ランサムウェアなどのサイバー攻撃。止むことがなく、ますます企業経営上の脅威となっています。この脅威は悪意ある様々なテクニックの誕生により、新たなフェーズに入っており、既存の仕組みでは防御が難しくなっています。最近のトレンドのひとつをご紹介します。一人でも多くの方の知見となれば幸いです。
数人のマニアによってマルウェアが作成されていた時代は終わり、資金力が豊富な犯罪組織によるサイバー攻撃が主流に
多くの人は、ランサムウェアなどのマルウェアがひとつの実行可能ファイルによって引き起こされると思っている事が多いようです。しかし昨今においては数段階を経て実行されるマルチフェーズ型の攻撃です。被害企業が問題に気が付くのも侵入されてから、数日~数週間が経過してからのケースが多くあります。
最近の感染経路は、社内端末を通じたものが9割で、残りはファイアウォール装置やVPNルーターなどの通信機器が抱える既知の脆弱性を通じて、社内ネットワーク内のサーバーや端末へ侵入し活動するものです。
常設機器が抱える脆弱性が侵入ポイント(1割)
ファイアウォール装置などの通信機器やオンプレミス型のサーバ仮想化アプリケーション(VMware vCenter Server等)は、WANやDMZ内に常時接続されており、常に脅威に晒されている機器になります。これらの機器が脆弱性と呼ばれる悪意ある者の手による乗っ取りやリモートコード実行(RCE)が発見され、MITRE CVEにて告知されている脆弱性に対処せずにしておくと、絶好の侵入ポイントとなります。
納品したベンダー任せのセキュリティ運用では、shodan.ioなどでターゲットにする組織が保有している機器やサーバーが脆弱性を抱えたままになっているか、誰でも検索することが可能になってしまいます。実際、通信機器やサーバー製品を購入した後、ベンダーから定期的に修正対応や告知がなされていない場合、脆弱性を抱えたまま運用している危険性がかなり高いと認識ください。
脆弱性を放置した場合、YouTube動画などで学んだ中学生程度の素人でさえ脆弱性を抱えた機器やサーバーに対して、Exploit攻撃を行うことができ、容易に社内ネットワークへ侵入を許したり、通信機器内にてRCEを実行したり、サーバーへの攻撃が行えてしまいます。
最近の組織化された犯罪集団は、侵入しても即座に社内データ資産を暗号化することはなく、侵入に成功した機器を通じ、社内の他サーバー類がないかSNMP等で時間をかけて同一ネットワーク内をじっくりと探索し、盗難されることで経営が危機となる重要なデータ資産がないか調査します。
重要なデータ資産の盗難に成功すると、データを小さく分断し、ファイアウォール装置やNDRなどで検出されてないようファイルを暗号化した後に、時間をかけて外部へ少しずつ送信します。社内のデータ資産をおおよそ転送し終わってから、犯行に気が付かせるため、社内データを暗号化します。これをランサムウェア攻撃と呼びます。社内システムが暗号化され利用できなくなるばかりか、社内の機密情報をも含むデータ資産が漏洩しているため、社会的信用の低下が企業へ大きな影響を与えます。米国では、ランサムウェア被害にあった企業の実に6割は廃業しています。
ランサムウェアなどによる金銭目的ではない産業スパイ事案においては、データを暗号化しないため、侵入されていることに気が付かず、社内の機密情報を盗まれていることもランサムウェア被害の何倍もの件数が発生していると推測されています。日本においては優れた製造技術をノウハウという形で保有しているため、その技術を欲している企業は中国やロシアだけでなく、多くの国が欲しがっていることを決して忘れてはいけません。
社内端末を通じた感染(9割)
最近の端末を通じたマルウェア感染は、マルチフェーズ型の感染が主流となっており、悪質な挙動を行うことを目的に設計された従来型のAVエンジンでは検出が困難になってきています。様々な種類がありますが、ある侵入例では、
- 第一フェーズ:ホームページを開いた際に実行されるJavaScriptなどを通じてC2サーバー内にあるBase64で暗号化された箇所を含むps1ファイルをダウンロード
- 第二フェーズ:ps1ファイルを実行し、悪意あるzipファイルをダウンロード
- 第三フェーズ:タスクスケジューラーやレジストリなどを通じて、Windows内部コマンドや著名なクリーンとされるAutoItなどのツールを実行し、AnyDeskやLogMeIn等の遠隔操作が可能な善良とされているプログラムを組み込む
