セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > UCLを狙ったランサムウェア攻撃の教訓

UCLを狙ったランサムウェア攻撃の教訓
Christine Barry

2017年07月21日

このブログでは木曜日にランサムウェアの記事を投稿していますが、今日はロンドン大学(UCL)を狙ったランサムウェア攻撃を取り上げます。この攻撃では、UCLの学生管理システムと共有ネットワークドライブがダウンしました。これを受けて、関連のロンドン大学病院のメールシステムは、攻撃の侵入を防ぐためにメールシステムをシャットダウンしました。病院グループがランサムウェア攻撃を受けたという報告はありません。

現在開示されている攻撃情報

ランサムウェアの種類や感染方法はわかっていません。UCLは、水曜日の午後(BST)にフィッシング攻撃を介してランサムウェアが仕掛けられたとみています。フィッシングは、ランサムウェアの感染方法としては最も一般的です。PhishMeが最近発表したレポートによると、今年の第1四半期に630万件のフィッシングメールが発生しており、そのうち93%にランサムウェア攻撃が含まれていました。

フィッシング攻撃とは、特定の操作を実行するようにユーザを誘導するためのメールだ、と考えることができます。攻撃者は、フォームへの資格情報入力、細工したWeb氏とへのアクセス、悪意のある添付ファイルのオープンなどを実行させるようにユーザを誘導します。そのために攻撃者は、ターゲットをリサーチし、収集した情報に基づいて細工したメールを作成します。このメールをさらに巧妙化したのが、スピアフィッシング攻撃です。スピアフィッシングは個人を絞り込んだパーソナルな攻撃なので、成功率も高くなります。UCLの攻撃については詳細な情報がなく、どのような感染方法が使われたかもわかっていません。

その後、この攻撃の感染源は細工されたWebサイトだったとする仮説が発表されました。このタイプの攻撃を成功させるには、Webサイト内に脆弱なコードが存在し、脆弱性が存在するクライアントからユーザがアクセスすることが条件になります。また、cracked.comやstanford.eduといったサイトを悪用して、自動ダウンロードやフィッシングキット攻撃などを仕掛けた可能性もあります。   自動ダウンロードは、クライアントマシンにマルウェアが侵入して実行するという一連の処理を自動で行うので、ユーザの操作は不要です。   これもよく悪用される手口の1つです。Googleのブラックリストに1週間で登録されるマルウェアサイトはおよそ2万サイト、フィッシングサイトはおよそ5万サイトにのぼります。

UCLのIT部門は未だ攻撃の詳細を解明できていませんが、現時点で次の内容が明らかになっています。

  • ・ランサムウェア攻撃が開始されたのは6月14日(水)

  • ・大学のネットワークドライブと共有ドライブをロックして読み取り専用にし、暗号化を阻止。

  • ・既に暗号化されていたドライブをデータバックアップから復元し、データ損失を最小限に食い止めた。

  •  ・大学のウイルス対策ソリューションで阻止できなかった点から、UCLはゼロデイ攻撃を受けたという見解を発表。

  • ・一部のNHS信託病院は、マルウェア感染の防止を目的に、メールシステムをシャットダウン。

さらに、NHS Digitalは、「NHSがサイバー攻撃を受けたのではないか」という噂を否定しています。信託病院がシステムをオフラインにしたことで、憶測を呼んだようです。

UCLの事例から得られる教訓

攻撃の詳細はほとんど明らかになっていないものの、この攻撃からさまざまな教訓を得ることができます。

  1. フィッシングとスピアフィッシングの危険性は、どんなに強調してもしすぎることはありません。1人のユーザがうっかりクリックしてしまったことが原因で、大学、病院、政府機関が業務停止に追い込まれるのです。ユーザのセキュリティ疲労、注意散漫、見当外れの自信に対処するには、ユーザのトレーニングと意識向上しかありません。

  2. Webサイトにアクセスするだけでも、非常に危険なのです。細工されたWebサイトにアクセスすると、攻撃に感染したり、さらに危険な別サイトへと誘導される恐れがあります。さらに巧妙なサイトの場合、攻撃キットが起動し、オペレーティングシステム、アプリケーション、不完全または欠落したウイルス対策機能など、クライアントコンピュータに潜む脆弱性をチェックします。

  3. UCLに実装されていたウイルス対策ではマルウェアを阻止できなかったという事実を考えれば、ゼロデイ攻撃だった可能性は高いでしょう。もちろん、大学のシステムには別のセキュリティ機能も導入されている可能性がありますが、ここではウイルス対策のみが実装されていたと仮定して考えてみましょう。ウイルス対策は必要な機能ではありますが、最新の脅威にはとても太刀打ちできません。最適なセキュリティを講じるには、クラウドで脅威を検知および破壊することによって、ターゲットとなるインフラへの侵入を阻止するATP(Advanced Threat Protection)が必要です。機械学習などの高度なテクノロジとATPを組み合わせることで、ゼロデイ攻撃を瞬時に検知および対処することが可能になります。このような機能が実装されていれば、フィッシングメールや自動ダウンロードを捕捉し、大学への侵入を阻止できたかもしれません。

  4. 大学は、ドライブを「読み取り専用」に切り替え、暗号化を防ぎました。ところが、スタッフが気付かないうちに潜伏型のランサムウェアが侵入していた可能性や、ランサムウェア以外のマルウェアが侵入していた可能性もあります。ドライブのロックは、データのクリーニングと復元を実行している間の応急処置に過ぎません。

  5. 系列の組織は、ランサムウェアの侵入を防ぐためにメールサーバを停止しました。   この対応は、組織間の連携と情報共有によるものでしょう。ただし、サプライチェーンも攻撃の対象になる可能性がある点にも注意が必要です。サプライチェーンのような組織には直接の連携がないので、情報共有が不十分になることが多いからです。

  6. よくある攻撃手法の1つが、さまざまなステルス攻撃を行う一方で、1回の攻撃でシステムを停止に追い込む方法です。DDoS攻撃でシステムを停止させ、情報をこっそり持ち出すことで実質的な被害を与えるのが一般的です。つまり、フィッシングとランサムウェア攻撃を仕掛けた今回の攻撃の場合、犠牲者が対応に奔走している時間というのは、攻撃者にとって、ネットワークに侵入して大学の研究結果を持ち出す絶好のチャンスだったのです。 

ここで注意いただきたいのは、UCLが他の攻撃を受けたかどうか、さらにはUCLのIT部門が高度な保護対策を講じてないのか、という点は明らかになっていません。UCLは、詳細を意図的に開示していないようですが、サイバー犯罪が次々と発生する今、今回の攻撃をレビューして新たな知見を得ることが重要です。

バラクーダネットワークスが提供する階層型セキュリティとデータ保護については、こちらのWebサイトをご覧ください。ランサムウェア対策について詳しくは、こちらのサイトブログ記事をご覧ください。


*本内容はBarracuda Product Blog 2017年 6月14日 What can we learn from the UCL ransomware attack? を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT