何が起きたんだ?

ランサムウェア攻撃が、世界中のパッチ未適用のウィンドウズ・システムの間で急速に広がっている。今朝、この攻撃は当初イギリスの国民保健サービスを標的にしたものと考えられていたが、一日を通して、これは世界的な攻撃であることが明らかになっている。

Kaspersky labsは金曜日の午後、74カ国で少なくとも45,000ホストが感染したと報告した。Avastは99カ国で57,000台の感染があったとしている。これはわずか10時間の出来事である。感染したホストのうち、ロシア、ウクライナ、台湾が最大の標的であった。

ある報告では、0.15~0.3BTC (現在約250~500ドル相当)のトランザクションを収集するために、ビットコイン・ウォレットがランサムウェアによって使用されていることが確認されている。これは、攻撃の一部として暗号化されたファイルのロックを解除するために人々が支払っていることを意味する。この金額は、データの復元を期待して支払うよう人々を誘惑するのに十分な低さであるため、興味深い値であり、感染したコンピュータの数が多いため、攻撃者はかなりの利益を得ることができる。まさにエコノミー・オブ・スケールのランサムウェア攻撃である。

どうしてこのような大規模な攻撃が可能なのか?

シャドウ・ブローカーズは、強力なツール群を世界中にばら撒き、ファイルをダウンロードできれば誰でも多くのハッキングができるようにした。シャドウ・ブローカーズの宝の山には、ウィンドウズ8やウィンドウズ2012を含むウィンドウズ・オペレーティング・システムの脆弱性を狙ったエクスプロイトのコンパイル済みバイナリが含まれていた。これらは、かつてNSAが使用していたハッキングツールだと主張されている。

キャッシュ内のWindowsの脆弱性の1つは、EternalBlueと呼ばれている。これは、サーバー・メッセージ・ブロック (SMB) およびNetBTプロトコルを使用するWindows 7および2008におけるリモート・コード実行のバグを悪用するものです。攻撃者が特別に細工したメッセージをMicrosoft Server Message Block 1.0 (SMBv1) サーバーに送信すると、この脆弱性が悪用され、リモートでコードが実行される。ランサムウェアのコードを見ると、このEternalBlueエクスプロイトEternalBlueを使用していることがわかる。

どうやって入ってくるのですか?

フィッシング攻撃や水飲み場型攻撃が使用される場合もあれば、組織内にランサムウェアを拡散させるために攻撃者が購入したボットネットの一部である、すでに感染しているマシンが使用される場合もあります。フィッシング攻撃によってネットワーク内の 1 人のコンピュータに感染し、そのベースとなるエクスプロイトを使用して、ネットワーク経由で他の Windows コンピュータに拡散するだけで済みます。

つまり、知らない送信元からのフィッシングメールを開いたり、疑わしい文書を開いたりしないように注意するだけでは、ユーザーは常に身を守れるわけではない。

これは非常に速く、非常に広く広がっている

攻撃のスピードと規模を考えると、1台のマシンを経由して侵入し、何らかのスキャン/エクスプロイト・プレイバックを使って内部で横方向に広がっている可能性が高そうだ。このようなランサムウェアは外部からのコマンド&コントロールシグナルを必要としないため、従来の境界防御は、ランサムウェアのコールバックを探して検知 、ランサムウェア攻撃の拡散を防ぐため役に立たない。

パッチが適用されていない脆弱性であれば、1,000のネットワーク内に1台の感染ホストを作ることは難しくない。これは、シャドウ・ブローカーが投棄したウィンドウズの脆弱性を悪用する攻撃者と、マイクロソフトが発行したパッチをまだ実装する必要のある組織との間の軍拡競争である。

反撃

サポートされていないソフトウェアは現在進行中の問題であり、防御の第一線としてのソフトウェア・アップデートとパッチの限界を浮き彫りにしている。マイクロソフトはこの脆弱性に対するパッチを提供し、利用可能になっているが、それがすべてのWindowsコンピュータに実装されたわけではない。防御の第一歩は、悪用可能な既知の脆弱性に対する積極的なパッチ適用戦略である。これによって、Shadow Brokersのダンプによって暴露されたWindowsの脆弱性への扉は閉じられただろう。

脆弱性が未知の場合、またはパッチを適用するのに十分な時間がない場合、組織は迅速な検知とレスポンスの方法を必要とする。これには、ネットワークフローや実行ファイルから特定のランサムウェアの亜種を検知しようとするのではなく、偵察、横移動、ファイルの暗号化といった攻撃者の行動について内部トラフィックを監視することが含まれる。

将来の攻撃を防ぐためには、特定のツールやマルウェアを検知するのではなく、挙動を検知するモデルに移行する必要がある。振る舞い検知ははるかに効果的ですが、ネットワーク・トラフィックを詳細に分析する必要があります。しかし、AIの進歩によってセキュリティチームが増強され、攻撃者の行動をリアルタイムで特定する方向に業界がシフトしている。

ランサムウェア対策の詳細については、このレポートをご覧ください。

よくあるご質問(FAQ)