** 本記事は、MTR in Real Time: Hand-to-hand combat with REvil ransomware chasing a $2.5 million pay day の翻訳です。最新の情報は英語記事をご覧ください。**
先日、年中無休で稼働している中堅メディア企業がパンデミックの影響を受けて重要な業務をオンラインに移行したところ、数百万ドルの身代金を目的とした REvil ランサムウェア攻撃を受けました。この攻撃は失敗に終わったものの、この会社はまだ完全には回復していません。
2021 年 6 月初旬、ある中堅メディア企業のネットワーク上で Cobalt Strike が検出され、セキュリティアラートが発出されました。Cobalt Strike は、ランサムウェア攻撃の踏み台として広く利用されているリモートアクセスエージェントです。
数時間後の現地時間午前4時、攻撃者によってランサムウェアがリリースされました。それからの 4 時間、標的となった企業の IT 部門とソフォスの Rapid Response チームは、攻撃を指揮する人間との実戦に臨みました。
攻撃は最終的には失敗しましたが、保護されていなかったデバイスのデータを暗号化し、オンラインバックアップを削除し、無防備だったオンラインドメインを 1 つ壊滅させました。
暗号化されたデバイスに残されたメモには、身代金 250 万ドルの支払い要求と、REvil (別名 Sodinokibi) の署名が記されていました。
始まり
REvil は RaaS (Ransomware-as-a-Service: サービスとしてのランサムウェア) です。顧客となる犯罪者は、開発者から REvil マルウェアをリースし、自身のツールとリソースを使用して攻撃を実行します。今回の REvil 攻撃者が標的にしたのは、約 600 台のコンピューティングデバイス (うち 25 台はサーバー) と 3 つの Active Directory ドメインを持つメディア企業で、これらのデバイスは業務を 24 時間 365 日維持する上で不可欠なものでした。
リモート業務、オンライン業務への移行を急いだ理由
新型コロナウイルス感染拡大の初期段階で多くの組織がそうしたように、この企業もリモートワークの準備と実現を急いでおり、すべてのデバイスに同レベルの保護機能が備わってはいませんでした。また同社は、それまでオフラインだったネットワークをインターネットに接続する決断を下しました。残念ながら、これらの行動が仇となってしまいました。
一旦ネットワークに侵入した攻撃者は、保護されていないデバイスやアクセス可能な他のオンラインシステムに直行しました。そして、攻撃ツールをインストールし、そのツールを使って他のデバイスへと攻撃を拡散しました。
攻撃の展開
ソフォスの Rapid Response チームが現場に到着すると、多くのアカウントがすでに乗っ取られており、保護されていないコンピュータ間を攻撃者が自由に行き来できる状態になっていることがわかりました。
ソフォスのインシデント対応リードを務める Paul Jacobs は、次のように述べています。「インシデント対応における課題の1つは、保護対象ではないデバイスで何が起こっているかを可視化できないことです。これらのデバイスから保護対象エンドポイントに対するインバウンド攻撃を確認し、ブロックすることはできますが、侵入者をこれらのデバイスから一元的に排除したり、侵入した目的を確認したりすることはできません」。
さらに Rapid Response チームは、デバイスにインストールされているソフトウェアアプリケーションを調査し、攻撃に使用されていないか確認しました。
Jacobs は次のように続けました。「パンデミックの影響もあり、従業員のデバイスにリモートアクセスアプリケーションがインストールされていることは珍しくありません。130 台のエンドポイントに Screen Connect がインストールされているのを知った時には、在宅勤務をサポートするために意図的にインストールされたものだと思いました。ところが、会社は何も知りませんでした。実際には、攻撃者がネットワークへのアクセスを維持するためにこのソフトウェアをインストールし、デバイスに侵入していたのです」。
