現在猛威をふるっているランサムウェアだが、サイバーキルチェーンに沿うならば、C2の代わりに「ファイルの暗号化」が実行されていると言える。しかも、目的の実行後にマルウェア本体を自己消去し、リバースエンジニアリングによる暗号鍵の解読を防ぐタイプなどもあり、今も多様化、巧妙化が続いている。
以下に、ランサムウェアの動きをアクティビティ図で示す。
C2が不要ということは、攻撃者による遠隔操作で必要な「不正な通信」も行われない。つまり、通信内容から攻撃を検知することは不可能であり、ここがランサムウェアの手強いところだ。ステップ3のデリバリによって深く攻撃が進んでしまうと、チェーンを断ち切ることが難しくなってしまう。
少し本題から外れるが、読者の皆さんは、「日本は標的型メール攻撃を受けづらい」という話を聞いたことがあるだろうか。「攻撃メールは海外発信のものが多く、日本は攻撃を受けづらい」とか、「文字化けや、中国語の漢字が使われているので見分けることが容易である」といった仮説である。
しかし、最初のユースケース図を思い出していただきたい。攻撃者とデリバリ担当者は、必ずしも同一人物である必要はない。標的型攻撃は組織犯罪として行われることが多く、標的が日本語を使う人なら、日本語に通じたデリバリ担当者を”新規採用”すれば、十分事足りてしまうのである。ナチュラルな日本語で書かれた攻撃メールの文面だけで見破ることは、まず不可能だろう。「日本は大丈夫」という考えは、幻想に過ぎないのだ。
攻撃者側は高度に組織化されていることが多い。一方、守る側となる情報セキュリティ担当者は、大企業でもないかぎり、せいぜい2〜3人、あるいは1人で全てを任されているという人もいるかもしれない。人数だけでいえば、多勢に無勢の状態である。しかし、防衛戦は必ずしも人数で勝敗が決まらない。
次回以降、費用がかからず、明日からすぐに取り組むことができる「超」実践的な防御施策を紹介していこう。
NHN テコラス株式会社 データホテル事業本部SE部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた経験を持つ。現在はフルマネージドホスティングや支援アプリケーションの開発を担当。“Secured Hosting”をテーマに、新プラットフォームの開発にも取り組んでいる。
Copyright © ITmedia, Inc. All Rights Reserved.