サービスとしてのランサムウェア(RaaS): 対策の鍵は、基礎への再投資

This post is also available in: English (英語)

サービスとしてのランサムウェア(RaaS)とは、サイバー犯罪者がサイバー犯罪者のためにデザインしたビジネスモデルであり、サイバー犯罪の技術的な参入障壁を下げる効果があります。参入を望む者は、ランサムウェアの開発やネットワークへのアクセスに必要なスキルを習得する代わりに、アクセス権やコンポーネントを購入すれば済むようになります。中には、映画配信サービスと類似した月額サブスクリプション方式のサービスも存在します。こうしたサービスを利用することで、サイバー犯罪者の活動が多くの面で容易になりますが、防御側にも希望は残されています。これから紹介するベストプラクティスの活用と、基本的な防壁の導入によって、技術的に未熟なサイバー犯罪者からの攻撃をほとんど阻止することが可能です。二部構成でお届けするシリーズの第二回では、セキュリティ基盤への再投資と多層防御戦略の確実な利用の有効性を解説します。たとえ、お客様のネットワークが手っ取り早い儲けを狙った未熟なサイバー犯罪者に狙われたとしても、彼らに無駄な一日を過ごさせることができるでしょう。

RaaSに対する多層防御の出発点

多層防御戦略について、お客様の組織で議論する際の出発点としてふさわしいと考える領域をいくつかご紹介します。なお、紹介する順番に特に意味はありません。

認証

まず考えられる有効な対策は、攻撃者を侵入させず、仮に侵入されたとしても行動を制限することです。近年のセキュリティ侵害の主な手口をデータから検討すると、正規の資格情報を利用する手口や、フィッシング攻撃によってユーザーを騙し、マルウェアを直接実行させる手口が多用されています。一般に、組織への最初の攻撃経路として脆弱性が悪用された事例は多くありません。これは、セキュリティの人的要素を狙った方が、はるかに容易にアクセス権を奪えるためです。また、たとえ攻撃者が脆弱性を悪用したとしても、資格情報がなければネットワーク内部で横方向移動と探索を続けることは極めて困難になります。これこそ、あらゆるアカウントと認証ポイントを、攻撃の遅延や阻止に貢献する潜在的な防壁と見なせる理由です。

  • パスワードの複雑さやローテーション頻度の面で、強度の高いパスワードポリシーを導入する。
  • データにアクセスできるユーザー、アクセス元、時間といった、アクセス制限を設ける。とりわけ、管理者アクセスには制限が必要。
  • 多要素認証を使用する。

このような防壁は有効ですが、監査や異常な利用状況の積極的監視を組み合わせることで、さらに効果が高まります。こうした予防的なセキュリティのメリットについては、個別の記事で解説します。

攻撃対象領域の縮小

分かり切ったことですが、あらゆるサイバー攻撃に共通する点は必ず侵入口が存在するということです。デジタル世界の文脈において、この侵入口にはインターネットに接続されたシステムからアクセスできるのが普通です。したがって、侵入口を適切に保護するには、現在インターネットに何を公開しているかを把握することが求められます。たとえば、インターネット上にどのようなデジタルフットプリントを残しているかや、どの種類の接続が可能かといった情報です。

国際的なCOVID-19のパンデミックによってリモートワークが急激に普及したことで、企業は在宅勤務を突然行うことになった従業員のサポートを円滑に行えるような環境を大急ぎで整備しました。その結果、社内ネットワークへ簡単に侵入できる経路として、VPNやリモート アクセス ソリューションが攻撃者に狙われる機会が増加しています。ですが仮に、6年前にWebサーバーを移行したものの、切り替え元のサーバーを廃止したかどうか一度も確認していないとしたらどうでしょうか。把握していないものを保護することはできません。ですから、攻撃対象領域を縮小するには、頻繁に更新される適切なネットワーク境界の評価を確実に入手することが欠かせません。また、この評価を細かく分解して、公開中のサービスやリモートアクセスの可能性を洗い出すことで、どこから厳格な管理を導入できるのか、優先順位を設定できます。

パッチ適用と脆弱性管理

脆弱性を武器として悪用される事例がこのところ記録的なペースで増加しており、パッチの「もぐらたたき」の状況は変わっていません。時には、パッチがリリースされる前に、脆弱性の公表とソーシャルメディア上の断片的な情報だけを頼りにエクスプロイトコードが作成される場合もあります。そのため、この記事で紹介する中でも「基本に帰る」ことが最も難しい助言です。それでも肝心な点は、パッチ未適用の環境を利用し続ける組織が多数を占める限り、攻撃者の短時間で脆弱性を悪用する能力を助長するだけだということです。

このようなセキュリティホールをふさぐことで、攻撃者の活動はより困難になります。なぜなら、脆弱性の悪用という強力な選択肢を排除することで、脆弱性を悪用せずに防壁を迂回するだけの巧妙さを攻撃者に要求できるからです。

  • 環境全体で未適用パッチを包括的に調査する。なお、問題のある領域を判別しやすくするため、調査はインフラとエンドユーザーシステムの両方で行います。
  • パッチのリリースから適用までの、システムが脆弱な期間を短縮する。この問題については、誰にでも適用できる答えは存在しません。各組織が自社のリスクレベルに応じて許容できる期限を判断する必要があります。とはいえ結局、早いに越したことはありません。
  • パッチを適用できない場合、脆弱なシステムやユーザーのセキュリティを補う仕組みを明確化しておく。

ネットワークのセグメンテーションとマイクロセグメンテーション

筆者はセグメンテーションの力を論理セグメンテーションと物理セグメンテーションの両面で確信しています。なぜなら、アクセス制御とアクセス監視に適した明確な境界を作成できるためです。この記事の中では、ネットワークセグメンテーションとは、エンドユーザーやデータセンターのサーバーなどの間の障壁を指します。一方、マイクロセグメンテーションとは、SANサーバーやデータベースサーバーなどの間の論理的な障壁を指します。突き詰めれば、これはまた別の基本コンセプト、すなわちゼロトラストを指します。

全方向のネットワークトラフィック(East-WestおよびNorth-South)の通過を制限する防壁を作成し、他のセキュリティ制御機能と結びつけることで、技術力が低い攻撃者を徹底的に阻止する防壁を作成する体制が整います。

高いROIが見込まれる、多層防御への投資

この記事をきっかけとして、ネットワークとデータの防御についてどのような予防的な対策を準備できるか、一歩引いた視点から明確化を試みていただけると幸いです。RaaSはサイバー犯罪者に普及しました。そして、RaaSの進化から得られた知見は、サイバー攻撃のあらゆる側面がコモディティ化していく中で、サイバー犯罪者の手本となるでしょう。それでも明るい兆しとして、攻撃者の技術レベルが低下すると見込まれる点、そして同時に、多層防御をはじめとする中核的なセキュリティコンセプトに防御側の労力を再度集中させることで、長期的には高いROIがもたらされる点があげられます。

ランサムウェア対策の計画立案はこちらをご覧ください。

Jeff WhiteはUnit 42脅威インテリジェンスチームのプリンシパル脅威リサーチャーです。この記事は二部構成でお届けする「サービスとしてのランサムウェア」シリーズの第二回です。