大規模ランサムウェア感染に備えた対策と事例からの学び【最終回】

ランサムウェア感染の被害を受けない、または受けても小さくするための対策

前回までは、復旧までの施策を紹介していました。今回は、再発防止策として何ができるのか、この事例から得られた結果をまとめてみました。

1.ユーザーアカウント管理と認証の強化

これは侵入を防ぐための対策となります。紹介した事例で悪用されていた、退職者のアカウントがどのようにして攻撃者の手に渡ったのか、証拠を持って明らかにすることはできませんでした。しかし何らかの手段で有効なアカウントを入手したことだけは確かです。筆者チームは、本件とは全く無関係の企業でも、退職者のアカウントが悪用されて侵入を許しランサムウェアをばらまかれた事案を扱ったことがあります。まずユーザーアカウントの管理が重要です。使っていないアカウントを放置してはいけません。退職等でアカウントが使用されない状態になったら直ちに無効化します。以前3カ月に1回のアカウント棚卸しの際にアカウントの無効化対応を実施する旨を伝えてきたセキュリティコンサルティングに対して、筆者は退職と同時に直ちに実施しろ、と強く伝えたことがあります。アカウント管理者に退職等のイベントが伝わらず、アカウント無効化がタイムリーに実施できない現状があったようです。人事部と管理者の連携を密にするなどしてタイムリーに伝わるようにすることこそ大切です。

アカウント自体の管理を厳重に実施しても、有効なアカウントの認証情報が外部に漏れてしまっては意味がありません。本来であれば漏れないよう管理を強化する、が正しい施策なのでしょう。しかし残念ながらそれは現状不可能です。現に筆者チームが対応した大規模ランサムウェア感染事例のすべてで、有効なアカウントを悪用されVPNやリモートアクセスから侵入を許してしまっています。

攻撃者は今やさまざまな手段で有効なアカウント情報を取得します。もっとも効率がよいのは、アカウント情報をアンダーグラウンドで販売する「クレデンシャルブローカー」と呼ばれる販売者から入手する方法です。クレデンシャルブローカーは、フィッシング詐欺、マルウェアや不正アクセス、そのほかの手段で不正に入手したアカウント情報をまとめて販売しています。VPNの脆弱性が話題になった際、脆弱性を悪用してVPNから収集した認証情報が販売されていたことはよく知られています。認証情報は盗まれるものと想定し、対応策を策定する必要があります。そこで有効なのはVPN等のリモートアクセス時での多要素認証の利用です。フィッシング詐欺の被害者になる人は必ず存在します。金銭詐欺と異なり、自分が被害に遭ったことさえ認知できないケースも多々あります。アカウント情報は盗まれることを前提とする必要があるのです。

2.特権アカウントの適切な管理

VPNユーザーアカウントでの多要素認証は侵入を阻むための施策ですが、特権アカウントの対応は、侵入を許してしまった後の被害を軽減するための施策となります。たとえ侵入されても特権アカウントの悪用を阻止するとで、それ以上の被害を少なくすることを目的とします。

特にサービスに利用される特権アカウントに問題があることがほとんどです。バックアップにしか使用されないのにシステム管理者権限を有するバックアップサービスアカウント、DBサーバーを動作させるためだけのサービスのはずなのに対話型ログオン権限を有している、など、過剰な権限を有しているアカウントは多数存在します。近年このような理解が進み、サービスアカウントの権限が最少化されることも珍しくなくなってきましたが、古いバージョンのOSやアプリケーションでは、高い権限を有するサービスアカウントが初期値として利用されていることが多々あります。OSやアプリケーションの最新化を検討する必要があります。

3.検知能力の強化

検知能力の強化と指摘されると、インターネット接続点での監視強化が一般的な理解です。しかしインターネット接続点の監視強化では、正規アカウントを利用し正々堂々とVPNから侵入してくる攻撃者を発見することはできません。

この検知能力強化とは内部サーバーのログを監視し、侵入後の攻撃者の振る舞いを早期に検知し、迅速な対応につなげることで被害を軽減することを目的とした施策となります。

検知能力の強化には大きく分けて2つの施策があります。1つはEDR : Endpoint Detection and Responseソフトウェアを導入する方法。2つめはサーバー等のログを集約し監視する方法です。

EDRは権限昇格行為の防御もしくは検知、不審なプログラムの実行の検知など、攻撃者が内部侵害の際に行う行為の多くを検知することができます。不審なプログラムがよく実施する多段もしくは複数のプロセスの生成などの振る舞いをベースに検知するため、過検知などが生じることもよく見られます。正規アプリケーションであっても多数のプロセスを生成するインストーラーなどが検知されることはよくあります。

サーバーのログを集約して監視するために、SIEM : Security Information and Event Managementと呼ばれるシステムがよく利用されます。複数のログを取り込み、検知ルールに従って相関分析させることで、単独のログからは判断できない攻撃行為などを検知できるようにします。ただし、SIEMによる検知能力の強化では、適切な検知ルールの開発に能力が左右されることに注意が必要です。ログをフィードしただけではSIEMは単なるログ保管庫に過ぎません。

4.各種機器の脆弱性管理

VPN等のネットワーク機器の脆弱性管理
筆者チームが対応したランサムウェア感染事例ではいずれも、正規アカウントを悪用し、いわば正面から正々堂々と侵入してきていました。VPN機器の脆弱性の有無など全く関係ありませんでした。しかし、だからと言って脆弱性は無関係である、というわけではありません。報道等によれば、先に挙げたクレデンシャルブローカーは、VPN機器の脆弱性を悪用して盗み出されたアカウント情報を取り扱っているケースもあったようです。アカウント情報を不正に入手する方法の一つとして脆弱性への攻撃があった、と理解できます。攻撃者の機会を奪う意味でも脆弱性への対応は重要です。

内部のサーバーへの脆弱性対応
インターネットから直接アクセスできないことを理由に、内部サーバーへの脆弱性対応（パッチ適用）が後回しにされる事例を筆者チームもよく目にしています。しかし、いったん侵入を許してしまうと非常に危険な状況と言えます。攻撃者にとって容易に攻撃できる対象となるでしょう。やはり適切な脆弱性対応が重要となります。

5.バックアップの実行

ランサムウェアなどの破壊を伴う不正アクセスへの対応としては、バックアップが非常に重要です。万が一のことを考慮に入れ、バックアップの詳細な戦略を立案し、実施する必要があります。バックアッププールへのアクセスにも注意が必要です。多くのランサムウェアは、ネットワーク経由でアクセス可能な全てのSMB共有を探し出し、暗号化を試みます。バックアップと称してSMBファイルサーバーにファイルの複製を作成することは、ランラムウェア対策としては何の意味もありません。理想としては専用通信を利用するバックアップエージェントとバックアップサーバー、さらにバックアップサーバーはSMB以外の通信で専用ストレージを接続する、といった形態を検討する必要があります。専用ストレージとしてテープドライブなどを検討してもよいでしょう。