前言#
ランサムウェアは、非常に感染力が強く、破壊的な悪意のあるソフトウェアであり、主にさまざまな暗号化アルゴリズムを利用してユーザーデータを暗号化し、恐喝、脅迫、ユーザーから高額な身代金を要求します。最近、ランサムウェア攻撃の状況はさらに深刻化しており、世界中のエネルギー、金融などの重要な企業に深刻な影響を与えています。ランサムウェアは、暗号化された情報の復元が難しく、攻撃の出所を追跡することが困難であり、攻撃は生産生活に関連する情報システムの正常な運用に直接影響を与え、現実世界への脅威が増大しており、世界的に注目されるサイバーセキュリティの課題となっています。
相关背景#
ランサムウェアの脅威は、現在最も注目されているサイバーセキュリティリスクの一つとなっています。また、情報の窃取と漏洩を組み合わせた二次的なランサムウェアモデルにより、ランサムウェアの危害はさらに深刻化しています。個人、企業、政府機関、さまざまな組織に対する攻撃が相次いでおり、ランサムウェアの脅威の前では、誰もが無関係ではいられません。ランサムウェアの対処において、迅速かつ適切に対処できれば、ランサムウェアによる損失を効果的に軽減し、ウイルスの影響のさらなる拡大を防ぐことができます。
勒索病毒攻击事件数量持续走高#
2021 年上半期、国際的には、世界中で公開されたランサムウェア攻撃事件は 1200 件以上に達し、2020 年全体で公開されたランサムウェア攻撃事件の数とほぼ同じでした。国内では、国家工業インターネットセキュリティ状況認識とリスク警告プラットフォームの監視によると、ランサムウェアの悪意のあるドメインへのアクセス数は 5.05 万回に達し、前年同期比で 10 倍以上の増加が見られました。2021 年第 2 四半期のランサムウェアの悪意のあるドメインへのアクセス数は、下の図の通りです。
勒索病毒概述#
典型的なランサムウェアには、ファイル暗号化、データ窃取、ディスク暗号化などのタイプがあり、攻撃者は主にフィッシングメールやウェブサイトのマルウェアなどの形式でランサムウェアを拡散し、脆弱性やリモートデスクトップ侵入などを利用して攻撃を仕掛け、ランサムウェアを植え付けて身代金を要求します。
(一)勒索病毒主要类型#
1. ファイル暗号化型ランサムウェア このタイプのランサムウェアは、RSA、AES などのさまざまな暗号化アルゴリズムを使用してユーザーファイルを暗号化し、それに対して身代金を要求します。一度感染すると、ファイルの復元は非常に困難です。このタイプのランサムウェアは WannaCry が代表的で、2017 年に世界的に大規模に発生して以来、暗号化アルゴリズムを使用してファイルを暗号化し、ダークウェブを通じて復号キーを返送し、暗号通貨での身代金を要求するなど、攻撃者による広範な模倣を引き起こしました。ファイル暗号化型は現在のランサムウェアの主要なタイプとなっています。
2. データ窃取型ランサムウェア このタイプのランサムウェアは、ファイル暗号化型ランサムウェアに似ており、通常、さまざまな暗号化アルゴリズムを使用してユーザーデータを暗号化します。一度感染すると、データの復元も非常に困難ですが、身代金の要求段階では、攻撃者がユーザーの重要なデータを特定して窃取し、重要なデータを公開してユーザーに身代金を支払わせるという脅迫を行います。統計によると、2021 年 5 月までに、疑わしい Conti ランサムウェアが世界中の政府機関や重要企業など 300 以上の組織を攻撃し、大量のデータを窃取して公開しました。
3. システム暗号化型ランサムウェア このタイプのランサムウェアも、さまざまな暗号化アルゴリズムを使用してシステムディスクのマスターブートレコードやボリュームブートレコードなどを暗号化し、ユーザーのディスクへのアクセスを阻止し、ユーザーのデバイスの正常な起動と使用に影響を与え、ユーザーに身代金を要求します。感染すると、データの復元も非常に困難です。例えば、2016 年に初めて発見された Petya ランサムウェアは、攻撃対象のすべてのデータを暗号化すると同時に、ウイルスに埋め込まれたマスターブートレコードコードでディスクセクターを上書きし、デバイスが正常に起動できなくなる直接的な原因となりました。
4. 画面ロック型ランサムウェア このタイプのランサムウェアは、ユーザーのデバイスの画面をロックし、通常は全画面形式で身代金情報を含む画像を表示し、ユーザーがデバイスにログインしたり使用したりできなくします。また、システムのブルースクリーンエラーを装って身代金を要求することもありますが、このタイプのランサムウェアはユーザーデータを暗号化せず、データの復元の可能性があります。例えば、WinLock ランサムウェアは、Windows システムの重要なコンポーネントを無効にし、ユーザーのデバイスの画面をロックし、ユーザーに SMS での支払いを要求します。
(二)勒索病毒典型传播方式#
1. セキュリティ脆弱性を利用した拡散 攻撃者は、弱いパスワードやリモートコード実行などのネットワーク製品のセキュリティ脆弱性を利用して、ユーザーの内部ネットワークに侵入し、管理者権限を取得し、その後、ランサムウェアを積極的に拡散します。現在、攻撃者は通常、公開されており、パッチがリリースされた脆弱性を利用し、未修正のデバイスをスキャンして脆弱性を発見し、脆弱性を利用して侵入し、ランサムウェアを展開し、身代金を要求します。
2. フィッシングメールを利用した拡散 攻撃者は、ランサムウェアをフィッシングメールの文書、画像などの添付ファイルに埋め込むか、フィッシングメールの本文に悪意のあるリンクを記載し、ネットワークフィッシング攻撃を通じてランサムウェアを拡散します。ユーザーがメールの添付ファイルを開いたり、悪意のあるリンクをクリックしたりすると、ランサムウェアが自動的に読み込まれ、インストールされ、実行され、ランサムウェア攻撃の目的を達成します。
3. ウェブサイトのマルウェアを利用した拡散 攻撃者は、ネットワーク攻撃を通じてウェブサイトに悪意のあるコードを埋め込むか、悪意のあるコードを含むウェブサイトを自ら構築し、ユーザーを誘導してウェブサイトにアクセスさせ、悪意のあるコードをトリガーし、ユーザーの現在のアクセスページをランサムウェアのダウンロードリンクにハイジャックして実行し、ユーザーのデバイスにランサムウェアを植え付けます。
