独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

今、さまざまな企業や組織がランサムウェアを用いた攻撃の被害に遭っている。この攻撃はどのような変遷をたどっており、どのように対策していけばいいのだろうか。

[高橋睦美，ITmedia]

　一方、被害組織の規模を見てみると、中央値は250人程度だ。メディアでは大規模な組織が攻撃を受け、多額の身代金を支払うケースが目立って報じられるが、辻氏は「絶対数で見ると中小規模の組織が狙われがちです。高いお金を支払ってくれそうなところばかりが狙われるわけではないことを、認識してください」と注意を呼びかけた。

5つに大別できるランサム侵入の経路

　では、これらランサムウェアはどのようにして侵入してくるのだろうか。辻氏は、大きく分けて「メール」「脆弱性・認証」「先行マルウェア」「MSPやサプライヤ」「内通者」という5つの経路があると説明した。

　メール経由の攻撃は、ランサムウェアに限らず最もポピュラーな手法だ。また、既知の脆弱性を悪用したり、リモートアクセス時に推測可能な弱いパスワードが破られて侵入されるケースも後を絶たない。

　3つ目の先行マルウェアは、あまり国内では聞かない単語だ。海外では「Precousor Malware」と称されており、辻氏によればいわば「先遣部隊」だという。「ばらまき型の攻撃でよく使われるEmotetやTrickbotがまず侵入し、これをバックドアにして後からランサムが入ってくるパターンです」（辻氏）

　まずEmotetに感染した後にTrickbotがやってきて、最後にRyukというランサムウェアに感染してしまった例がある。また最近では、同じくEmotetに感染した後、IcedIDやBumblebeeという別のマルウェアを呼び込むという事例が報告されている。さらにこれらを経路としてCONTIやMountLocker、Quantumといったランサムに感染したケースも報告されており、身近になりつつある手法といえる。

　「極端な言い方ではありますがEmotetなど先行マルウェアへの感染は、いうなればきつめの風邪をひくようなものです。これを放っておくとランサムに感染し、重症化と言っていいほどの被害が起きてしまいます。ですので先行マルウェアを入口の段階で止めたり検知することが、これから非常に重要になってきます」（辻氏）

　4つ目のMSPやサプライヤーは、自社のネットワークを監視している業者や子会社、海外支社、あるいは取引先のように、何らかの形でつながっている組織がまず侵害され、そこを経由して感染するケースだ。米国では「Kaseya VSA」というネットワーク監視ソフトウェアを用いてサービスを提供していたMSPが脆弱性を悪用されて侵入され、監視先の顧客企業にランサムが展開されてしまった事件が発生している。

　最後は内通者だ。金銭的に困った状況にある従業員に、攻撃者が「リモートアクセスやVPNに使われる認証情報を売って欲しい」と持ちかけてきたり、フォーラムで売り手を募集する場合があるという。

　ちなみに先日、大阪急性期・総合医療センターがランサムウェアの被害に遭ったと報じられた。同センターの感染経路はサプライヤー経由だが、大本のサプライヤーをたどると、VPN製品の脆弱性を突破されたことに起因する。いわば「合わせ技」だ。

やっかいな「実被害を与えない攻撃者」、IAB

　辻氏はもう1つ、ランサムに関して注目している要素を挙げた。それは侵入経路の売人である「イニシャル・アクセス・ブローカー」（IAB）だ。

　先に同氏も説明した通り、ランサムウェアの攻撃は1人の人間や1つのグループによるものではなく、分業化・専業化が進んでいる。ランサムウェアを作成して提供するRaaSと、それを拡散させていくアフィリエイトが知られているが、それに続く第三の登場人物がIABだ。

　「IABは、自分たちが侵入して何かをするためではなく売るために、侵入できる口を普段から探し回っています。例えば脆弱性に攻撃を仕掛けて侵入口をこじ開けたり、そこから認証情報を盗んだり、弱いパスワードが設定されたRDPなどをスキャンして探し回り、リスト化しています」（辻氏）

　先行マルウェアをメールなどで送り込み、そのコントロール権を販売するケースもあるという。

　IABが用意した侵入口はダークウェブ上のフォーラムなどで売買されている。値段はターゲットの規模やアクセスできる権限や国、業種によってまちまちだが、日本円にして30〜40万円から、含まれている情報によっては100万円程度で売り買いされているそうだ。 どこか特定されておらず、組織のものではなさそうなものはマーケットで数千円からと安価に販売されているものもある。

　アフィリエイトはIABから入口を、RaaSからランサムウェアを仕入れ、この2つを使って標的のネットワークに攻撃を仕掛けて情報を盗み、ファイルを暗号化して脅迫を行い、成功裏に終われば金銭を分配する――といった経済圏が出来上がっている状況だ。辻氏はさらに「先日UberがLapsus$というグループから攻撃を受けました。Lapsus$のメンバーの1人はIABから侵入のための情報を購入したとされており、現実味のあるパターンだと考えています」と付け加えた。

