ランサムウェアによる攻撃が持つ多面性
ランサムウェアによる攻撃の被害を報じるニュースが後を絶ちません。特に最近では従来のばらまき型メールなどを発端とする不特定多数の個人を狙ったものよりも、特定の企業・組織をターゲットにした「標的型ランサムウェア」に関するニュースを目にする機会の方が多いくらいで、もしかすると現在の我々は本ブログでこれから紹介するようなランサムウェアによるサイバー犯罪のパラダイムシフトの真っ只中にいると言えるのかもしれません。
本記事では、この「標的型ランサムウェア」による攻撃について、主に
- 攻撃者の狙い
- 攻撃全体の手口 (TTPs)
- 攻撃者の組織構造
の3つの観点からまとめています。読者としては経営者から脅威リサーチャーまでの幅広い範囲を想定しておりますが、先ずは軽い気持ちで読んでいただけますと幸いです。なお、8月20日には、以下のように IPA も標的型ランサムウェアに関するレポートを公表したこともあり、筆者も個人として半年ほど前に作成したまま事情により塩漬けになっていた原稿に最新情報を加筆してブログという形で共有することにいたしました。
冒頭に、標的型ランサムウェアとは言いつつ、その被害者は筆者の観測範囲だけで見ても従業員数100名未満の中小企業から始まり、世界でも有数の大企業、あるいは大手法律事務所が被害者となったことでそのクライアントである米大統領ドナルド・トランプ氏にまで影響が及ぶなど多種多様で、ある意味、攻撃者の傍若無人ぶりには目を疑うものがあります。
従来からランサムウェアを使用した攻撃者の狙いの一つは既知の通り「データ暗号化による身代金要求」であり今もそうであることに変わりはありませんが、これも合わせて標的型ランサムウェア特有の以下のような攻撃者の動きを筆者はここ1年ほどで観察しています。
(1) 被害者組織のデータを暗号化し、復号のための身代金を要求
(2) 身代金が指定日までに支払われないと暗号化前に窃取したデータを公開すると追加脅迫
(3) 身代金の支払いとは別に、窃取したデータを削除するための金銭を要求
(4) 上記 1~ 3 に失敗した場合、窃取したデータをオークションに掛けることで利益を得る
(5) 標的型ランサムウェアに代表される「量から質へのシフト」による身代金額の高騰
一般に (1) は良く知られており、(2) と (4) についても多くのメディアやベンダーからのレポートなどで公知のものとなっていますが、(3) については現段階ではあまり知られていない印象で、攻撃者それぞれに自身の利益となる方法を画策して行っている様子を垣間見ることが出来ます。
また、攻撃者が侵害した組織や窃取したデータの性質によっては、(1) のようなデータ暗号化を行わず (2) の窃取データ公開の脅迫のみを行うケースもいくつか報告されています。例えば、以下の LGエレクトロニクスの件で盗み出されたのは 40GB のソースコードだと言われています。
同社ほどの企業であればソフトウェアリポジトリには当然のごとくオフラインのバックアップがあり、有事の際にはそれをリストアする復旧計画も整備されていることが想定されます。この場合、攻撃者は「知的財産」であるデータを「暗号化すること」ではなくターゲット自身ではリカバリ不能な「盗んで公開すること」だけに活路を見出した可能性もあるのではないかと筆者は考えています。なお、本件に関する上記 ZDNet の記事によれば、攻撃者は「ターゲットが社会的に重要であり、その操業に混乱を起こしたくないので暗号化は行わなかった」と同社の記者に語ったようですが、現在の標的型ランサムウェアにおけるビッグプレーヤーの1つである攻撃者 (Maze) の発言に見え隠れする本当の戦略がどうなのかは興味深いところです。
参考までに、以下は (2)~(4) について攻撃者が実際に行っている様子を筆者が記録したものです。多くのケースにおいて、内部侵害が進みクライアントマシンやファイルサーバのデータだけでなく組織のドメインコントローラーまで侵害されていること、更には被害発覚後も攻撃者が継続して被害組織へのアクセスパスを保持したまま復旧状況を観察していると思われる様子など、その被害の甚大さと攻撃者の執拗さをうかがい知ることが出来ます。
- 身代金支払いに応じなかった企業/組織のデータを攻撃者が公開している様子
- 窃取したデータを削除するための金銭を攻撃者が要求している様子
- 組織のドメインコントローラーまで侵害されていると思われる様子
- 侵害先ドメインの krbtgt 資格情報を攻撃者が公開している様子
- 被害発覚後も攻撃者がターゲット組織を観察している様子
攻撃者の狙いが上記の (1) だけであれば、従来からランサムウェア対策に有効とされているバックアップデータからの復元でその被害を回復出来る可能性が高くなっていますが、上記の (2)~(4) が攻撃者から追加脅迫として知らされた場合、加えて攻撃者による自組織へのアクセスパスが経ち切れているか不明確な場合、経営者は非常に難しい判断を迫られることになります。
にわかに信じ難いことですが、攻撃者の中には暗号化の対象がメールサーバにまで及んだ場合にそのような追加脅迫メールが不達となることを避けるため、以下のように電話を連絡手段にすると表明しているケースもあるようです。(あなたの組織に攻撃者から電話がかかってきたら、あなたやあなたの上司はどのように対応しますか?)