4. 移動メディアを利用した拡散 攻撃者は、隠された USB メモリや外付けハードディスクなどの移動ストレージメディアの元のファイルを隠し、移動ストレージメディアのドライブレターやアイコンと同じショートカットを作成します。ユーザーがクリックすると、自動的にランサムウェアが実行されるか、デバイス情報を収集して返送するためのトロイの木馬プログラムが実行され、将来的にターゲットを絞ったランサムウェア攻撃を実施しやすくなります。
5. ソフトウェアサプライチェーンを利用した拡散 攻撃者は、ソフトウェアサプライヤーとソフトウェアユーザー間の信頼関係を利用し、ソフトウェアサプライヤーの関連サーバーに侵入し、ソフトウェアサプライチェーンの配布、更新などのメカニズムを利用して、合法的なソフトウェアの正常な配布やアップグレードの過程で、合法的なソフトウェアをハイジャックまたは改ざんし、ユーザーのネットワークセキュリティ防護メカニズムを回避してランサムウェアを拡散します。
6. リモートデスクトップ侵入を利用した拡散 攻撃者は通常、弱いパスワードやブルートフォース攻撃などの方法を利用して攻撃対象のサーバーのリモートログインユーザー名とパスワードを取得し、その後、リモートデスクトッププロトコルを介してサーバーにログインし、ランサムウェアを植え付けます。また、攻撃者がサーバーに成功裏にログインすると、サーバーの制御権を取得し、サーバーを攻撃の踏み台として利用して、ユーザーの内部ネットワークにさらにランサムウェアを拡散させることができます。
勒索病毒攻击现状#
最近の攻撃事件を考慮すると、ランサムウェア攻撃は攻撃対象や攻撃手段などの面で新たな特徴を示しており、攻撃者は精密で複雑な攻撃チェーンを構築し、ランサムウェア攻撃を開始しています。
(一)近期勒索病毒攻击特点#
1. 業界の重要な情報システムを狙い、ターゲットを絞ったランサムウェア攻撃を実施。攻撃者は、エネルギー、医療などの重要なデータリソースを持つ業界の情報システムをランサムウェア攻撃の「高価値」ターゲットとして狙い、従来のフィッシングメールやウェブサイトのマルウェアなどの「広範囲なネット」無特定ターゲットのランサムウェア拡散モデルを捨て、探査、侵入、ウイルス植え付けなどを含む精密なランサムウェア攻撃チェーンに移行しています。例えば、ネットワークを嗅ぎ取って攻撃の入口を発見し、脆弱性を利用して侵入するなど、業界の重要な情報システムに対してターゲットを絞った攻撃を行い、ランサムウェアを植え付けて超高額な身代金を要求します。
2. ランサムウェア攻撃を装い、真のネットワーク攻撃の意図を隠す。攻撃者は、重点的な攻撃ターゲットを特定し、データファイルを暗号化して身代金を要求するふりをし、ランサムウェアを使用してシステムファイルを遍歴し、システムブートディレクトリを上書きし、バックドア型トロイの木馬の機能を利用して、ランサムウェア攻撃を装い、機密情報を窃取したり情報システムを破壊したりする真の攻撃意図を隠します。報告によれば、Agrius、Pay2Key などのハッカー組織の攻撃活動では、データを暗号化して身代金を要求するふりをし、情報システムを直接破壊する攻撃行動を隠しているとされています。
3. 工業制御システム向けに特別に開発されたランサムウェアにより、工業企業が攻撃リスクにさらされる。攻撃者は、工業制御システムのソフトウェアとハードウェアの脆弱性を統合するか、リアルタイム監視やデータ収集などの工業分野で一般的に使用されるシステムに強制的に中止機能を埋め込むことで、Cring、EKANS などの工業制御システムに特化した感染能力を持つランサムウェアを開発・アップグレードし、工業企業に対して攻撃を実施し、企業の生産ラインや業務ラインの停止に深刻な影響を与えます。また、REvil、DarkSide などの典型的なランサムウェアを攻撃して植え付けることによっても、工業企業に対するランサムウェア攻撃の可能性があります。
4. 脆弱性の利用は依然として主要な攻撃手段であり、ランサムウェアの拡散を引き起こす。攻撃者は主に公表された脆弱性を利用し、脆弱性スキャンやポートスキャンなどの方法で未修正のデバイスを積極的に発見し、脆弱性を「一点突破」してネットワークセキュリティの防線を突破し、リモート攻撃を実施し、攻撃対象の内部ネットワーク内で横方向に移動し、ランサムウェアの感染範囲を拡大し、身代金を要求します。
5. 仮想化環境を攻撃の踏み台として利用し、双方向にランサムウェアを拡散。ランサムウェア攻撃は仮想化環境を通じて行われ、仮想マシンや仮想クラウドサーバーを感染させ、仮想化プロセスを強制的に中止するか、仮想化製品の脆弱性や仮想クラウドサーバーの設定ミスを利用して、仮想化環境から「逃げ出し」、ユーザーとネットワークに双方向にランサムウェアを拡散します。
6. 経済的利益が駆動する運用モデルのアップグレードにより、ランサムウェアのブラックマーケットチェーンが初歩的に形成される。一部のランサムウェア攻撃グループは「ランサムウェア即サービス」を開発し、グループの「メンバー」に「すぐに使える」ランサムウェア攻撃サービスを提供しています。例えば、ランサムウェアプログラムやターゲットシステムへのアクセス権を購入したり、特定のターゲットに対するランサムウェア攻撃サービスを注文したりします。また、ウイルスの開発や攻撃侵入などの段階で「パートナー」を募集し、「分業協力」によりランサムウェア攻撃の成功率を高めています。報告によれば、REvil ランサムウェア攻撃グループはウイルスの開発、身代金交渉、身代金の分配などを担当し、その「パートナー」はターゲットネットワークへの侵入を担当しています。
(二)典型勒索病毒攻击流程#
ランサムウェア攻撃チェーンに焦点を当てると、最近のランサムウェア攻撃グループは、成功裏にネットワーク攻撃を実施した後、ランサムウェアを植え付けて身代金を要求する行動を取ります。その典型的な攻撃プロセスは、探査、侵入、ウイルス植え付け、身代金要求の 4 つの段階からなります。
1. 探査段階#
1 > 基本情報の収集#
