企業のネットワークに侵入し、内部データを暗号化することで、身代金の支払いを要求する「ランサムウェア」が国内外で猛威を振るっている。データの暗号化解除に身代金を要求するというケースが多かったが、2020年はそれに加え、支払いに応じなければ盗み出した情報をネット上に暴露すると脅迫する“二重脅迫型”のランサムウェアも確認された。カプコンが標的となり、支払いに応じなかったため、個人情報が公開されてしまったことは記憶に新しい。
そうした中、2021年に入り、ある新種のランサムウェアがセキュリティ関係者の注目を集めている。その名は「Cring」(クリング)。1月に、スイスのセキュリティチーム「Swisscom CSIRT」が公表し、その存在が明らかになった。調査の結果、攻撃者はVPNの脆弱性を悪用して内部に侵入していたという。現時点での全世界での被害件数は数える程度だが、従来のランサムウェアよりも手口が巧妙な上、検知が難しいという特徴があることから、「企業にとって非常に危険なランサムウェアの一つ」とセキュリティ関係者が警戒を強めている。
21年の第1四半期には、欧州のある企業がCringによる攻撃を受け、産業プロセスに関連したサーバがダウン。作業の一時中断を余儀なくされた。その後、アジア諸国や日本国内でもCringとみられるランサムウェアによる攻撃が複数確認されている。
コロナ禍によるテレワークの導入とともに、VPNを使い、社内ネットワークにリモートアクセスする機会が増加する今、VPN機器を狙うCringに対して警戒を強める必要がありそうだ。Cringとは一体、どんなランサムウェアなのか。そして、企業はランサムウェアの脅威にどう対処するべきなのか。マルウェアの調査分析を専門とする、カスペルスキーの石丸傑さんに話を聞いた。
近年、マルウェアに関連する情報セキュリティ事件の発生が後を絶ちません。本特集では、マルウェアの種類や侵入経路、犯人の手口、最新トレンドをイチから解説します。
実行ファイル名や拡張子の文字列から「Ghost」「Crypt3r」という別称も持つCring。石丸さんによると、入念な内部調査を事前に行うのがCringの特徴だ。攻撃前に標的とするVPN機器をスキャンし、脆弱性があるか確認。インストールされたセキュリティ製品も特定し、無効化も試みる。
内部ネットワークへの侵入方法はこうだ。第1ステップでは、インターネット経由でVPN機器にアクセスするためのユーザー名やパスワードを取得する。VPN機器の脆弱性を悪用し、機器内のシステムファイルにアクセス。入手したユーザー権限の属性を確認しつつ、第2ステップでは攻撃ツールの一種「Mimikatz」(ミミカツ)を使い、従業員のPCなどネットワーク内の端末に保存されたパスワードなどの認証情報を取得。管理者権限を持つアカウントまで進行する。
管理者権限を得た後、第3ステップではネットワーク内のサーバに侵入し、攻撃を水平に展開する。サーバ内で重要な情報を保管する場所を特定し、Cringによってデータを暗号化。この際、OS標準のツールである「PowerShell」(パワーシェル)を悪用することで、アンチウイルスソフトの反応や人の目による監視を回避する手法がとられるという。最終的に、攻撃者が企業側に身代金を要求するというのが一連の流れだ。
石丸さんはCringについて「現時点で確認されているのがVPNの脆弱性を悪用しているというだけであって、VPNだけに特化したランサムウェアではない」と前置きした上で「アンチウイルスソフトの反応を止めるための隠蔽工作など、実行に当たり、綿密な内偵調査をしている。組織にとって非常に危険なランサムウェアの一つであることは間違いない」と指摘。こうした手口は「他のランサムウェアではあまり見られない手口。非常に巧妙だ」といい「(Cringによる)攻撃自体は増えていくだろう」と予測している。
手口が巧妙な上、Cringは端末のストレージ上に攻撃の痕跡を残さないという特性を持つという。セキュリティ関係者でもログデータなどから「Cringではないか」と推測しかできない場合が多く、断定が難しいという。このため、Cringの被害件数が実際の検知数よりも多い可能性もある。
現時点で、企業ができるCring対策として、VPN機器のファームウェアやセキュリティ製品を最新の状態に保つことや、セキュリティ製品の全機能を有効化することを挙げた。ユーザーの権限や端末間のネットワーク接続を制限することや、攻撃時に迅速に復旧できるよう、サーバ内に定期的にデータをバックアップすることも重要だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR