ランサムウェア攻撃の可能性を示す5つの兆候：攻撃は突然始まるわけではない

サイバー犯罪者は、ランサムウェア攻撃を開始する前に決まったパターンの行動を取るという。これらを攻撃の兆候として検知できれば、事前に防御することも可能になる。

[Alex Scroxton，Computer Weekly]

　ランサムウェア攻撃の多くは、どこからともなく突然発生するように思える。だが、サイバー犯罪者がランサムウェア攻撃を仕掛けようとしている一連の兆候や指標が存在する。ランサムウェアに関するレポートを公開したSophosの研究者によると、少し訓練すればこうした兆候や指標を短時間で見つけられるようになるという。

関連記事

• 全ての防御機能を無効化できる、カーネルモードで動作するランサムウェア
• 検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由
• 身代金を支払うその前に、対ランサムウェア復号ツール
• ランサムウェアに感染したらまず見るべき復号ツール配布サイト
• 「ランサムウェア」の脅威を避ける基本的な方法

　SophosのManaged Threat Response（MTR）部門はランサムウェアの被害者と協力して過去2週間の検知状況を調べ、侵入の兆候を探している。その結果として、同部門は攻撃者がネットワークの内部を探し回り、状況を見極め、ランサムウェア攻撃を仕掛けるために必要なアカウントを取得する方法を潜在的に示す指標をリストにまとめた。

　Sophosで主任リサーチサイエンティストを務めるチェスター・ウィスニエフスキー氏は本誌のインタビューに答え、ランサムウェア攻撃を大掛かりに分析することに関して、同社のMTRチームには平均的な企業よりも可視性の点で明らかな利点があると主張した。

　「チームは顧客を分析して3回のWastedLocker攻撃を観察した結果、サイバー犯罪者がランサムウェア攻撃を仕掛ける前の段階でツールを特定の順番で使うパターンを見つけた」と同氏は話す。

　「チームは当社のEDR（Endpoint Detection and Response）製品で保護している全顧客に出向き、顧客のPCを調べて『今サイバー犯罪者とおぼしき人物がいるが、まだランサムウェア攻撃を仕掛けるには至っていない』と警告することができる」

　Sophosによると、差し迫ったランサムウェアインシデントの兆候を読み解く鍵は、サイバー犯罪者が攻撃の準備のために正規の管理ツールを利用することが多いことを理解することにあるという。

　「その最たる例が、Microsoftのツールがサイバー犯罪者に悪用されていることだろう。良いものが悪意のある方法で使われているのを誰も探そうとはしないためだ。ソフトウェアのデプロイに利用する優れたツールがランサムウェアのデプロイにも利用される。これは、誰にとっても盲点のように思える」（ウィスニエフスキー氏）

　Sophosは、既にランサムウェアの因子がシステムに内在することを示唆する5つの重要なヒントを示した。

• 特にサーバで、ネットワークをスキャンする行動を探す。一般に、サイバー犯罪者は1台のPCのアクセス権を手に入れ、ドメイン、PC、PCの管理者権限などの情報を検索する。次に、ネットワーク上で何が行われていて、何を入手できるかを把握しようと試みる。これを簡単に行うため、「Angry IP Scanner」や「Advanced Port Scanner」などのネットワークスキャンツールが使われる。そうしたツールを見つけたら、セキュリティチームはIT管理者に連絡してそれらが正規に使われているツールかどうかを確認する。正規に使用されているツールでなければ調査結果を使って警告する。
• サイバー犯罪者がPCの管理者権限を手に入れると、ソフトウェアの削除に役立つ正規の商用アプリケーションを使ってウイルス対策を無効にしようと試みる恐れがある。こうしたツールには「Process Hacker」「IOBit Uninstaller」「GMER」「PC Hunter」などがある。こうしたツールを見つけたら、セキュリティチームは警告を発する必要がある。
• オープンソースの資格情報収集プログラム「Mimikatz」が見つかった場合は、即座に精査する必要がある。他のツールと同様、Mimikatzも侵入テストの担当者が使う正規のツールだ。だが、資格情報を盗み出そうとするサイバー犯罪者にも人気がある。
• 悪意のあるファイルを最近見つけて削除したとしても、毎日同じ時間に行われる動作を見つけたり、何らかのパターンが繰り返されたりしている場合、何か面倒なことが行われている恐れがある。これは、まだ経験したことのない何かが行われている可能性を示している。
• デプロイ方法とランサムウェアの実行／停止を確認するために、少数のPCに対して小規模なテスト攻撃を仕掛けている可能性に注意すべきだ。一見取るに足りない攻撃でも、それを阻止されるとサイバー犯罪者は自身の手口が見破られたと感じ、再試行するために戦術を変更しなければならなくなる。そうなれば、事態の悪化を防ぐための貴重な時間がセキュリティチームに与えられる。

　Sophosのレポートシリーズはランサムウェアを回避しやすい形式の考案や侵入後の攻撃、二重脅迫攻撃の出現にも目をむけ、最近Garminのシステムをダウンさせた背後にあると考えられるWastedLockerについての新たな調査も行っている。