攻撃者は、積極的なスキャン、ネットワークフィッシング、ダークウェブのブラックマーケットでの購入などの方法を通じて、攻撃ターゲットのネットワーク情報、身分情報、ホスト情報、組織情報などを収集し、ターゲットを絞ったランサムウェア攻撃の実施に向けた基盤を築きます。
2 > 攻撃入口の発見#
攻撃者は、脆弱性スキャンやネットワーク嗅探などの方法を通じて、攻撃ターゲットのネットワークやシステムに存在するセキュリティの脆弱性を発見し、ネットワーク攻撃の突破口を形成します。さらに、ランサムウェアの典型的な拡散方法を参考にして、攻撃者はウェブサイトのマルウェアやフィッシングメールなどの方法を利用してランサムウェアを拡散することもできます。
2. 攻撃侵入段階#
1 > 攻撃リソースの展開#
発見されたリモートデスクトップの弱いパスワードやネットワーク情報システムの脆弱性などのネットワーク攻撃の突破口に基づいて、相応のネットワーク攻撃リソースを展開します。例えば、MetaSploit、CobaltStrike、RDP Over Tor などのネットワーク攻撃ツールを使用します。
2 > アクセス権の取得#
適切なネットワーク攻撃ツールを使用して、ソフトウェアサプライチェーン攻撃やリモートデスクトップ侵入などの方法を通じて、攻撃ターゲットのネットワークやシステムへのアクセス権を取得し、特権アカウントを使用したり、ドメインポリシー設定を変更したりすることで、自身の権限を昇格させ、組織内部ネットワークに侵入します。
3. ウイルス植え付け段階#
1 > ランサムウェアの植え付け#
攻撃者は、悪意のあるスクリプトや動的リンクライブラリ DLL などを通じてランサムウェアを展開し、システムの実行プロセスをハイジャックし、レジストリを変更し、ファイル情報を混乱させるなどの方法でセキュリティソフトウェアの検出機能を回避し、ランサムウェアが成功裏に植え付けられ、機能することを確保します。
2 > 感染範囲の拡大#
攻撃者は、すでに内部ネットワークに侵入している場合、内部フィッシングネットワークを実施したり、ファイル共有プロトコルを利用したりして、攻撃ターゲットの内部ネットワーク内で横方向に移動し、またはランサムウェア自体のワームの機能を利用して、ランサムウェアの感染範囲と攻撃の影響をさらに拡大します。
4. 身代金要求段階#
1 > データの暗号化と窃取#
攻撃者は、ランサムウェアを実行することによって、画像、動画、音声、テキストなどのファイルや重要なシステムファイル、ディスクブートレコードなどを暗号化し、攻撃ターゲットのタイプに応じて、発見された機密で重要なファイルやデータを返送し、攻撃ターゲットに対して身代金を要求します。
2 > 身代金情報の読み込み#
攻撃者は、身代金情報を読み込むことによって、攻撃ターゲットに身代金を支払うよう脅迫します。通常、身代金情報には、ダークウェブフォーラムを通じて攻撃者との連絡先、暗号通貨で身代金を支払うためのウォレットアドレス、身代金を支払って復号ツールを取得する方法などが含まれます。
勒索病毒攻击安全防护举措#
1. ランサムウェア攻撃のセキュリティ防護フレームワーク#
異なるセキュリティ防護措置は、ランサムウェア攻撃の異なる段階で異なる程度の効果を発揮するため、ランサムウェアの典型的なセキュリティ防護措置を整理し、コア防護措置(●)、重要防護措置(◎)、一般防護措置(○)と、ランサムウェア攻撃の 4 つの段階とのマッピング関係を構築し、ランサムウェア攻撃のセキュリティ防護フレームワークを形成します。ユーザーは自身の状況に応じて、適切な防護措置を選択し、ランサムウェア攻撃リスクを防止・解決することをお勧めします。
1. コア防護措置 このタイプの措置は、特定のランサムウェア攻撃段階でコア防護効果を発揮し、ランサムウェア攻撃行動を効果的に阻止するか、ランサムウェア攻撃によって引き起こされる特定の影響を完全に排除します。例えば、データバックアップやデータ復元は、ランサムウェア攻撃による身代金要求段階に主に対応し、攻撃前にデータをバックアップし、攻撃後にデータを復元することで、ランサムウェアによるデータの暗号化や窃取によって引き起こされるデータの喪失や業務の中断などの影響を排除します。
2. 重要防護措置 このタイプの措置は、特定のランサムウェア攻撃段階で重要な防護効果を発揮しますが、コア防護措置と比較して、ランサムウェア攻撃に対する全面的な防止効果を発揮できない場合があります。例えば、適切なセキュリティ管理措置を講じること、厳格なネットワーク隔離やアクセス制御を行うことなどは、攻撃者がアクセス権を取得して攻撃侵入を実施する際にコア防護効果を発揮しますが、探査段階で攻撃者が積極的なネットワーク探査やダークウェブのブラックマーケットでの購入などの方法を取る場合、セキュリティ管理はこの段階で全面的な防止効果を発揮できず、重要な防護効果を発揮します。
3. 一般防護措置 このタイプの措置は、特定のランサムウェア攻撃段階で一般的な防護効果を発揮しますが、コア防護措置や重要防護措置と比較して、ランサムウェア攻撃に対する防止効果を一定程度しか発揮できません。例えば、緊急対応計画の策定は、攻撃者がすでにランサムウェア攻撃を開始した場合に主に対応し、緊急処置メカニズムやプロセスを明確にし、攻撃を受けた場合に計画を開始して攻撃リスクに対処しますが、ランサムウェア攻撃が発生する前のセキュリティ防護措置は主に事前防止に重点を置いているため、緊急対応計画は攻撃者が正式に攻撃を実施する前に一般的な防護効果を発揮します。
2. ランサムウェア攻撃のセキュリティ防護実践参考#
ランサムウェア攻撃の「事前、事中、事後」の 3 つの段階に従い、管理と技術の 2 つの側面から攻撃リスクを防止・解決するため、典型的なランサムウェア攻撃のセキュリティ防護措置と実践は以下のいくつかの側面を含みます。
1 > 事前:防止基盤の強化#
(1)ネットワークセキュリティ緊急対応計画の策定 ランサムウェア攻撃などのネットワークセキュリティの突発的な事件を含む内部の緊急組織体系と管理メカニズムを確立し、ランサムウェア攻撃への対応を統括管理し、作業原則、責任分担、緊急プロセス、重要な措置などを明確にします。ランサムウェア攻撃事件が発生した場合、直ちに内部ネットワークセキュリティ緊急対応計画を開始し、計画の要求に従って迅速に緊急処置作業を展開し、ランサムウェア攻撃の影響を効果的に制御、軽減、排除します。
