なぜランサムウェア対応は難しいのか？ “復旧”できても“安心”できないワケ：拝啓、インシデント対応の現場より

インシデント対応の現場で長年働いてきた筆者が、ランサムウェア対応の難しさや現場で見てきた被害事例、対応する上で特に重要な考え方を解説します。

[杉山貴裕，グーグル・クラウド・ジャパン合同会社]

　筆者はMandiantという組織（2022年にGoogle Cloudに買収されました）でインシデント対応を専門とするコンサルタントとして働いており、一年を通してさまざまなセキュリティ侵害に関わっています。

　この連載では、近年トレンドとなり続けている標的型ランサムウェア攻撃への対応について、インシデント対応の現場で思うことや組織がより良く準備するための推奨策などを筆者の知見や体験談を踏まえて解説していきます。

「1年の大半はランサムウェア対応」の筆者が考える最近の攻撃動向の変化

　Mandiantはもともと、APT（Advanced Persistent Threat）と呼ばれる国家を背景とするサイバー攻撃など、政治的あるいは産業的なサイバースパイを目的とする標的型攻撃に対する調査や脅威インテリジェンスに強みを持つ組織です。しかしここ2〜3年はランサムウェア、特に標的型ランサムウェアの急増に伴い、こちらへの対応が多い状況となっています。

　Mandiantが年次で発行している調査レポート「M-Trends」の2023版では、2022年に実施した年間1000件程度のインシデント対応のうち、18％がランサムウェア関連（日本を含むアジア太平洋地域では32％）だったと報告されています。

　この調査だけを見ると、ランサムウェアによるインシデントはあまり多くないように感じるかもしれませんが、大きなものから小さなものまでインシデント対応に日々向き合っている筆者の肌感覚としては、ランサムウェアによるインシデント対応の割合は調査で聞くよりもずっと多く、1年の大半をそれに費やしているように感じます。

　ランサムウェアの攻撃手法は着実に進化しています。一昔前のランサムウェアといえば個人を標的にしてフィッシングメール経由で感染を狙うものや、「WannaCry」のようなワームタイプのものが多かったかと思います。

　しかし最近は、標的型ランサムウェアや多重脅迫といった手法がよくみられるようになりました。ランサムウェアによってデータを暗号化して身代金を要求する手口には変わりないですが、そこにサイバースパイなどで使われる標的型攻撃の手法をミックスしているわけです。

　この手法を具体的に説明すると、サイバー攻撃者が被害組織の環境に直接攻撃を仕掛けて、「Active Directoryドメイン」や仮想化ハイパーバイザーなどを掌握し、被害組織の業務に影響が出るように環境内のできるかぎり多くのデータを暗号化することによって、身代金が払われる確率を上げようと試みるというものです。

　このようにサイバー攻撃者が直接攻撃活動を実行することで、ランサムウェア実行に先立ってデータの窃取もできるようになりました。個人情報など機微なデータを窃取し、身代金が支払わなければこれを公開したり第三者に販売したりすると脅迫する、多重脅迫の手法が多くの組織を悩ませています。

なぜランサムウェア対応は難しいのか？　復旧できても安心できない理由

　標的型ランサムウェア攻撃が発生すると多くの場合、被害組織の業務継続に大きな影響が出るため、一刻も早い復旧が求められます。しかしここに落とし穴があります。復旧ばかりに注目し、何が起こったかの調査をおろそかにすると、組織にとって好ましくない結果を引き起こす可能性があります。

　ここではランサムウェア対応において調査をおろそかにした結果、再侵害の憂き目にあってしまった組織の事例を紹介しましょう。

　この組織はランサムウェアによるデータ暗号化が発生し、業務に必要な主要システムが停止した状態から、ほぼ独力で事態の解消を図りました。そこでは復旧のみに注力しており、調査らしい調査を実施しませんでした。復旧作業とはデータ暗号化の被害を受けたエンドポイントやシステムの再構築です。数日程度の作業で業務復旧しました。