- 第四フェーズ:SNMP等を実装した端末探索ツールのフリーソフトを実行し結果を取得
- 第五フェーズ:Windows内部コマンドのみ利用してデータ盗難を実行(数日~数週間)
- 第六フェーズ:ランサムウェアパッケージをダウンロードして実行。犯行声明を行う
このようなケースでは、第6フェーズのランサムウェアが従来型AVエンジンにて判定されることとなりますが、それ以前のフェーズでは、監査対象外のps1や既に善良と判定済のRMMツールであるため悪質と判定されません。最後のランサムウェアも悪意ある組織がAIを用いて開発を行っています。さらに既存のAVエンジンに検出されないようゲームソフトなどで利用される難読化を実施した改造を行い、VirusTotalで出荷前検査を実施した上で犯行声明となるデータ資産の暗号化を確実に実施します。
第一フェーズのものが悪質であるか最初に検体を入手した段階では判別できません。第六フェーズまで実行されて初めて第一フェーズがマルウェアであったと判明するのです。すなわち端末内で数秒以内に100%の確率でマルウェアの証拠を見つける判定することは事実上不可能であることをご理解頂けましたでしょうか。
そう、従来型AVエンジンでは検出できないのです。日本国内で入手可能なAVエンジンが新しいマルウェアファイルの実行を阻止できたかのチャートをご参照ください。
最近のサイバー攻撃に対し対応策はあります。
このような高度化するサイバー攻撃に対し、アメリカ連邦政府は侵入をされない政府のセキュリティ基準および、社会インフラを支える企業への推奨セキュリティとしてゼロトラスト・セキュリティフレームワーク(NIST SP 800)を策定しています。
様々な対応策が定義されていますが、ネットワーク経由での悪用のケースでは、脆弱性対策の重要性を説いており、WAN,DMZに接続している通信機器やサーバー類の脆弱性情報へ導入企業のシステム担当者自身が常に気を遣うこと、そして定期的な脆弱性検査ツールによる再確認を推奨しています。
これらを実現するツールとしてASM (Attach Surface Management)が脚光を浴びています。しかしツールは万全ではありませんので、社内導入されているパソコンやタブレット端末はもちろんのこと、SIP電話機やネットワーク接続型のプリンター、スキャナーに至るまでIT資産管理を行う必要があります。ベンダー任せではなく自社で迅速に行える体制作りが大切です。
マイクロセグメンテーションで感染の広がり防止
またファイアウォール装置があるからLANネットワーク内は安全であるという神話を捨てるよう求めています。マイクロセグメンテーションという方法を用いて社内で隣にある端末へ直接接続できない通信経路設計が大切です。SIP電話と情報端末を物理線レベルでわけることも大切です。
データの二重暗号化
サーバーへのアクセスは、限定した者のみが通信可能およびログインできるようにし、二要素認証も採用します。データ資産が蓄積されているデータベースへは物理レベルとDBレベルで二重に暗号化を実施します。
ゼロトラスト型エンドポイント保護(Application Allowlisting)
ランサムウェアなどのマルウェアは、生物兵器ではなくスクリプト形式もしくは、バイナリー形式の実行ファイルです。実行ファイルは、WindowsやmacOSなどプラットフォーム別に作成され、OSが用意したAPIを呼び出して機能します。OSが提供するAPIを完全にロックし、マルウェア分析官が手作業でひとつづつ安全性を確認し、開発元の健全性も含め、安全と確認されたアプリケーションごとに必要なAPIのみロックを解除する方法がZero Trust Application Allowlisting 3.0です。
アメリカ連邦政府では、端末で不正なマルウェアが実行されないようps1やjsをもホワイトリスト方式で事前許可制とするアプリケーション許可リスト方式(NIST SP 800-167)が強く推奨されており、NIST CMMC レベル5基準と最高水準に指定されています。この新方式は、exe、dllなどだけでなく、ps1,js,vbaなども管理者によって許可されないと一切実行できない方式です。RCEが可能な脆弱性を抱えていても、AVエンジンがOSを深部でロックしているため悪意ある者が端末を乗っ取ることができません。この方式は軍事同盟のファイブアイズ各国が採用しています。
