ランサムウェアによる被害が世界で報告されています。日本企業も例外ではありません。ネットアップでは先ごろ、ランサムウェア対策に関連する報道機関向け説明会を開催し、被害状況や最新の市場動向、企業における対策の提案、そしてソリューションの検証を解説しました。以下はそれぞれの解説内容を文章に書き換えたものです。
法人を狙うランサムウェア攻撃の最新動向と防御
トレンドマイクロ株式会社 ビジネスマーケティング本部 エンタープライズソリューション部
プロダクト&ソリューショングループ シニアマネージャー
須貝 周授 氏
ランサムウェアは、感染させてパソコン、フォルダ、ファイルをロックし、元に戻すことで金銭を要求する一連の攻撃プロセスです。企業のデータに対する「身代金(Ransom)」を要求するためこう呼ばれています。手法はさまざまですが、単体のマルウェア(悪意のあるソフトウェアやプログラム)を指しているわけではなく、一連の攻撃プロセスであるため、アンチウイルスソフトだけでは解決しません。
ランサムウェアは最近発生したものではありません。当初は個人向けのばらまき型でしたが、「WannaCry」と呼ばれるランサムウェアが2017年に確認される以前から、法人をターゲットにしたものが増えてきました。最近は暗号化に加えて、情報の暴露と公開で身代金を迫るケースも増えてきています。また、以前は不特定多数にメールを送信する手法だったのが、最近は特定企業に標的を定めた攻撃をしてきます。メッセージ中に「トレンドマイクロ様」、「ネットアップ様」のように社名が記され、個別に恐喝が送付されます。
トレンドマイクロでは被害企業が支払った金額を調査しました。調査時点で60%超える企業が支払いに応じていました。このうち半数以上が300万円以上の支払いをしていました。また、身代金ではなく、業務を元に戻すために費やした費用が1億円以上となった被害もありました。さらに、実際に身代金を支払ってもデータが一部戻らないケースもありました。
標的型攻撃の手法は時間とともに高度化しています。まず脆弱性のある外部公開サーバーから入ってくる場合があります。また、特定の従業員に向けてメールを送信し、マルウェアを仕込み、社内に感染を広げるケースもあります。最近見られる特徴として、一般ツールであるOS標準のコマンドを使う手法が増えています。1カ所で感染させて、その後OS標準のコマンドを使って他の従業員や部署に展開させる手法です。こうした場合、一般的なアンチウイルスソフトでは防げません。
次に被害について解説します。ファイルの暗号化だけでなく、情報の暴露と組み合わせた脅迫や、DoS攻撃によるサーバー停止など、脅迫の姿勢が強くなる傾向が見られます。トレンドマイクロの調査では、日本でも被害が報告されています。また、攻撃がばらまき型ではなく標的型に変化してきたと述べましたが、件数は減っていても被害額が著しく上がっています。身代金を確実に手に入れられる手段に変わってきているのです。
ここ一年半ほどはリモートワークの利用が増えています。これに伴い自宅からクラウドのSaaSやアプリケーションサービスを使用する企業が増えています。この場合、企業集中型VPNで接続しますが、最近、VPN装置の脆弱性が見つかり、容易に侵入されてしまうケースが増えています。
最後に、脆弱性を保護するトレンドマイクロのソリューションをご紹介します。まずホスト型のタイプ。これは、サーバーやパソコンにエージェントソフトウェアをインストールするものです。これは、脆弱性対策、アンチウイルス、変更監視など、多層的な防御ができる製品です。もう一つはネットワーク型です。これはネットワーク経路で攻撃から守る役割を持ちます。
実際にはホスト型とネットワーク型だけでなく、ストレージやクラウドでも対策が必要です。これ以降のセッションでご紹介します。
オンプレ&クラウドストレージにおけるランサムウェア対策 ― 検知から復旧まで
ネットアップ合同会社 ソリューション技術本部 ソリューションアーキテクト部
ソリューションアーキテクト
井谷 寛
ここからは、多層防御という考え方の最後の砦である、ストレージ側のセキュリティ対策についてご紹介いたします。一般的には以下の4つの軸で対策を考える必要がありますが、ネットアップのストレージでは3.と4.について対策を講じることができます。
- 感染を防ぐ
- 感染範囲を限定的にする
- 感染に早期に気付く
- 感染後のダメージ軽減と迅速な復旧
- 感染を防ぐ
まず、感染を防ぐためにファイアウォール設定を適切に行い、セキュリティ対策ソフトをホスト型で利用します。またWindows OSなどOSのセキュリティパッチをインストールし、常に更新しておくことが必要です。 - 感染範囲を限定的にする
次に、仮に感染したとしても感染範囲を限定的にするために、マイクロセグメンテーションという方式の対策を取ります。この方式は運用がかなり煩雑になるため導入していない企業がほとんどかと思います。例えばオフィスのあるフロアに100席あるとします。全て同じサブネット(小さな単位のネットワーク)で作ると、一つのパソコンが感染した時に、その感染が隣のパソコン、さらに隣というように、すぐに感染が広がります。マイクロセグメンテーションでは、島の途中にファイアウォールを入れます。例えば20席単位で区切り、隣の島に通信する時はファイアウォールを経由させます。こうしたネットワーク設計を施すことで、感染を広がりにくくする方法があります。 - 感染に早期に気付く
