断続的な暗号化：ランサムウェアとの軍拡競争における最新の進歩

2022.10.03

2022年9月22日、Phil Muncaster

　ネットワーク攻撃者と防御者はここ何十年もの間、にらみ合いを続けてきました。この対決はしばしば「軍拡競争」と呼ばれています。技術的な優位性を少しずつ獲得しようとする努力に対するこの表現は、セキュリティ用語のなかでも最も古く、最も使い古されたメタファーの 1 つです。しかし15年たった今なお、現状を的確に表現しています。むしろ、技術革新のスピードは加速しています。　

　「断続的な暗号化」技術に関する最新の調査から得られた重要な結果からも、技術革新は確かに認められます。「断続的な暗号化」は、ランサムウェア関連の攻撃手法として最近流布している技術です。しかし、それだけで犯罪者は永遠に有利なのでしょうか。セキュリティベンダーが保護・検知・対応において革新を続けている限り、犯罪者の優位性がずっと保たれることはありません。

断続的な暗号化とは？

　前述の研究によれば、新しい技術は攻撃者が 2 つのことを実現できるように設計されています。

高速で暗号化する。標的としている組織が攻撃を検知して阻止する前に、組織のすべてのファイルを暗号化する。
既存の検出方法を回避する。そのために、ファイル I/O （出入力）操作の強度を弱める。つまり、ランサムウェアの影響を受けていない現行バージョンのファイルと、変更され暗号化された疑いのあるファイルとの類似度を下げる。

　断続的な暗号化は、ファイルを部分的にしか暗号化しないため、前者を達成するのに役立ちます。結果的にランサムウェアは、これまで以上に短い時間で「回復不能な損害」を引き起こすことができるのです。LockFile 変種は、ファイルを16 バイトおきに暗号化する断続的暗号化の技術を最初に使用したケースの１つとされています。今年初めに行われた 10 種類のランサムウェアに関する調査では、暗号化が開始された後、ネットワーク防御者が攻撃を軽減できる時間は平均わずか43分しかないことが判明しています。

　断続的な暗号化は、現在の多くのセキュリティツールで使用されている統計分析手法を損なうことで検出を回避します。統計分析手法ではファイルの I/O （入出力）が際立っていることを検知しますが、部分的な暗号化によって入出力の動きが最小限に抑えられてしまうため、ランサムウェアの影響を受けていないファイルと変更を加えられたファイルを見分けることが難しくなります。

　悪いニュースは、この手法を使った攻撃種が増えていることです。Qyick、Agenda、BlackCat (ALPHV)、PLAY、Black Bastaなどが一例です。比較的簡単に実装できるとされ、ランサムウェアの標準となる可能性があります。

攻撃は止まらない

　ランサムウェアの技術革新の例は、断続的な暗号化にとどまりません。最近のレポートによれば、脅威者が一般的な VoIP ソフトウェアの脆弱性を悪用して、標的の企業ネットワークにアクセスしたことが明らかになっています。ランサムウェアにおける脆弱性の悪用は今に始まったことではなく、フィッシングや RDP 攻撃と並んで、初期アクセスベクトルのトップ 3 に入っています。これは、脅威者が攻撃対象領域をくまなく調べ、潜在的なセキュリティギャップを見つける準備に余念がないことの表れでもあります。

　その他の例として、台湾の QNAP 社が製造するネットワーク接続型ストレージ（NAS）デバイスを標的とした攻撃があります。中小企業や消費者に人気のあるこれらの NAS デバイスには、最近 QNAP がパッチを適用しましたが、顧客はすぐにそれに従わなかったのです。その結果、Deadbolt ランサムウェアに感染したデバイスが最近 674％増加したことが、研究者らによって検出されました。

　ランサムウェアの脅威はこうして、脅威者が防御者や現行のセキュリティツールを欺く新たな方法を模索する中で、今後も想定外の進化を遂げることが予想されます。最近では、米テキサス州のオークベンド医療センター、カナダの大手電気通信ベル・カナダ、米ニューヨークの救急サービスのエムプレスEMSといった有名企業が被害に遭っています。また、脅威が国家レベルにまでおよぶケースも出てきています。米国は最近、イラン当局とつながりのあるとされるアクターを起訴し、イラン当局に制裁を課しました。重要なのは、こうした脅威者は他国に対する地政学的な攻撃に加え、会計事務所から地域の公共事業や住宅供給業まで、金銭目的で民間企業を襲撃しているとされる点です。

優勢を取り戻す

　こうした動向を常に監視し、新たな脅威がどこからやってくるかを予測し、攻撃者が獲得しうる優位性を無効にするために製品をアップデートすることは、セキュリティ業界の仕事です。しかし、セキュリティ業界の顧客もまた、常に警戒を怠らず、積極的にセキュリティ体制をとることが必要です。つまり、3 つの主要な攻撃ベクトルに対して、ランサムウェアの影響を軽減するための防御策を積み重ねることです。そのためには、以下のようなセキュリティ管理のベストプラクティスを導入するとよいでしょう。

AI による検知を含む高度なフィッシング対策機能
ユーザー教育・啓発プログラム
ウェブアプリケーションファイアウォール（WAF）によるデータの保護
リスクベースの自動パッチ適用プログラム
複数のレイヤーにまたがる脅威の検知と対応（XDR）
IoTおよびOT環境向けのファイアウォールおよびその他の保護機能
定期的なバックアップ（オフラインでの１部コピーも含む）
定期的にテストを行なっているインシデント対応計画

　中小企業は、ランサムウェアの影響を軽減するために、セキュリティにゼロトラストアプローチを採用することも検討するとよいでしょう。主な内容は最小権限ポリシー、ネットワークセグメンテーション、多要素認証、継続的モニタリングなどです。ランサムウェアとの軍拡競争に、勝算はないように思えるかもしれません。しかし、組織全体のサイバーリスクを最小化するために、セキュリティ責任者にできることはたくさんあります。