脅威に関する情報:ランサムウェアはなぜこれほど多くの被害を与え抑止するのが難しいのか

By

Category: Reports, Threat Brief, Unit 42

Tags:

This post is also available in: English (英語)

概要

Unit 42のランサムウェアに関する最新のレポート「ランサムウェア:実入りの良い犯罪ビジネス モデルの台頭」で、Unit 42の研究者であるBryan Lee氏は次のように述べています。「2016年頃、実際にインターネット上で活動中のランサムウェアの亜種は100個未満であると考えられていました。ところが現在は、ランサムウェアの亜種の総数は、少なくとも150種類を超えています(数百ではないにしても)。」

ですから、ランサムウェアがただ続いているというだけでなく、繁栄し続ける理由をさぐるのは理にかなっています。この問いに対する最初の答えは、上記レポートで概説したとおり「ランサムウェアは非常に実入りのよいサイバー犯罪ビジネスモデルである」ということです。ただしそこには、人的要因に加え、技術的要因もあります。具体的には、次の3つの要素が組み合わさって、技術レベルのランサムウェアを特に強力な脅威たらしめているのです。

  1. ランサムウェアは、Microsoft Windowsオペレーティングシステムがユーザーに与える完全な信頼を非常に効果的に利用する。
  2. ランサムウェアは、ユーザーにとって価値のあるファイルの種類と場所を特に対象としている。
  3. ランサムウェアの動作はすばやいため、侵害後のレスポンス用ツールがうまく機能しづらい。

ある意味でこれら3つのポイントは自明といえるでしょう。ですがランサムウェアによる影響の全体像や、そうした影響がランサムウェアの抑止を困難にする理由については、必ずしもこれまで議論しつくされてはいません。

ランサムウェアの振る舞いについては文書化が進んでいますがざっとまとめてみましょう。

ランサムウェアの振る舞い

ランサムウェアはユーザーのシステムにダウンロードされ、そこで実行されます。攻撃者がシステム上でランサムウェアを取得する方法はさまざまです。パッチ未適用の脆弱性、ソーシャルエンジニアリング、またはその両方による方法がありえます。ランサムウェアのオペレータが攻撃を仕掛ける最も一般的な方法は、電子メールまたは悪意のあるサイトまたは侵害されたサイトへのwebブラウズです。ランサムウェア攻撃の圧倒的多数は、Microsoft Windowsシステムに対するものです。マルウェアは、ひとたびユーザーシステムで実行されると、ドキュメント、ビジネスアプリケーション、データベースファイルなど、ユーザーにとって重要な情報を保持するファイルとフォルダを探して暗号化します。なかには、特定のアプリケーションファイルを対象とする非常に洗練されたランサムウェアもあります。ランサムウェアは侵害されたユーザーの権限で実行されているので、ネットワーク共有やバックアップなど、正当な侵害されたユーザーがアクセスできるファイルならすべて、ランサムウェアにとってのうまみのある獲物となる、この点が最も重要です。

なぜランサムウェアは重要な脅威となりえるのか

さて、ランサムウェアが重要な脅威となりえる理由はこの最後のポイントにあります。オペレーティングシステムの観点から見れば、ランサムウェアは「ユーザーそのもの」なのです。今日のMicrosoft Windows システムは、堅牢なユーザーアクセス制御システム (UAC) を備えてはいるものの、やはりそこにはシステム独自の限界もあります。Window Vista初期の頃、Microsoftは積極的なセキュリティチェックを有効にしてユーザーが開始したアクションが正当であることを確認していました。これは意図的なものでしたが結局は裏目に出ました。ユーザーは「本当によろしいですか」ダイアログボックスをクリックするのにうんざりし、すぐさまこの機能を無効化してしまうか、ダイアログが表示されるつどただ適当に「OK」をクリックしてしまうようになりました。そこでMicrosoftは相応の調整を行い、こうしたダイアログがあまり表示されないようにしました。このため、「ランサムウェアの標的になりがちなユーザーデータファイルを保護する」という目的で、この機能が有効にされることはなくなりました。この経験から学んだ教訓は明らかでしょう。つまり、「ユーザーアクティビティに関するセキュリティチェックは、多すぎると結局失敗する」ということです。

ここでその教訓を念頭に置くのであれば、オペレーティングシステムがランサムウェアから保護しうる唯一の方法は、ランサムウェアが標的とする種類のファイルに対し、日常的な操作ごとにこの「本当によろしいですか?」ダイアログボックスを表示する、ということになります。そしてこれは上記2つめのポイントにもつながります。

他の形態のマルウェアとは異なり、ランサムウェアには特定の標的があります。つまり、ユーザーがもっとも重要視している可能性が高いファイルを狙っています。これらは、ユーザーが日常的に使用する可能性が最も高いファイルや、組織の運用に不可欠なファイルかもしれません。これらのファイルに追加で保護レイヤーを提供するのは非常に難しいでしょう。たとえば日常的に開いているドキュメントや画像のすべてについて、つど「本当によろしいですか?」ダイアログボックスをクリックしなければならない状況を想像してみてください 。

エンジニアリング的観点から見れば、この「特定の重要ファイルを狙う」という標的設定こそが、ランサムウェアの成功確率を上げる要因といえます。そしてこのことが3番目のポイントにつながります。つまり、「被害者にとって重要ではないファイルには時間の無駄となる攻撃はほぼ行われない」ということです。セキュリティソフトウェアが初期段階でランサムウェア攻撃の停止に成功しても、ある程度は被害が発生します。これは、被害者がファイルを取り戻すために身代金を支払うことを検討するのに十分といえます。たとえば user32.dll が暗号化されていて使用できないのはたしかに問題ですが、重要な締め切りの直前に組織全体の会計監査レポートにアクセスできなくなったら、それは壊滅的被害といえるでしょう。

あるべきランサムウェアの保護対策とは

これら3つのポイントから言えること、それはランサムウェアという脅威は、予防ありきで対応する必要のある脅威だ、ということです。先に説明したとおり、オペレーティングシステムレベルでのランサムウェア対策には、効果的なソリューションが存在しません。また、他の攻撃とは異なり、ランサムウェア攻撃に「ちょっとだけ成功」という状態はないのです。場合によっては、1つのファイルが失われただけで、完全に成功した攻撃と見なすことができるのです。

つまり、ある意味でランサムウェアは他にはないタイプの脅威といえます。その影響や範囲は広く深く、そのありようは一種独特といえます。そのためリスク評価の観点からは、ランサムウェアをそれ独自のクラスとして位置づける必要があるでしょう。そのクラスとは、どのような種類の攻撃であっても、成功した場合にもたらされるリスクが非常に高いと認識すべきクラスです。