- 追加脅迫の連絡手段を電話とすることを攻撃者が表明している様子
現在のランサムウェア被害に対する事後対処として、犯罪者への利益供与の観点からいかなる理由があっても身代金は支払うべきでないという意見と、人命に関わる医療機関である場合や一般の企業でもビジネス損害額が身代金額を大きく上回るような場合においては支払う選択肢もあるのではないかという意見が交錯しています。この辺りは社会通念上の企業倫理や経済活動としての事業継続への考え方など複数の要素が絡む難しい問題ですが、法的な観点からは米国財務省による昨年12月の特定の攻撃者グループ (Evil Corp) への訴訟声明文の中で、制裁措置の一環として同グループとの取引を禁じる告知を行ったケースがあります。一方で法律を逆手に取るケースとしては被害者に身代金を支払わせるための口実として、被害が公表された場合のGDPR制裁金と身代金額を天秤に掛けることで揺すりに拍車を掛けていたケースなども確認されています。
- 攻撃者グループ Evil Corp に関する米国財務省プレスリリースの抜粋 (同グループとの取引を禁じていることの告知)
- 攻撃者がGDPR制裁金を引き合いに身代金支払いを促している様子
また、上記 (5) で述べたような身代金額の高騰により 45億円もの額が請求されたケースも報告されていること、更には上記で例示したように被害発覚後も攻撃者が継続して自組織へアクセスしている可能性など、昨今のランサムウェアによる被害は従来のように単に身代金を支払ったりバックアップから復旧して終わりではないインパクトと複雑さを兼ね備えた多面性を持っていることが改めて浮き彫りになっています。
なお、被害事例の多くが主に海外企業 (または日本企業の海外法人や子会社) で発生しているものであることから、日本企業は現在までに狙われていないのではないかという誤解も生まれやすくなっていますが、実際には以下に示すような日本企業での被害発生と思われる事例も筆者は観測しています。
さて、ここまでは主に「経営者でも読める内容」の視点で書いてきましたが、ここからは脅威リサーチャーなどがおそらく「現場レベルで読みたいかもしれない内容」へと一旦ブレイクダウンして書いてみたいと思います。
それぞれの標的型ランサムウェアの背後にいる脅威アクターの「攻撃手口(TTPs)」や「組織構造」に関する内容です。(とは言っても筆者はセキュリティベンダーや脅威インテリジェンス企業の一員として脅威アクターと直接的に対峙している者ではないため、それらに関する一次公開情報からの考察になります。)
まず初めに発行日が2020年4月28日とやや古めの記事なのですが、こちらの Microsoft Threat Protection Intelligence チームによる記事が初心者にも分かりやすく書かれており脅威アクターによる攻撃手口の違いを理解するのに役立ちます。
この図を見ると、本ブログで取り上げるべき脅威アクターの代表格でもある Maze や REvil, NetWalker の大まかな攻撃パターンを把握することが可能です。例えば
- Maze は
- 侵入口として RDP (brute force) を使い
- Mimikatz によって資格情報を盗み、Cobalt Strike で横展開し
- GPO 変更によって侵害を永続化させ
- Maze ランサムウェアを展開する
- REvil は
- 侵入口として Pulse Secure VPN の脆弱性を使い
- Credential Dump (LSA secrets) によって資格情報を盗み、Cobalt Strike で横展開し
- サービス登録によって侵害を永続化させ
- REvil ランサムウェアを展開する
- NetWalker は
- 侵入口として IIS ベースのアプリケーション設定不備を突き
- Mimikatz によって盗んだ資格情報を使い PsExec で横展開し
- サービス登録によって侵害を永続化させ
- NetWalker ランサムウェアを展開する