もし感染範囲を限定的にできたとしても、感染にできるだけ早く気付くことが重要です。セキュリティ対策ソフトや次世代ファイアウォールで通信のパターンを読み、異常な動きを検知する仕組みが必要で、さらにストレージ側でも検知できるようにしておきます。ウイルスやランサムウェアは特徴的なI/Oパターンでファイル操作を行いますので、これをストレージで検知し、通知させます。また、アクセスログの消去や、大量のファイル削除もストレージで検知し、これを管理者が早く気付く仕組みも必要です。 - 感染後のダメージ軽減と迅速な復旧
仮に感染に気付くのが遅れて致命的な状態になったとしても、すぐにデータを元に戻して業務を再開できるようにする準備が重要です。これはデータそのものを守る仕組みです。ランサムウェアの脅威を検知すると自動的にストレージで「スナップショット」(被害発生直後の最新復旧ポイント)を作ったり、過去のストレージスナップショットから高速に復旧させる仕組みを準備しておくことが重要です。
最近では、セキュリティ対策ソフトを入れていても、そのソフトをアンインストールするランサムウェアが出現しています。その時点でのセキュリティ対策ソフトでは検出できないタイプのランサムウェアが、アンインストールしてしまうのです。こうしたことから多層防御の考え方を取り入れ、ホスト型だけ、ネットワーク型だけではなく、最後の砦としてストレージ層でもセキュリティ対策を施すことが必要です。
ここから、ネットアップが提供する対策をご紹介します。SaaSで提供する「Cloud Insights」というサービスです。大きく2つの機能があり、一つはクラウド環境もしくはオンプレのインフラ環境の全体を監視する機能です。もう一つは「Cloud Secure」という名称の機能です。ネットワークやファイルへのアクセスの挙動について、エンドユーザーの操作か、あるいはランサムウェアの挙動か、悪意のあるストレージの使い方を検出することができます。例えばランサムウェアはファイルを読んで暗号化し、書き込みを行い、その後にファイルをリネームします。この動きを検出して管理者に連絡をするという機能です。
この「Cloud Secure」機能について、本番稼働中のシステムを使ってSB C&S様に検証していただいたので、この後にご紹介いただきます。本番環境にランサムウェアを展開することはできないので、Cloud Secureの同類の機能である「異常行動検知」機能についてお試しいただきました。
データセキュリティ対策を検証した結果と、今後の可能性
SB C&S株式会社 情報システム本部 ITインフラ統括部 プラットフォーム企画推進部 サービスマネジメント課
南田 雄哉 氏
SB C&SはネットアップのAFF220(オールフラッシュストレージ)を導入して1年ほど経過しました。今回、「Cloud Insights」の一機能である「Cloud Secure」を検証しました。まだ導入はしていませんが、ユーザー企業の現場担当として実環境の本番環境で検証した結果をご説明します。
「Cloud Secure」は、ランサムウェアの検知とファイルサーバー内部の異常アクセス検知、この2つの検知機能があります。ランサムウェア対策は、これまで説明されている通り、アンチウイルスソフトなどを導入していても、内部ユーザーが異常なアクセスを行った際、検知できない可能性があると思っています。
今回は、内部ユーザーが異常なアクセスを行った際に正しく検知してアラートを発するか、この機能を導入できるものなのかを検証しました。
検証の目的は3つです。これら3点を期待して検証しました。
- Active Directory連携によるユーザーアクセス監視が可能であるか
- 別途ツールを用意しなくてもアクセスログを閲覧可能になるか
- 大量のファイルダウンロードが発生することで異常を検知するか
【Cloud Secureの検証構成】
この図のような検証構成としました。図の中心にある「Cloud Secure Agent」というサーバーは弊社が追加しました。これは、どのユーザーが操作したかを表示させるためにCloud Secure AgentとActive Directoryを連携させる必要があるためです。
サーバー構築後は、右上にあるCloud Insightsから設定を行いました。これはGUI画面で操作が簡単で、すぐに構築することができました。ファイルサーバーとアクセスする端末は、コロナ渦でテレワークを行っていたため、自宅からVPNを接続してファイルサーバーへアクセスを行って検証しました。ネットワーク要件は各自異なりましたので、ファイルの読み込み時間などに差が出るという、検証環境としてはオフィス環境ではないワーストケースではありますが、実環境の検証という面では非常によい検証だったと思います。なおActive DirectoryはAzure Active Directoryで動作を行いました。
