サービスとしてのランサムウェア: 産業化するサイバー犯罪の新顔

2 つの矢印が 1 本の線の上に重ねられ、それぞれが、別の経路上にある他方の矢印の方向を指しています

 サイバー犯罪の最新のビジネスモデルである "人間が操作する攻撃" の登場で、能力を問わずさまざまな犯罪者が活発化しています。

ランサムウェアは、サイバー脅威の中でもきわめて永続性と蔓延度が高く、進化を続けており、その最新形は全世界の組織を脅かす新たな存在となっています。このランサムウェアの進化には、テクノロジの新たな進歩が関与しているわけではありません。代わりに、サービスとしてのランサムウェア (RaaS) という新しいビジネスモデルが関与しています。

サービスとしてのランサムウェア (RaaS) とは、オペレーター (強要オペレーションに使われるツールの開発と保守を行う者) とアフィリエイト (ランサムウェアのペイロードを展開する者) の間の協定です。アフィリエイトがランサムウェアと強要による攻撃を実行して成功すると、両者が利益を得ます。

RaaS モデルの登場で、攻撃者の参入障壁が低くなりました。独自のツールを開発するスキルや技術力がなくても、既製の侵入テストとシステム管理者のツールをうまく使えば攻撃を実行できるからです。このような低レベル犯罪者は、既に境界突破に成功したもっと巧妙な犯罪者グループから、ネットワークアクセス権を買うこともできます。

RaaS のアフィリエイトは、より巧妙なオペレーターから提供されたランサムウェアペイロードを使いますが、同じランサムウェア "ギャング" の一味ではありません。アフィリエイトは、全体的なサイバー犯罪経済の中で自身の企業を経営するという立場にあります。

サイバー犯罪者の能力高度化とサイバー犯罪経済全体の拡大

サービスとしてのランサムウェアというモデルの登場で、能力の低い犯罪者でも達成できる犯罪の内容が急速に洗練され、産業化されています。かつて、このような巧妙ではない犯罪者はコモディティマルウェアを作成または購入して攻撃を実行していましたが、その範囲は限定されていました。しかし今では、犯罪に必要なものすべて、つまりネットワークへのアクセス権からランサムウェアのペイロードまで、あらゆるものが RaaS オペレーターから手に入るのです (もちろん有料で)。RaaS プログラムの多くはさらに、強要サポート一式も提供しています。たとえばリークサイトのホスティングと身代金要求文への統合に加えて、暗号化解除の交渉や、支払い圧力、暗号通貨取引サービスなどがあります。

つまり、ランサムウェアと強要による攻撃に成功した場合のインパクトは、攻撃者のスキルにかかわらず同じです。

ネットワークの脆弱性を発見して悪用する…有料で

RaaS オペレーターがアフィリエイトに価値を提供する方法の 1 つは、侵害済みネットワークへのアクセス権を提供することです。アクセスブローカーはインターネットをスキャンして脆弱なシステムを発見すると、これを侵害し、後で利益を得るために確保しておきます。

攻撃者が成功を収めるには、資格情報が必要です。侵害済みの資格情報はこのような攻撃において重要であるため、サイバー犯罪者がネットワークアクセス権を売るとき、多くの場合は、確実に利用できる管理者アカウントも価格に含まれています。

犯罪者がアクセスを達成した後で、それをどのように使うかはグループによって大きく異なり、それぞれのワークロードや動機によっても異なります。したがって、最初のアクセスからハンズオンキーボード展開までの時間は数分のことも、数日またはそれ以上に及ぶこともありますが、状況次第では猛スピードでダメージを与えることも可能です。実際に、最初のアクセスからフルランサムまでの時間 (これにはアクセスブローカーから RaaS アフィリエイトへの引き継ぎも含まれます) は 1 時間もかからないことが観測されています。

経済を常に動かす – 永続性とひそかにアクセスする方法

あるネットワークへのアクセスを獲得した攻撃者は、たとえ身代金を受け取った後でも、そこから離れようとしません。実際に、身代金が支払われても影響を受けたネットワークのリスクが縮小するとは限らず、サイバー犯罪者に資金提供するだけになる可能性もあります。犯罪者は追い出されない限り、別のマルウェアまたはランサムウェアペイロードを使って継続的に攻撃から収益を得ようとするからです。