これは、攻撃者がネットワーク内に常駐するために実行した複数のメカニズムのうちの 1 つに過ぎません。また、攻撃者は、別のドメイン管理者の認証情報を盗んだ後の予備として、独自のドメイン管理者アカウントを作成していました。
接近戦
「攻撃が目立つようになり、攻撃者は自身が検知され、ブロックされることをわかっていました。彼らが Rapid Response チームの存在を知っていて、全力で倒そうとしているのが伝わってきました」と Jacobs は述べています。「ソフォスのセキュリティ製品には、CryptoGuard と呼ばれる動作ベースの検出機能が搭載されており、ソースが保護されていないリモートのデバイスであっても、ファイルを暗号化しようとする試みを検出してブロックします。このような検出が確認されるようになった時点で、ランサムウェアがリリースされ、戦いが始まったことがわかりました」。
攻撃者は、保護されていなかった複数のデバイスから攻撃を開始して、保護されたデバイスへの侵入とファイルの暗号化を繰り返し試みました。
すべての攻撃をブロックして調査し、他に影響が及んでいないこと、また被害が拡大していないことを確認する必要がありましたが、その時にはすでに次の攻撃の試みが始まっていました。24 時間 365 日体制の放送システムをサポートするには、ほとんどのサーバーをオンラインにしておく必要があったため、この作業は通常よりも困難なものとなりました。
その後、攻撃の勢いは弱まっていきました。2 日目も引き続きインバウンド攻撃は断続的に検出されていましたが、主な攻撃の試みは終わり、失敗したことは明らかでした。
攻撃の余波
インシデント対応チームと同社の IT セキュリティ部門が状況を確認したところ、被害は保護されていなかったデバイスとドメインにほぼ限られていました。オフラインからオンラインに切り替えられていたドメインは完全に破壊され、再構築が必要でした。また、オンラインバックアップも削除されていましたが、この攻撃によって同社が完全な機能不全に陥ることはなく、法外な身代金を支払う必要もありませんでした。とはいえ、業務の完全復帰には時間を要しており、本記事執筆時点でも復旧作業は続いています。
この攻撃から学ぶべき教訓
「大抵の場合、私たちが呼ばれたときには攻撃がすでに始まっているので、攻撃の封じ込め、無力化、そして影響の調査を行います」と Sophos Rapid Response 担当マネージャーの Peter MacKenzie は述べています。「今回、私たちは攻撃の最終段階に立ち会ったのですが、可能な限り多くの方法であらゆる攻撃を仕掛けてくる攻撃者たちの決意と高まるフラストレーションを目の当たりにしました」。
ソフォスのエキスパートたちは、今回のインシデントから得られる重要な教訓は 2 つあると考えています。
- 1 つ目は、リスク管理についてです。たとえば、この企業のようにネットワークをオフラインからオンラインに変更するなど、環境に変更を加えるとリスクのレベルも変化します。新たな脆弱性の領域が発生するため、IT セキュリティ部門はそれを理解し、対処する必要があります。
- 2 つ目は、データの保存についてです。今回の攻撃で最初に乗っ取られたアカウントは、IT 部門の 1 人が所有していたものでした。すべてのデータが消去されていたため、最初のセキュリティ侵害に関する詳細など、フォレンジック分析や調査に利用できたはずの貴重な情報が失われていました。情報が保存されていればいるほど、何が起きたのかを確認し、再発を防止することが容易になります。
推奨される対策
ソフォスでは、REvil をはじめとするランサムウェアファミリや関連するサイバー攻撃からの防御に有効な、以下のベストプラクティスを推奨しています。
- アラートの監視と対応 – 環境内の脅威を監視し、調査し、対応できるよう、適切なツール、プロセス、およびリソース (人員) を確保しておきます。ランサムウェアの攻撃者は、監視するスタッフがほぼいないと考えて、オフピークの時間帯、週末、または休日に攻撃を仕掛ける可能性があります。