- 責任分担:組織内部のネットワークセキュリティ緊急対応計画における具体的な責任と分担を明確にし、ランサムウェア攻撃などのネットワークセキュリティの突発的な事件を含む緊急組織体系を確立します。通常、特定の部門が主導し、内部の関連部門を高度に調整し、リスクを特定し、防止を強化し、緊急対応を行います。組織のセキュリティや個人の安全などの側面からネットワークセキュリティの突発的な事件を防止・解決します。
- 緊急プロセス:ランサムウェア攻撃などのネットワークセキュリティの突発的な事件の緊急プロセスと主要な作業内容を明確にします。ランサムウェア攻撃に対する緊急プロセスには、感染したランサムウェアのデバイスを直ちに隔離し、主要な業務システムの感染範囲を調査し、バックアップデータを利用してデータを復元することなどが含まれます。
- 重要な措置:ランサムウェア攻撃などのネットワークセキュリティの突発的な事件に対する緊急対応の重要な措置を明確にします。これには、定期的なネットワークセキュリティ演習の実施、ネットワークセキュリティ監視処理の専門技術手段の確立、ネットワークセキュリティ緊急対応技術支援チームの構築、脆弱性検出やネットワークスキャンなどのネットワークセキュリティ緊急装備の備蓄、ネットワークセキュリティ緊急トレーニングの実施などが含まれます。
(2)組織内部のネットワークセキュリティ管理の強化 ネットワーク隔離、資産管理などの面で措置を講じます。例えば、物理的および論理的なネットワーク隔離を行い、ウイルス対策ソフトウェアや脆弱性パッチをタイムリーに更新し、重要な情報システムがインターネット上に露出しないようにし、サプライヤーと契約を結んでセキュリティ責任と義務を明確にし、サプライヤーが提供するサービスの状況を評価します。
- ネットワーク隔離:合理的なネットワーク分割を行い、ランサムウェアの侵入と拡散を制限します。例えば、異なる業務ニーズに応じてネットワークを隔離区、内部ネットワーク区、外部接続区、内部ネットワークサーバー区などに分け、異なる区間間のネットワークアクセスを制限します。同じ区間内では、仮想 LAN 技術を使用して異なる部門の資産を隔離し、単一のデバイスがランサムウェアに感染した場合に内部ネットワーク内でのさらなる拡散の可能性を低減します。
- アクセス制御:組織の重要な業務システムに対して厳格なアクセス権を設定します。例えば、最小権限の原則に従って必要なアクセス権を開放し、アクセス制御ポリシーに基づいてアクセス制御ルールを設定します。アクセス制御ルールをタイムリーに更新し、余分または無効なアクセス制御ルールを削除します。例えば、定期的に開放されたアクセス権を整理し、従業員の退職や資産 IP の変更後に残されたアクセス権をタイムリーに削除します。
- 資産管理:組織の資産の露出状況を調査し、露出資産の実際の範囲を整理します。この範囲には、組織の子会社や下位機関などの関連資産が含まれます。整理のタイミングは、実際の状況に応じて毎週、毎月、半年ごとなどで行います。また、最小化の原則に従って、資産がインターネット上に露出することをできるだけ減らし、特に重要な業務システムやデータベースなどのコア情報システムがインターネット上に露出しないようにします。
- 脆弱性調査:組織の資産に対して脆弱性調査を行い、資産にセキュリティ脆弱性が存在する場合は、タイムリーに修正します。脆弱性スキャンなどのデバイスや製品を使用して、脆弱性スキャンデバイスを集中管理し、完全で継続的な脆弱性発見と管理手段を確立します。第三者の脆弱性レポートをインポートする能力を持ち、主流のメーカーの脆弱性や構成確認スキャン結果をインポートして分析します。スキャンされた脆弱性結果に基づいて脆弱性知識ベースを強化し、脆弱性情報や解決策をタイムリーに取得します。
- 身分確認:ユーザーの身分を識別し確認します。例えば、身分識別が一意であることを保証し、動的パスワードなどの 2 つ以上の身分確認を採用し、パスワードのブルートフォース攻撃を防ぐ能力を持ち、パスワードなどの身分確認情報が複雑さの要件を満たし、定期的に変更されることを確認します。また、スキャンソフトウェアやハードウェアを使用してシステムのパスワードの安全性を定期的に評価し、パスワードの安全リスクを特定し、タイムリーに排除します。
- ソフトウェア管理:組織内部のソフトウェアバージョン管理メカニズムを規範化し、盗版や不明な出所のソフトウェアを使用しないようにします。ソフトウェアリスク評価システムやツールを使用して、重要な業務システムで使用されている関連ソフトウェアバージョンを定期的に検出し、ソフトウェアバージョンが低いためにセキュリティリスクが発生しないようにします。ネットワークトラフィックに基づいて、組織内部で「リスクのあるウェブサイト」へのアクセスを検出し、ブロックし、悪意のあるソフトウェアのダウンロードとインストールによるランサムウェア感染の可能性を低減します。
- サプライチェーン管理:サプライチェーンのセキュリティリスク防止措置を展開します。これには、サプライチェーン関連の人員管理、サプライチェーンライフサイクル管理、調達アウトソーシングとサプライヤー管理が含まれます。使用するネットワークデバイス、セキュリティ製品、暗号製品などの製品とサービスの調達と使用が国家の関連規定に準拠していることを確認します。選定されたサプライヤーと契約を結び、サプライチェーンの各関係者が履行すべきセキュリティ責任と義務を明確にし、定期的にサプライヤーが提供するサービスを見直し、評価し、監査します。
(3)専門的なネットワークセキュリティ製品の展開 エンドポイントやネットワーク側にネットワークセキュリティ製品を展開し、日常的にデバイスのアラート状況を調査します。例えば、エンドポイント側では、積極的な防御機能を持つセキュリティソフトウェアをインストールし、セキュリティソフトウェアを無断で終了したり、防護機能をオフにしたり、許可操作を実行したりしないようにし、アプリケーションソフトウェアのホワイトリストを設け、ホワイトリストの正確性、完全性、リアルタイム性をタイムリーに維持します。ネットワーク側では、トラフィック監視やブロックなどのタイプのネットワークセキュリティデバイスを展開し、ランサムウェア攻撃の脅威に対する監視や追跡を強化します。
