新たな脅威:WannaCryを始めとしたランサムウェアの予防、検知、対応

1.一般的なマルウェア防御のアドバイス
2.予防と検知のための技術的なアドバイス
3.対応アドバイスFAQ
関連記事
TISプラットフォームサービス
お問い合わせ

本記事はTrustwave Blog（米Trustwave社発行）の2017年5月16日発行の記事を、米Trustwave社の許諾を得てTIS株式会社が日本向けの翻訳（一部意訳）したものです。
原文はこちら↓
https://www.trustwave.com/Resources/Trustwave-Blog/Dry-Those-Tears--A-Primer-on-Preventing,-Detecting-and-Responding-to-Ransomware-Like-WannaCry/

Dan Kaplanによる掲載

2016年のランサムウェアの活発な活動をみると、被害が単発的なものから全世界的なものへ広がるのは時間の問題でした。
１週間の業務を終え、帰宅する準備をしていた頃、WannaCry ランサムウェアワーム(またの名をWana、WannaCrypt、WCry)は、歴史上最大規模のサイバー犯罪へ発展していました。この攻撃は、重要なシステムを止め、機密データへのアクセスを妨害し、病院を含む世界中の重要な企業の数十万に及ぶPCに影響を与えました。
PCを暗号化し金銭の要求 (ビットコインで$600まで) を含むWannaCryの影響は、ウイルス感染に至る、ランサムウェアの事象としては特別なものではありませんでした。違っていたのは、エクスプロイト・キットや被害者を感染させるフィッシングメールに依存する殆どのランサムウェアとは異なり、拡散させるために、ワームの侵入を許すMicrosoft Windows SMB脆弱性を利用していたことでした (通称"Eternal Blue"正式にはMS17-010と呼ばれます)。Microsoftは3月にサポート中のWindowsでの問題を修正しましたが、多くの企業で未だ広く使用されているXPを含む、古いOSプラットフォームにはパッチを配布しませんでした。これにより、攻撃が広がる準備が整ってしまいました。

幸運にも、このパッチと不用意に設置された“キルスイッチ”の存在が、歴史的なサイバー攻撃となった今回の被害範囲を縮小する事に役立ちました。しかし、専門家はキルスイッチを外した変異型が登場し、今後も企業を攻撃し続けるだろうと予期しています。
弊社（Trustwave）が以前お話しした通り、ランサムウェアは犯人にとって非常に利益になるため、脅威がWannaCryであれ他の何かであれ、熱意をもって攻撃が続けられるでしょう。今後、企業は予防、検知、対応をより優先度を上げて対応しなければなりません。
ここに我々からのアドバイスをお伝えします。

１．一般的なマルウェア防御のアドバイス

物理的または理論的に隔離されているメディアを使って重要なデータの定期的なバックアップを行ってください。アクセス可能なネットワーク共有でのバックアップは感染の可能性がある事も忘れないでください。
OS、ブラウザー、サードパーティー・ソフトウェア、Java、Adobe Flash、Reader、Microsoft Office等のプラグインにセキュリティパッチを定期的に適用して下さい。
全ての環境で最新のシグネチャーが適用されているアンチウイルスソフトを実行して下さい。
Trustwaveが提供するSecure Web Gatewayを使ってブラウジングして下さい(Secure Web GatewayはIPおよびドメインのブラックリストやWeb調査コントロール機能があります)。
Emailの送受信はTrustwaveが提供するSecure Email Gatewayを使用して下さい。
最小特権の原則を実践して下さい。可能であれば常時一般ユーザーにシステム内の管理者権限を許可しないでください。
ブラウザーのポップアップ・ブロッカーを有効化して下さい。
可能であれば常時Windowsスクリプト・ホストを無効化して下さい。
Torや他の匿名ネットワークからのトラフィックをブロックして下さい。
SMBトラフィックを境界となるファイアーウォールで、SMBv1トラフィックをLANで、それぞれブロックして下さい。
組織全体の職員にセキュリティー教育を実施して下さい。

２．予防と検知のための技術的なアドバイス

Trustwaveはお客様に、多くのTrustwaveセキュリティー製品によるWannaCryや他のランサムウェアに対するアクティブな防御を提供します：

Trustwave Secure Email Gateway
Trustwave Secure Web Gateway (デフォルトのSWGにより、マルウェアが使用を試みる如何なるTorベースの通信もブロックします)
Trustwave Managed Detection & Response (MDR) for Endpoints
Trustwave Vulnerability Scanner（脆弱性スキャナー）

3.対応アドバイス：Trustwave SpiderLabsのセキュリティコンサルタント、ルーカス・ドネイトによるQ&A

今までこのブログ記事でランサムウェア攻撃を回避するための、多くの優れたヒントをリストアップしてきました。しかし、もしウイルスに忍び込まれたら、先ず最初に何をすべきでしょうか？

（ルーカス）感染した機器をインターネット接続から切断し、あなたのネットワーク内の異常挙動の監視から初めて下さい(インターネットのみならず、Torプロトコル等の様な疑わしいアウトバウンド接続も)。また最新のアンチウイルス定義やセキュリティアップデートを適用しようとする時はSMBv1の様な脆弱なプロトコルもブロックして下さい。ただし、ここで上げた推薦事項全ては、実施した時の影響が考えられますので、影響を分析し、実施可能かを判断してください。

理想としてはManaged Detection & Response (MDR) for Endpointsサービスに頼るべきです。このサービスによりあなたの企業は、これらの攻撃に対して積極的に識別、対応、修正、捜索する事が出来ます。このサービスは、自動化されたシステム相関分析や異常行動分析をを行い、問題への対処を行います。

