組織のSOCが直面するさまざまな今日の脅威。その対処に必要なセキュリティソリューションについて理解することを目的に、ランサムウェア「RYUK」の攻撃への対処の実例をセキュリティブログでは解説しており、ここに紹介します。

組織を狙う攻撃は日に日に巧妙化していきます。これに対処しなければいけない組織のSOCは、従来の対応方法では解決できない課題を抱えています。ランサムウェア「RYUK」を例に見ていくことにしましょう。

巧妙化する今日の脅威とランサムウェア「RYUK」

巧妙化する今日の脅威状況において、組織のインフラストラクチャの複数のレイヤーにまたがって影響を与える攻撃が一般的なものとなっています。「RYUK（リューク）」は、最近の脅威の中で最も注目されるランサムウェアの1つです。RYUKは、ランサムウェアがターゲットとして量より質を追求するようになった、新しいパラダイムをよく表している脅威と言えます。

RYUKは、表面的には従来のランサムウェアとさほど変わらないように見えます。ユーザのファイル、ドキュメント、その他重要なデータを暗号化する点においては同様です。しかし、これまでのランサムウェアのように比較的無差別にユーザを狙うばらまき型の手法とは異なり、RYUKの背後にいるサイバー犯罪者は法人組織を狙い、はるかに高額な身代金を要求します。
RYUKは、金融、軍事、政府関連の重要機密情報を狙うことが多く、被害組織は、高額な支払い要求に応じる以外に道はないと感じさせられるようです。

図：ランサムウェア「RYUK」が作成する脅迫状
【画像出典：トレンドマイクロ セキュリティブログ】

「RYUK」被害対処の実例

2019年、「Trend Micro™ Managed XDR」およびインシデント対応チームは、ランサムウェア「RYUK」の感染インシデントを調査しました。
このインシデントでは、複数のエンドポイントと企業のネットワークを含む、多層への侵害が含まれていました。幸い、トレンドマイクロのインシデント対応チームはXDRによりさまざまなソースからデータを収集して全体的な問題を明らかにし、感染被害を受けたコンピュータと、以下の攻撃チェーンを特定することができました。

侵入時活動：確認されたRYUKの活動では、エンドポイントに到達するための感染経路として電子メールが利用されていました。組織の従業員に送信されたスパムメールから侵入し、そこからネットワークの他の部分に広がっていました。スパムメールには、ボット型マルウェア「TRICKBOT」のダウンローダが添付されていました。

端末制御：被害環境では、システムにダウンロードされたTRICKBOTにコマンドを送受信するための遠隔操作サーバ（C＆Cサーバ）として脆弱なルータが利用されていました。さらにTRICKBOTはそのペイロードとしてRYUKを送り込みました。

内部活動（横展開）：このTRICKBOTは、２つの方法でネットワーク内に拡散しました。１つは、2017年のWannaCryの攻撃でも利用された有名な脆弱性攻撃ツール「EternalBlue」、もう１つは収集された認証情報の利用です。

また、収集されたTRICKBOTの検体解析からは、情報収集機能も備えていることがわかりました。つまり、攻撃を受けた組織は、ファイルを暗号化された上に情報を窃取され、通常のランサムウェアファミリによってもたらされる以上の被害を受ける可能性があることになります。

今日の脅威への対処と課題

この「RYUK」被害の対処事例のように、攻撃の流れを包括的に把握し明らかにすることは、インシデント対応における課題の１つです。
多くの組織では、エンドポイントから、サーバ、ネットワーク、メール、クラウドインフラストラクチャなどそれぞれのセキュリティレイヤーに対し、脅威を検知するための製品を個別に導入しているため、脅威の相関分析や優先順位付けをする方法がほとんどないままとなっています。
このような状態は結果的に、脅威情報のサイロ化と対応に過剰な負荷や時間のロスを生じさせることになり、これらの個別のソリューションを横断して脅威を調査するには、情報が断片的となり、かつ手動のプロセスが求められ、可視性と相関性が欠けるため脅威を見逃すことになりかねません。

これに対し多くの組織では、SIEM（セキュリティ情報およびイベント管理）のような監視ソリューションを使用して、日々直面するさまざまな脅威情報を集約し、対応しています。しかし、SIEMは効果的ではあるものの、導入および運用に費用がかかります。加えて、大量のデータをふるいにかけて脅威の相関関係の調査および解析をおこなうため、十分なナレッジを備えたセキュリティオペレーションセンター（SOC）の存在が活用の前提条件となります。
その他のセキュリティソリューションにも、強力なDetection & Response （脅威検知と対応）の機能を持つ場合がありますが、多くの場合、全体像を把握するために必要なテレメトリに欠けていることがあります。これらの課題解決のため、クロスレイヤーでの包括的な検知・対応アプローチに期待が集まっていると言えます。

対策ソリューションの一例

トレンドマイクロでは機械学習と解析を使用し、RYUKのような脅威に対応できるよう設計されている「Trend Micro XDR™」で対応します。これは複数のレイヤーにまたがるさまざまなイベントを相関分析します。
ソリューションプラットフォームとして、24時間年中無休でエキスパートルールによって優先順位付けされたアラートを提供し、脅威を検知対応する際に組織が直面する重要な課題に対処します。

以下のインフォグラフィックは、ランサムウェアRYUKを例に、Trend Micro XDRが組織の各レイヤーをどのように保護するかを示しているので参考にしてください。

インフォグラフィック：Trend Micro XDRによる、ランサムウェア「RYUK」の攻撃への対処

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/27124