検索
連載

ランサムウェアの分析にATT&CKとNavigatorをどう使えばいいのか? その効果や注意点は?MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門(4)

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。今回は、ランサムウェアを例にATT&CKとNavigatorを使った具体的な分析手順を紹介する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 ここ数年一気に注目度が高まって進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック。以下、ATT&CK))について解説する本連載「MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門」。前回、「MITRE ATT&CK Navigator」(以降、Navigator)を使ったリスク対策のユースケースとして、攻撃グループを特定して対策を検討する手法を紹介しました。

 第1回からここまで、本連載をご覧いただいている方は、自システムのセキュリティを担当されている方が多いと思います。日々の業務において現場のシステム担当者や経営層などから、次のようなセキュリティ対策の問い合わせを受けることもあるのではないでしょうか。

  • 当社では最近話題になっているマルウェアの対策はできているのか?
  • 当社では最近話題になっている〇〇の脆弱(ぜいじゃく)性の影響はないのか?

 今回は、上記のような問い合わせに対して、ATT&CKでどのようなことが分析できるのか、ユースケースとして攻撃グループが使うツールの一つ、ランサムウェアについて紹介します。

ATT&CKでランサムウェアを分析する際の注意点

 初めに、ランサムウェアを分析する際の注意点から記載します。それは、ATT&CKにおけるランサムウェアを用いた攻撃手法、テクニックへの対策は、何かしらの手段によって“システムに侵入されている”(ランサムウェアに感染している)ことを前提とした、感染拡大を防止する防御策(緩和策)&検知策を中心とした考え方であることです。つまり、侵入を防ぐ(感染させない)ための対策に重きを置いているわけではないことを意識する必要があります。

 ランサムウェアを含むマルウェア感染の代表的な侵入経路は、フィッシングによる添付ファイル経由やWebサイトからのダウンロードなどであり、ランサムウェア自身が保持するテクニックとは別の攻撃手法です。ランサムウェアは侵入後の目的を達成するためのツールとして利用されます。

 ランサムウェアの最初の感染、侵入に対する防御手段は、ATT&CKの戦術(Tactics)では「初期アクセス」(Initial Access)を参照する必要があります(ランサムウェアによってはInitial Accessまで対応していることもあります)。

一般的なランサムウェア対策の考え方とは

 次に、ランサムウェアについて整理しておきます。そもそも、ランサムウェアとは、PCやサーバなどユーザーのデバイスに対して、悪意のある影響を及ぼすソフトウェアの総称「マルウェア」の一種です。マルウェアの中でも、ユーザーのデバイスに対して暗号化などの制限を課し、身代金を要求するような挙動のソフトウェアを「ランサムウェア」といいます。ランサムウェアによっては、あるPCに感染後、同じネットワークに存在するその他のPCにも感染を拡大するものも存在します。

 「ランサムウェアの一般的な対策とはどのようなものか」を簡単に触れておきます。参考として、JPCERT/CCが提示するランサムウェア対策を紹介します。

  • ファイルやシステムの定期的なバックアップを実施する
    定期的にバックアップを取ることで、万一ランサムウェアに感染しても、データを復旧できるようにする。耐性を高めるために、定期的なバックアップと世代管理によって、オリジナルとは別のネットワークにバックアップデータを保管することを推奨する
  • メールの添付ファイルの開封やWebページなどのリンクをたどる際には注意する
    メールやSNSにおいては送信者、文面、添付ファイルなどに細心の注意を払い、心当たりがない場合や内容に不自然な点がある場合は安易に開いたり、クリックしたりしない
  • ファイアウォールやメールフィルターを適切に設定し、不審な通信をブロックする
    ファイアウォールで外部との不審な通信を制限し、スパムメールの判定やメール送信ドメインの検証によってメールをフィルターにかけ、不審な通信をブロックし、ネットワーク経由の感染リスクを低減する
  • 不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する
    SMB(Server Message Block)やRDP(Remote Desktop Protocol)など、使用していないサービスを無効化する。またはサービスへのアクセスを制限する
  • OSやアプリケーション、ソフトウェアを最新の状態にアップデートする
    OSやアプリケーション、ソフトウェアを最新の状態にすることで、脆弱性を解消し、感染するリスクを低減する
  • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
    セキュリティソフトを活用し、最新の定義ファイルに保つことで、感染するリスクを低減する
  • パスワードの設定を見直す
    各サービスのログインに必要なパスワードを適切に設定する。特にリモートからPCを操作できる設定にしている場合などは、パスワードが弱いと侵入を受ける可能性があるので、適切にパスワードを設定、管理する

 上記は、PCやサーバの感染防止における一般的なランサムウェア対策です。上記対策は、導入ソリューションや手法に差はあれ、既に実施済みの事業者も多いのではないでしょうか。しかし、どんなに対策しても、ランサムウェアを含むマルウェアは新たな攻撃手法や巧妙なフィッシングメールが生み出される状況では完全に感染を防げないのが実情です。そのため、感染防止だけでなく、感染した後の感染拡大の観点でも対策を考えることが必要です。

 では、ATT&CKにおけるランサムウェアのテクニックや防御策、検知策はどういった特色があるかを見てみましょう。

ATT&CKでランサムウェアを検索してみる

 ATT&CKでは、ランサムウェアごとでも攻撃手法や防御策と検知策がまとめられています。冒頭の紹介と重複しますが、感染後の防御策や検知策を検討するのに有効です。今回は、数あるランサムウェアの中から、一時猛威を振るった「Conti」を対象として分析します。

MITRE ATT&CKのページの見方

 図1の赤枠で示しているWebページ右上の検索バーからContiを検索すると、図2の通りソフトウェアを示す「S0575」であることを確認できます。


図1 ATT&CK検索欄

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る