RaaS 対策とセキュリティ原則

Colonial Pipeline 事件の教訓

RaaS 対策といえば、まず、EDR、SIEMといったセキュリティ製品の導入があげられる。しかし、セキュリティ対策は、まず、組織固有の脅威分析があり、その上で、個々の脅威に対して多層的な対策をとることが重要であって、セキュリティ製品はその中の一つのコンポーネントに過ぎない。
2021年5月に Colonial Pipeline が 犯罪グループ DarkSide に440万ドル支払った事件では MFA が展開されていないレガシーな VPN から従業員の ID/Password で堂々と表から侵入されたと推測されている。従業員の ID/Password は以前に、侵害された別のWebサイトから盗まれ、インターネットに暴露されていたようである。
また、このケースでは侵入から暗号化まで8日間かかっており、その間に検出がなされなかったという事実がある。同社のCEOは、ウォールストリートジャーナル紙のインタビューで以下のように語っている。

440万ドルの身代金支払いを許可したのは、サイバー攻撃によるシステム侵入の程度、ひいてはパイプラインの復旧にどれだけの時間がかかるか、幹部たちには分からなかったからだ。

RaaS対策の一環としてのセキュリティ製品の導入は必要であるが、そこだけで満足してしまうと思わぬ落とし穴ができてしまう。そのための防御を検討したい。

完全な整合性のあるバックアップの取得

攻撃側はシステムとデータの暗号化を行うのであるから、バックアップがあれば復旧は可能である。
但し、次の項目が確実に確認されている必要がある。

  • 復旧に備えて、適切な間隔で自動的にバックアップが取得されている
  • バックアップはクラウドやオフサイトに転送されており、適切に保護されている
  • 変更管理が反映された手順書が作成されており、実際の復旧をテストしている

また、バックアップのオペレーター ID は、Default アカウントである Backup Operator や Administrator を使用せず、異なる ID をアサインし、長いパスフレーズを設定し強化することも検討したい。

重要データの暗号化

二重脅迫ではデータを窃取し、そのデータの公開を迫ってくるが、重要データは常時暗号化されていれば、攻撃側は公開できず、脅迫が成立しなくなる。Office文書などは、ライツマネジメント機能やパスワードによる暗号化が考えられる。データベースについては、DBの暗号化機能、ストレージの暗号化、アプリケーションでの暗号化が考えられるが、特権昇格を許したり、鍵管理が杜撰だと突破されてしまう可能性がある。攻撃側は長期間、潜伏して重要データを探索することを前提に、システム全体の脅威分析を行い、Key Management Service や Key Vault を活用することが望ましい。

RaaSとセキュリティ原則

RaaS対策を考える際に、セキュリティ原則に立ち返って検討することは重要である。

  • 最小特権に基づく運用
  • 知る必要性に基づくアクセス制御
  • 機器やソフトウェアの把握と保護の適用

最小特権に基づく運用

管理者権限で運用している PC にマルウェアが侵入すれば、マルウェアは管理者権限で資格情報を取得し、管理者権限で自分自身をレジストリやタスクスケジューラに登録し、アンチウイルスを停止でき、ファイル共有やEDP接続を利用し水平展開して複数のシステムの暗号化が可能となる。
一方で、標準ユーザーで運用していればマルウェア自身のインストールに失敗したり、C&C サーバーからエクスプロイトキットのダウンロードを阻止できる、もしくは攻撃展開の遅延を図ることが可能となる。タスクスケジューラやレジストリの書き込みができなければ、自分自身を再起動できず、攻撃は局所的かつ限定的に終了するかもしれない。もちろん、防御設定をバイパスするテクニックもあり、これがすべてではないが、侵入後、一瞬にして PC のデータの暗号化は防ぐことが期待できる。

知る必要性に基づくアクセス制御

アクセス権がなければ暗号化や改ざんは不可能である。従って、(攻撃者に公開されては困る)重要データに対して、知る必要性がないアカウントにはアクセス権は与えるべきではない。
ところが、システム管理者は、ほぼ、例外なくすべてのデータやシステムに対して絶大な権限(フルコントロール:変更、読み取り、書き込み、実行)が与えられているという現実がある。従って、管理者の資格情報を窃取できれば、攻撃側はいとも容易に重要情報の暗号化が可能となる。
そこで管理者の重要情報に対するアクセス制御を考えてみたい。重要情報にアクセスできるのは、知る必要性に基づけば、関連システムや情報の作成者、利用者に限られるべきである。ここで、ランサムウェア対策としての管理者は業務的には、重要情報を知る必要はなく、唯一、バックアップのための読み取り権限があれば十分なはずである。(復旧権限は、異なるオペレーターに与えておき秘匿する。)
もちろん、管理者権限によってオペレーターの権限を変更される可能性はあるが、秘匿によって暗号の遅延は可能であろう。
このように、最小特権と知る必要性に基づくアクセス権限を設定することで、ランサムウェアに対して暗号化を阻止するシステムの構築は可能である。

機器やソフトウェアの把握と保護の適用

認識されていないものは保護できないことから、機器やソフトウェアの把握は、脅威対策として極めて重要である。 Colonial Pipeline のケースからも、侵入口となった VPN に MFA を設定しておけば、あのような大規模な災害レベルの事態に追い込まれることはなかった。
定期的な情報資産の棚卸と、定期的な保護(固有リスクの見直しと対策、脆弱性の是正、認証の強化、不要なデバイスやソフトウェアの排除)の適用は必須である。
見直しが適切になされなかったことが原因で広範な被害が発生したケースがある。2017年に起きたランサムウェア WannaCry の被害は、古いプロトコルを漫然と放置したために起きてしまった。原因となる脆弱性が指摘された SMBv1 は、なんと1984年に PC-DOS に初めて実装された SMB ダイアレクトの発展形であっり、マイクロソフトは2012年に SMBv1 の使用をやめるように呼び掛けていたが、実際には、日立、JR東日本、イオン、ホンダ、マクドナルドなどで被害が発生してしまった。
具体的な保護設定は「RaaS クイック対策」を参照されたい。