ランサムウェアの攻撃 – パート１、はじめに

この連載では、ランサムウェアの攻撃と、私たちのシステムをよりよく保護する方法についてお話します。

ランサムウェアとは？

ランサムウェアは、悪意のあるソフトウェア（マルウェア）の一種で、通常はデータを暗号化することによって、身代金を支払うまでコンピュータシステムやそのデータへのアクセスをブロックするように設計されています。通常、フィッシングメールや悪意のあるリンク、ソーシャルエンジニアリング、脆弱性の悪用などを通じて拡散します。ランサムウェアが起動すると、攻撃者は、復号化キーやシステムへのアクセスと引き換えに支払いを要求します。この種の攻撃は、通常、金銭的な動機によるものです。攻撃者は無防備な被害者から多額の金銭を得られる可能性があるからです。

攻撃者の目的は、被害者に身代金を支払うよう圧力をかけるために、アクセスを遮断する前に、できるだけ多くのシステムにマルウェアを拡散させることです。

その影響は、被害を受けた組織だけでなく、その顧客にも及ぶ可能性があり、英国のロイヤルメールへの攻撃で顧客が国際注文を履行できなくなったことや、パッチを適用していないインフラへの攻撃の波が見られるように、広範囲に及びます。

ランサムウェアの攻撃手順

多くの場合、このプロセスは自動化されている傾向にありますが、大きな組織をターゲットにしている場合、犯罪者グループは、組織に支払いを強制できるように準備するために、より多くの時間を費やす可能性があります。

• アクセス権の獲得

ランサムウェアの攻撃は、通常、攻撃者がフィッシングメール、感染したソフトウェアのダウンロード、ネットワークの脆弱性を突くなどして、被害者のコンピュータやネットワークにアクセスすることから始まります。

• 拡散

攻撃者は、内部ネットワーク内のシステムにアクセスすると、マルウェアを横展開しようとします。単純な攻撃の場合は、マルウェアの精巧さに応じて自動的に拡散しますが、より標的型の攻撃の場合、マルウェアは攻撃者がさらに拡散してより多くのシステムを制御する方法を研究します。

• 人質の浮上と確保

自動化された攻撃や犯罪組織のアルゴリズムによって適切と判断されると、システムの遮断とデータの暗号化が開始され、ほとんどの場合、被害者のコンピュータの一部にメッセージが表示され、データやシステムへのアクセスを回復する代わりに身代金の支払いが要求されます。

身代金の支払いは、匿名性が高く、追跡が困難なことから、通常、ビットコイン、モネロなどの暗号通貨で行われます。また、攻撃者は、身代金の支払い期限を設定し、身代金が支払われない場合は、暗号化されたデータやファイルを削除または解放すると脅すことがあります。この期限は、被害者に支払いオプションを取らせるために、時間制限が設定されています。

Linuxサーバーはランサムウェアの攻撃を受けやすい？

Linuxサーバーは、ランサムウェアの攻撃を受けないわけではありませんが、一般的には脆弱性が低いと考えられています。これは、Linuxサーバーは一般的に脆弱性が少なく、攻撃者の標的となることがあまりないためです。

また、Linuxサーバーには、AppArmorやSELinuxなどのセキュリティ機能が組み込まれていることが多く、マルウェアの実行や拡散を防ぐことができます。

しかし、Linuxサーバーが適切に設定されていなかったり、古いソフトウェアを実行していたりすると、依然として攻撃に対して脆弱であることに注意する必要があります。

また、使用しているLinuxディストリビューションのサプライチェーンに攻撃が及ぶと、感染したソフトウェアがシステム全体にばらまかれる可能性があります。

コンテナ環境は脆弱？

ランサムウェアは、他のアプリケーションと同様に、コンテナイメージやコンテナ環境に展開することができ、データを暗号化したり、盗んだりすることができます。また、ランサムウェアはLinuxで動作しているホストにも拡散する可能性があり、Kubernetesディストリビューションで管理されたコンテナはランサムウェアの拡散をより複雑にしますが、解決やフォレンジック分析に要する時間も複雑にしてしまいます。

対策

注意しなければならないのは、身代金を支払ったからといって、被害者のデータやシステムへのアクセスが復旧したり、機密データが流出したりしないとは限らないということです。

実際、攻撃者によってはキーの提供すら行わなかったり、追加の支払いを要求してきたりする場合もあります。

Statistaによると、2021年に最初の支払い後にデータやシステムへのアクセスを回復した組織は、わずか54%に過ぎません。

さらに、身代金を支払うことは、攻撃者が悪意のある活動を継続することを促すことにもなります。

また、脆弱性はまだ残っているため、別の犯罪グループが再びそれを悪用する可能性もあります。

このような事態を防ぐには、以下のような健全な運用とセキュリティの習慣を身につけることが重要です。

• すべてのソフトウェアとオペレーティングシステムを常に最新の状態に保つ。
• デスクトップシステムには、アンチウイルスおよびアンチマルウェアソフトウェアを使用する。
• 定期的に脆弱性をスキャンし、セキュリティコンプライアンスを実施する。
  自動化することで、面倒にならず、導入プロセスの一部として組み込むことができます。
• ソフトウェアのサプライチェーンが適切に保護されていることを確認する。攻撃者の視点から見ると、サプライチェーンを攻撃することは、組織内のすべてのシステムとは言わないまでも、大半のシステムに到達する最も簡単な方法となり得ます。
• プロアクティブな対策を実施し、ゼロトラストポリシーを採用する。これは、コンテナ環境と従来の環境の両方に適用されます。
• パスワードの検証には、一般的な単語を避け、人間には覚えやすく、機械には解読しにくい長い文章を使用するなどのベストプラクティスを採用しましょう。
• 従業員には、セキュリティの基本原則、疑わしい電子メールへの警戒、疑わしいリンクの識別方法、重要なデータがバックアップされない場所に保存されないようにするためのデータ管理について教育しましょう。
• 定期的にバックアップを行い、コールドバックアップを常にネットワークにアクセスできない別の物理的な場所に保存します。復元手順が定期的にテストされていることを常に確認しましょう。

• インフラの展開を自動化し、システムを迅速に復元できるようにする。

• ディザスターリカバリープランを作成し、定期的にテストする。

まとめ

ランサムウェアの攻撃は、非常に大きな被害をもたらし、非常に複雑かつ、限られた時間枠の中で対処する必要があります。これらの攻撃に対処する最善の方法は、その影響を防止および軽減するためのメカニズムを使用して、そもそも攻撃を回避することです。

SUSEには、このような攻撃からお客様を守るための支援を行ってきた歴史があります。

このシリーズの次のパートでは、これらの攻撃を防ぐためにリストアップされた方法のいくつかをより詳細に説明します。

このシリーズの他の記事については、こちらをご覧ください。

ランサムウェアの攻撃 – パート2、従来のITセキュリティ

ランサムウェアの攻撃 – パート3、コンテナのセキュリティ

SAPアプリケーションをランサムウェアの攻撃から守る方法