サイバー犯罪経済が変遷するなかで、さまざまな攻撃者間で行われている引き継ぎが意味するのは、複数の活動グループが 1 つの環境内に永続化している可能性があること、そしてランサムウェア攻撃に使われるツールとはまったく異なる多様な方法が使われていることです。たとえば、バンキング型トロイの木馬で獲得された最初のアクセスは Cobalt Strike の展開につながりますが、そのアクセス権を購入した RaaS アフィリエイトはリモートアクセスツール (たとえば TeamViewer) を使って自身の作戦を実施することを選ぶこともあります。

Cobalt Strike のようなマルウェアインプラントではなく、正当なツールと設定を用いて永続化することは、ランサムウェア攻撃者が検出を逃れて特定のネットワーク内により長く常駐するための人気の戦術となっています。

攻撃者に人気のもう 1 つの手法は、新しいバックドアユーザーアカウントを作成するというものです。これはローカルのことも Active Directory 内のこともありますが、作成したアカウントを仮想プライベートネットワーク (VPN) やリモートデスクトップなどのリモートアクセスツールに追加できます。これまでに、ランサムウェア攻撃者がシステムの設定を編集してリモートデスクトップを有効化し、プロトコルのセキュリティを低下させ、新しいユーザーを "リモートデスクトップユーザー" グループに追加していることも観測されています。

世界で最も捕らえにくく悪賢い敵対者に立ち向かう

RaaS の脅威がこれほどまでの懸念となっている理由の 1 つとして、人間である攻撃者への依存というこの攻撃の特性があります。攻撃者は情報に基づいて計算の上で意思決定を行い、自分が降り立ったネットワーク内での発見に基づいて攻撃パターンを変えることができ、こうして確実に自分の目標を達成するからです。

Microsoft は、この攻撃カテゴリを定義するために人間が操作するランサムウェアという新語を造りました。その定義とは、最終的にランサムウェアペイロードを送り込むまでの一連の活動 (ブロックされるマルウェアペイロードではなく) です。

最初のアクセス獲得作戦の多くは自動化偵察に依存していますが、攻撃がハンズオンキーボード段階に移ると、攻撃者は自らの知識とスキルを使ってその環境内のセキュリティ製品を打ち破ろうとします。

ランサムウェア攻撃者の動機は簡単に利益を得ることであるため、セキュリティの強化によって攻撃者のコストを増大させることは、サイバー犯罪経済を混乱させるための鍵となります。この人間による意思決定が意味するのは、セキュリティ製品が特定の攻撃ステージを検出したとしても、攻撃者自身が完全に排除されるわけではないことです。攻撃者はセキュリティコントロールによってブロックされなければ、活動を続けようとします。多くの場合、ツールまたはペイロードがウイルス対策製品によって検出されてブロックされても、攻撃者は別のツールを使うか、ペイロードに変更を加えます。

攻撃者は、セキュリティオペレーションセンター (SOC) の応答時間がどれくらいで、検出ツールで何ができるか、どのような制限があるかも認識しています。攻撃がバックアップまたはシャドウコピーの削除というステージに到達した時には、そこからランサムウェアが展開されるまで、ほんの数分です。その時点ではおそらく、データの盗み出しといった有害なアクションは既に実行されているでしょう。この知識は SOC がランサムウェアに対応するための鍵となります。つまり、Cobalt Strike などの検出をランサムウェア展開ステージの前に調査し、迅速な修復アクションとインシデント応答 (IR) 手順を実行することは、敵対する人間を抑え込むためには不可欠です。

脅威に対するセキュリティを強化すると同時にアラート疲れを回避する

決意を固めた敵対する人間に対する、恒久的なセキュリティ戦略には、検出と軽減策のゴールが含まれている必要があります。検出だけに依存するのでは不十分ですが、なぜなら 1) 侵入事象の中には、現実的に検出不可能のものがある (複数の無害なアクションのように見える)、および 2) 複数の、ばらばらなセキュリティ製品アラートが原因のアラート疲れが理由で、ランサムウェア攻撃が見過ごされることは珍しくないからです。

攻撃者はセキュリティ製品をすり抜けて無効化する手段をいくつも持っており、違和感を持たせないために善良な管理者としての振る舞いを模倣する能力もあることから、IT セキュリティチームと SOC は、検出活動を背後から支えるセキュリティ強化策を取り入れる必要があります。

