ランサム攻撃によるビジネス中断を防ぐベストプラクティス

米国CISAとFBIが連名アラート（AA21-131A）を出していました。重要インフラのみならずOTとITを抱える製造業などのランサム対策の参考となりそうな内容です。

us-cert.cisa.gov

・元ソース

Alert (AA21-131A)　DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks

（DarkSideランサムウェア：ランサムウェア攻撃によるビジネスの中断を防ぐためのベストプラクティス）,5/11

キタきつねの所感

米国東海岸の燃料供給の45％を担っているコロニカル・パイプライン社へのランサム攻撃の影響は、ガソリン供給が停止するかも知れないとの、パニック買いを引き起こし、ワシントンポストの昨日の記事では、米国南東部で1万を超えるガススタンドが”ガス欠”になった様です。

平均ガソリン価格も2014年以来の1ガロン3ドル超え（※とは言え・・1ガロンは約４Lですので１リッター75円位なのですが）になっている事からも、重要インフラ停止による影響が徐々に拡大している事が分かります。

Live updates: Gas prices creep up, panic-buying worsens after Colonial Pipeline hack - The Washington Post

日本でも重要インフラへの警戒レベルを上げるべきかと思いますが、”先を読んだか”の様に、実はNISCがGW前の4月30日に、重要インフラ事業者に対するランサム攻撃の注意喚起を出しています。

※この内容には、当然の事ながらDarkSideランサムの攻撃手法などは含まれていませんが、去年あたりからの攻撃事例を元にした注意すべき脆弱点や、対応策などがまとめられていますので、重要インフラ事業者だけでなく一般企業にも参考になると思います。

日本政府も警戒をしている様ですが、NISCの注意喚起だけでなく、CISA・FBIのアラートにも有益な内容が多いかと思いますので、ご紹介します。

「インフラ安全に万全期す」官房長官、米サイバー攻撃で: 日本経済新聞

梶山経済産業相「サイバー攻撃巧妙に対策強化を」 | IT・ネット | NHKニュース

※余談ですが上の日経記事、「万全を期す」は、セキュリティの世界では誤用だと思います。APT攻撃やゼロディ攻撃もある中、セキュリティ対策に「完全」を求めるのは不可能である＝使ってはいけない用語の１つだと思います。

※日経記事を見ると、加藤官房長官は「内閣サイバーセキュリティセンター（NISC）を中心に情報収集し、サイバーセキュリティーの確保にしっかり取り組む」としか発言してない様ですので、記者さんの”要約”でこの表現になったのだと思いますが、発言する側も、それを受け取る側も「万全を期す」のは現実問題として実現が困難である事の認識を深めるべきかと思います。

前置きが長くなりましたが、改めてCISAのアラート内容を見ていきます。

技術的な詳細
パイプライン会社のネットワークへの最初のアクセスを取得した後、DarkSideアクターは会社のITネットワークに対してDarkSideランサムウェアを展開しました。サイバー攻撃に対応して、同社はシステムの安全性を確保するために特定のOTシステムを積極的に切断したと報告しています。現時点では、攻撃者がOTシステムに横方向に移動した兆候はありません。

DarkSideはサービスとしてのランサムウェア（RaaS）です。ランサムウェアの開発者は、「アフィリエイト」と呼ばれる、ランサムウェアを展開するサイバー犯罪者から収益の一部を受け取ります。オープンソースのレポートによると、2020年8月以降、DarkSideの攻撃者は複数の大規模で高収益の組織を標的にしており、機密データの暗号化と盗難につながっています。DarkSideグループは、病院、学校、非営利団体、政府ではなく、多額の身代金を支払う余裕のある組織をターゲットにすることを好むと公に述べています。
オープンソースのレポートによると、DarkSideアクターは、リモートアクセス可能なアカウントとシステムおよび仮想デスクトップインフラストラクチャ（VDI）をフィッシングおよび悪用することで初期アクセスを取得することが以前に観察されています（フィッシング[ T1566]、エクスプロイトパブリックフェイシングアプリケーション[ T1190 ]、外部リモートサービス[ T1133 ]）。 DarkSideアクターは、永続性を維持するためにリモートデスクトッププロトコル（RDP）を使用して観察されています[ TA0003 ]。

アクセスを取得した後、DarkSideアクターは、DarkSideランサムウェアを展開して、機密データを暗号化および盗みます（Data Encrypted for Impact [ T1486 ]）。その後、アクターは、身代金が支払われない場合、データを公開すると脅迫します。DarkSideランサムウェアは、Salsa20およびRSA暗号化を使用します。

