ランサムウェアの分析にATT&CKとNavigatorをどう使えばいいのか？ その効果や注意点は？：MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門（4）

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解説する連載。今回は、ランサムウェアを例にATT&CKとNavigatorを使った具体的な分析手順を紹介する。

[戸田勝之, 永澤貢平，NTTデータ先端技術株式会社]

　ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック。以下、ATT&CK））について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回、「MITRE ATT&CK Navigator」（以降、Navigator）を使ったリスク対策のユースケースとして、攻撃グループを特定して対策を検討する手法を紹介しました。

　第1回からここまで、本連載をご覧いただいている方は、自システムのセキュリティを担当されている方が多いと思います。日々の業務において現場のシステム担当者や経営層などから、次のようなセキュリティ対策の問い合わせを受けることもあるのではないでしょうか。

• 当社では最近話題になっているマルウェアの対策はできているのか？
• 当社では最近話題になっている〇〇の脆弱（ぜいじゃく）性の影響はないのか？

　今回は、上記のような問い合わせに対して、ATT&CKでどのようなことが分析できるのか、ユースケースとして攻撃グループが使うツールの一つ、ランサムウェアについて紹介します。

ATT&CKでランサムウェアを分析する際の注意点

　初めに、ランサムウェアを分析する際の注意点から記載します。それは、ATT&CKにおけるランサムウェアを用いた攻撃手法、テクニックへの対策は、何かしらの手段によって“システムに侵入されている”（ランサムウェアに感染している）ことを前提とした、感染拡大を防止する防御策（緩和策）＆検知策を中心とした考え方であることです。つまり、侵入を防ぐ（感染させない）ための対策に重きを置いているわけではないことを意識する必要があります。

　ランサムウェアを含むマルウェア感染の代表的な侵入経路は、フィッシングによる添付ファイル経由やWebサイトからのダウンロードなどであり、ランサムウェア自身が保持するテクニックとは別の攻撃手法です。ランサムウェアは侵入後の目的を達成するためのツールとして利用されます。

　ランサムウェアの最初の感染、侵入に対する防御手段は、ATT&CKの戦術（Tactics）では「初期アクセス」（Initial Access）を参照する必要があります（ランサムウェアによってはInitial Accessまで対応していることもあります）。

一般的なランサムウェア対策の考え方とは

　次に、ランサムウェアについて整理しておきます。そもそも、ランサムウェアとは、PCやサーバなどユーザーのデバイスに対して、悪意のある影響を及ぼすソフトウェアの総称「マルウェア」の一種です。マルウェアの中でも、ユーザーのデバイスに対して暗号化などの制限を課し、身代金を要求するような挙動のソフトウェアを「ランサムウェア」といいます。ランサムウェアによっては、あるPCに感染後、同じネットワークに存在するその他のPCにも感染を拡大するものも存在します。

　「ランサムウェアの一般的な対策とはどのようなものか」を簡単に触れておきます。参考として、JPCERT/CCが提示するランサムウェア対策を紹介します。

• ファイルやシステムの定期的なバックアップを実施する
  定期的にバックアップを取ることで、万一ランサムウェアに感染しても、データを復旧できるようにする。耐性を高めるために、定期的なバックアップと世代管理によって、オリジナルとは別のネットワークにバックアップデータを保管することを推奨する
• メールの添付ファイルの開封やWebページなどのリンクをたどる際には注意する
  メールやSNSにおいては送信者、文面、添付ファイルなどに細心の注意を払い、心当たりがない場合や内容に不自然な点がある場合は安易に開いたり、クリックしたりしない
• ファイアウォールやメールフィルターを適切に設定し、不審な通信をブロックする
  ファイアウォールで外部との不審な通信を制限し、スパムメールの判定やメール送信ドメインの検証によってメールをフィルターにかけ、不審な通信をブロックし、ネットワーク経由の感染リスクを低減する
• 不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する
  SMB（Server Message Block）やRDP（Remote Desktop Protocol）など、使用していないサービスを無効化する。またはサービスへのアクセスを制限する
• OSやアプリケーション、ソフトウェアを最新の状態にアップデートする
  OSやアプリケーション、ソフトウェアを最新の状態にすることで、脆弱性を解消し、感染するリスクを低減する
• セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
  セキュリティソフトを活用し、最新の定義ファイルに保つことで、感染するリスクを低減する
• パスワードの設定を見直す
  各サービスのログインに必要なパスワードを適切に設定する。特にリモートからPCを操作できる設定にしている場合などは、パスワードが弱いと侵入を受ける可能性があるので、適切にパスワードを設定、管理する

　上記は、PCやサーバの感染防止における一般的なランサムウェア対策です。上記対策は、導入ソリューションや手法に差はあれ、既に実施済みの事業者も多いのではないでしょうか。しかし、どんなに対策しても、ランサムウェアを含むマルウェアは新たな攻撃手法や巧妙なフィッシングメールが生み出される状況では完全に感染を防げないのが実情です。そのため、感染防止だけでなく、感染した後の感染拡大の観点でも対策を考えることが必要です。

　では、ATT&CKにおけるランサムウェアのテクニックや防御策、検知策はどういった特色があるかを見てみましょう。

ATT&CKでランサムウェアを検索してみる

　ATT&CKでは、ランサムウェアごとでも攻撃手法や防御策と検知策がまとめられています。冒頭の紹介と重複しますが、感染後の防御策や検知策を検討するのに有効です。今回は、数あるランサムウェアの中から、一時猛威を振るった「Conti」を対象として分析します。

MITRE ATT&CKのページの見方

　図1の赤枠で示しているWebページ右上の検索バーからContiを検索すると、図2の通りソフトウェアを示す「S0575」であることを確認できます。

図1　ATT&CK検索欄