2021年4月7日 / 最終更新日 : 2021年4月13日 Yuko_Asai スレットハンティング

ランサムウェアを潜伏期間内に検知するには

ランサムウェアとはなにか

昨年、某大手ゲーム開発企業が大きな被害を受けたというニュースが話題になったこともあり、「ランサムウェア」という言葉を聞いたことのある方も多いと思います。ランサムウェアは「身代金」を意味するransomと「ソフトウェア(software)」を掛け合わせた造語で、PCなどに存在するファイルを暗号化して鍵をかけて使えない状態にしたうえで、元通りにすることと引き換えに金銭を要求するマルウェアのことです。

暗号化するためにはまず、そのPCなどに侵入することができなくてはなりません。これは言い換えれば、ランサムウェアに感染する、ということです。

ランサムウェアは、標的型のメールや改ざんされた正規サイトを通じて感染するケースが非常に多いことが知られており、こういった不審なメールを開封したり、添付ファイルを開いたりしないようなトレーニングを各社実施していますが、最近では送られてくるメールの内容が本物のビジネス文書のコピーだったり、上司の名前が語られたりして、非常に気が付きにくいものとなってきています。マルウェア対策として最も効果が大きい「そもそも感染しないようにする」という方法が通用しないことも多いのです。

感染に備えた基本的な対処

常日頃からバックアップを取っておく

ランサムウェアに感染すると、これまで使っていたファイルが開けなくなります。犯人グループはこれによって通常業務を困難な状態にして、元の状態に戻す「身代金」を要求するわけです。「身代金」を支払わずにこの状況を元に戻す非常に有効な手段は、常日頃から「バックアップ」を取っておくことです。バックアップがあれば、そこから暗号化される前の状態を回復できますので、最小限のデータロスで復旧できる可能性があります。

潜伏しているランサムウェアの特定と対処

しかし、バックアップがあっても安心はできません。復旧できることとランサムウェアを駆除することは別の話で、一旦復旧ができたとしても、マルウェアが潜伏している状態であれば、再び暗号化されてしまう可能性もあります。すでにバックドアが作成され、攻撃者はいつでも好きな時にシステムに侵入することができる状態かもしれないのです。そのため、バックアップを用意すると同時に、潜伏しているランサムウェアを特定しそれに対処できるような準備が必要です。

メモリ常駐型のマルウェアを探せるか

ランサムウェアをはじめとした最近のマルウェアは日進月歩で高度化しています。

昨年猛威を振るった「Emotet(エモテット)」というマルウェアの名前をご存じかもしれませんが、これはマルウェアの中でも「ファイルレスマルウェア」と呼ばれる種類で、初期段階においてはマルウェアとしての本格的な機能を実装したファイルの実態がありません。

はじめは「ダウンローダー」と呼ばれるごくシンプルなファイルがシステムに送り込まれ、ダウンローダーによって外部から読み込まれたコードが通信内容として送られてきます。そして、メモリ上で起動されている、もとからWindowsに備わっている正式なプログラムに注入されて、正式なプログラムに寄生するような形で、PCのメモリ上に存在するようになります。これを「インジェクション」と呼んでいます。

こうなると、ファイルとしての実態がありませんので、ファイルをスキャンしてマルウェアを探すようなツールでは、探し出すことが困難ということになります。

このような「ファイルレスマルウェア」への対応を含めた対策が必要なのです。言い換えれば、メモリ上で稼働中のプログラムをスキャンできなくてはならないのです。

メモリをスキャンしてその結果を分析するタイプのマルウェア対策ソフトウェアは、実はごく最近開発されたというわけではなく、技法としては以前から存在していて、オープンソースソフトウェアの「volatility」はその代表格と言えるでしょう。

しかし、一般ユーザでは操作が難しく、手順が複雑であることから、広く普及しているとは言えません。また、「マルウェアの水平展開=ラテラルムーブメント」を調査するために必要な、複数台のPC内の状況を時系列でチェックするような仕組みを組み込んだものはさらに数が少なく、別々に用意したシステムの調査結果を人手でまとめるなどの作業が必要となることがあります。

Dwell Timeを短縮するには

Dwell Timeとはランサムウェアがネットワーク内で活動を始めるまでの潜伏期間のことです。この潜伏期間の間に攻撃者は、ネットワーク内のリソースの情報を収集し、攻略していきます。

マルウェアがシステムに侵入してシステム内にとどまる時間が長ければ長いほど、知らないうちに情報を詐取されてしまう可能性が高まり、それが次の攻撃の入り口を作る情報になることも少なくありません。

インシデント発生直前のアクションを見つけることでマルウェアを検知する従来の方法だけでは、十分な備えだとは言えないのです。

侵入されたとしても、Dwell Timeをできるだけ短くすることで、インシデントになってしまった時の被害を最小化し、二次災害を防ぐことが、現在のマルウェア対策の非常に重要なポイントの一つです。

ランサムウェア対策ソリューション

メモリスキャンの脅威ハンティングツール「ThreatSonar」のページはこちら

ランサムウェアへの対応を強化したThreatSonarアップデートのニュースはこちら



カテゴリー
スレットハンティング
スレットハンティング
TEAMT5

前の記事

マルウェア監視分析ツール「ThreatSonar」が
ランサムウェア対応を強化
2021年4月7日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

私のデータは大丈夫、かな
2021年4月8日