標的型攻撃にランサムウェアを組み合わせた最新の手口

ユーザーが利用する端末のHDDの中身を強制的に暗号化した挙句、「元に戻してほしければ身代金を支払え」と脅迫してくるランサムウェア。2017年5月に「WannaCry」が世界中で大流行し、日本国内においても多くの個人・組織が被害を受けたことから、その存在が広く知られるようになりました。

WannaCryの例からも分かる通り、ランサムウェアの本来の目的は、感染者から不当に金銭を脅し取ることにあります。しかし近年になり、別の目的でランサムウェアが使われるケースが出てきました。標的型攻撃の証拠隠滅のために、ランサムウェアを使う手口が現れたのです。

近年の高度な標的型攻撃は、ターゲットとする組織のネットワークに侵入した後、長期間に渡って潜伏し、秘密裏にさまざまな活動を展開します。まずはマルウェア感染者の端末を乗っ取った後、ネットワーク内の他の端末へと足場を広げていきながらID/パスワードの窃取を繰り返し、権限を昇格していきます。最終的には管理者権限を窃取し、重要情報が保管されているサーバや、ActiveDirectoryサーバなどへのアクセス権限を獲得します。

ここまで来れば、攻撃はもう最終段階です。あとはサーバーからお目当ての情報を盗んで、外部のC&Cサーバーに送信した後、各端末やサーバーのログに残る「自身が活動した痕跡」を消し去るだけです。通常の標的型攻撃はこれで一通りの活動を終えますが、近年ではこれに加えて、ランサムウェアを使って端末やサーバーのデータを一斉に暗号化してしまうという手法が見付かっています。こうすることによって、侵入や活動の痕跡を一切合財残さないようにするわけです。

このケースでは、ランサムウェア利用の目的は身代金の取得にはなく、ただ単に端末やサーバーの環境を破壊することにあります。当然ながら、実際に身代金を支払ったところで暗号化されたデータが元に戻ることはありません。純粋にターゲットの環境破壊を目的にしたマルウェアのことを「ワイパー型マルウェア」と呼びますが、ここではランサムウェアをワイパー型マルウェアとして適用しているのです。

ワイパー型マルウェア自体はランサムウェアが登場するはるか以前から存在していましたが、これを使う代わりにランサムウェアを利用することで、本来の標的型攻撃の目的を覆い隠す効果があります。端末やサーバに残されたログを二度と参照できなくすると同時に、ランサムウェアの大規模感染でターゲットの組織を混乱に陥れることで、標的型攻撃による情報摂取の被害に目を向けにくくしているわけです。

標的型攻撃とランサムウェアの双方に対応するサイバーリーズン製品

このように、標的型攻撃にランサムウェアを組み合わせて巧妙に証拠隠滅を図る手口は、日本国内でも既に確認されています。サイバーリーズンでは昨年、日本企業への長期間に渡る標的型攻撃の最終フェーズにおいて、侵入・活動の痕跡を消し去る目的でランサムウェア「ONI(鬼)」が利用されていたケースを確認しました。また、ONIの亜種と思われる「MBR-ONI」と呼ばれるランサムウェアを使った攻撃も確認しています。こちらはディスクのパーティションを暗号化するランサムウェアで、ONIと同じ攻撃者によって利用されている可能性が高いと考えられています。

ではこうした最新の手口を使ったサイバー攻撃を防ぐには、どのような防御策を講じればいいのでしょうか? まずは言うまでもなく、標的型攻撃の端緒となるマルウェアの侵入を防ぐ必要があります。具体的には、メールやWebアクセスを通じた侵入をブロックするための対策を立てることが先決です。

しかし、これも近年繰り返し指摘されていることですが、現代の高度化した標的型攻撃の侵入を100%防ぐ手立ては、残念ながら存在しません。そこで、不幸にもネットワークの出入り口を突破され、マルウェアの侵入を許してしまった後の「素早い検知・除去」の手段を用意しておく必要があります。そのための技術や製品にはさまざまなものがありますが、弊社が提供するセキュリティソリューション「Cybereason EDR」および「Cybereason Complete Endpoint Protection」もその1つです。

端末やサーバー上でマルウェアを思わせる疑わしい挙動があった場合、それを素早く正確に検知して管理者に通知するとともに、現在攻撃のどの段階に差し掛かっているかも一目で把握できるようになっています。長期間に渡って潜伏し、慎重に活動を展開する近年の高度標的型攻撃を検知する上では、こうした機能は非常に重宝します。

加えて、「Cybereason EDR」および「Cybereason Complete Endpoint Protection」にはランサムウェアを検知するための専用機能も備わっています。ランサムウェアがコンピューターやネットワークドライブの暗号化を始めると、複数の検知技術を組み合わせて即座にそれを検知するとともに、強制的に暗号化処理を停止することができます。これにより、ランサムウェアを使って証拠隠滅を図る攻撃者の意図をくじくことができます。

もちろんこれらの機能は、一般的な標的型攻撃や、ランサムウェア単体による攻撃を防ぐ上でも極めて有効です。詳しくは弊社サイトの製品ページで紹介されていますので、興味を持たれた方はぜひご参照ください。

ホワイトペーパー「ランサムウェアとは何か」

ランサムウェアによる攻撃は、ほかの攻撃手法にくらべ手間がかからず、その一方で攻撃者は、ずっと大きな利益を手に入れています。スパム型の攻撃はその効果がほぼ薄れており、また、クレジットカードや銀行口座の情報を盗む手口は、盗んだ情報を使って実際に金を盗み取るために、一定の犯罪基盤を必要とします。

では、ランサムウェアは、他のマルウェアとは何が違うのか?本書から3つの特徴を学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=1171

ホワイトペーパー「ランサムウェアとは何か」