- エンドポイント側:エンドポイント側にウイルス対策ソフトウェアやエンドポイントセキュリティ管理システムなどのエンドポイントセキュリティ製品を展開し、ランサムウェアを検出し、駆除します。エンドポイントセキュリティ製品は、ブルートフォース攻撃、ポートスキャン、システムログイン防護、弱いパスワード検出能力をサポートする必要があります。クラウドベースの脅威インテリジェンスとの連携や、ローカルでのリアルタイム監視などのさまざまなモードをサポートし、ランサムウェア専用の駆除機能を持つ必要があります。ランサムウェアの免疫やアプリケーションプロセスの防護などの能力を持ち、ファイル保護製品を利用してファイルの実行、生成、変更、名前変更などを検出し、大量のファイルを遍歴したり、ファイルの変更操作を行ったり、暗号化アルゴリズムライブラリを呼び出したりする場合には、タイムリーに警告し、遮断します。ランサムウェアの誘導文書を利用して、悪意のある文書の変更行為を発見し、関連プロセスを遮断します。コアのアプリケーションデータに対しては、ドライバーレベルのファイル保護をサポートし、コンプライアンスプロセスのアクセスポリシーを設定し、非コンプライアンスプロセスによるファイルの任意の変更を防ぎます。
- ネットワーク側:ネットワークの境界にファイアウォールや堡塁機などの製品を展開し、認可されたユーザーのみが重要な業務システムにアクセスできるようにし、アクセス権の制限と管理を実現します。また、検出システムと連携し、トラフィック解析を通じてランサムウェア攻撃のアラートを実施し、ファイアウォールはアラートに基づいて攻撃 IP アドレスをブロックします。IPS、UTS などのトラフィック監視ブロック製品を展開し、トラフィック中に拡散するランサムウェアのサンプルを復元し、脅威インテリジェンスやサンドボックス分析などと連携して、配信プロセス中のランサムウェアを特定し、ブロックします。メールセキュリティゲートウェイやメール脅威分析システムなどの製品を展開し、メール配信のランサムウェアを検出し、遮断します。
- センター側:ネットワークセキュリティ脅威管理プラットフォームや脆弱性スキャンシステムなどの製品を展開し、セキュリティ脆弱性の脅威や弱いパスワードリスクをタイムリーに発見し、閉ループ管理を実現します。ネットワークセキュリティ状況認識プラットフォームを展開し、原始トラフィックやネットワークアラートなどの情報を収集・分析し、ランサムウェア攻撃の状況を監視し、ウイルスの拡散の手がかりを発見します。ランサムウェア攻撃で一般的に使用される高リスク脆弱性のハニーポットをターゲットに展開し、ランサムウェアの横方向の拡散行動を発見し、ランサムウェアが実際の攻撃ターゲットに接触する前に警告を行い、ハニーポット環境で捕獲されたランサムウェアや拡散方法の追跡分析を行います。
- サーバー側:サーバーの計算、ストレージなどのリソースの利点を組み合わせ、ドライバーレベルのファイル保護やブルートフォース攻撃、ポートスキャンなどのエンドポイント側の防護措置をサポートする基盤の上に、誘導文書を投下し、誘導文書の変更をリアルタイムで監視し、文書の MD5 値に基づいてシステムがランサムウェアによって暗号化されているかどうかを判定します。一定の時間内に複数の誘導ファイルが連続して変更される場合、ランサムウェア攻撃を受けていると判断し、直ちに誘導ファイルの変更プロセスを終了し、プロセスに対応するファイルを隔離します。既知のランサムウェアに対しては、カーネルを利用して特定のランサムウェアに対する攻撃免疫を実現します。システム内でファイルが作成、変更されたり、プロセスが起動されたり、モジュールがロードされたりするイベントが発生した場合、アプリケーション層は積極的にウイルススキャンエンジンを呼び出してそのファイルをスキャンします。アプリケーションプロセスのホワイトリストを確立し、悪意のあるアプリケーションプロセスを遮断します。
(4)ユーザーのネットワークセキュリティ意識を高める トレーニングや演習を通じてネットワークセキュリティ意識を高め、ユーザーのレベルでランサムウェアの拡散の入口を断ちます。例えば、ファイルに関しては、出所不明のメールの添付ファイルをクリックしない、メールの添付ファイルを開く前に安全にスキャンするなどがあります。また、ウェブサイトに関しては、不明なウェブサイトからソフトウェアをダウンロードしないなどがあります。外部デバイスに関しては、仕事用と私用の外部デバイスを混用しない、移動ストレージデバイスの自動再生機能をオフにし、定期的に安全にスキャンするなどがあります。
- ファイルに関して:ファイルの安全性に関する意識には、出所不明のソフトウェアをインストールしない、出所不明のメールの添付ファイルをクリックしない、Microsoft Office ソフトウェアのマクロ機能を無効にする、js、vbs、wsf、bat、cmd、ps1、sh などのスクリプトファイルや exe、scr、com などの実行可能プログラムの拡張子を持つファイルを軽々しく開かないことが含まれます。特に、見知らぬ人からメールなどで送られた圧縮ファイルを開く前に安全にスキャンすることが重要です。
- ウェブサイトに関して:ウェブサイトの安全性に関する意識には、不明なウェブサイトからソフトウェアをダウンロードしない、信頼できない出所のメールに含まれる URL をクリックしないことが含まれます。また、ウェブを閲覧する際には安全に警戒し、ポルノやギャンブルなどの不良情報を含むウェブサイトを閲覧しないようにし、安全機能や警告機能を持つブラウザソフトウェアを使用して、ウェブサイトのマルウェアやフィッシングなどの安全リスクに遭遇する可能性を低減します。
- 外部デバイスに関して:デバイスの安全性に関する意識には、出所不明の移動ストレージデバイスを使用しない、仕事用と私用の外部移動ストレージデバイスを混用しない、定期的に移動ストレージデバイスを安全にスキャンすることが含まれます。仕事用デバイスと移動ストレージデバイスを外部接続する際には、移動ストレージデバイスの自動再生機能をオフにし、安全ソフトウェアを使用して移動ストレージデバイスを安全にスキャンします。