もしどの機器が感染したかわからない場合はどうすればよいでしょうか？

（ルーカス）WannaCryのような感染のケースでは、ネットワークとWebゲートウェイを監視することで、Torの様な疑わしいトラフィックを探し、ランサムウェアの既知のコマンド＆コントロールサーバーまたはランサムウェアのキルスイッチのURLを探すことができます。これらの接続先は、アクセスすることで感染する可能性があります。その他のケースでは、エンドポイントの疑わしいプロセス、他のホストへの接続、CPUまたはメモリのリソースの異常な使用を監視する事が大切です。前述のMDRサービスはこの部分であなたのサポートを行います。最後に内部IPアドレスレンジのスキャニング、Nmapスクリプティングを利用するような(MS17-010脆弱ホストを探すために) 特定の脆弱性の調査をサポートする、無料セキュリティー・ツールもいくつかあります。

環境全体に渡って更に拡大するランサムウェアの感染をどの様に止める事ができますか？

（ルーカス）殆どの場合、インテリジェント・セキュリティー・エンドポイント・ソリューションを使って、マルウェアに関する(感染の)プロセスを妨害し、仮想パッチを適用する事が可能です。以下のステップにより感染の拡大を止める助けになります：

インターネットに接するファイアーウォールでSMB Port 445をブロックして下さい(WannaCryで利用された脆弱性はSMBに関連しています)。
アンチウイルスのシグネチャーを更新して下さい。AVベンダーはウイルスや他のランサムウェアの亜種の防御を提供します。
全てのWindowsシステムはアンチウイルス製品が実行されている事を確認して下さい。
必要であればLANのSMBv1トラフィックをブロックして下さい。
Tor (ダークweb) トラフィックをブロックして下さい。
Windowsシステムに最新のアップデートを行って下さい。特にWannaCryを停止させるMS17-010を適用して下さい。
ランサムウェアの既知のコマンド＆コントロール(C&C)サーバーへのアクセスをブロックして下さい。
感染した機器は、必要に応じて当てはまる場合は、接続を切断または隔離して下さい。代わりに、これらの機器の宛先ポートTCP 139/445/3389の接続をブロックして下さい。
マルウェアのキルスイッチ・ドメインへのアクセスはブロックしないでください(これはWannaCry固有のものです)。

以前からデータのバックアップを取っていたらどうすれば良いですか？それともしバックアップを取っていなかった場合はどうすれば良いですか？

（ルーカス）まずは、リストアの前に機器がクリーンアップされている事を確認してください。WannaCry に限っては、今直ぐにセキュリティーパッチを適用出来ないのなら、少なくともファイアーウォールまたは同様の機器が、これらのホストの危険なポートやプロトコルへのアクセスを制限する様に設定されている事を、少なくとも確認して下さい。残念ながら、バックアップとっていないのなら、リカバリする事は出来ないでしょう。

ここが議論の的となるポイントですが、攻撃を受けた場合、再びシステムやデータへアクセス出来る様になるために攻撃者と交渉または金銭の支払いをすべきでしょうか？

（ルーカス）よく考える必要があります。あなたが金銭を支払えば、あなたはサイバー犯罪者のエコシステムの成長を助長する事になります。また、あなたが金銭を払った事を知れば、犯罪者達はあなたの企業を再度ターゲットにする可能性があります。一方で、あなたがバックアップを持たず、また金銭を支払わなければ、あなたはデータを失う可能性があります。

あなたがデータ違反通知法（米国法律）に縛られていると仮定して、あなたはランサムウェア攻撃をレポートする事を法的に求められているのでしょうか？

（ルーカス）私達はいつも被害の通知義務に関して、弁護士に相談する様にアドバイスしています。

フォレンジックや調査の観点からあなたの義務は何ですか？

（ルーカス）顧客が被害をレポートする法的義務がある場合は、調査は法的に健全な方法で行われる必要があります。これは被害に関連する証拠を特定し保存する事を含みます。証拠となる情報は、ネットワーク機器ログ、SIEMログ、全ての侵害を受けたシステムからの直接のログを含みます。あなたが被害のレポートを義務付けられていないなら、これはビジネスのリスクに基づく決定になります。

インシデント・レディネス(準備)計画を通して、事前にこのようなインシデントの練習をしていれば、プロセス全体をはるかにスムースに出来ると思いますか？

（ルーカス）勿論です。ランサムウェア攻撃とマルウェアの爆発的発生の机上訓練は大切です。あなたがCSIRTを設置し、正しいツールと整ったインシデント対応計画を持っているなら、これらの脅威に対して非常に対処しやすくなります。

最後の質問です。これはパッチに関するものです。多くの人はパッチ適用やWindows XP以上のOSへのアップグレードしていない為にWannaCryに攻撃された会社を批判していますが、複雑さ、コスト、ダウンタイムのリスク等の理由で、アップデートする事は難しい場合もあります。これをどの様に乗り越えればよいでしょうか？

（ルーカス）少なくとも、脆弱性のレベルが"critical"や"high"のものについては、公開されてから適用までの期間を短くできるようにしてください。何らかの理由でパッチを適用出来ない場合、アプリケーションを統制してコントロールされた端末で作業するべきです。WannaCryの場合、幾つかの代替案を実施することができます：仮想パッチ、IPSシグネチャー、ネットワーク・セグメンテーション、ホストおよびネットワーク・ファイアーウォール、Webゲートウェイ上のセキュアー・フィルタリング、Emailゲートウェイ等です。