ランサムウェアの感染方法

ランサムウェアのオペレーターの戦術が進化を続ける中、効果的な防御のためには、最も一般的に使用される攻撃ベクトルを理解することが重要です。

ランサムウェアはさまざまな方法で拡散しますが、以下のような10種類の感染方法が最も一般的です。

1. ソーシャルエンジニアリング（フィッシング）
2. マルバタイジング
3. ファイルレス型攻撃
4. リモートデスクプロトコル
5. MSPとRMM
6. ドライブバイダウンロード
7. 海賊版ソフトウェア
8. ネットワーク伝播
9. マルウェアの難読化
10. RaaS（サービスとしてのランサムウェア）

1. ソーシャルエンジニアリングを使用したフィッシングEメール

ランサムウェア攻撃においては、テクノロジーと人間の性質が表裏一体の関係にあります。クラウドストライクが確認したあるケースでは、CEOのEメールが偽装され、攻撃者はソーシャルエンジニアリングを使用して、従業員に役員からの偽装Eメール中のリンクをクリックさせようとフィッシング攻撃を仕向けました。

こうした攻撃を成功させるためには、この会社の経営陣、従業員、業界に関する入念な調査が必要です。ビッグゲームハンティング攻撃が増加するにつれ、フィッシング攻撃の中でソーシャルエンジニアリングが使用される頻度が高くなっています。ソーシャルメディアの役割も大きくなっており、攻撃対象の情報を発見する手段だけではなく、マルウェアを展開する経路にもなっています。

2. マルバタイジングとエクスプロイトキット

マルバタイジングとエクスプロイトキットを併用することにより、「トロイの木馬ポップアップ」や悪意のあるコードが仕込まれた広告を作成できるランサムウェアを広めることができます。ユーザーが広告をクリックすると、エクスプロイトキットのランディングページに不正にリダイレクトされます。エクスプロイトキットのコンポーネントは、攻撃者が悪用できる脆弱性を探そうとコンピューターをひそかにスキャンします。

脆弱性が見つかれば、ランサムウェアペイロードを送り込んでホストを感染させます。 エクスプロイトキットは、自動化されたツールであることから、サイバー犯罪グループに好まれます。 さらに、エクスプロイトは、ディスクに書き込むことなくメモリに直接読み込ませる効率的なファイルレス技術であり、従来のアンチウイルスソフトウェアでは検知できません。

深い技術的ノウハウがなくとも展開できるため、エクスプロイトキットはそれほど知識のない攻撃者の間でも広く使用されています。ダークネットで少額の投資をするだけで、事実上誰でもオンラインの身代金ビジネスに参入できてしまいます。

3. ファイルレス型攻撃

ファイルレス型ランサムウェア攻撃は増加しています。こうした攻撃では、初期の段階でディスクに実行ファイルが書き込まれることがありません。PowerShellやWMIなどのOSにプリインストールされているツールを使用するため、攻撃者は侵害したシステム上で悪意のあるファイルを実行することなくタスクを実施できます。ファイルレス型攻撃は、多くの従来型のアンチウイルスソリューションをすり抜けることができるため、広く使用されています。

4. リモートデスクプロトコル

リモートデスクプロトコル (RDP) を使用すると、ユーザーは安全で信頼性の高いチャネルを使用して、世界中のどこからでもコンピューターに接続できます。このツールは一般的に安全であり、従業員の生産性や柔軟性の向上など多くの利点がありますが、攻撃者が悪用し得るセキュリティの脆弱性にもなります。

サイバー犯罪者は、ポートスキャナーを使用して、インターネット上で脆弱なポートを検索します。次に、ブルートフォース攻撃やその他の認証情報の盗難手法を使用してアクセスします。侵入してしまえば、好きなように活動でき、将来のアクセスのために「バックドア」を残すことも可能です。

5. MSPとRMM

マネージドサービスプロバイダー (MSP) は、情報技術タスクを支援するサービスを組織に提供します。しかし、サイバー犯罪者が、リモート監視・管理 (RMM) ソフトウェアのMSPの脆弱性を利用してデータを侵害する可能性があります。組織の秘密データだけでなく、その顧客のデータもすべて危険にさらされるため、大きな問題です。

6. ドライブバイダウンロード

ドライブバイ攻撃は、ドライブバイダウンロードとも呼ばれる、さまざまなウェブブラウザ、プラグイン、アプリの脆弱性を利用して攻撃を実施するマルウェア攻撃です。開始するのに人間の操作を必要としないため、従業員が感染したウェブサイトを無意識に閲覧するだけで起動します。攻撃が開始されると、ハッカーはデバイスを乗っ取ったり、ユーザーの行動を盗み見たり、データや個人情報を盗んだりすることができます。