- リモート使用に関して:リモート使用に関する意識には、リモートアクセスを必要な人にのみ許可すること、重要な端末に二重認証を採用すること、アカウントの異常ロックアウトポリシーを設定すること、RDP プロトコル 3389 ポートや SSH プロトコル 22 ポートなどのデフォルトのリモート使用ポートを変更すること、防火壁を通じて特定のアドレスのみを接続を許可すること、データベースへのリモートアクセスを制限することが含まれます。
(5)重要なデータのバックアップ作業を行う ファイルやデータの重要性に応じて分類し、ストレージとバックアップを行います。重要で機密性の高いデータやファイルを積極的に暗号化して保存し、ランサムウェアによる二重または多重の身代金要求行為を防ぎます。データバックアップの範囲、内容、周期などを明確にし、定期的にローカルバックアップ、遠隔バックアップ、クラウドバックアップなどの方法でデータバックアップを行い、ランサムウェア攻撃を受けてデータファイルが暗号化、損傷、喪失した場合にデータを復元する可能性を高めます。
-
データの分類と分類戦略:組織内部のデータ資産の全貌を明確にした上で、データが組織にとって重要な程度やデータ自体の属性に応じて、分類してストレージとバックアップを行います。公開、内部、機密データに従って、またはデータに対応する異なる業務タイプに基づいてデータをストレージとバックアップします。
-
機密データの暗号化保存:重要なデータ、機密データやファイルを暗号化して保存します。例えば、暗号化ツール、暗号化システム、暗号化ハードウェアなどの方法を利用して、保存データのハードウェアデバイスを全体的に暗号化したり、保存データのセクターを暗号化したり、データファイルをハードウェアデバイスに暗号化して保存したり、データ転送中に暗号化したりします。
-
定期的なデータバックアップ:リアルタイムバックアップ、定期バックアップなどの方法でデータをバックアップします。例えば、ストレージデバイスでデータの転送や受信などの変化が発生した際に同期または非同期のリアルタイムバックアップを行い、明確なデータバックアップ時間を設定して定期的にデータバックアップを行うか、データストレージディレクトリの変化やアプリケーション操作の終了などのデータバックアップのトリガー条件を設定してデータバックアップを行います。
2 > 事中:緊急対応を行う#
(1)ランサムウェア感染デバイスの隔離 ランサムウェア攻撃を受けたことを確認した場合、ネットワークを切断し、シャットダウンするなどの方法で感染デバイスを隔離します。具体的には、デバイスのネットワークケーブルを抜いたり、デバイスのネットワークカードを無効にしたり、無線ネットワークをオフにしたりしてネットワークを切断し、ランサムウェアが感染デバイスを通じて自動的に接続されたネットワーク内で拡散し、他のデバイスに感染するのを防ぎます。
- 物理的隔離:ランサムウェア攻撃を受けたことを確認した場合、感染デバイスが接続されたネットワークを通じて自動的にウイルスを拡散するのを防ぎ、攻撃者が感染デバイスを通じて他のデバイスに攻撃を続けるのを防ぐために、ネットワークを切断し、電源を切る方法で感染デバイスを隔離します。また、デバイスの無線ネットワークや Bluetooth 接続をオフにし、ネットワークカードを無効にし、すべての外部ストレージデバイスを抜き取ります。
- パスワードの変更:パスワードの漏洩や破壊によって攻撃者が攻撃を実施し、ランサムウェア攻撃を行うのを防ぎ、攻撃者が漏洩したパスワードを使用して攻撃範囲を拡大するのを防ぐために、感染デバイスのログインパスワード、同一ローカルネットワーク内の他のデバイスのパスワード、最高権限のシステム管理者アカウントのログインパスワードを直ちに変更します。
(2)ランサムウェア感染範囲の調査 感染デバイスを隔離した後、データバックアップ、ネットワーク分布、情報漏洩などの状況を調査し、核心業務が攻撃の影響を受けているかどうかを確認します。感染状況が不明なデバイスについては、事前にディスクバックアップを行い、隔離ネットワーク内で現場またはオンラインで調査し、デバイスを起動する際に残留ランサムウェアによって再度感染しないようにします。
- 情報漏洩の調査:ランサムウェア攻撃を受けたことが判明した場合、タイムリーに情報漏洩の状況を調査します。また、ランサムウェア感染デバイスを隔離した後、敏感情報を保存しているデバイスの異常アクセス状況をタイムリーに調査し、機密データの漏洩リスクが存在するかどうかを確認します。
- ネットワークトポロジーの調査:現場環境のネットワークトポロジー、業務構造、デバイスタイプなどの重要な情報を把握し、ランサムウェアの拡散範囲や攻撃手段を評価し、ランサムウェアの失陥区域について初歩的な判断を行い、ウイルスの拡散を制御し、ウイルスの脅威を根絶するための支援を提供します。
- 業務システムの調査:デバイスがランサムウェアに感染したことを確認した後、すでに隔離されている場合、核心業務システムやバックアップシステムを調査し、特に核心業務システムが攻撃の影響を受けているかどうか、製造業務関連システムが暗号化されているかどうかを重点的に調査し、ランサムウェアの感染範囲をさらに特定します。
- データバックアップの調査:ランサムウェア感染デバイスを隔離した後、タイムリーにデータバックアップの可用性を調査します。重要なサーバーなどのデバイスに対しては、データバックアップの冗長戦略を採用し、1 台のサーバーが暗号化された場合、バックアップデバイスが迅速かつ効果的に接続できるかどうかを確認し、核心業務が正常に運営されることを確保します。
(3)ランサムウェア攻撃事件の評価 感染したランサムウェアの身代金情報、暗号化されたファイル、デスクトップの背景、疑わしいサンプル、ポップアップ情報などを利用して、ツールを使ってランサムウェアを分析するか、ネットワークセキュリティの専門家に助けを求めて、ランサムウェアの感染時間、拡散方法、感染の種類などを調査し、感染したランサムウェアのタイプを特定し、ウイルスの解読を試みることができます。