DarkSideアクターは、主にコマンドアンドコントロール（C2）にオニオンルーター（TOR）を使用します[ TA0011 ]（プロキシ：マルチホッププロキシ[ 1090.003 ]）。アクターは、C2にコバルトストライクを使用して観察されています。

インシデントはFireEyeが調査中の段階かと思いますので、CISA・FBIのアラートが、実際のコロニカル社への攻撃手法ではありませんが、現時点で推測できる（＝企業が警戒すべき）参考情報とて有益です。

初期攻撃の可能性があるフィッシングや、RDPへの警戒（対策強化）、メモリ展開のランサムの挙動や、C&Cとの通信部分の監視（検知）等辺りに留意すべきかと思います。

（一般的な）DarkSideランサムの攻撃手法については、5/11にFireEyeが非常に短期間で素晴らしい分析レポートを出していました。こちらも非常に参考（勉強）になるかと思いますので、ご興味ある方は下記をご覧になってみて下さい。

www.fireeye.com

初期侵入に関しては、境界インフラへのパスワード攻撃や、SonicWall（VPN装置）の脆弱性（CVE-2021-20016）を突いた攻撃、メールでのマルウェア感染などが観測されている様です。

内部検知の部分は割愛しますが、外部のC&Cサーバとの通信の部分に関して、正当な証明書を使っての接続、ここでも出てきたか・・と思いますがTeamViewer等の遠隔保守ツール、あるいはラテラルムーブメント（横移動）の部分では、BEACONやRDP、SSHを使ってのPlink悪用などが警戒すべき手法の様です。

CISA・FBIの緩和策（ベストプラクティス）は、以下の様に書かれています。

※赤字部分はCISAが強調をかけていた部分です。

緩和策
CISAとFBIは、CIの所有者とオペレーターに、ランサムウェア攻撃による侵害のリスクを軽減するために、次の緩和策を適用するように求めています。

・OTおよびITネットワークへのリモートアクセスには多要素認証が必要です。
強力なスパムフィルターを有効にして、フィッシングメールがエンドユーザーに届かないようにします。実行可能ファイルを含む電子メールがエンドユーザーに届かないようにフィルタリングします。
・ユーザートレーニングプログラムとスピアフィッシングのシミュレートされた攻撃を実装して、ユーザーが悪意のあるWebサイトにアクセスしたり、悪意のある添付ファイルを開いたりするのを阻止し、スピアフィッシングメールに対する適切なユーザー応答を強化します。
・ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの入力および出力通信を禁止します。URLブロックリストや許可リストを実装して、ユーザーが悪意のあるWebサイトにアクセスするのを防ぎます。
・オペレーティングシステム、アプリケーション、ITネットワーク資産のファームウェアなどのソフトウェアをタイムリーに更新します。一元化されたパッチ管理システムの使用を検討してください。リスクベースの評価戦略を使用して、パッチ管理プログラムに参加する必要があるOTネットワーク資産とゾーンを決定します。
・特にRDPを制限することにより、ネットワークを介したリソースへのアクセスを制限します。リスクを評価した後、RDPが運用上必要であると見なされた場合は、発信元を制限し、多要素認証を要求します。
・最新の署名を使用してITネットワーク資産の定期的なスキャンを実行するようにウイルス対策/マルウェア対策プログラムを設定します。リスクベースの資産インベントリ戦略を使用して、マルウェアの存在についてOTネットワーク資産を特定および評価する方法を決定します。
・次の方法で不正実行防止を実装します。
〇電子メールで送信されたMicrosoftOfficeファイルからのマクロスクリプトを無効にします。完全なMicrosoftOfficeスイートアプリケーションの代わりに、OfficeViewerソフトウェアを使用して電子メールで送信されたMicrosoftOfficeファイルを開くことを検討してください。
〇アプリケーションの許可リストを実装します。これにより、システムは、セキュリティポリシーで認識され、許可されているプログラムのみを実行できます。ソフトウェア制限ポリシー（SRP）またはその他の制御を実装して、一般的なインターネットブラウザーをサポートする一時フォルダーや、AppData/LocalAppDataフォルダーを含む圧縮/解凍プログラムなど、一般的なランサムウェアの場所からプログラムが実行されないようにします。
〇Tor出口ノードおよびその他の匿名化サービスから、外部接続が予期されていないIPアドレスおよびポート（VPN ゲートウェイ、メールポート、Webポート以外）へのインバウンド接続を監視および/またはブロックします。詳細なガイダンスについては、合同サイバーセキュリティアドバイザリAA20-183A：Torから発生する悪意のあるサイバー活動に対する防御を参照してください。
〇シグネチャをデプロイして、CobaltStrikeサーバーやその他のエクスプロイト後のツールからのインバウンド接続を検出および/またはブロックします。

