SamSam ランサムウェア攻撃に備える

ソフォスは 2018 年 7 月 31 日火曜日、組織全体に甚大な被害をもたらす可能性のある高度なランサムウェア SamSam に関する調査報告書を発表しました。ソフォスの報告書は、これまで作成されたものの中で最も大規模で包括的な報告書となっています。

SamSam は他のランサムウェアとは異なり、スキルのあるチームまたは個人による標的型攻撃で比較的限定的に使用されます。攻撃者は、システム管理者が正規ソフトウェアを導入するときのように、標的ネットワークに侵入し、調査してから SamSam を配備し、実行します。

この特殊な攻撃手法は、攻撃側と防御側のどちらにも利点があります。

攻撃者が標的にするのは狙いやすい相手であるため、防御側がいくつかの基本事項を守っていれば、SamSam 攻撃から身を守れる可能性は高まります。

一方、攻撃側にとっては、標的の組織内にいったん足場を築いてしまえば、短時間に感染を広げることができるというメリットがあります。攻撃者は、攻撃対象よりも高い権限を持つドメイン管理者としての操作が可能になるまで SamSam の展開を開始しません。

SamSam の攻撃者は、攻撃中も戦術を変更することが確認されています。また、最適な戦術を決定するのに数時間、時には数日を費やすこともあります。あるアプローチが成功しなければ、次々に別のアプローチを試します。セキュリティソフトウェアによって SamSam の実行が停止させられた場合には、そのソフトウェアを無効にする方法を探します。

SamSam の調査結果を受け、すべてのソフォス製品で提供されている保護機能がさらに強化されました。またソフォスは、サイバー脅威アライアンス (CTA: Cyber Threat Alliance) への参加を通じて、競合他社の知見の恩恵を受けること、そして業界パートナーと共に得た情報を共有することができ、全ユーザーのセキュリティ対策の強化につながっています。

ソフォスは、現時点で SamSam に対して最も効果的な保護機能を提供できるのはソフォス製品であると考えますが、すべての優れたセキュリティソフトウェアがそうであるように、ソフォス製品が最も効果を発揮するのは多層型防御戦略の一部として導入されている場合です。

本記事では、この戦略を構成する他の重要な層について、また SamSam ランサムウェア対策に役立てる方法について検証していきます。

可能な限り狙われにくい標的になる

トラブルを避ける最善の方法は、そもそもトラブルに遭わないことです。

これまで分かっている限り、SamSam の攻撃者はインターネット接続しているサーバー (特に JBoss アプリケーションサーバー) を悪用するか、RDP (Remote Desktop Protocol) パスワードに対して総当たり (ブルートフォース) 攻撃を実行するかして標的のネットワークに侵入しています。

パッチ

上記のアプローチは攻撃当時最も成功率が高く便利な方法であったため、SamSam 攻撃で使用されていると考えられます。しかし、新たなエクスプロイトなど、より有効な方法が発見された場合には、別のアプローチに切り替えると考えるのが自然です。

したがって、特定の脆弱性へのパッチ適用を重視するのではなく、オペレーティングシステムとその上で実行されるすべてのアプリケーションについて厳密なパッチ適用手順を守ることが推奨されます。

RDP へのアクセスを制限する

適切に保護されていない RDP は、SamSam の攻撃者だけでなく、あらゆる種類の攻撃者にとって魅力的な標的となります。RDP による攻撃から組織を保護するには、次の手順を実行することをお勧めします。

• 本当に必要なスタッフだけに RDP へのアクセスを許可する。
• ドメイン管理者アカウントに RDP の使用を許可しない。
• 多要素認証を必須にする。
• 休眠状態にあるアカウントを保護するための合理的なポリシーを定める。
• セキュリティポリシーエディタを使用して、パスワードの再試行を制限する。
• 何度もログインに失敗した場合は、そのアカウントを自動的にロックする。
• スタッフに VPN 経由で RDP にアクセスさせる。
• 特定の IP アドレス、範囲または地域に限って VPN アクセスを許可する。
• 推測されにくいパスワードを選択する方法 (リンク先英語) とパスワードを再利用することの危険性をユーザーに周知する。
• 安全なパスワードマネージャーの使用を従業員に奨励する。
• スタッフのパスワードをテストして、強度を確認する。

攻撃者の視点でネットワークを検証する

SamSam の攻撃者が戦術を変えないという保証はありません。したがって、自社のネットワークが攻撃者の目にどのように映るのかを把握しておくことが重要です。そのためには、定期的に脆弱性スキャンと侵入テストを行い、Censys や Shodan などのサードパーティツールを使用して定期アセスメントを実施し、一般公開されている IP アドレス空間の公開アクセス可能なポートとサービスを特定します。

「最小権限の原則」を適用する

ネットワークにアクセスした SamSam の攻撃者は、ハッキングツールとエクスプロイトを組み合わせてドメイン管理者の権限を取得しようとします。

あるアプローチでは、ログイン時にメモリからドメイン管理者のパスワードを盗む目的で認証情報収集ツール Mimikatz が使用されます。

権限昇格には数日を要することがあり、時間がかかれば、それだけ侵入者を検出できる可能性は高まります。攻撃者を封じ込めるためには、最小権限の原則に従って、ユーザーアカウントに必要最小限のアクセス権を付与する必要があります。たとえば次のようにします。