- ランサムウェアの種類の評価:ランサムウェアが感染デバイスに感染した後、攻撃者は通常、身代金の提示情報を読み込んでユーザーに身代金を支払うよう脅迫します。ランサムウェア攻撃を受けた組織は、暗号化されたディスクディレクトリから身代金の提示情報を探し、ランサムウェアの識別に基づいて今回の感染のランサムウェアの種類を判断します。
- 攻撃侵入手段の評価:デバイスに保存されたログやサンプルを確認することで、攻撃者の攻撃侵入方法を判断します。ログ情報が削除された場合、感染デバイスに保存されたランサムウェアのサンプルや疑わしいファイルを探し、攻撃者の攻撃侵入方法を判断し、セキュリティのリスクを修正するための手助けをします。
(4)ランサムウェアの解読を試みる ランサムウェアの種類を特定した後、ランサムウェア自体の暗号化特性やプロセスを利用して解読を試み、暗号化されたすべてまたは一部のデータを復元します。例えば、すでに公開されている秘密鍵やファイルサイズを鍵として使用するランサムウェアの一部を解読することを試みます。このプロセスには、ウイルス解読技術の専門性が非常に高く、ネットワークセキュリティ企業に協力を求めることができます。
- 知られている秘密鍵による解読:さまざまな手段を通じてランサムウェア攻撃グループの秘密鍵を入手し、解読を行います。例えば、GandCrab や Avaddon などのランサムウェアの秘密鍵はすでに公開されており、関連する解読ツールを使用して特定のランサムウェアを解読することができます。ここでは、No More Ransomをお勧めします。認識されたランサムウェアの名前を入力すると、すべての利用可能な解読器(存在する場合)がリストアップされます。
- 暗号化の脆弱性による解読:ランサムウェア自体が書かれた不規則な問題を分析し、鍵生成方法を取得します。例えば、動的仮想プライベートネットワークが暗号化アルゴリズムを利用してファイルサイズを鍵として使用し、鍵を生成して解読します。
- 明文と暗号文の衝突解読:一部のランサムウェアは、暗号化生成された固定長の鍵文字列を使用しており、明文と暗号文を比較計算することでランサムウェアが使用する暗号化鍵を取得し、ランサムウェアの解読を行います。
- ブルートフォース解読:ランサムウェアの限られた鍵空間を徹底的に解読します。例えば、時間を種として擬似乱数を生成する際に鍵を使用する場合、ブルートフォース解読を行って鍵を取得します。
3 > 事後:セキュリティ強化を実施#
(1)バックアップデータを利用して復元 ランサムウェア攻撃の影響を受けたデバイスのデータバックアップの状況に応じて、データ復元の要求やバックアップログに基づいて、データ復元の時間コスト、データの重要性を評価し、データ復元の範囲、順序、バックアップデータのバージョンを確認し、オフライン、遠隔、クラウドなどのバックアップデータを利用して復元を行います。
- ローカルデータの復元:ローカルデータバックアップを利用してデータを復元します。ローカルバックアップデータもランサムウェアによって暗号化された場合、ディスク修復ツールやファイル冗長性メカニズムを利用するか、専門のデータ復元企業に連絡してデータを復元します。
- 遠隔データの復元:データバックアップのコピーを利用してデータを復元し、バックアップデータをローカルに移行します。遠隔バックアップデータが暗号化された場合も、ディスク修復ツールやファイル冗長性メカニズムを利用するか、専門のデータ復元企業に連絡してデータを復元します。
- クラウドデータの復元:クラウドスナップショットバックアップの特定の時間ノードデータやクラウドイメージバックアップの全量データをローカルにダウンロードしてクラウドデータを復元します。データ自体がクラウド上に保存され、アプリケーションもクラウド上にある場合、組織のローカルストレージやアプリケーションのニーズに応じて選択的にデータを復元します。
(2)ネットワークセキュリティ管理措置の更新 ランサムウェア攻撃事件で明らかになった問題に基づいて、ネットワークセキュリティ管理制度を修正・改善し、攻撃の警告と処理を行い、攻撃事件を振り返り、ネットワークセキュリティの突発的な事件に対する緊急対応計画を更新し、ネットワークセキュリティの責任をさらに実行します。
- 管理制度の改善:ランサムウェア攻撃事件で明らかになった問題に基づいて、タイムリーにターゲットを絞ったネットワークセキュリティ管理制度を改善します。例えば、ネットワークセキュリティ管理プロセスの実行に関する現行の管理基準が国家の関連法律、規制、方針、戦略などの要求や特徴に適合しているかを確認し、正確に識別し、必要に応じてネットワークセキュリティ管理制度や管理基準を更新し、過去の規則をタイムリーに整理して、組織のネットワークセキュリティ管理制度が継続的な改善の要求に適合するようにします。
- 緊急対応計画の更新:緊急対応計画と緊急実践は相互に補完し、促進する関係にあります。緊急対応計画を実行する際には、各ネットワーク攻撃事件を振り返り、明らかになったネットワークセキュリティの問題に基づいて、緊急対応計画に含まれる緊急プロセスや重要な措置を更新します。例えば、フィッシングメールによって引き起こされたランサムウェア事件が発生した場合、緊急対応計画にフィッシングメールの管理グループを設立し、各責任者の責任を細分化し、個人のセキュリティ管理制度の条項を詳細化する必要があります。
(3)ネットワークセキュリティのリスク修正を強化 ランサムウェア攻撃の影響を排除した後、ネットワークセキュリティのリスク調査と修正を行います。例えば、権限管理の面では、弱いパスワード、アカウント権限、パスワードの更新や共有などの問題を重点的に調査します。脆弱性修正の面では、システム、ソフトウェア、ハードウェアなどの脆弱性パッチをタイムリーに更新します。
