクラウドアクセスに多要素認証を使用していません
・50%はアクセスキーを定期的にローテーションしません
・92%がクラウドストレージへのアクセスをログに記録しないため、インシデントのフォレンジック分析を実行できなくなります
・ワークロードの26%がSSHポートをインターネットに公開し、20%がRDPを公開しています

Zscaler記事より引用)※機械翻訳

 

2020年はランサム被害が多発しましたので、現在は多くの企業で対策も進んだかと思いますが、ランサム攻撃者(サイバー犯罪者)は、RDP以外にも企業に侵入できる脆弱性を常に探しており優秀な人材を当て、(ゼロディを含む)攻撃ツールを投入する機会を伺っている事を認識し、パッチ当てを含むセキュリティ対策を強化する事が求められているのだと思います。

 

とは言え、テレワークを始めとするシステム運用に加えて、日々発表される膨大な数の脆弱性対応を行うIT部門側から見ると、脆弱性対応が遅れがちになるのは現実問題として、仕方がない事かも知れません。

そうした状況下において重要となるのが、脆弱性に対する優先順位付けのアプローチとなるかと思います。こうしたアプローチにおいて、ランサム攻撃で実際に使用されている脆弱性(CVE)分析結果は、優先順位付けの参考になるかも知れません。

 

まず1つ目の特徴として、古い脆弱性を記事では挙げています。過去のランサム攻撃で使われた脆弱性対応(パッチ当て)に「漏れが無いか」どうか、CriticalやHighを中心に再チェックする事は、平時でもできる事かと思いますので、パッチ当て検討の参考になるかも知れません。

ランサムウェア攻撃で武器化されたCVEの分析で、RiskSenseの研究者は、223件中213件、つまり96%が2019年までにNational Vulnerability Database(NVD)に報告されていることを発見しました。213件の欠陥のうち、120件が過去に流行したランサムウェアの脅威に積極的に使用されていました。 10年と87は現在トレンドです。

脆弱性ランサムウェアに結び付けられると、その年齢に関係なく、リスクの高いエクスポージャーポイントと見なされるべきであると言っても過言ではありません」と研究者は述べています。これは、新しく開示されたCVEへのパッチ適用のみを優先し、古いCVEを延期するビジネスへのモーニングコールである必要があります

ランサムウェアファミリーで最も活発な古い脆弱性には、CVE-2012-0507、CVE-2012-1723、CVE-2012-4681、CVE-2013-0074が含まれます。

(Dark Reading記事より引用)※機械翻訳

 

2点目が脆弱性の「特性」です。テレワークやリモートメンテナンスで用いるRDPやVPN接続機器/ソフトで特に重要となるのが、攻撃者にとって使い勝手が良い企業ネットワークの侵入(情報窃取)が容易になる可能性がある脆弱性への対応です。

RiskSenseの研究者によると、ランサムウェア攻撃に関連するCVEの40%は、5つの一般的な弱点列挙(CWE)に関連しています。相関関係により、どの新しい脆弱性の開示がランサムウェアファミリにアピールする可能性があるかを予測しやすくなると彼らは言います。

これらの5つは次のとおりです。

•CWE-119:メモリバッファの範囲内での操作の不適切な制限
•CWE-20:不適切な入力検証
•CWE-264:アクセス許可、特権、およびアクセス制御
•CWE-94:コードまたはコードの生成の不適切な制御インジェクション
•CWE-200:無許可のアクターへの機密情報の公開

(Dark Reading記事より引用)※機械翻訳

 

これらの要素は、CVSSのスコアに大きく影響すると思いますので、CriticalやHighを中心としてパッチ当てを考える手法とあまり変わりがない気がする方も多いかと思いますが、最近はCriticalやHighにランクされる脆弱性発表の数が多いという事もあり、CriticalやHightの中でも優先順位付けが必要となるケースも多いかと思います。

そうした際に、例えば危険度(CVSSスコア)は高いけれども、特権IDが侵害されなければその脆弱性を使った悪用は難しい、といった形で、一部の脆弱性対応の優先順位を下げる事ができる場合もあるのではないでしょうか。

 

今回のブログ記事では書き切れませんでしたが、Dark Readingの今回の記事は、他の調査レポートも引用したランサム攻撃手法の分析記事となっていますので、ご興味ある方は、是非原文記事(英語)をご覧になる事をオススメします。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2021年2月24日 AM