攻撃開始から暗号化までの3時間、ランサムウェア攻撃者は何をした？：実録、高速ランサムウェア攻撃

ごく短時間で実施されるランサムウェア攻撃が発見された。調査によって、攻撃開始から終了までの攻撃者の行動が明らかにされた。攻撃者は3時間の間に何をしていたのか。

[Alex Scroxton，Computer Weekly]

　Sophosの脅威研究者が、驚くべき速さで攻撃する新種のランサムウェアを発見した。このランサムウェアはPython製で、「VMware ESXi」サーバと仮想マシン（VM）を標的とする。この組み合わせはあまり注意されていない可能性があるため、多くの環境に重大な脅威をもたらす恐れがある。

　多くのサイバー犯罪者は、被害者のシステム内を長期間動き回ってからランサムウェアをデプロイする。だが、今回発見されたランサムウェアはほんの数時間で「超高速」の「狙撃手のような」攻撃を仕掛ける。

　「Sophosがこれまで調査した中で最も高速なランサムウェア攻撃だ」と話すのは、Sophosのアンドリュー・ブラント氏（主任研究員）だ。同氏が調査したインシデントの中には、侵害から暗号化までわずか3時間しかかからなかったものがあった。

攻撃の実際：3時間の間に起きたこと

iStock.com/ismagilov

　調査したケースでは、攻撃が始まったのは午前0時半だった。

　攻撃者は、その時点でシステムのユーザーのTeamViewerアカウントを手に入れている。このアカウントはドメインの管理権限と資格情報を持っていた。

　攻撃者がESXiサーバに狙いを定め、Famatechの「Advanced IP Scanner」を使って標的内を嗅ぎ回るのに10分もかからなかった。ESXiサーバはアクティブシェルプログラミングインタフェースを備えているため、脆弱（ぜいじゃく）である可能性が高い。

関連記事

• ランサムウェアの身代金支払いを支援すると罰金＆制裁対象に
• 組織の対ランサムウェア体制を評価・可視化する無償ツール公開

特別編集ブックレット

• バックアップでは防げないランサムウェア最新動向

　次に、攻撃者は管理者のPCにリモートアクセスツールの「Bitvise」をインストールした。これにより、VMの仮想ディスクファイルを含むESXiシステムへのアクセスが可能になる。そして午前3時40分、ランサムウェアがデプロイされてファイルが暗号化された。

　ブラント氏によると、このケースには攻撃者側にある程度幸運があったという。被害を受けたシステムのITチームが、サーバのシェルインタフェースの有効化／無効化を数回繰り返しており、攻撃を受けたときに偶然有効になっていた可能性がある。それで攻撃の実行がはるか容易になった。

　「パッチのインストールなどの定期メンテナンス時以外は『ESXi Shell』を無効化しておくべきだ。サーバコンソールのコントロールかソフトウェア管理ツールを使ってESXi Shellを無効化できる」

　ビジネスクリティカルなアプリケーションやサービスを実行している可能性がある複数のVMを一度に攻撃できることから、ESXiサーバはサイバー犯罪者にとって魅力的な標的だ。「ハイパーバイザーへの攻撃は、高速かつ非常に壊滅的になる恐れがある。DarkSideやREvilなどのランサムウェア攻撃活動はESXiサーバを攻撃の標的にしている」

　「ESXiなどのハイパーバイザーを運用する管理者は、セキュリティのベストプラクティスに従う必要がある。ブルートフォース攻撃が難しいパスワードの使用や多要素認証の強制的な適用などが含まれる」（ブラント氏）

　Sophosは、戦術、技法、手順（TTPs：Tactics, Techniques, and Procedures）などのランサムウェア関連資料を提供している。VMwareはESXiの保護に関するガイダンスを用意している。