FineArt News

コラム

ターゲット型ランサムウェアとマルウェアによる情報搾取の手法分類

近年、ランサムウェアに関するニュースが頻繁に報道されており、各企業も多くの対策と防御メカニズムを提案していますが、ランサムウェアは依然として横行して進化を続けています。ランサムウェアも最初は被害者のデータを暗号化して身代金を要求することから、被害者のデータを盗んでデータを公開することで被害者を脅迫したり、データ暗号化とデータ窃取の両方を行って被害者に身代金を要求するなど進化してきました。どんなランサムウェアであっても、被害者に大きな損失をもたらします。

ターゲット型ランサムウェアはこの数年で登場し、企業にとって非常に厄介なランサムウェア攻撃手法となっています。ターゲット型ランサムウェアは、高度にカスタマイズされたランサムウェアで、特定の企業を狙って攻撃します。企業に特化したカスタマイズ版ランサムウェアを作成し、脆弱性を見つけ出すための探知を行い、企業のシステム内に潜伏して攻撃の機会を狙います。身代金を支払わなければ機密情報を公開するなどの脅迫方法で多くの大企業を屈服させています。

大企業はすべてランサムウェア対策をしているのか?

各大企業がランサムウェア対策を行っているのに、どのようにしてランサムウェアが企業環境に侵入して企業の防御を突破するのでしょうか?ウイルス対策やスパム対策のメカニズムに問題があるのでしょうか?弊社が近年の数百のランサムウェアを調査してクラスタリングし、攻撃手法と行動を研究した結果、ランサムウェアは大まかに以下のような分類ができます。

  • DLLインジェクション
  • ファイルレス攻撃
  • APT攻撃
  • アンチウイルスとバックアップファイルの無効化
  • システムのホワイトリストを利用した悪意ある行為

これらの攻撃パターンは単純なウイルス対策やアンチスパムだけでは防ぐことができません。また、上記の攻撃手法以外にも、従業員は情報セキュリティにおける最も重要な要素であり、ハッカーもソーシャル攻撃の手法をよく使っています。悪意のあるリンクやファイルをメールに添付して従業員に開封させ、ウイルス対策やアンチスパムの検知を回避します。上記の攻撃手法と組み合わせて、簡単に企業内でバックドアの脆弱性を作り出し、堂々とランサムウェアを侵入させます。

メールによるソーシャル攻撃

メールを使ったソーシャル攻撃において、フィッシングメールを大企業のメールボックスに送信する手法がよく見られます。これらのメールには、添付ファイルが含まれており、本文に悪意のあるリンクが埋め込まれていることがあります。現在のウイルス添付ファイルはすでに圧縮ファイルや実行ファイルではありません。それらはスパムフィルタに簡単にブロックされるので、現在の主流はOfficeファイルです。これらのOfficeファイルは一見無害に見えますが、クリックして開くとバックドアやウイルスが直接植え付けられます。これら悪意あるリンクがどうやって埋め込まれたのかというと、Officeのマクロ機能が利用されています。OfficeマクロはVBAプログラムを記述することができ、VBAプログラムはPowerShellやコマンドプロンプトを呼び出して多くの攻撃を行うことができます。最も一般的な方法は、VBAプログラムでPowerShellやコマンドプロンプトを呼び出し、コマンドを偽装した上で実行することです。次に偽装コードでインターネットから悪意のあるPS1スクリプトをダウンロードします。これらのスクリプトの内容も当然複数の偽装が施されています。スクリプトはPowerShellのコマンドで直接PCのメモリに入り込み、実行中はいかなるファイルも残さないため、「ファイルレス攻撃」とも呼ばれています。

スクリプトによる攻撃内容は大まかに3つに分類されます。1つめはPCの防御機構(アンチウイルス)を直接無効化すること、2つめはPC内のすべてのバックアップを削除すること、3つめはランサムウェアウイルスをダウンロードして直接暗号化と窃取を行うことです。これらのスクリプトは、(通常はホワイトリストに含まれる)Windowsのプログラムを利用して攻撃を行います。例えば、vssadmin.exe、wmic.exe、bcdedit.exe、taskkill.exeなどのWindowsプログラムを使って攻撃を行います。さらに高度なランサムウェアは、DLLインジェクション技術を使用して、これらのプログラムに直接コードを注入して攻撃を行います。最も有名な例はNetwalker Ransomwareです。このウイルスはExplorer.exeに直接DLLインジェクション行い、Explorerを通じてデータの暗号化と窃取を行います。Explorer.exeは一般的に企業ではブロックできない、そもそもブロックしないアプリケーションなので、ハッカーはこの点を利用してExplorer.exeに直接DLLインジェクションで攻撃を行います。

多様なランサムウェアの脅威にどのように対処すべきか?

現在、ランサムウェアの攻撃方法や企業内システムへ侵入後の行動について、例えば上述したDLLインジェクション、ファイルレス攻撃、APT攻撃、アンチウイルスとバックアップファイルの破壊、システムのホワイトリストを利用した悪意ある行為などが挙げられます。これらの悪意ある攻撃方法を阻止するために、TSFのアプリケーション制御の仕組みを利用することができます。ランサムウェアの攻撃と発動のパターンを理解してそれらを遮断することで、悪意のあるプログラムを阻止できます。ランサムウェアがPCに侵入しても、TSFのアプリケーション制御の仕組みで攻撃をブロックでき、予防効果を大幅に向上させることができます。さらに、フォルダ保護とセキュリティバックアップ機能を組み合わせることで、データを完全に保護して予防と被害軽減を同時に実現できます。