はじめに

　今、最も警戒する情報セキュリティ上の脅威は何かと問いかけた場合、「ランサムウェア」と答える企業がとても多いでしょう。世界中でランサムウェアの被害が相次いでおり、日本でも複数の病院で業務が止まるなど未曾有の脅威となっています。IPA(情報処理推進機構)が毎年発行している情報セキュリティ10大脅威で、2021年から2023年にかけて3年連続で「ランサムウェアによる被害」が第一の脅威と位置付けられています。

　本記事では、昨今のランサムウェアの動向と手法そしてその対策まで、ネットワークセキュリティの観点から解説します。（入門編全2回、第2回はこちら）

▼ 目次
１．ネットワークセキュリティが有効
　　● ネットワークへの初期侵入
　　● ネットワークスキャン（内部の探索）
　　● ラテラルムーブメント（攻撃の横展開）
　　● 情報の窃盗、データの暗号化と身代金要求（ランサム）
２．ネットワーク視点での課題

１．ネットワークセキュリティが有効

　サイバーセキュリティの対策には、端末、アプリケーション、データ、ネットワークなど多くのソリューションがあります。中でもネットワークセキュリティは、ランサムウェアへの対策として有望視されています。なぜなら、昨今のランサムウェアは「侵入型」もしくは「標的型」と言われ、ネットワークへの侵入を伴う攻撃手法をとるからです。

　それを理解するために、ランサムウェア攻撃ステップを１つずつ見ていきたいと思います。

【ネットワークセキュリティの観点から分類したサイバー攻撃のステップ】

1. ネットワークへの初期侵入
2. ネットワーク探索（内部の探索）
3. ラテラルムーブメント（攻撃の横展開）
4. 情報の窃盗、暗号化と身代金要求（ランサム）

図 1. 攻撃者の一連の行動

１．ネットワークへの初期侵入

　まず攻撃者は標的とした組織のネットワークへ侵入を行います。

　ネットワークへの侵入経路としては、リモートアクセス関連のシステムが特に初期侵入の被害にあっています。警察庁広報資料「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和4年上期に実施されたアンケートの結果では「VPN（仮想専用線）機器からの侵入」が最も多く68%、次いで「リモートデスクトップからの侵入（15%）」となっていました。

　昨今は働き方改革やパンデミック感染対策のためにテレワークが飛躍的に普及したため、この点はより注意が必要だと言えます。他にも公開サーバーの脆弱性をつく、サプライチェーン経由で侵入してくるなど、初期侵入の方法は非常に多様で高度です。

 

２．ネットワークスキャン（内部の探索）

　攻撃者が初期侵入に成功して、組織のネットワーク内部に入り込めたとしても、被害には直結しません。なぜなら攻撃者はまだ目当てのデータを見つけていないからです。攻撃者は、まず攻撃範囲の拡大を図るためにネットワークのスキャンを行います。

　ツールを使い、ネットワーク内で到達可能なサーバーのIPアドレス、ポート番号などが存在するかを見つける、共有されているファイルの情報やアカウントの情報を集めるなどして、組織のネットワーク内で身代金要求につながる標的を見つけ出します。

 

３．ラテラルムーブメント（攻撃の横展開）

　探索によって、到達可能なサーバーとアプリケーションが明らかになったら、攻撃者は本格的に攻撃行動をとります。これがラテラルムーブメントです。

　わかりやすい例では、RDPやSSHなどのサーバー管理用の通信プロトコルを使って到達可能なサーバーに接続しログインするという手法が挙げられます。それ以外にも、ファイル共有の悪用やリモート管理用サービスの脆弱性を突いて接続を確立するような手法もあります。

　文字通り、攻撃者が組織の中をラテラル（＝水平に）ムーブメント（＝移動）によって、目的とするデータに到達するのがこのステップです。

 

４．情報の窃盗、データの暗号化と身代金要求（ランサム）

　ラテラルムーブメントによってネットワーク内を動き回り、目当てのサーバーとデータに到達したら、攻撃者は特権の掌握を行い操作権限を入手します。そして外部のサーバーと接続を確立し、そこにデータを送ることでデータ窃盗を行います。

　この窃盗されたデータは身代金を払わなければ、ダークウェブなどを通して公開されてしまいます。さらにファイルが暗号化され、サーバーが利用不可能になるランサムウェアを実行します。この様に窃盗と暗号化の2つを組み合わせて脅迫を行うことを二重脅迫と呼びます。

　なお、これに加えてDDoS攻撃を仕掛ける三重脅迫、メールやコールセンターなどから脅迫の連絡をかける四重脅迫も確認されています。ここまで来ると攻撃は完了し、標的となった組織は身代金を払うかどうかという選択を突きつけられることになります。

図 2. 攻撃は二重脅迫が多いが、四重脅迫も確認されている

２．ネットワーク視点での課題

　上記のように、侵入型ランサムウェアは非常に多くの手法を組み合わせた高度な攻撃です。特に大きな課題として挙げられるのは、内部ネットワークにおける攻撃者の行動を把握、対策できていないということです。上記の通り、初期侵入の経路は高度複雑化しているため、攻撃者が自社ネットワークに侵入済みという状況を想定する必要があります。そこで有効な、ネットワーク内部の通信制御を行うテクノロジーがマイクロセグメンテーションです。この技術を採用する企業が世界中で増加しています。

　漫画でよりわかりやすくまとめております。以下よりご覧いただけます。

入門編１のまとめ

• ランサムウェアの攻撃は侵入してからが長い
• 侵入経路は多様で複雑、全ての侵入経路を塞ぐのは困難
• ランサムウェア侵入後の内部ネットワークを制御することが有効
• 内部の通信制御技術のマイクロセグメンテーションが台頭

　【入門編2】ランサムウェア対策の本命「マイクロセグメンテーション」｜第2回「どうやって内部通信が制御されるのか？」に続く

　関連記事
　【導入編】ゼロトラストセキュリティの新常識｜マイクロセグメンテーションとは

　Akamai Guardicore Segmentaionの詳細については、以下よりご覧いただけます。

　ここまで読んでいただき、マイクロセグメンテーションに関してより詳細な情報を入手したいお客様はぜひ弊社にお問合せください。マイクロセグメンテーション製品の具体的な情報提供や製品デモなどを実施させていただきます。