当たり前の事しか書かれていないとも言えますが、当たり前の事が出来ていない、あるいは全体をきちんと把握出来ていない（シャドーIT含）点を、DarkSide等のハッカーに攻撃をされているのだと考えて、自組織の体制を再点検すべき企業・組織は多いかも知れません。

一般的な例示として挙げているのかと思いますが、「特に」と枕がついているので、RDP（TeamViewer）等がコロニカル社のインシデント原因になった可能性も十分考えられますが、今の所、それ以上の情報はありませんので、続報待ちです。

一般の注意喚起であると、ここで終わる事が多いのですが、今回のCISA・FBIの注意喚起は続きがあり、将来のランサム被害のリスク軽減策として、以下の様な事が書かれていました。

※赤字部分はCISAが強調をかけていた部分です。

・ITネットワークとOTネットワークの間に堅牢なネットワークセグメンテーションを実装して保証し、ITネットワークが危険にさらされた場合でも攻撃者がOTネットワークにピボットする能力を制限します。ITネットワークとOTネットワーク間の規制されていない通信を排除する非武装地帯を定義します。
・重要度、結果、および運用上の必要性を考慮して、OT資産を論理ゾーンに編成します。ゾーン間の許容可能な通信コンジットを定義し、セキュリティ制御を展開して、ネットワークトラフィックをフィルタリングし、ゾーン間の通信を監視します。産業用制御システム（ICS）プロトコルがITネットワークを通過することを禁止します。
・OTとITネットワークの相互依存関係を特定し、回避策または手動制御を開発して、接続によってOTプロセスの安全で信頼性の高い操作にリスクが生じる場合にICSネットワークを分離できるようにします。手動制御などの緊急時対応計画を定期的にテストして、サイバーインシデント中にセーフティクリティカルな機能を維持できるようにします。ITネットワークが危険にさらされた場合でも、OTネットワークが必要な容量で動作できることを確認してください。
・ICSまたはOTネットワークをオフラインにする必要がある場合に重要な機能を実行し続けることができるように、手動制御を定期的にテストしてください。
・ITネットワークとOTネットワークの両方に定期的なデータバックアップ手順を実装します。バックアップ手順は、頻繁に定期的に実行する必要があります。データのバックアップ手順では、次のベストプラクティスにも対応する必要があります。
〇バックアップが定期的にテストされていることを確認してください。
〇バックアップは個別に保存してください。バックアップは、ランサムウェアの拡散を可能にする可能性のあるネットワーク接続から分離する必要があります。多くのランサムウェアの亜種がアクセス可能なバックアップを見つけて暗号化または削除しようとするため、バックアップをオフラインに維持することが重要です。ネットワークデータがランサムウェアで暗号化されている場合、組織はシステムを以前の状態に復元できるため、現在のバックアップをオフラインで維持することは重要です。ベストプラクティスは、外付けハードドライブなど、ネットワークからアクセスできない別のデバイスにバックアップを保存することです。（ランサムウェアに関するSoftware Engineering Instituteのページを参照してください）。
〇再構築が必要になった場合に備えて、重要なシステムの定期的に更新される「ゴールドイメージ」を維持します。これには、事前構成されたオペレーティングシステム（OS）と、仮想マシンやサーバーなどのシステムを再構築するために迅速に展開できる関連ソフトウェアアプリケーションを含むイメージ「テンプレート」の維持が伴います。
〇プライマリシステムの再構築が望ましくない場合に備えて、バックアップハードウェアを保持してシステムを再構築します。プライマリシステムよりも新しいまたは古いハードウェアは、イメージから再構築するときにインストールまたは互換性のハードルを提示する可能性があります。
〇ソースコードまたは実行可能ファイルを保存します。システムイメージから再構築する方が効率的ですが、一部のイメージは異なるハードウェアまたはプラットフォームに正しくインストールされません。このような場合は、必要なソフトウェアに個別にアクセスできると役立ちます。
〇アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理を通じて、ユーザーアカウントとプロセスアカウントが制限されていることを確認します。最小特権と職務の分離の原則に基づいてアクセス権を編成します。