Minerva (ミネルバ)

ランサムウェアは他のマルウェアやサイバー攻撃とどう違うのか? 2022年5月19日 Minervaのブログから

サイバー攻撃は今も昔も変わりません。1980年後半に実際にあった話ですが、私の両親のX86コンピュータにピンポンウィルスが感染してしまい、スクリーン上にピンポンがあちこち飛び回っていたことを覚えています。結局、私の兄弟と一緒に何とか修正しました。その当時、サイバー攻撃というのは、複雑なハイテク技術が組み込まれて、誰にもわからない不吉な予兆という概念が強かった時代でした。しかしITが世の中にとって必要不可欠な時代に突入してから、サイバー攻撃は、金儲けの手段として変化してきました。

 

ある天才が趣味の一環で、人を驚かす手段としてのサイバー攻撃は昔の話です。現在は犯罪組織が合法企業になりすますことで、警察当局から追跡されにくい戦略でサイバー攻撃を仕掛けてきます。その結果、数百万ドル単位で恐喝するビジネスとなっているのが現状です。

ランサムウェアはあらゆるサイバー攻撃の中でも独特の脅威

ランサムウェアは他のサイバー攻撃とは少し異なります。攻撃者がターゲットを絞った企業を狙うときは、社内コンピュータ1台に暗号を仕掛けて身代金を要求することはしません。攻撃者はいくつかの段階に分けて攻撃を展開します。第一段階では、ネットワーク内へ不正侵入に成功してから、攻撃の足掛かりを作り、さらに奥深く浸透するために水平攻撃をしていきます。

 

もう少し例を挙げて説明しますと、数千台規模のコンピュータを導入している企業で、単体のコンピュータが攻撃にあって身代金を要求されたとしましょう。このケースでは、ある一人の従業員のPCが使用できなくなることで悪夢の日を過ごさなくてはなりません。しかし企業は1台のPCが攻撃されたからといって身代金を支払って、暗号化されたデータを取り戻す取引は現実的ではありません。

 

ランサムウェアが段階的に攻撃を仕掛けながら、最終的に800~1,000以上のPCを導入している企業の攻撃が成功した場合はどうでしょうか? 全PCが一気に暗号化され、企業が全く機能しなくなるレベルです。一人の従業員が途方に暮れてしまうストーリとは全く異なる次元のお話です。暗号化されたデータを回復する為に、数百万ドルの身代金を支払うことは、現実離れしているニュースであると思うことでしょう。

ランサムウェアはビジネス

被害者から手っ取り早く大規模な金銭を巻き上げる手段として、攻撃者は企業ネットワークへ不正侵入し、セキュリティ製品の検知を回避してランサムウェアを拡散させます。

 

 ランサムウェアは可能な限り長期間ネットワークへ潜んで活動を広げていきます。その為には、アンチウィルスソフトの検知を回避クリアし、さらにEDRを導入している企業については、このセキュリティ製品からの検知も回避していくハードルが待ち構えているのです。これらのセキュリティ製品がランサムウェアを検知できないとなると防御はできないという結論に達してしまいます。

暗号化は最終攻撃段階で実行

ランサムウェア攻撃のプロセスにおいて、被害者のファイルを窃取して暗号化できるような態勢は、攻撃の最終段階に辿り着いたことを意味しており、そこまで到達するためには、長い道のりがあります。まず攻撃する相手を調べることから始まり、次に不正な手法で相手のネットワーク侵入に成功後、少しずつ目立たずに攻撃を拡大しなければならない過程があります。ネットワークを乗っ取ることに成功したら、データを盗んで暗号化するのが最終段階でランサムウェアのミッションは完了です。

ランサムウェア攻撃チェーン

既知のランサムウェアは、多くのセキュリティ製品によって検知されるかもしれません。ハッシュとシグネチャーベースでセキュリティデータベースに登録されると、次回攻撃されても防御されやすくなります。今までに登場していない未知のランサムウェアならどうでしょう? 今までに検知されたことにないゼロディ攻撃の場合は、簡単に通常のセキュリティ製品を素通りして攻撃を仕掛けられるでしょう。

新たなアプローチが必然

世界中でランサムウェアが蔓延している状況の中、現状のセキュリティ製品で防御することは非常に困難であり、新たな防御手法が求められます。初めにランサムウェアが侵入しても検知回避行動させないこと、次に攻撃を実行する前に先制防御できる機能が重要です。最近のランサムウェアは、攻撃を開始するとEPP/EDR/XDRなどの防御機能を無効化してしまうことがあります。

 

企業のシステムがランサムウェア感染により一部のネットワークが数週間シャットダウンしてしまったり、又はネットワークが完全にシャットアウトしてしまう状況は現実的にあり得ることを認識する必要があります。

Minervaはランサムウェアを先制防御、他のセキュリティ製品に不足している機能を補完

Minervaはランサムウェア防御モジュールを搭載しており、ランサムウェアがセキュリティ製品からの検知を回避しようとしてもランサムウェアを制御して先制防御します。またEDR/XDR/EPP製品などと併用することにより、より一層のセキュリティ強化にもなります。

Minerva製品(Minerva Armor)についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。

HOME