ランサムウェアを使うサイバー攻撃の中でも、人間がターゲットのシステムに侵入して暗躍する「システム侵入型ランサム攻撃」。侵入されたらすぐに暗号化されるとも考えがちだが、実は侵入からデータの暗号化までにタイムラグがある。では、その間に適切な対処ができれば被害は防げるのか。
インターネットイニシアチブ(IIJ)の秋良雄太さん(セキュリティ本部)は「備えがなければ無理でしょう」と話す。しかしこれは、裏を返せば、備えれば対処できる可能性もあるということだ。
今回は、近年台頭しているシステム侵入型ランサム攻撃を受けている最中から事後対応までの動きについて、IIJに話を聞いた。暗号化が始まる前と後ではやるべきことも大きく変わる。
Log4j 2の脆弱性やEmotetの再流行、ロシアのサイバー犯罪グループの活性化などを背景に、企業を狙い撃ちにしたランサムウェアの脅威が高まっている。いま流行りのランサムウェアについて、侵入経路や侵入後の挙動、最新の対策方法を探っていく。
システム侵入型ランサム攻撃は、侵入、調査、暗号化という3ステップで構成される。攻撃者はまずネットワーク機器などの脆弱性を利用してターゲットのシステムに侵入。内部の状況を調査しながら権限昇格などを行い、最終的なデータの暗号化や身代金の要求に移る。
一般的に、侵入から暗号化までは早くて2〜3日かかる。この間に攻撃者を排除して問題を解決できれば、暗号化や身代金の要求を避けられるが、それは現実的なのか。
「事前対策がなければ、見て分かるようなことは起きないので、なかなか難しいかなと思います」(秋良さん)
しかし、侵入を検知する情報セキュリティ製品やサービスは一般に流通している。不審なログイン試行をチェックする、ユーザーのふるまいを分析して成り済ましを検知する、専門業者が提供するSOC(セキュリティオペレーションセンター)サービスに監視を依頼するなど、さまざまな方法が考えられる。
これらの対策があれば、発見できる可能性は十分ある。攻撃者を早期発見できたら、次にやるべきは攻撃者の排除だ。
「できるかどうかは場合によりますが、外部との接続をすべて止めたほうがいいとアドバイスしています」(秋良さん)
外部からネットワーク経由で侵入してきた攻撃者は、ネットワークが切れればシステム内部で行動できない。実際には事業の継続性などの観点から外部の接続を遮断できない場合もある。その際は、安全が確認されているルートだけをホワイトリストに登録して、ピンポイントに接続するという手も考えられるという。
しかし、ネットワークを本当に遮断するべきか、どの手法で遮断するべきか、どのルートをつなぐべきかという判断は場合によるとしかいえない部分もある。
攻撃の初期段階か後半なのかでも対処法が変わるが、攻撃状況の見極めができる知識が必要になる。IIJとしては、できる限り早い段階で専門家に相談するのがおすすめとしている。
「専門家にもさまざまあって、システム侵入型ランサム攻撃の知見がない専門家ではやはり対応できないこともあります」(秋良さん)
攻撃を受けてからでは知見のある専門家を見つけるのは難しいため、平時にあらかじめ探しておくのもランサム攻撃予防になるといえる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR