正規ツールを悪用する標的型ランサムウェア攻撃が増加、ASRM・XDRによる対策を〜トレンドマイクロが解説

　トレンドマイクロは、同社が提供する「インシデント対応支援サービス」の統計情報をもとにランサムウェアの最新動向について解説し、あわせて、企業における対策の方法を説明した。

　これによると、ランサムウェアによる事象のうち、95％が標的型ランサムウェアに該当していること、直接侵入が増加しており、VPNやRDPなどを侵入経路とする割合が66.7%に達していること、28.6%のケースで1日以内にデータが暗号化されていることなどがわかった。

「サイバーリスクを把握できない」問題の解決が必要

　トレンドマイクロ シニアスレットスペシャリストの平子正人氏は、「デジタル資産の増加に伴い、攻撃対象領域におけるサイバーリスクを把握できていないことが直接侵入に対応できない理由になっている」と、冒頭に指摘した。

　「また、正規ツールや正規機能を悪用したステルス化した攻撃に対する検知力を高めることや、脅威の検知、調査、対応能力のスピードを高めることが大切である」も付け加え、攻撃対象領域を把握できていない、既知の脅威を検出する技術だけでは脅威は防げない、脅威の検知や調査に時間がかかる、といった課題を解決するために、組織のリスクを管理するASRM（Attack Surface Risk Management：攻撃対象領域の可視化とリスクマネジメントツール）の採用と、クロスレイヤーでの教育の相関分析を行うXDR（Extended Detection and Response：インシデントの調査、原因特定、対処を行うソリューション）の導入が必要である」と提案した。

トレンドマイクロ シニアスレットスペシャリストの平子正人氏

ランサムウェアの95％が標的型攻撃、利益の最大化を狙う

　今回の分析のもとになった「インシデント対応支援サービス」は、インシデントの疑いがあると判断された企業などの依頼に基づき、感染経路や攻撃手法の調査、業務再開に向けた復旧支援、対応方針のアドバイスを提供しているものだ。「インシデントの現場に参加して、調査や対応を行っているため、よりリアルな脅威関連情報を収集できる」という。

　さまざまな業種の企業が利用する一方、支援依頼の半数以上となる54.9%を占めているのがランサムウェアであり、「ランサムウェアは、さまざまな業種に渡って見られており、軽視できない脅威となっている」と位置づけた。

IR（Incident Response：インシデント対応）支援依頼の内容。54.9％がランサムウェア。以下、18.3％がAPT、8.5％がEmotetだという

　今回は、2019年1月～2023年6月までのインシデント対応支援サービスの結果をもとに分析している。

　ランサムウェアは、特定のターゲットに向けて攻撃する「標的型」と、メールなどを介して広域に向けて攻撃を行う「ばらまき型」に二分できるが、今回の調査では、「標的型」が95%を占めた。

IR支援サービスが対応したランサムウェアの95％が標的型に該当した

　「標的型が多いのは、より多くの利益を得ようする動きが背景にある。脆弱性などを突いて、標的組織のネットワーク内に侵入したあとに、感染拡大や情報窃取を目的とした内部活動を開始し、被害規模を大きくしてからランサムウェアを実行することで、組織内に広範な影響を与え、高額の身代金要求へとつなげている。標的型は、ランサムウェアの圧倒的な主流となっている」と、平子氏は分析する。

直接侵入が大幅増加、正規ツールを悪用した阻止しにくい攻撃に

　また、標的組織への初期侵入方法では、直接侵入が増加。2020年12月までのデータでは、直接侵入が22.2%であったのに対して、2021年1月以降は66.7%を占めているという。

　これについて平子氏は、「VPNやRDPの認証情報、脆弱性を悪用した侵入手口が増えている。これにより、メールに添付したファイルを開かせるといったユーザーの操作を介さずに侵入している。コロナ禍において、リモートワークが普及したことが大きな要因になっており、攻撃者は環境の変化を逆手に取り、攻撃手法を進化させている」と指摘した。

侵入経路の分析。2021年1月〜2023年6月は、VPN、RDP、脆弱性を利用したものが66.7％となった。その前の2019年1月〜2020年12月では同様手口による侵入は22.2％だった

　また、攻撃者が侵入後、機密情報の窃取などを行う内部活動を行う際に、正規のツールなどを利用するケースが増えていることも特徴だという。

　平子氏はその理由を、次のように分析する。「内部活動の際に、攻撃が阻止されないように、注意深い活動を行っており、そのために正規のツールやコマンドを悪用している。たとえば、コールバックでは、Cobalt StrikeやAnydesk、Ateraといった、脅威をシミュレートするツールや、リモートサービスを効率化するための正規ツールが悪用されている。認証情報窃取や内部探索、感染の横展開、データの持ち出しといったフェーズでも同様の動きが見られている」。

正規のツールやコマンドを悪用した事例が増えている。攻撃の阻害を防ぐことが理由とみられる

SIMカードを介して侵入し、Windows正規機能により展開する攻撃事例

　ランサムウェ攻撃の具体的な事例も紹介された。

　ある企業では、従業員が社外でも仕事ができるように、持ち運びが可能なデバイスに、グローバルIPを持つSIMカードを挿入する一方、デバイスではRDPの接続制限を行っていなかったという。攻撃者は、ポートスキャンを行い、SIMカードが挿さったデバイスへのRDPによる総当たり攻撃をして、認証を突破して侵入。このデバイスが、SIMカードが挿さったままで社内システムに接続されることで、大規模な侵入を許してしまうという。

