POQA magazinePOQAがお届けするITお役立ち情報
皆様はランサムウェアをご存知でしょうか?
2024年1月に公開された、IPAの「情報セキュリティ10大脅威2024」では堂々の1位、しかも2016年に10大脅威にランクインしてからというもの、9回目のランクインとなっています。
セキュリティ対策方法が向上する共に、ランサムウェアの手法も進化し、昨今では「ノーウェアランサム」や「LotL型ランサムウェア」なども登場しています。
今回は、「LotL型ランサムウェア」の脅威について、ご説明してまいります。
LotL型ランサムウェアの脅威
LotL(Living Off The Land)は、日本語では「自給自足型」や「環境寄生型」と訳されます。
LotL型攻撃手法の場合、攻撃者は、OSに装備されているツールなど、「通常、自分の端末/自組織の中にあってもおかしくないツール」を利用して攻撃を仕掛けます。
LotL型攻撃の恐ろしい部分は、「攻撃かどうかを判断しづらい」ところです。
例えば、攻撃に使用されてしまう代表的なツールは「PowerShell」です。
「PowerShell」自体はMicrosoft社が開発した正規のスクリプト言語およびキャラクターユーザーインターフェイス(CUI) です。
PowerShellを利用すると、コマンド入力だけで、WindowsOSへ直接命令をすることが可能です。
仮に攻撃者が使っているのが、組織内で絶対に利用されていないアプリケーションであれば、セキュリティツールは直ちに攻撃を検知し、それを削除するでしょう。
ですが、攻撃に利用されているのがPowershellである場合、Powershellの利用自体は組織内の利用者正規利用ということもあり得ますので、セキュリティツールは直ちに「攻撃である」と判断できません。
LotL型ランサムウェアは、こうした手法で組織のデータを詐取、暗号化し、脅迫を仕掛けてくる手法を指します。
どのように対策を行うべきか
LotL型攻撃を予防するための手法を、運用の面と、システムの面で1つずつご説明いたします。
①ホワイトリストを作成し、自社内で利用しないソフトウェアを排除すること
サイバー攻撃に利用された履歴のあるツールで、もし自組織内で利用者がいないことが確定しているものがあるのであれば、
・アンインストールする
・アプリケーションのインストールをコントロールできるのであれば、ブロックする
などの対策が有効です。
また、ここで指す「ツール」は「攻撃のためのツール」と「攻撃後、詐取した情報を持ち出す先⇒クラウドストレージサービス」の両方を指します。
利用しないクラウドストレージはシステム側から利用を禁止してしまいましょう。
仮に攻撃を受けることとなったとしても、情報流出を防ぐことが可能です。
攻撃に利用されたツールは、各種情報発信サイトで知ることができます。
日々の情報収集が大切ですね。
②攻撃の流れ全体を分析できるセキュリティソフトを導入すること
従来の情報セキュリティ対策は、「既知のマルウェアを検知、排除する」機能がメインでした。
ですが上述した通り、LotL型攻撃の場合、攻撃専用のマルウェアを利用して攻撃をしてくるわけではないため、これでは防ぐことができません。
LotL型攻撃を検知するためには、端末やネットワークの動きを監視するだけでなく、「組織のインターネット内で検知された動きを総合的に分析する」タイプのセキュリティツールを導入する必要があるでしょう。
ただ、攻撃の手法は日々進化していますので、これらの手法が有効なのかどうか、日々情報収集を続ける必要があります。
さいごに
サイバー攻撃の手法は日々巧妙化しています。
以前の記事でもご紹介した通り、狙われる組織は、政府や大企業だけではありません。
別の組織とのつながりがある限り、中小企業も、攻撃の対象たりえます。
攻撃に対して、自組織でどのような対策を取るべきか考えること、自組織が利用しているセキュリティツールがどういった機能を有するのか確認することが大切です。
過去のランサムウェア関連の記事はこちら。