- パスワード管理:アカウントのパスワードセキュリティ管理を厳格に実施し、弱いパスワードの問題を重点的に調査し、組織内部のパスワード管理メカニズムをさらに整備します。例えば、すべての個人端末、サーバーなどのデバイスにパスワードを設定し、無パスワードの状態を禁止します。アカウントとパスワードを伝達する際には、暗号化措置を講じて伝送し、伝送中に傍受されないようにします。パスワードの設定は、十分な長さと複雑さを持ち、数字、アルファベット、記号などの組み合わせ形式を使用する必要があります。パスワードの更新周期を明確にし、定期的に変更し、規定の期限内にパスワードを使用する必要があります。ユーザーは、管理者がパスワードの変更を要求した場合にパスワードを変更する必要があります。新しいパスワードと古いパスワードの間には直接的な関連がないようにし、古いパスワードを利用して新しいパスワードを推測されるのを防ぎます。パスワードは、特定の意味を持つ組み合わせ形式を取らないようにし、使用者の名前、誕生日、その他の推測しやすい情報を使用しないようにします。パスワードの重複率を厳格にチェックし、攻撃者が統一されたパスワードを利用して複数のデバイスに攻撃するのを防ぎます。
- 脆弱性修正:組織資産の脆弱性、パッチのアップグレード、構成の強化などを改善し、統一管理のセキュリティメカニズムとセキュリティ運用規範を整備します。例えば、資産脆弱性データベース、パッチソース、パッチの信頼性検証、カスタムパッチのアップグレード計画、パッチのグレードアップ、保存審査メカニズムなどのセキュリティ措置を確立し、セキュリティ運用規範に規定された役割、責任、プロセスを厳格に実行し、システム自体の安全性を確保します。すべてのシステムの状況を調査するか、脆弱性スキャンツールを利用して検出し、実際の脆弱性の存在状況を把握します。公式に更新が停止されたシステムを無効にし、新しいシステムに更新してから再利用します。ソフトウェアやハードウェア製品に脆弱性が存在することが判明した場合は、タイムリーに無効にし、攻撃者がその間にその脆弱性を利用して攻撃するのを防ぎ、パッチのリリース状況に注意を払い、脆弱性を修正してから再利用します。
- 権限管理:組織内部の権限管理を適切に行い、従業員が各自の職務を果たし、責任を明確にし、権限と責任を明確にします。例えば、従業員の職務が変更された場合、現在の職務と現在のアカウント権限が一致しない場合は、権限の変更を申請する必要があります。管理者がユーザーに現在の職務に必要ない権限を持っていることを発見した場合は、通知し、余分な権限を停止します。定期的にアカウントの状況を確認し、アカウントの責任者に連絡してアカウントの停止状況や権限範囲を決定します。アカウントを開設する際には、原則に従って権限を設定し、最小権限、最小リソースの形式でサービスを提供します。より高い権限が必要な場合は、実際の状況に応じて審査と承認を行います。
- 内部ネットワークの強化:内部ネットワークと外部ネットワークの間でセキュリティ要件に応じて、ファイアウォール、ネットワークゲートの一方向伝送、侵入検知、深包検知の復元とキャッシュなどの手段を有機的に組み合わせて安全バリアを構築します。エンドポイント側には、効果的な防護に基づいたエンドポイント防御ソフトウェアを展開します。毎日定期的にデバイスのイベントアラートを調査し、イベントが発生したがまだ知られていない状況を避けます。システム防護戦略を強化し、ホストに関連するセキュリティ設定を調査し、問題がある場合はタイムリーに修正します。移動デバイスの内部ネットワークへの接続を厳格に管理し、セキュリティの脅威が移動デバイスを通じて持ち込まれるのを防ぎ、内部ネットワークの異なる領域間にネットワーク監視メカニズムを構築し、異なる領域間のネットワークセキュリティ事件をタイムリーに発見し、処理し、ネットワークセキュリティ事件の危害が拡大するのを防ぎます。組織内部の部門間のネットワークに対しても適切な管理措置を講じ、セキュリティの脅威事件が単一の部門から全体のネットワークに拡散するのを防ぎます。部門間で相互接続する際には、独立したアクセスの原則に従って相互アクセス権を設定し、最小権限、最小リソースの形式で相互接続を行います。
(4)感染デバイスを正常に使用できるように復元 ランサムウェアに感染したデバイスを再度使用する際には、ディスクのフォーマット、システムの再インストール、疑わしいファイルやプログラムの削除、身代金情報や暗号化ファイルの排除などの措置を講じ、二次感染を防ぎ、デバイスを正常に使用できるようにします。
ディスクのフォーマット:ランサムウェアが隠れたり再度実行されたりできないことを確認した上で、ディスクのフォーマットを行います。一部のランサムウェアはシステムのマスターブートレコードを改ざんし、ランサムウェア自体をシステムディスクに隠して持続的に駐留させるため、オペレーティングシステムのディスクをフォーマットできない場合があります。ランサムウェアプロセスを終了し、サンプルの母体、派生物、追加されたレジストリ項目や起動項目を削除し、システムディスクにランサムウェアが存在しないことを確認し、再度実行できないようにします。疑わしいファイルやプログラムの削除:疑わしいファイルやプログラムを削除する前に、ランサムウェアプロセスを終了し、プロセスが占有されて削除できないようにします。一部のランサムウェアは自らの名前をシステムプロセスに変更するため、セキュリティソフトウェアや専用駆除ツールを使用して現在のシステムプログラムの使用状況を確認し、プロセスを誤って終了させてシステムが正常に動作しないようにし、セキュリティソフトウェアのウイルス駆除機能を使用してシステム内に隠れている疑わしいファイルやプログラムを見つけて削除します。一部のランサムウェアは実行中に自らのファイル属性を隠したり、一時ディレクトリや起動項目ディレクトリ、システムルートディレクトリに移動したりし、レジストリに起動項目を追加して起動時に実行される機能を実現し、持続的に駐留する目的を達成します。ファイルの隠し属性を開き、疑わしいファイルやプログラムを削除し、追加されたレジストリ項目を削除して、デバイスの再起動時に再度ランサムウェアが発生しないようにします。
身代金情報や暗号化ファイルの排除:ランサムウェア感染やデータファイルの復元状況に応じて、適切な措置を選択し、身代金情報や暗号化ファイルを排除します。例えば、ウイルス解読やデータ復元によって暗号化ファイルが復元された場合、暗号化されたファイルを直接削除できます。暗号化ファイルを解読できない場合で、暗号化ファイルが一定の重要性を持つ場合、暗号化ファイルをバックアップして保存し、将来的に解読ツールなどを利用して暗号化ファイルを復