7. 海賊版ソフトウェア

海賊版ソフトウェアは山のようにあり、その中には正当なソフトウェアと区別するのが難しいものもあります。ランサムウェアが海賊版ソフトウェアを介して拡散することはよく知られており、海賊版ソフトウェアをホストするWebサイトを閲覧すると、ドライブバイダウンロードやマルバタイジングの被害に遭う可能性が大きく高まります。

海賊版ソフトウェアを使用することによる主な脆弱性の1つは、定期的な更新が自動的に実行されないか、あるいはまったく実行できないために、パッチが適用されないセキュリティ領域が残り、このためにゼロデイエクスプロイトのリスクが高まることです。

8. ラテラルムーブメントによるネットワーク伝播

初期のランサムウェアの亜種の中には、新しい亜種のようなネットワーク伝播機能がないものがありました。攻撃の対象は、感染したデバイスのみに限定されていました。現在のランサムウェアの亜種はより複雑になり、ネットワークに接続されている他のデバイスへのラテラルムーブメントができる自己伝播メカニズムを備えています。

9. ビルドプロセスにおけるマルウェアの難読化

2020年、CrowdStrike Intelligenceによって、Wizard SpiderとMummy Spiderがマルウェアのビルドプロセスにオープンソースのソフトウェア保護ツールを実装したことが観察されました。マルウェアでの難読化手法の使用は新しいものではありませんが、オープンソースツールをビルドプロセスに含めたことは斬新で、アジャイル開発プロセスを試みる高度な攻撃者が存在することを示唆しています。オープンソースは複雑であることから、この手法は技術的知識に欠ける脅威グループにはあまり採用されないものと推測されるからです。

10. RaaS（サービスとしてのランサムウェア）とアクセスブローカー

サイバー犯罪者は常に攻撃活動を最適化し、より多くの利益を生み出そうと模索しています。そうした中で、SaaS（サービスとしてのソフトウェア）モデルに着想を得て、RaaS（サービスとしてのランサムウェア）モデルが作成されました。RaaSプロバイダーは、悪意あるコードから結果確認ダッシュボードまで、ランサムウェアキャンペーンの実行に必要なランサムウェア攻撃のコンポーネントをすべて提供します。中には、カスタマーサービス部門まで提供するプロバイダーもあり、技術的知識のない犯罪者にまでランサムウェアが普及する結果となっています。さらに、利用料金は攻撃から得られた収益でカバーされるのが通常であるため、サイバー犯罪者にとっては費用効率の良いモデルになっています。この一例として、RaaS Carbon Spiderが有名です。Carbon Spiderは、2020年8月に独自のランサムウェア「DarkSide」を使用してBGHの活動を活発化させました。2020年11月には、DarkSideのためのRaaSアフィリエイトプログラムを開始し、BGHでの影響力を強めています。このプログラムでは、脅威アクターが獲得した利益の一部をCarbon Spiderに支払うことで、DarkSideランサムウェアを使用することができます。

アクセスブローカーとは、さまざまな組織（民間企業も政府機関も含む）のバックエンドアクセスを取得し、これを犯罪フォーラムやプライベートチャネルを通じて販売する攻撃者のことです。 事前に攻撃ターゲットが特定され、アクセスが確立していることから、購入する側は時間を節約することができます。より多くのターゲットに、より迅速な攻撃を仕掛けることで、効率よく収入を見込むことができます。 アクセスブローカーの利用は、BGHを仕掛ける攻撃者やランサムウェアを運営するオペレーターの間でますます一般的になっています。 CrowdStrike Intelligenceは、アクセスブローカーの一部がRaaSグループのアフィリエイトに関連付けられていることを確認しています。

ランサムウェアからの保護

バックアップの作成は防御に有効ですが、攻撃者が真っ先に攻撃してアクセス不能にしたり破壊したりしようとすることが多いため、バックアップにも保護が必要です。バックアップの安全性を確保し、仮に環境が侵害を受けた場合でも、個別にアクセスできるようにしておくのが標準的な対策です。2020年9月、米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) と多州間情報共有・分析センター (MSISAC) は、共同でランサムウェア保護ガイドを発表し、ランサムウェアの脅威を理解し、対応するために組織が採るべき追加のサイバーセキュリティ対策を説明しています。このガイドでは、ランサムウェアに対する防御の方法、起こりうるインシデントに備える方法、攻撃からの復旧方法、支援組織に関するアドバイスが提供されています。システムにパッチを適用して最新の状態に保つこと、エンドユーザーのトレーニング、インシデント対応計画の作成と実行などの実践的な推奨事項が紹介されています。

ランサムウェアソリューション

ランサムウェア攻撃は、業務やデータプライバシーに悪影響を及ぼすおそれがあります。組織の規模に応じて、クラウドストライクのFalcon Go、Falcon Pro、Falcon Enterpriseの各製品バンドルで、エンドポイントやクラウドのワークロード、アイデンティティ、データなど、組織の攻撃対象領域を防御できます。