　IAB自体は対象に被害を与えない。いわば「実被害を与えない攻撃者」だが、やっかいな性質を持っている。「ランサムに感染すると派手な動きをするため気付きやすいのですが、IABの攻撃段階では気付けない場合が少なくありません。アメリカのある自治体では、IABに侵入されてからランサムが展開されるまでの4カ月間、まったく気付きませんでした。国内でVPNの脆弱性が起因していたものの中には脆弱性の悪用で認証情報が盗まれ数カ月後にその認証情報を使って侵入され、ランサムを展開された事例もありますね」（辻氏）

　IABの需要が高まる一方でそれほど高いスキルは必要とされず、参入障壁が低いため、攻撃者の裾野を広げる結果をもたらしている恐れがある。

　こうしたさまざまな事象を踏まえて辻氏は、「脆弱性や弱いパスワードを放置している状態、もしくは放置しているかどうかすら分からない状態は、被害に遭うのも必然だといえるのではないでしょうか」と警鐘を鳴らした。

　「IABは目的がなくてもとにかく侵入口を探してきます。つまり、対象がどんな組織か、どのくらいの規模の組織かに関係なくやってきます。あまり恐怖を煽りたくはありませんが、もはややられるかどうかではなく、順番が回ってくると考えてください」（辻氏）

　経営層の中にはいまだに「うちの会社は関係ない、盗まれるようなものなどない」といった無関心な態度を取るケースが少なくない。だが辻氏は「順番待ちという状況の中で脆弱性を放置したり、把握していないのはギャンプルをやっているのと同じです。セキュリティをギャンブルにしないでください」と強く呼びかけた。

主体性を持って資産管理・アクセス制御・脆弱性管理の対策を

　辻氏は最後にこうした情勢を踏まえ、どのように対策に取り組むべきか、いくつかヒントを紹介した。

　「まず皆さんに把握していただきたいのは、外から見て自組織がどうなっているかです」（辻氏）

　自組織を知るとは、まず、自分たちが所有しているIPアドレスとそれにひも付くコンピュータ、その上で動作するOSやファームウェア、所在地などを把握する「資産管理」に始まる。次に、把握した資産に対して誰がアクセスする必要があり、誰は必要ないのかを明確にし、アクセスする必要があれば2要素・2段階認証などしっかりとした認証を行う「アクセス制御」を実施する。それらを実施した上で、空いている口に脆弱性が存在するかどうかを確認し、優先順位を付けながら対策する「脆弱性管理」という3つの対策を、「主体性」を持って進めていくべきだとした。

　「日本には、システムインテグレーターという独特の文化がありますが、作業を丸投げして依頼していたとしても、責任までは丸投げできません」と辻氏は述べ、主体性を忘れず、外部のパートナーに対し「ちゃんと管理できていますか」と管理していくことが企業としての責任だとした。

　海外に目を向けると、資産管理や脆弱性管理について、より厳しい方針が示されつつある。米CISAがアメリカの行政機関向けに出した指令「BOD 23-01」では、7日周期でスキャンを行ってIPアドレスを持つ資産全てを洗い出し、さらに、そこで見つかった資産に14日周期で脆弱性チェックを行うことを求めている。

　辻氏は、これは非常にハードルの高い例だとしつつ、「自分たちならどれくらいできるかを考えてください。理想を追い続けるだけでなく、自分たちにできそうな方法を模索してもらえればと思います」と呼びかけ、ミニマムスタートでいいので参考にしながら取り組むべきだとした。

　ここで注意してほしいのは、例えば多数の脆弱性が見つかったとして、全てに即座に対処する必要はないことだ。たとえ「危険度はCVSSで最高の10」とされる脆弱性が公表されたとしよう。しかし、その脆弱性を悪用する手法や攻撃コードが公になっているかどうかによって、実際のリスクは大きく異なってくる。たとえ深刻度が高く、攻撃を受ければ大きなダメージが生じる脆弱性でも、攻撃手法が存在しなければ、慌てて夜中に作業したりする必要はないはずだ。

　辻氏は、「攻撃が成功したときのインパクトだけに注目するのではなく、それが実現可能か、悪用可能かどうかという観点を持ってほしい」とアドバイスし、それが、限られたリソースの中で多数のサーバを管理している環境での対処を楽にしてくれるはずだとした。そして、脆弱性が悪用可能かどうかを判断する1つの指針として、CISAの「Known Exploited Vulnerabilities catalog」（KEV）が参考になるとした。

　辻氏は最後に、IABの存在を踏まえ、「最近、侵入前提の対策という言葉が非常によく聞かれます。もちろん大事なことですが、そこばかりに目を向けて、入口対策というもっと大事なことを忘れているのではないでしょうか」と指摘した。手洗いやうがいをしないのに、薬だけ買っておけば大丈夫とはいえないのと同じことだ。そして入口対策の第一歩として、まずは資産把握からスタートしてほしいと強調した。

　「しっかりとしたマンションはしっかりとした地盤の上にしか立ちません。同じように情報セキュリティは、情報の管理ができている上にしか成り立たないと思います。面倒くさく感じるかもしれませんが、急がば回れで、これが結局近道になるでしょう」（辻氏）