二重脅迫にサプライチェーン攻撃 ランサムウェア攻撃“要警戒の手口”と対策は：歴史で分かる「ランサムウェアの進化」と対策【第5回】

ランサムウェアは進化を続けており、もはやデータを暗号化するだけのマルウェアではなくなってきている。具体的にはどのような攻撃があるのか。有力な対処法とは。

[平子正人，トレンドマイクロ]

　ランサムウェア（身代金要求型マルウェア）攻撃者は身代金を得るために、データの暗号化だけではなく、さまざまな手口を用いるようになりました。その一つが「二重脅迫」です。

二重脅迫とは？　ランサムウェア“要警戒の手口”と対処法

併せて読みたいお薦め記事

連載：歴史で分かる「ランサムウェアの進化」と対策

• 第1回：いまさら聞けない「ランサムウェア」の歴史　“あれ”が全ての始まりだった
• 第2回：「RaaS」も登場　ランサムウェア攻撃が“ビジネス化”する理由と危険性
• 第3回：30年前からここまで変わった「ランサムウェア攻撃」の手口　有効な対策とは？
• 第4回：ランサムウェア攻撃者が悪用する「脆弱性」とは？　その対処法とは

ランサムウェア攻撃は手口が巧妙化している

• 二重脅迫ランサムウェアの恐るべき手口
• 新たな脅威「サプライチェーンランサムウェア攻撃」の厄介な手口

　二重脅迫では、攻撃者は標的のデータを暗号化するだけではなく、情報を暴露しようとします。データの暗号化に対しては、バックアップを実施しておくことが有効です。その上で二重脅迫に対しては、情報の流出を防ぐための対策をするとともに、万が一の情報漏えいの発生に備える必要があります。

　外部への情報漏えいを防ぐ技術の一つに、「DLP」（Data Loss Prevention）があります。DLPは機密情報を含むデータが、メールやオンラインストレージ経由で外部に送信されることを監視・制御する技術です。従業員による誤送信といった、意図しない情報漏えいを防止する目的で導入している組織もあるでしょう。DLPは、ランサムウェアによる情報の送出を検知し、情報漏えいの被害を阻止することにつながります。

　情報漏えいが発生してしまった際に備え、個人や取引先、関連企業など、どこまで影響が及ぶのかを明確化しやすくするために、被害の範囲や重要度を判定する基準を設けることが重要です。それにより、二次被害を想定したリスクシナリオの作成と対策を講じやすくなります。情報システム部門だけではなく経営層や広報担当も含めて、情報漏えい時のフローについて事前に整理することがお勧めです。情報漏えい時のフローとしては、情報漏えいに関する監督省庁への報告や自社Webサイトでの掲載、記者発表などがあります。

　昨今のランサムウェア攻撃では、サプライチェーンの弱点を突いた攻撃事例が確認されており、組織にとって大きな課題となっています。セキュリティレベルの低い取引先や海外子会社が攻撃を受けた結果として、組織の機密情報の流出やサプライチェーン全体の機能低下など、事業継続に影響する被害につながる可能性があります。そのため自組織だけではなく、サプライチェーン全体のセキュリティレベルの向上を意識することが大切です。

　複雑化・高度化するランサムウェア攻撃の手口に対処し続けるためには、組織は最新の脅威のリスクシナリオを想定することが重要です。実践するセキュリティ対策も、脅威に応じて進化させなければなりません。本稿で紹介した対策や技術は、1つの製品やサービスのみを導入するのではなく、複数の技術を組み合わせることで強固なセキュリティを実現する「多層防御」（表1）の考え方を基にしています。

表1　ランサムウェア攻撃の主な対策（トレンドマイクロの資料を基に編集部作成）

対策	概要
インベントリと監査の実施	・資産の棚卸しを実施した上で、許可していない機器やソフトウェアがないかどうかを確認する ・機器におけるアクセスログやイベントログの監査を実施する
設定の確認	・最小権限の原則に従い、従業員の役割に必要な権限のみ割り当てる ・不要なプロトコルやポート、サービスを停止する ・各機器におけるセキュリティ設定を有効化する
最新の更新プログラムの適用	・OSおよびアプリケーションに最新の更新プログラムを適用する
防御および復旧に備えた準備	・多要素認証を導入する ・「3-2-1ルール」に従ってデータのバックアップを取得する
セキュリティ関連のトレーニングやテストの実施	・従業員に対して最新の脅威動向を踏まえたセキュリティトレーニングを実施する ・脆弱性診断やレッドチーム演習、ペネトレーションテストを実施する
セキュリティソフトウェアや技術の導入	・メール、エンドポイント、Web、ネットワークなど各レイヤーにセキュリティソフトウェアを導入する ・サンドボックスや振る舞い検知の他、機械学習で未知の脅威を検知する技術を活用する ・EDRやXDRなど攻撃の全体像を可視化するソフトウェアを導入する

「テレメトリー」で脅威をあぶり出す

　2018年ごろから主流となっているのが、特定の組織に標的を定める「標的型」のランサムウェア攻撃です。標的型ランサムウェア攻撃では、攻撃者は被害組織のネットワークへの侵入後、被害を拡大させるために

• 認証情報の窃取
• 内部探索
• 攻撃用サーバとのコールバック通信の確立
• 情報の送出

など、さまざまな活動をします。それらの活動の際、セキュリティソフトウェアによる検出を回避するために、OS標準の機能や正規のツールを悪用することが一般的です。そのためプログラム単体の動作を監視するだけでは、脅威を検出することが難しいことがあります。

　そのことから、正か不正かを問わず、ファイルやプロセスに対するアクティビティーデータである「テレメトリー」を収集して、実際に使用されている攻撃者の手法と照らし合わせることが重要です。攻撃手法については、米国IT研究団体「MITRE」発行のナレッジベース「MITRE ATT&CK」がまとまっています。

　テレメトリー収集のためのツールとして、エンドポイントの不審な挙動を検知する「EDR」（Endpoint Detection and Response）や、社内ネットワーク全体を包括的に監視する「NDR」（Network Detection and Response）が有効だと考えられます。他にも、メール、エンドポイント、ネットワーク、サーバ、クラウドサービスなど、複数のセキュリティレイヤーのテレメトリーによる相関分析を実現する「XDR」（Extended Detection and Response）といった技術が、効果的な対策として挙げられます。

---

　第6回は、XDRの可能性を解説します。

著者紹介

平子正人（ひらこ・まさと）　トレンドマイクロ

国内通信企業でネットワークサービスのプロジェクトマネジャー経験を経てトレンドマイクロに入社。主に「EDR」（Endpoint Detection and Response）と「XDR」（Extended Detection and Response）関連のセールスエンジニアとして、製品の提案や検証を担当。現在はシニアスレットスペシャリストを務め、セキュリティリスクの考察や、組織が取るべきセキュリティ対策の啓発に携わる。セキュリティの実用的な知識の認定資格「GIAC Security Essentials」（GSEC）を取得。