Innovation Leading Company

特集記事
WannaCryの次に来るもの

ネットワーク&セキュリティ事業本部
ソリューション技術部 第二課 市川 隆一

1. 攻撃者にとって都合の良いランサムウェア

人質をとるということは加害者にとって足が付きやすいだけでなく、サイコパスでない限り罪悪感という心理的負担もあります。ところが人質が人ではなくデータとなればその趣は大きく変わります。足もつかなければ心理的負担もない、つまりは攻撃者にとって都合の良い攻撃手段になるわけです。身代金にビットコインなどの仮想通貨を使えば、高度な攻撃を仕掛けてようやく盗み出した顧客情報を、危険を冒して売りさばくよりもランサムウェアでデータを人質化した方が簡単にお金を得られるでしょう。

2. WannaCry から学ぶこと

WannaCryの特徴
WannaCryも他のランサムウェアと同様に侵入→C&C通信→暗号化という流れになっています。WannaCryの場合はファイル共有で使用されるポート445番の周到な内部調査活動や他を感染させる機能を有している模様ですが、このような高度なランサムウェアはパソコン遠隔操作事件で有名になった匿名ツール(Tor :The Onion router)を利用した外部通信など匿名性の高い高度なテクニックが使われる可能性も高いという情報もあります。(Vectra Networks.com)

同じ轍を踏まないために
侵入後の検知の仕組み:
「侵入」フェーズだけでなく、侵入後の「C&C通信」、「内部調査活動」、「活動範囲拡大」「Torのように便利ではあるが、危険な通信」などの潜伏活動をリアルタイムに検知する仕組みを合わせ持つことで、所謂多層防御が実現できます。

高度な検知:
C&C通信も巧妙になってきており、通常のhttp/httpsとは区別がつかないように工夫されてきていますので、セッション持続時間や送受信レートの差異などから異常を炙り出せる高度な検知が求められます。
潜伏活動はポート445番のスキャンだけでなく、ADへの攻撃や管理用通信のハイジャック攻撃など高度化していますので、それらに対応したツールも必要になるでしょう。

人に優しいツール:
折角高価なツールを導入しても、使いこなせないものは無いのと同じです。人に優しいツールが望まれます。


3.バックアップの落とし穴(早期発見が鍵)

ランサムウェアから身を守るための最後の砦がデータの別メディアやクラウドへのバックアップと言われています。(ディスク内のバックアップはランサムウェアに削除されてしまいます)
ところが、通常バックアップは週末にフルバックアップ+毎日の差分を1世代として、2~3世代を保管しているのが一般的です。もし人質(ロック)されていることに気が付くのが遅れると何が起こるでしょうか?ロックされたファイルを一生懸命バックアップしていたことになり、気が付いた時にはバックアップデータもロックされたファイルで埋め尽くされています。
多くの世代をバックアップしていたとしても、古いデータに戻すことしかできなくなります。(最近作成されたデータを失うことになります)
バックアップを保管していても安心はできず、早期発見が復旧の鍵になります。


4. WannaCryの次に来るもの(標的型ランサムウェア)

PCなどのローカルディスクのデータを人質にとられるよりも、もっと甚大な被害をもたらすものは、企業や団体が保管している顧客データベースなどの機密データを人質にとられることです。特定の企業や団体を執拗に狙う標的型攻撃にランサムウェアが利用されると何が起こるでしょうか。
人質解放に膨大な身代金を要求されることになりますが、身代金を渡してもデータが解放される保証はありません。攻撃者は、重要なデータはバックアップ保管されていることを知っていますので、保管データの中身が人質化したものに入れ替る頃を見計らって脅迫状を送りつけてくるかもしれません。

そしてもうひとつ重大な問題が残ります。データを人質にとられたということは、漏洩も疑われます。漏洩の疑いをもたれてしまうと、漏洩していないことを証明するのは所謂「悪魔の証明」となり、被害に遭った企業・団体にとって大きな負担になります。


5. まとめ(ランサムウェア対策として有効なもの)

1 侵入対策
2 侵入後にランサムウェアの動きを検知する
  ・C&C通信(セッションやレートをみる高度な検知)
  ・内部調査活動(ポート445番、他)と活動範囲拡大
  ・ファイルを人質化する振る舞い
  ・Torのような危険なプロトコルの検知
3 バックアップ(早期発見が鍵)


Vectra Networks社製品の各種アーキテクチャー、詳細情報に関してはパンフレットをご覧ください。

       
Vectra Networks社製 Xシリーズ カタログ
Vectra Networks社製 Xシリーズ カタログ