ゼロトラストでランサムウェアに対抗

ランサムウェア攻撃 によってもたらされる被害に、ほぼすべての公共機関や民間組織は悩まされ続けています。誰も被害を免れることはできません。2019年には、政府機関や医療機関を対象としたランサムウェアの攻撃が140件以上あり、2020年には、特に病院が徹底的に狙われています。すべての業界のすべてのIT担当者にとって、ランサムウェアからの防御は非常に重要です。
 

ホワイト ペーパー 『Zscalerのワークロードセグメンテーションによるランサムウェアからの防御』をご覧ください。

ランサムウェアは新しい脅威ではない

最初の例は、早くも1989年には登場していましたが 、サイバー犯罪者が広範な攻撃を開始したのは2012年頃でした。一般的にランサムウェアがネットワークに感染する経路は、フィッシング攻撃とセキュリティの抜け穴を利用したものの、2つに分かれます。

フィッシング攻撃の場合、攻撃対象者が文書を添付したメールを受け取り、それを開くことでランサムウェアが起動します。場合によっては、ソーシャルエンジニアリングツールを使ってユーザーを騙し、攻撃を容易にする認証情報をマルウェアに提供させることもあります。

別のタイプのランサムウェアには、感染した文書をクリックする必要がないものもあります。その代わり、セキュリティホールを利用してシステムを侵害します。NotPetyaは、この亜種の特に厄介な例となっています。あるケースでは、ウクライナで人気のある会計パッケージのバックドアを悪用し、その後、SMB（サーバーメッセージブロック）プロトコルのWindows実装におけるEternalBlueおよびEternalRomanceと呼ばれるセキュリティ上の欠陥（現在はパッチが適用されています）を利用して、他のシステムにも広がりました。NotPetyaの破壊力が高いのは、身代金の要求がないことです。代わりに、NotPetyaは乱数を生成して、遭遇したすべてのデータを暗号化し、永久に破壊します。データを復号化するためのキーを復元する方法がないのです。

近年、ランサムウェアは非常に巧妙になっています。多くの系統では、最初に侵入したマシンを暗号化することはなくなりました。その代わりに、マルウェアはまず環境を調査し、ネットワーク上でどのように横移動して追加のリソースに感染するかを判断します。多くの場合、SAMR（Security Account Manager Remote）プロトコルの偵察や、 nslookup を使用したドメインネームサーバー（DNS）の偵察など、正規のツールを利用しています。この情報があれば、マルウェアは静かにネットワーク上を移動し、ランサムウェアを追加のシステムに送り込むことができます。最小必要量に達すると、ランサムウェアはこれらのリソースをすべて一度に暗号化し、組織に壊滅的な打撃を与えます。

ランサムウェア対策

ランサムウェアの攻撃に対する最大の防御策は、強固なデータ保護であるという話をよく耳にします。結局のところ、バックアップがあれば、身代金を支払う必要はなく、すべてのファイルを復元するだけでよいのです。たとえマルウェアが企業のデータの暗号化に成功したとしても、バックアップやディザスタリカバリ（DR）のファイルが無傷であれば、企業は身代金の支払いを免れ、IT部門は攻撃前の状態にすべてを復元することができます。

しかし、バックアップはフロントラインにではなく、最終的な防御策として置いておくのがベストです。結局のところ、攻撃の被害が甚大であれば、IT部門はペタバイト級のデータを復元しなければならず、その作業には数日から数週間を要し、長期間にわたって業務に支障をきたす可能性があります。最悪の場合、バックアップがネットワークに接続されていると、ランサムウェアによってそれらもデジタルシュレッダーにかけられてしまう可能性があり、身代金を支払う以外の選択肢がなくなってしまうのです。被害がコストだけにとどまらないこともしばしばです。フロリダ州のレイクシティ市役所では、身代金を支払って被害を受けたデータ（約200テラバイト）を復号化しましたが、復号化には8日以上を要しました。ペタバイト級のデータを持つ大企業では、このプロセスに1ヶ月以上かかることもあります。

同様に、フィッシング詐欺に使われる文書をクリックしないように従業員を教育することの重要性をよく耳にしますが、これも十分ではありません。

サイバー犯罪者は、従業員を騙すための新しい方法を常に開発しており、十分な規模の組織であれば、いずれ誰かが感染したファイルをクリックするというミスを犯します。さらに、従業員のトレーニングでは、セキュリティホールを利用した攻撃を防ぐことはできません。この攻撃が成功する過程では誰も何もクリックをすることすら必要ないのです。　

ランサムウェアを阻止するためのゼロトラスト・アプローチ

ゼロトラストの環境では、すべての内部コミュニケーションが敵対する可能性のあるものとして扱われます。ワークロード間の各通信は、承認されなければ行われません。これにより、ランサムウェアがネットワーク上を横方向に移動するのを防ぐことができます。これは、マルウェアが1台のラップトップを暗号化するか、世界中の何百ものサーバーやデータストアを暗号化するかの違いを意味します。

ゼロトラストは、 マイクロセグメンテーション によって可能になりますが、ネットワークをマイクロセグメンテーションする従来の方法は、「信頼された」IPアドレスに依存します。そのため、運用面やセキュリティ面で大きな不安があります。運用面では、基盤となるネットワークが変化するときにはポリシーが破損するわけですが、最新のネットワークは常に変化しています。クラウドやコンテナなど、IPアドレスが一過性のものであるオートスケーリング環境では、ポリシーの管理がさらに困難になります。IT部門は、IPアドレスの変更に合わせて常にポリシーを更新する必要がありますが、これには手間がかかり、エラーが発生しやすいという問題があります。さらに、ランサムウェアは、承認されたファイアウォールポリシーに便乗して、アドレスベースの制御を回避することができますが、これはファイアウォールは善良なソフトウェアと悪意のあるソフトウェアを区別するようには作られていないという事実があるからです。

しかし、マイクロセグメンテーションの新しいモデルでは、通信するソフトウェア、ホスト、デバイスのアイデンティティに依存し、コントロールプレーンをネットワークから分離することで、セキュリティの向上と運用の容易化を実現しています。アイデンティティベースのアプローチでは、各ワークロードに、バイオのUUID、プロセッサのシリアル番号、バイナリのSHA-256ハッシュなど、アセット自体の数十のプロパティに基づいた、不変で一意のID（またはフィンガープリント）が割り当てられ、ワークロードの通信が許可される前に検証されます。このID確認により、悪意のあるソフトウェアやデバイス、ホストとの通信を防ぐことができます。

例えば、誰かが感染したファイルをクリックすると、そのユーザーのデスクトップマシン上でランサムウェアが起動したとします。ランサムウェアがSAMRプロトコルまたは nslookup を使用してネットワークの偵察を行おうとすると、ランサムウェアが権限を持たないため、アイデンティティベースのゼロトラストポリシーによってその通信がブロックされます。同様に、他のアセットに移動しようとしても拒否されます。これにより、ランサムウェアがネットワークに最初の足場を築いたとしても、その被害は、グローバル規模でビジネスに大惨事をもたらすことはなく、軽い迷惑行為程度の影響に限定されます。

詳細はホワイト ペーパー 『Zscalerのワークロードセグメンテーションによるランサムウェアからの防御』をご覧ください