- 強力なパスワードの設定と適用 – 強力なパスワードが、最初のセキュリティ対策の 1 つとなります。パスワードは一意のものか複雑なものを選択します。使い回しは絶対にしないでください。これを実現するには、認証情報を保存できるパスワードマネージャーをスタッフに提供することをお勧めします。
- 多要素認証 (MFA) – 強力なパスワードであっても推測される可能性があります。電子メール、リモート管理ツール、ネットワーク資産などの重要なリソースへのアクセスを保護するためには、どのような形態であっても多要素認証を導入してください。多要素認証を何も使用しないよりはましです。
- アクセス可能なサービスのロックダウン – 外側から自社のネットワークをスキャンし、VNC、RDP、またはその他のリモートアクセスツールで頻繫に使用されるポートを特定してロックダウンします。リモート管理ツールを使用してマシンにアクセスできるようにする必要がある場合は、ログイン時に MFA を使用する VPN ソリューションまたは ZTNA (ゼロトラストネットワークアクセス) ソリューションの背後に配置してください。
- セグメンテーションとゼロトラスト – ゼロトラストネットワークモデルの実現に向けて、重要なサーバーを個別の VLAN に配置してサーバー同士を隔離し、ワークステーションからも隔離してください。
- データとアプリケーションのオフラインバックアップを作成し、常に最新の状態に保ち、そのコピーをオフラインで保管してください。
- 社内の資産とアカウントのインベントリ (確認) – ネットワーク内に保護されていないデバイスやパッチ未適用のデバイスが存在していると、リスクが高まり、悪意のあるアクティビティに気付かなくなる可能性があります。接続されているすべてのコンピュータと IoT デバイスの最新のインベントリを作成することが極めて重要です。ネットワークスキャンや物理的なチェックを行ってデバイスを見つけ出し、目録を作成します。
- 多層保護を導入して、可能な限り多くのポイントで攻撃者をブロックします。そして、そのセキュリティをネットワークに接続されているすべてのエンドポイントに拡張します。
- 製品の構成 –保護が十分ではないシステムやデバイスも攻撃に対して脆弱です。セキュリティソリューションが適切に構成されていることを確認し、セキュリティポリシーを定期的にチェックして (必要に応じて) 更新することが重要です。新しいセキュリティ機能が自動的に有効になるとは限りません。
- Active Directory (AD) – AD のすべてのアカウントに対して定期的な監査を行い、目的に応じて必要以上のアクセス権を持つアカウントがないことを確認します。退職した従業員のアカウントは、直ちに無効化してください。
- すべてにパッチを適用 – Windows およびその他のソフトウェアを最新の状態に保ってください。これは、パッチが適切にインストールされているかどうかをダブルチェックすることを意味します。特に、インターネットに接続するマシンやドメインコントローラなどの重要なシステムへのパッチの適用は重要です。
セキュリティリーダーに向けてのアドバイス
- 攻撃者が用いる戦術、手法、手順 (TTP) を理解し、差し迫っている攻撃を警告する兆候を見極める方法を把握しておきます。
- インシデント対応計画を継続的に見直し、IT 環境や業務の変化が反映されるように更新します。また、セキュリティ体制やリスクレベルへの影響を把握します。
- ネットワーク上のアクティビティ監視やインシデント対応に充てるリソースや専門知識が社内で不足している場合は、外部のサポートを受けてください。ランサムウェアは多くの場合、攻撃の終盤にリリースされます。したがって、専用のランサムウェア対策テクノロジーと、攻撃者が環境に侵入している、または侵入しようとしていることを示す TTP を検出するアナリスト主導の脅威ハンティングの両方が必要となります。
- 万が一、攻撃を受けた場合は、インシデント対応の専門家が 24 時間 365 日体制で攻撃の封じ込めと無力化を支援します。
今回の攻撃やその他の REvil 攻撃で使用されている戦術、手法、手順 (TTP) に関する技術情報は、関連記事ランサムウェア 「REvil」攻撃による影響と対策と攻撃者ごとに使い方が異なる RaaS「REvil」をご覧ください。
コメントを残す