といったような攻撃パターンであることが分かります。なお、同記事には上図の脅威アクター、攻撃パターンごとの解説文も併記されており (それが現在でも全く同じパターンであるとは限りませんが) とても有用な情報です。
これらを押さえた上で、次にもう一段深く (つまりそれら攻撃で使われるテクニックがどのようなもので、どのような方法で検知するかなどを) 考える際には、お馴染み MITRE ATT&CK での ATT&CK Navigator が便利です。最近 (先頃7月) になって従来のテクニックがサブテクニックとして拡張された v7 がリリースされました。テクニック間でのレベルのバラつきも少なくなり更に使いやすくなった感があります。
以下2つの図は、上記の攻撃手口のパターンで多用されていた Mimikatz と Cobalt Strike が使っているテクニックを ATT&CK Navigator 上で選択してマッピング表示したものです。
ATT&CK の良いところは数多くありますが、全てのテクニック/サブテクニックごとに、解説文、(痕跡が残されている可能性のある) データソース、脅威アクターによる悪用実績の一覧、緩和策、検知方法などが記載された詳細情報が用意されていることが挙げられます。例えば Mimikatz の T1555: Credentials from Password Stores を右クリックして表示されるリンク先にアクセスすると、上記したような詳細情報をシームレスに入手することが可能です。
そしてそこに書かれている内容を以下のように当たることで何となくどんな感じで検知出来そうか (あるいは検知出来そうなログやツールを自分たちが持ち合わせているかどうかなどが) イメージしやすいと言ったところでしょうか。
更にもう一歩踏み込んでみましょう。脅威アクターの「組織構造」についてです。これは筆者も最近になって考えるようになったのですが、Maze のような脅威アクターは RaaS アフィリエイトモデル (成果報酬型) に基づいて全体のオペレーションが統制されており、Maze という単一のグループが実際の攻撃オペレーションを行っているわけではなく、プレーヤーとして複数のオペレーターが存在しているのではないかという点です。
このため、以下の記事にあるような観点 (Maze という単一のオペレーターによる亜種・改良版が使われたか否か) で考えるというよりも、それらプレーヤーごとに攻撃パターンも変わってくる可能性があると考えた方が良いのかもしれません。その場合、冒頭で述べた「データ暗号化を行わず窃取のみ行い、その公開脅迫のみを行うケース」が存在していたとしても違和感がなくなるような気がします。
MAZEはデータの暗号化だけでなく、データ窃取機能があり、「支払を拒否すると窃取したデータを公表、またはアンダーグラウンド市場に流す」という脅迫を伴う特徴がある。なお報道では、サイバー攻撃は経済産業省外郭団体からの通報で発覚したとある。MAZEや一般的なランサムウェアなら、汚染端末などに直接脅迫メッセージが表示されたり、攻撃者からコンタクトがあったりする。
報道内容が事実だとしたら、TMWが外部からの通報で攻撃に気づくというのは違和感が残る。MAZEの亜種・改良版が使われたのか、別のマルウェアによるデータ窃取が、NISC、JPCERT/CC、各種業界ISACといった外郭団体への通報、またはそれらによるアンダーグラウンド調査や巡回で発覚したのかもしれない。
この辺りのアフィリエイトモデルならびに組織構造への洞察、技術的詳細を含む攻撃手口 (TTPs) については、以下の FireEye 社、SentinelOne社のレポートなどに有用な情報が記載されていますので、ご興味のある方は読んでみてください。
最後にですが、再び「経営者でも読める内容」へと話を戻して終わりたいと思います。
本ブログで取り上げた「ランサムウェアによる攻撃が持つ多面性」について、これら複雑な実情も踏まえ、その対処を対岸の火事として事件が起きてから検討するのではなく、自社/自組織 の CSR (企業の社会的責任) などとも照らし合わせながら事業の復旧計画の一部として可能な限り事前に検討しておくことをお勧めします。
本記事を最後までお読みいただきありがとうございました。
