ソフォスの Rapid Response チームは先日、Ryuk ランサムウェアが関与した攻撃の対応に当たりました。標的となったのは新型コロナウイルスや、その他生命科学関連に関わる研究を行う、ヨーロッパの分子生物研究機関です。この組織は地元の大学とパートナーシップを結び、さまざまなプログラムで学生と協業していました。
Ryuk 攻撃を受けた今回の組織のバックアップは最新ではなかったため、1 週間分の重要な研究データが犠牲になりました。すべてのコンピューターとサーバー上のファイルを一から構築し直してデータを復旧する必要もあり、業務にも支障をきたしました。しかし最も悔やまれる点は、より慎重に行動し、ネットワークアクセスの堅牢性を高めていれば、今回の攻撃とその影響は回避できたはずだ、という点でしょう。
サイバーインシデントへの対応を終えた Rapid Response チームは、入手可能な範囲のログと履歴データに基づいて、攻撃者の取った行動や、各段階で使用されたツールや技術を精査しました。この事例では、攻撃者はドメインアクセス権を入手したのち、Ryuk ランサムウェアを一連のスケジュールタスクによって展開していたことが判明しました。最初のアクセスポイントまでさかのぼったところ、それが企業ネットワークの外部に端を発しており、たった 1 人の人間のミスとセキュリティ上の誤判断が原因だったことが分かりました。
ヒューマンエラーを完全に無くすことは不可能です。しかし今回のミスが本格的な攻撃に発展してしまったのは、研究所がそのエラーを封じ込めるための保護機能を備えていなかったためです。組織外の人間がネットワークにアクセスする際の方法に根本原因がありました。研究所と共同作業をしていた学生は、ネットワークのアクセスに個人所有のマシンを使用していました。そのため 2 要素認証を必要とせず、Citrix のリモートセッションでネットワークに接続することができました。
そのような外部の大学生が、仕事用のデータ可視化ソフトウェアツールを個人的にコピーしたいと考えた結果、今回の攻撃が起きました。この学生は、シングルユーザーのライセンスに年間数百ドルの費用がかかるため、オンラインの研究フォーラムに質問を投稿し、無料の代替手段があるかどうか、尋ねました (事件の全容が明らかになった時点で、学生のノートパソコンを回収・分析をした結果、判明)。
適当な無料版は見つからず、代わりに海賊版を探した学生は、それらしきファイルを発見し、インストールを試みます。しかし、実際にはそのファイルはマルウェアで、インストール試行の時点で Windows Defender がセキュリティ警告を出しました。そこで学生は Windows Defender を無効にし (同時にファイアウォールまで無効にしたようです) 再びインストールを試みました。そして、インストールに成功します。
しかしインストールされたのは、求めていた可視化ツールの海賊版ではなく、悪意のある情報窃取ソフトで、インストールされた時点から、キーストロークのログを取り始め、ブラウザー、Cookie、クリップボードなどのデータを盗み出しました。その過程で、組織のネットワークにアクセスするための認証情報も入手したようです。
13 日後、その認証情報によってリモートデスクトッププロトコル (RDP) 接続が組織のネットワークに登録されました。この接続は「Totoro (トトロ)」と名のついたコンピューターからのものでした。
RDP の特徴として、接続すると自動的にプリンタードライバーがインストールされるため、ユーザーがリモートで文書を印刷できるようになります。Rapid Response の調査チームは、登録された RDP 接続にロシア語のプリンタドライバが含まれていたことから、不正な接続の可能性が高いことを確認しました。この接続の 10 日後に Ryuk ランサムウェアの攻撃が開始されました。
ソフォスの Rapid Response 担当マネージャー Peter Mackenzie は、以下のように述べています。「海賊版ソフトウェアを装うマルウェアのオペレーターが Ryuk 攻撃を仕掛けたグループと同じである可能性は低いでしょう。一度侵害されたネットワークに、別の攻撃者が簡単にアクセスできるようにする権利を売る闇取引は盛んで、マルウェアオペレーターは今回、アクセス権を別の攻撃者に売ったと考えられます。RDP 接続は、アクセスの不法売買前のテストだった可能性があります」
「攻撃がどのように展開されたかを確認できるため、また、被害者はセキュリティギャップを理解して今後の対応につなげることができるため、インシデント調査は非常に重要です。今回は、堅牢なネットワーク認証とアクセス管理の導入、それとエンドユーザーの教育が両立していれば、攻撃を未然に防げたはずです。セキュリティの基礎を磐石にすることが重要である、と改めて認識されました。」
対策
以下を確実に実行し、ネットワークアクセスの不正利用対策をすることをお勧めします。
- 内部者、または外部の協力者やパートナーがネットワークにアクセスする必要がある場合、可能な限り多要素認証 (MFA) を有効にする。
- 内部ネットワークへのアクセスを必要とするユーザーには、強力なパスワードポリシーを適用する。
- サポートされていない OS やアプリケーションの廃止やアップグレードを行う。
- すべてのコンピューターにセキュリティソフトウェアをインストールする。
- すべてのコンピューターに最新のソフトウェアパッチを定期的に適用し、正しくインストールされていることを確認する。
- プロキシサーバーの使用を見直し、ネットワーク上のユーザーが悪意のある Web サイトにアクセスしたり、悪意のあるファイルをダウンロードしたりしないよう、セキュリティポリシーを定期的に確認する。
- グループポリシーやアクセスコントロールリストで、ローカルエリアネットワーク (LAN) の静的ルールを設定し、RDP へのアクセスを制限する。
- LAN (または仮想 LAN) を含むあらゆるネットワークアクセスを分離し、必要に応じてハードウェア、ソフトウェア、アクセスのコントロールリストを使用する。
- ドメインアカウントやコンピューターを継続的に見直し、使用されていないものや不要なものを削除する。
- ファイアウォールの設定を見直し、既知の宛先に向けたトラフィックのみを許可する。
- 異なるユーザーによる管理者アカウントの使用を制限する。認証情報の共有は、他の多くのセキュリティ上の脆弱性を引き起こす原因となります。
現在脅威に直面していて緊急の支援が必要な場合は、Sophos Rapid Response にお問い合わせください。
このインシデントに対応し、調査を行った Bill Kearney、Kyle Link、Peter Mackenzie、Matthew Sharf に謝意を表します。