WatchGuard Technologiesは、ウイルス取得のために利用されたC&Cサーバの通信のうち、91.5%がPort443を利用した暗号通信であった報告書を先頃発表しました。これは、社内外通信を監査するファイアウォール装置において、SSL監査機能を装備し、有効化していないとウイルスは社内へ容易に侵入してしまうことを意味しています。
SSL通信は、秘匿性のある通信を行うための暗号通信方法です。オンラインバンキング以外、最近では一般のホームページも暗号化されるようになりました。昔は暗号通信を行うためには、認証局に高額な支払いをする必要がありましたが、ホームページの暗号化通信を促進するためミシガン大学などが主導して始まった「Let’s Encrypt」プロジェクトにより無料提供が始まり、これにより一気に低価格化が進行しました。
犯罪者は、Let’s Encryptなどを通じて身元を明かさずC&Cサーバを暗号通信に対応させることが可能となりました。企業がもつファイアウォール装置が旧式で、Port80やメールのみウイルス監査を行う機能をもっている場合は、それを無効化させることができるからです。
MITM手法を用い、Port443の通信なども暗号解読を行い、通信内のファイルにウイルスが混入していないか調べることができる「SSL監査機能」がファイアウォール 装置に装備されてきだしたのは、2017年頃からです。この機能に対応していなければ、社内端末がウイルス感染するリスクが高まっていると言える状況にあります。SSL監査機能付きのファイアウォール 装置へのリプレースが急務になっています。
また、Windowsが標準搭載しているPowerShellを用いた「ファイルレスマルウェア」が一般化してきています。ウイルスを用いず、なおかつ外部からプログラムをダウンロードすることがないため、ファイアウォール 装置での検知は難しくなっています。単なるスクリプトなのですから。
ファイルレスマルウェアは、さらにWindowsが標準でもつbase64デコード機能を用いてスクリプト自身も暗号化し、エンドポイント保護による検知を回避しています。この PowerShell などを用いたスクリプトによるマルウェアは、いったんbase64にて自身の暗号を解除しスクリプトとして実行されます。
ウイルスとなる実行可能ファイルがインターネットからダウンロードされる訳でもなく、暗号化された PowerShell などのスクリプトだけでパソコン内のファイルを暗号化し外部に機密情報を送信し、暗号化されたファイルと機密情報を人質に暗号資産を身代金として要求します。旧来のブラックリスト+ヒューリスティック方式によるエンドポイント保護では、パソコン内で数秒以内にウイルス判定を行うため、こうしたマルウェアに対処することは困難です。
PC Maticは、実行可能ファイル(exe等)にグローバルホワイトリスト方式を用いたNIST CMMC Level5対応の次世代型エンドポイント保護製品ですが、こうしたファイルレスマルウェアに対応するため、 PowerShell , JavaScript,vbsなど多岐に渡るスクリプトに対してもホワイトリスト方式を採用し、暗号化ルーチンや外部通信に関する機能にロックをかけています。
不慮の暗号化や通信は「デフォルト拒否」ポリシーで社内端末を保護します。もちろん弊害はゼロではなく、社内と外部でファイル送受信、ファイル暗号化を行う自社開発スクリプトがあれば停止してしまいます。これは管理画面から起動阻止されたスクリプトのMD5を稼働ログから見つけ出し、ボタンひとつでホワイトリストへ追加することで社内全体で自社開発スクリプトを利用することができます。
運用に手間がかかりますが、昨今においては「デフォルト拒否」しか解決策はないのです。米国は政府と取引のある企業および多くの企業でホワイトリスト運用を行うことを提唱しており、NIST(日本のJISに相当)にてその基準を定めています。オーストラリアもそれに準じています。それで大きな安心感を手に入れることができるのです。脅威は常に進化していきます。その変化にいち早く対応することでテレワークも含めた働き方改革が安全に実現することができるようになります。