Cloud Secureの設定が完了すると、ファイルサーバーへのアクセス詳細が確認できるようになりました。Active Directoryと連携することで登録ユーザーが表示されました。左上に弊社の社員の名前が表示されています。この例では、ユーザーを絞った際のアクセスログを表示しています。画面中央にラインチャートが表示されて、左下にはリードやクリエイトなどファイルのアクセスの割合が表示されました。右下にはファイルタイプ(PowerPoint、Excel、添付など)の割合が表示されていました。アクセス履歴は30日まで遡って表示することができました。
更に下にスクロールしていくと、誰が何に対して何をしたかというアクセスログを細かく見ることができました。画面の例のように、対象ユーザーとアクセス元のIP、ファイルの操作、ファイルパスなどが細かく表示されました。生ログでしたので、表示しているユーザーの業務作業を秒ごとに追うことができました。ファイルアクセスはWindowsサーバーでも確認することができますが、非常に見づらいので専用ツールを購入している方もいるかと思います。しかしCloud Insightsがあればその必要ありませんでした。また、検証期間中に、ファイルが消えたというユーザーから問い合わせを受けました。これもログをたどり、別のフォルダに移動されていたファイルを見つけることができました。
検証を始めるにあたり、実業務でアラートが出るかを確認したところ、高い頻度の変更で検出がありました。詳細を確認したところ、特に異常な行動ではなく、ファイルサーバーへの負荷の高い業務、例えばRPA(業務自動化ツール)での出力先であったり、月末の各部署での締め処理でアクセスが高くなっていました。短時間での読み込みや変更、ファイル名の変更が発生する場合にアラートが上がる傾向がありました。
今回は検証ですので、意図的に負荷を上げてアラートが発生するかを行いました。悪意を持ったユーザーAが、大量のデータのダウンロードや変更、削除を行った際に、管理者側に検知されるかという設定です。
検証にかけられる時間が短かったため、異なるパターンで詳細に行うことはできませんでしたが、ネットアップと相談しながら、アラートが上がりそうな操作を実施しました。検証条件はファイル作成と、ファイル操作の2つに絞りました。
条件の1つ目として、ユーザーAがフリーソフトとコマンドプロンプトを使って大量ファイルを作成する際にアラートが出るかを調べました。2つ目は、ユーザーAが作成した大量のファイルについて、ユーザーAとユーザーBがファイルのダウンロードや削除を行った際にアラートが出るかを調べました。
検証の結果、ファイル作成については、ツール、コマンドプロンプトとも、どちらのパターンでもアラートは出ませんでした。ファイル操作については、ユーザーAが作成したファイルをユーザーBが削除することでアラートが上がりました。表には「5,000ファイル」とありますが、3,000ファイルを削除した時点(検証開始から3分後くらい)でアラートが上がりました。
検証時にCloud Secure Agentのサーバーリソースが逼迫する場合があり、その際は検証がうまくいかないと聞いていました。Linuxのコマンドで確認しながら行っていきましたが、サーバーが逼迫することはありませんでした。
この結果を受けて、ネットアップが公開している検出アルゴリズムで確認したところ、以下のような条件でした。
図の左側の上ですが、公開情報としてI/Oパターンを検知することがあります。PDFやExcelなど、実際に存在するドキュメント拡張子のファイルで操作をした際に検知されなかった可能性があります。
また、弊社で設定したアラートの条件として4つありました。
例えば短時間に200%以上アクセスあった場合。そして、普段ファイルサーバーにアクセスしないユーザーが、今回の検証時に頻繁にアクセス場合。これらの条件でアラートが上がったことが分かりました。
以上のことから、今回の検証で導き出されたアラート条件は、普段アクセスするユーザーが、実際に存在する形式のファイルに短時間で多くの変更を実施した際に、アラートが発生する状況でした。このため、悪意あるユーザーがスクリプトなどでファイルを操作しようとすると効果的であると思いました。
ただし、検出アルゴリズムはネットアップの開発側で変更しているそうで、ネットアップで実施した時点と、私が実施した時点で検出するアルゴリズムが違っていたとのことでした。また、検出されるパターンとして、「誰がファイルを作成したから」ではなく、あるユーザーが大量ファイルのダウンロードを行っている時にアラートを上げてほしかったと考えています。今回の検証は短い時間での操作でアラートが上がることを確認したので、今後の改善を期待します。
まとめ
Cloud Secureの有効性を3つ挙げます。
- ADによるユーザーのアクセスの監視が可能かどうか。こちらはアクティブディレクトリ連携でユーザー名が確認できました。
- 別途ツールを用意しなくてもアクセスログを閲覧可能か。こちらもクラウドセキュアの機能でアクセスログを確認することができました。
- 当初はファイルの作成者に関係なく、あるユーザーが大量にファイルをダウンロードしている時にアラートが上がることを期待していました。検証では、短時間で他の人が大量のファイルを実行することで異常を検知しました。
悪意のあるユーザーは、ファイルを変更するだけでなく、不正に持ち出して会社に不利益をもたらす可能性があります。そのため、長時間に大量のファイルダウンロードが発生した場合に対応できれば、実運用の導入検討ができます。