そしてPC Maticが採用するApplication Allowlisting 3.0方式では、マルウェア分析官が先の例にある第6フェーズが業界にて検出された際、第一フェーズのps1ファイルは元から善良なファイルとして分類されないためデフォルト拒否で実行が拒否されます。従来製品では、デフォルト許可ポリシーであるため、特になにも悪意ある挙動を示されないファイルは実行が許可されます。ロードした先のファイルをずっと追って分析し、最初のフェーズにあるファイルをデフォルト拒否で起動阻止される分類「未知」から、「悪質」へフラグ付けします。
PC Matic SuperShieldによるエンドポイント保護の解説
昔からあるホワイトリスト製品はバイナリー形式の実行ファイルのハッシュ値をリスト化してそれ以外を実行させないというものでした。しかし、これでは昨今のスクリプト形式によるファイルレス攻撃と呼ばれるものに対処できず、マルウェア感染が発生していました。このため、PC Matic社が9つの特許を保有する新方式では:
- スクリプト形式・バイナリー形式の実行可能ファイルをデフォルト拒否でロック
- ロック解除は、PC Maticマルウェア分析官による動的・静的なデジタルフォレンジック後
- 疑いのあるグレーゾーンや、脆弱性を抱える実行ファイルは実行許可されない
- マルウェア分析官により善良と判定された実行ファイルはグローバル・ホワイトリストにて従来製品同様の使い勝手で実行許可
- 未知の実行ファイルは、PC Maticマルウェア分析官がAIを助手にして24時間程度で犯罪の疑いがないか、呼び出されたファイルなど関連性も含めて徹底調査の上で判定
- 組織内で作成した実行ファイルは、ハッシュ値、デジタル署名、ファイルパスの3方式でローカル・ホワイトリストへ登録し、即座にネットワークを通じて対象端末へ配信され実行可能
- Microsoft Office製品のアドオンやスクリプトをホワイトリスト方式で多重ロック
- クラウドサービスであるため専用サーバー不要。CALのみで即座に利用可能
- 汎用性が高いJavaは標準で全機能ロックし必要な時のみ解除可能
- 昨今悪用されるAnyDesk, LogMeIn、VNC、TeamViewerなどのリモートツールは、標準で起動拒否されクラウドの管理ポータルからローカル・ホワイトリストへ追加することで起動可能
- 侵入経路として利用されやすい脆弱性を抱えた著名アプリを自動更新するASM機能
- 個人版はAI型のヒューリスティック方式を実装した保護とゼロトラスト方式の両方式を利用可能
- 法人版は、ゼロトラスト方式で、グローバル・ホワイトリスト利用と、3つのローカル・ホワイトリスト方式でアメリカ連邦政府基準の強固な保護を実現
- 法人版:EPPに加え、組織内で自動・手動で実行や拒否された全プロセスをEDRプロセス管理で把握可能
- 法人版:IT資産管理やリモート運用を支えるRMM機能(コマンドプロンプト、リモートデスクトップ、ファイルマネージャーなど)
- EDRスナップショット機能で、指定周期で端末の詳細な状況を記録
- 全顧客に、10年以上の無感染実績
法人版では稼働する全プロセスの起動時のパラメータすら記録した生ログをクラウド上で保管しており、悪意あるものが消去したり改ざんを許しません。また、全稼働・阻止プロセスを組織全体で閲覧することができ、組織内でなにがいつ発生したのか容易に全体を把握することが可能です。このダッシュボードはPC Maticのクラウド上で管理されているため、管理者がスマートフォンで迅速に確認することすら可能です。
詐欺対策を実現するブラウザ拡張機能
そしてSuperShieldと併用するブラウザ拡張機能として提供される「広告ブロック機能」と「詐欺対策」の2つの拡張機能で、詐欺対策や感染の一次フェーズとなる悪質サイトへのアクセスを阻止します。
ホワイトリスト方式は運用が難しかったけど・・
そう思われる方も少なくないかもしれません。従来のホワイトリスト方式の課題を解決したのが9つの特許を保有するPC Maticであり、まったく新しい製品です。日本では、2011年からアプリケーション許可リスト方式方式によるエンドポイントセキュリティを個人向けにも提供しており、NEC Directでは10年に渡り個人向けに提供されています。多くの方は従来製品との違いをあまり感じないことでしょう。
執筆: PC Matic Japan, 坂本光正
