コラム 2022.05.10

猛威をふるうランサムウェアと認証・アクセス管理の関係

column_008_thumbnail.png

近年、世界中で猛威をふるうランサムウェア。感染するとファイルの暗号化や画面のロックなどパソコンに制限をかけ、解除と引き換えに身代金を要求するマルウェアの一種です。
本記事では、ランサムウェアによって機密情報が盗まれる仕組みや認証・アクセス管理での対策方法について紹介いたします。

INDEXこの記事の目次

    ランサムウェアの被害が急拡大

    collum_008_image01.png2022年に入り、ランサムウェアの被害が急拡大しています。特にEmotetと呼ばれるマルウェアに感染し、重要な情報を人質にされるケースが増大しており、JPCERTコーディネーションセンターなどの機関において注意喚起が行われています。

    ランサムウェアの主な感染経路

    ランサムウェアの対策を行う上では、どのような感染経路が存在するのかを知ることが重要です。

    偽装メールによる感染

    ランサムウェアに感染する経路としてまず最初に思いつくのは、Emotetに代表されるような偽装メールによる感染です。巧妙に偽装されたメールに添付されたファイルを誤って開いたり、記載されたリンクをクリックすることによってマルウェアに感染します。攻撃者は感染させた端末を踏み台にして、更に深部への侵入を試みます。

    VPNの認証情報や脆弱性を突かれることによる感染

    2020年以降、新型コロナウイルス感染症対策でテレワークを行うために利用が急増したVPN接続の認証が破られたり、脆弱性を突かれることにより内部ネットワークに侵入を許すケースが増加しています。
    認証情報については過去に漏洩したパスワードが使用されたり、総当たり攻撃によってパスワードを突き止められることにより破られるケースが発生しています。

    公開サーバーのリモートデスクトップ(RDP)に不正アクセス

    警察庁の調査(*1)によると、ランサムウェア感染被害の15%を占めるのが、公開されているコンピューターのリモートデスクトップ(RDP)の口から不正アクセスされるケースです。VPN同様に強度の弱い認証情報を突かれることで不正アクセスを許してしまうのが主な原因です。
    上記以外にも感染経路は存在しますが、警察庁の調査(*1)によると、被害の約80%は上記のいずれかによるものであると示されています。

    *1 令和3年におけるサイバー空間をめぐる脅威の情勢等について (令和4年4月7日 警察庁)

    偽装メールによる感染後に起きていること

    collum_008_image02.png偽装メールによる感染の場合、「人をだます」ことによって感染するため、認証やアクセス管理とは関係がないと思われるかもしれません。しかし、偽装メールによる感染は初期潜入のための手段にすぎず、最終目的である重要情報を人質にするためには、情報が保管されているサーバーにアクセスしなければなりません。
    偽装メールによって感染した場合であっても、その後感染端末を踏み台にして行われる内部探索活動において認証・アクセス管理は深く関わっています。

    感染端末のローカル管理者権限

    まず第一に偽装メールの添付ファイルやURLのクリックによって送り込まれたマルウェアは、ログイン中のアカウントの権限下で動作します。普段ユーザーが利用しているアカウントにローカルコンピューターの管理者権限が付与されていると、マルウェアはその権限を利用して自由に踏み台サーバーを操ることができます。つまり、踏み台として利用する感染端末を制限なく利用するために、ログインアカウントに付与されている管理者権限が悪用されます。

    他のコンピューターやActive Directoryへの侵入

    攻撃者は最終目的を果たすためにネットワークを探索し、他のコンピューターやActive Directoryへの侵入を試みます。この際に以下のような認証情報に関わる問題が悪用されていることが過去の事例などから明らかになっています。

    1. リモート接続時の認証情報がハッシュ値として残る仕様を悪用
      Windowsの認証情報の仕組みで一度認証されたリモート接続元のコンピューターに残るパスワードハッシュをもとに認証情報を得られる仕様(*2)となっており、これを悪用することでActive Directoryサーバーに不正アクセス
    2. 複数のコンピューターに同一のパスワードが設定されている状態を悪用
      コンピューターに存在するローカルアカウントのパスワードが複数のコンピューターで同一に設定されている環境を利用

    要するに、偽装メールの送付は内部ネットワークに侵入するための足場を作るための行為であり、それ以降、深部に潜入する際には、アクセス権や認証情報の悪用がむしろ主体的に行われていることになります。

    *2 ログを活用したActive Directoryに対する攻撃の検知と対策(2017年7月28日 JPCERTコーディネーションセンター)

    ランサムウェア対策として考えるべき認証・アクセス管理

    上記のような状況を踏まえますと、ランサムウェア対策は偽装メールに対する注意喚起や訓練などエンドポイントの感染防止だけに注力することは偏った対策であり、重要な点が抜けていると認識しておくべきと考えられます。これまでの事例を踏まえると、以下のような認証やアクセス管理についても十分な対策を講じておく必要があると考えられます。

    1. VPNの認証強化
      パスワードの複雑性、多要素認証の利用など
    2. 公開サーバーのアクセスポリシー
      業務要件でRDP等の口をインターネットに公開する範囲の限定、認証情報の強化
      クラウドサービス(IaaS)上の設定の再確認
    3. 端末のローカル管理者権限
      普段利用するアカウントに管理者権限を付与しない
    4. 重要サーバーやActive Directoryの認証・アクセス経路
      インターネット接続環境からの接続は必要なければ行わない
      定期的なパスワードの変更
      アクセスログの監視

    お役立ち資料のご案内

    エンカレッジ・テクノロジでは、情報システム担当の方にお役立ていただける、特権アクセス管理に関するホワイトペーパーを無料でご案内しています。ぜひご参考ください。

    特権ID管理のすべてが分かる指南書「特権ID管理のAtoZ」
    こんな資料があります!
    • 特権ID管理のすべてが分かる指南書「特権ID管理のAtoZ」
    • 5分でできる特権ID管理のセルフチェックシート