• ソフトウェアをインストールする必要がないユーザーには、管理者権限を付与しない。
• ドメイン管理者アカウントは、管理作業に使用する。メールや Web 閲覧には使用しない。
• 可能であれば、ドメイン管理者アカウントの使用よりも、ドメイン権限への昇格を優先する。
• SQL データベースなどの重要なサービス用のサービスアカウントに、バックアップへのアクセスを許可しない。
• 最小限のグループだけに重要なシステムへのアクセスを許可する。
• C$ や他の共有へのアクセスを可能な限り制限する。

Microsoft の階層モデルなど、特権アクセスのモデルやアプローチを便利だと感じるかもしれません。また、隠れたリスクを特定・排除するのに役立つ BloodHound のようなツールも存在します。

最小権限の原則はソフトウェアだけでなくアクセスにも適用されます。

PowerShell、PsExec、PAExec などの管理ツールや、Mimiktaz などの PUA (不要と思われるアプリケーション) を攻撃中に頻繁に使用する場合、アプリケーションコントロールテクノロジーを適切に構成することが極めて重要になります。

JavaScript や Powershell などのスクリプト言語や PsExec などの管理ツールは、必要のない所ではブロックするか、常時ブロックしておいて必要に応じてブロックを解除する必要があります。

調査報告書の技術的な詳細セクションには、SamSam 攻撃で確認されたソフトウェアに関する詳しい情報が記載されています。

攻撃を受けるのは時間の問題だと心得る

SamSam 対策を検討する際には、SamSam ランサムウェアが実際に実行されるのは攻撃の最終段階であることを覚えておく必要があります。その段階に至るまでの間、あなたが相手しなければならないのはネットワーク上で強大な権限を持ち、防御策にも対抗できるスキルを持った侵入者かもしれません。

侵入されてから何が必要で何をすべきかを判断するのでは遅すぎます。適切な準備を整えておくためには、「セキュリティを侵害されたらどうするか」ではなく「セキュリティを侵害されたときにはどうするか」を考えなくてはなりません。

通常とは異なるアカウントアクティビティなど、ネットワーク上の異常なイベントをリアルタイムで監視し、対応する能力のあるスタッフとソフトウェアを用意する必要があります。

自動化、レポート作成、相互運用性へのアプローチが適切なソフトウェアを選択することが重要です。

ソフトウェアのレポート作成機能や他のセキュリティソフトウェアと通信する機能は、スタッフが困るほど大量の情報ではなく、必要十分な情報を提供するものでなければなりません。

自動化の機能を重視すべきなのは、SamSam が短時間で最重要ファイルを最初に暗号化するように設計されているからです。SamSam は通常、そのタイムゾーンのユーザーと管理者が眠っている時間帯である深夜や早朝に起動されます。

攻撃が成功した場合、何が起きるのか

SamSam 攻撃によってネットワーク上のコンピュータを暗号化されてしまった場合に備えて、直ちに再稼働を開始できるようにしておく必要があります。また、そのような事態が二度と発生しないようにするには何をすべきなのかを理解しておく必要があります。

SamSam は大半のランサムウェアとは違い、ドキュメントファイルとデータだけでなくアプリケーションと構成ファイルも暗号化します。したがって、データを復元するには、コンピュータのオペレーティングシステムとアプリケーションを再インストールまたは再イメージ化する必要があり、事前に準備できていない場合には復元に時間がかかります。

SamSam 対策としてのバックアップ戦略を策定する際には、火災や洪水の発生時に直面する課題について考えることが役立ちます。たとえば、「必要最小限の業務を継続するには何台のコンピュータが必要か」、「それらのマシンの復旧にはどれくらいの時間を要するか」、「通常業務には戻るにはどのくらいかかるか」などの問題です。

攻撃に耐えることができたとしても、コンピュータを迅速に復元できなかったために、結局身代金を支払う事態になるのは困ります。

同様に、ネットワーク上のドメイン管理者がバックアップにアクセスできるのであれば、ドメイン管理者の権限を取得した攻撃者もバックアップを破壊したり暗号化したりできることも忘れてはいけません。

そこで、次のようなバックアップ戦略が必要になります。

1. データだけでなく、必要なマシンすべてを復旧させる方法を決定しておく。
2. 攻撃者から物理的に隔離される場所に、オフラインかつオフサイトのバックアップを作成する。

最悪の事態が発生した場合に備えて、「何が失われたのか」、「攻撃者はどのように侵入したのか」、「再発を防止するには何をすればよいのか」といった質問に答えられるように、レトロスペクティブ分析に必要な情報を収集しておく必要もあります。

関連資料

SamSam の歴史と仕組み、および SamSam 対策の詳細については、ソフォスが発表した最新の調査報告書『SamSam: 600 万ドル近くの身代金を手にした SamSam ランサムウェア』をお読みください。

ソフォスは現在も SamSam の調査を継続中です。SamSam に関する情報をお持ちの方や合同調査に関心のあるセキュリティベンダーの方は、ソフォスまでご連絡ください。