攻撃事例。グローバルIPを持つSIMカードを介した侵入

　その後、より高い権限を持ったアカウント情報を探索する活動を開始。その際に、LSASSと呼ばれるWindowsの認証情報を保持するプロセスに対して、rundllによってライブラリをロードするためのプログラムを実行。保存されている認証情報を窃取する。この活動は、正規のWindows機能による動作であるため、従来のセキュリティ対策では検知することが難しい。

侵入後、Windowsコマンドを悪用して情報を窃取する

　さらに、攻撃者は、ほかのデバイスへと感染を横展開するために、Windowsの正規リモート管理ツールであるPsExecを悪用。このツールは、日常的に使われることが多いため、不正な通信として判断することが難しいという。加えて、攻撃者は、より効率的に活動が行えるように、AnyDeskと呼ぶ正規のリモートデスクトップツールを悪用したり、正規のクラウドストレージサービスに機密情報をアップロードし、情報を持ち出したりする。

Windowsの正規リモート管理ツールであるPsExecを悪用し、攻撃を横展開

正規のリモートデスクトップツール「AnyDesk」を悪用して遠隔操作

機密情報を正規のクラウドストレージサービスにアップロードし、持ち出す

　こうして情報を窃取したあとに、ランサムウェアによって、システム環境を暗号化することになる。

情報を窃取後、ランサムウェアによる暗号化を行う

　「活動のほとんどで正規ツールを用いており、防御する組織にとっては、やっかいな手口になっている」と、平子氏は一連の手口に警鐘を鳴らした。

初期侵入から暗号化までのタイムリミット、24時間以内のケースは4分の1以上

　ランサムウェアの事例においては、初期侵入からランサムウェアが実行され、暗号化されるまでの時間が短縮化される傾向も指摘された。

　初期侵入からランサムウェアの実行までの平均日数は6.47日だが、データが暗号化されるまでの時間が24時間以内となっているケースは、28.6%と4分の1以上を占める。最短の事例では、3時間10分でランサムウェアの実行が確認されたという。

初期侵入からランサムウェアの実行までが24時間以内のケースが28.6％

　こうしたデータを踏まえ、平子氏は「セキュリティ関連ログを収集しておき、後日、分析するという体制では、手遅れになる可能性がある。ランサムウェア実行までのタイムリミットは24時間だと考えた方がいい」と提言した。

　なお、2022年以降、最も多かったランサムウェアは、LockBitであり、全体の40.0%を占めたという。

IR支援サービスが対応した中で最も多かったランサムウェアはLockBitで、40.0％

企業における対策方法

　トレンドマイクロでは、こうした統計情報をもとに、いくつかの対策を提案した。

　1つめは、ASRMの導入だ。

　平子氏は、ASRMの意義について次のように説明する。「リモートワークの普及やDXの推進などにより、組織のIT環境は目まぐるしく変化する一方、利便性を優先して、セキュリティへの配慮を怠ったり、デバイス管理が追いつかず、リスクを把握することが難しかったりする場合が散見される。組織はASRMに取り組むことが重要であり、攻撃対象となるデジタル資産の継続的な監視と、既知や未知、内部や外部の資産を発見し、事前に対処しておくことが必要である」。

ASRMによりリスクを可視化し、把握しやすくなる。既知や未知、内部や外部の資産を発見し、事前に対処しておくことが可能に

　2つめは、Detection and Response（脅威の検知・対応を行うソリューション）の導入だ。

　「パターンマッチングでは、標的型ランサムウェア攻撃の23%しかブロックできなかったが、挙動監視や機械学習型検索を有効化するEPP（Endpoint Protection Platform）を活用することで、89%までをブロックできる。だが残りの11%の脅威から守るためには、攻撃者がよく扱う攻撃手法を検知するDetection and Responseの導入が必要である。正規ツールを悪用した不審なふるまいを検知して対処できることから、効果的な対策になる」と、平子氏は、これまでに見てきた攻撃の手口に対応できるDetection and Responseの有用性を説明した。

EPPを用いたパターンマッチングや機械学習では対策しきれない脅威にも、Detection and Responseを組み合わせることで対応できる

　3つめは、XDRの導入である。

　「防御側は、攻撃の兆候をいち早く検知し、阻止する必要があるが、見るべきツールやログが多く、インシデントと判断するまでに時間がかかるという実態がある。システム全体に存在する脅威の状況を効率的に把握するために、収集した各レイヤーのログを集約し、自動的に相関分析するXDRの導入により、この課題を解決できる」と、平子氏は、早期対応が求められる中でXDRが有効なソリューションになると語った。

XDRにより多数の情報を効率的に把握し、早期の対応が可能になる

　ASRMは、平時の攻撃や侵入の可能性を軽減可能であり、プロアクティブに対策を実行できる。XDRは、インシデントが発生した際に、脅威を検知し、調査、対応を行うリアクティブな対策になる。

　また、それぞれの技術は、相互に情報を共有し、補完することで、平時のリスク減少や、インシンデントの減少につなげることができる関係性がある。「企業を脅かす標的型ランサムウェアなどの脅威に対して、実践すべきセキュリティ対策だ」と、平子氏は位置付けた。

プロアクティブ（先制）に対策が可能なASRMと、リアクティブ（早期対応）の対策が可能なXDRが相互補完し、インシデントの減少につなげることができる