ランサムウェア攻撃者の動機は簡単に利益を得ることであるため、セキュリティの強化によって攻撃者のコストを増大させることは、サイバー犯罪経済を混乱させるための鍵となります。

ここでは、組織が自らを守るために取ることのできる対策を紹介します。

資格情報衛生を確立する: ネットワークセグメント化と並行して実装できる形で、特権に基づく論理的ネットワークセグメント化を開発します。この目的は水平方向の移動を制限することです。
資格情報の露出を監査する: 資格情報露出の監査は、ランサムウェア攻撃とサイバー犯罪全般を防ぐために不可欠です。IT セキュリティチームとセキュリティオペレーションセンターが協力することによって、管理特権を縮小するとともに、どのレベルで資格情報が露出しているかを把握することができます。
クラウドを堅牢化する: 攻撃者の狙いはクラウドリソースに移りつつあるため、オンプレミスのアカウントに加えてクラウドリソースと ID をセキュリティで保護することが重要です。セキュリティチームは、セキュリティ ID インフラストラクチャの堅牢化と、全アカウントへの多要素認証 (MFA) 適用に加えて、ドメイン管理者と同レベルのセキュリティおよび資格情報衛生状態となるようにクラウド管理者/テナント管理者を扱うことに焦点を当てる必要があります。
セキュリティのブラインドスポットを閉じる: セキュリティ製品によってすべてのシステムを確実に保護するために、組織のセキュリティツールが最適な構成で実行されていることを確認するとともに、ネットワークスキャンを定期的に実行する必要があります。
攻撃面を縮小する: ランサムウェア攻撃に使用される一般的な攻撃手法を阻止するために、攻撃面の減少のルールを確立します。多数のランサムウェア関連アクティビティグループによる攻撃を観測した結果によれば、ルールを明確に定義している組織は、攻撃を初期ステージで軽減すると同時にハンズオンキーボードアクティビティを阻止することができています。
境界の評価を行う: 組織のネットワークに攻撃者がアクセスするのに使用されるおそれのある、境界システムを特定してセキュリティで保護する必要があります。パブリックスキャンインターフェイスを利用すると、データを増強できます。
インターネットに接している資産を堅牢化する: ランサムウェア攻撃者とアクセスブローカーは、パッチ未適用の脆弱性を利用します。その脆弱性は公開済みの場合もゼロデイの場合もありますが、特に最初のアクセスステージで利用されます。また、新たな脆弱性もすぐに取り入れています。組織が露出をさらに縮小するためには、エンドポイントでの検出と対応の製品が備えている脅威と脆弱性の管理の機能を利用すると、脆弱性と構成誤りを発見し、優先度を付けて修復することができます。
復旧への準備を整える: ランサムウェアに対する防御を最良の状態にするには、万一攻撃を受けたときに速やかに復旧するための計画を含める必要があります。攻撃からの復旧のコストは身代金支払いに比べれば小さいため、重要なシステムの定期的なバックアップを必ず実施するとともに、そのバックアップを故意の消去や暗号化から保護してください。可能であれば、バックアップをオンラインの不変ストレージに保管するか、完全オフラインで、または別の場所に保管してください。
ランサムウェア攻撃に対するさらなる防御: 新たなランサムウェア経済は多面的な脅威であること、および人間が操作するランサムウェア攻撃は捕らえにくいという特性を持つことから、組織はセキュリティに対して包括的なアプローチを採用することが求められます。

上記で概略を示した対策は、一般的な攻撃パターンに対して防御するのに役立つとともに、ランサムウェア攻撃の阻止に役立ちます。従来型と人間が操作するタイプのランサムウェア、およびその他の脅威に対する防御をさらに固めるために、詳細なクロスドメインの可視化が可能で統合調査機能を持つセキュリティツールを使用してください。

ランサムウェアについてのその他の概要と、防止、検出、修復のためのヒントとベストプラクティスについては、組織をランサムウェアから保護することについてのページをご覧ください。人間が操作するランサムウェアに関するさらに詳しい情報については、シニアセキュリティリサーチャー Jessica Payne の「サービスとしてのランサムウェア: サイバー犯罪のギグエコノミーを理解し、自身を守る方法を知る」をご覧ください。