　しかし、同組織はその1カ月後に再度ランサムウェアの被害に遭いました。主要システムが停止したのに加え、サイバー攻撃者からデータ窃取に関連した脅迫も実行されるようになりました。2度目のインシデントで自組織のみでの対応は不可能と悟り、Mandiantに対応を依頼したという流れです。

　Mandiantによる調査の結果、サイバー攻撃者はVPNゲートウェイ機器の脆弱（ぜいじゃく）性を悪用して被害組織環境に侵入したことが分かりました。どちらのインシデントでもこの脆弱性が悪用されていたのですが、最初の対応だけでは暗号化されたエンドポイントの対応に注視していたので、サイバー攻撃者の侵入経路を特定・対処できておらず、2度目の侵入を許してしまったのです。筆者が直接対応したインシデントに限っても、このような事例は複数存在しています。

インシデント対応で特に重要な考え方とは？

　上記では調査をおろそかにするリスクを事例で説明しました。しかし「調査が終わるまで業務を復旧しない」となると数週間単位での業務停止が発生する可能性があり、損失を考えるとこれを選択できる企業はなかなか多くはないのが実態です。

　つまりここで検討すべきは、どちらかに完全に振り切るのではなく、その中間で両者のバランスを取れる落としどころを探すことです。

　では具体的にどうすべきなのか、という問いに状況の前提を置かずに答えることは筆者にはできません。典型的には以下の要素を考慮に入れて、被害組織とともに考えていきます。

• 環境内のどの範囲でデータの暗号化や窃取が発生したか
• どの業務に停止などの影響が出ているか
• 必要最低限の業務継続のための要件
• データ窃取に関連した調査や報告の必要性

　インシデント対応で特に重要な考え方は、「必要最低限、何を動かし続ける必要があるのか」ということです。組織の業務内容によっては定義するのが難しいまたは現実的ではない場合もあるかもしれませんが、必要最低限を定義し、それを可能な限り安全に動かすために他の部分で積極的な封じ込めを実施し、調査の時間を稼ぐ、という手法が有効になります。

　封じ込めの手段としては、侵害を受けたシステムのネットワーク切断や環境全体のインターネット接続遮断が挙げられます。とはいえ必要業務にインターネット接続要件があることも多いため、完全にインターネット接続を遮断するのではなく、ファイアウォールによる通信制御で必要な通信だけを通すことが通常の対処方法です。

　“必要”と定義される業務が増えれば増えるほど、ネットワークに接続する必要のあるシステムやインターネット通信要件も増えることになります。これは封じ込め全体に対するリスクの増大となり得るため、技術的な調査や復旧の観点からは少なければ少ないほうが好ましいと言えるでしょう。

　当然、ビジネス的な観点からは（再侵害などが発生しないという前提において）早期復旧できる業務が多ければ多いほど好ましいでしょう。常に技術およびビジネス観点のリスクを把握し、“ある程度のリスクを許容する”ことが重要です。インシデント対応は常にリスク許容の判断ですが、ランサムウェア対応では、それがより明確に突き付けられることになります。

　ただし、“技術的対応”によってこのリスクをある程度軽減することは可能です。まず調査そのものがリスク軽減の活動だと捉えられます。調査によってサイバー攻撃者がどのように環境にアクセスしたのか、環境内でどのような活動を実施したのかなどを知ることで、今後発生し得るサイバー攻撃者の再侵入や環境内での活動を防ぐおよび検知するための有用なインプットになります。

　また、このような調査が進行する前でも、システム堅牢（けんろう）化の取り組みは有効です。ランサムウェア攻撃者がよく使用する典型的な攻撃手法というのは明らかになっているので、それらに対処しておくだけでも相当なリスク軽減、またはサイバー攻撃者の再侵入が発生してから再度データ暗号化などの被害を及ぼすまでの多大な時間稼ぎになるでしょう。

　次回はインシデント対応の中でも“技術的対応”に絞って解説していきます。