仕事で重要なメールを書いているときに、突然すべてにアクセスできなくなることを想像してください。または、コンピュータの暗号を解除するためにビットコインを要求する悪意のあるエラーメッセージを受け取る。さまざまなシナリオが考えられますが、1つだけ共通しているのは、ランサムウェアの攻撃では、攻撃者は必ずアクセス権を取り戻すための方法を提示するということです。もちろん、唯一の問題は、最初に多額の身代金を提供しなければならないことです。

サイバーセキュリティの世界で蔓延している破壊的なランサムウェア「Labyrinth」についてご紹介します。

迷宮入りランサムウェアは何ですか？

Mazeランサムウェアは、Windowsの形態で、スパムメールやエクスプロイトキットで配布され、盗まれたデータの解読や復旧の見返りとして、多額のビットコインや暗号通貨を要求します。

このメールは、「Your Verizon bill is ready to view」や「Missed package delivery」といった一見無害な件名で届きますが、発信元は悪質なドメインです。Metzは、企業ネットワークに侵入するさまざまなグループと利益を共有する開発者のネットワークを通じて動作するブランチベースのランサムウェアであるという噂があります。

同様の攻撃から守り、制限する戦略を提案するためには、認知的迷宮を振り返る必要がある。

ランサムウェア「Cognitive labyrinth」攻撃について

2020年4月、フォーチュン500企業で世界最大級のITサービスプロバイダーであるオクシナントは、悪質な迷路攻撃の被害を受け、完全なサービス停止に陥りました。

攻撃によって社内名簿が削除されたため、知る人ぞ知る複数の社員が通信不能に陥り、営業チームは顧客と連絡が取れず、逆に混乱した。

コロナウイルスの大流行で社員をリモートワークに移行させた際に、既知の情報漏えいが発生したことが、さらに困難な状況を招いたのです。CRNのレポートによると、電子メールにアクセスできないため、これらの従業員は同僚と連絡を取るために別の方法を見つけなければなりませんでした。

"ランサムウェアに攻撃されたい人はいない "と、有名なCEOであるBrian Humphries氏は言います。"本当に無関心な人はいない "と個人的には思っていますが、それをどうマネジメントするかの違いです。プロフェッショナルで成熟した方法で管理するよう心がけています。"

同社は、サイバーセキュリティの第一人者や社内のITセキュリティチームの協力を得て、事態を迅速に好転させることができたのです。また、確認されたサイバー攻撃は法執行機関に報告され、確認されたお客様にはIndicators of Compromise（IOC）の最新情報が常に提供されます。

しかし、この攻撃の結果、同社は大きな経済的損失を被り、最大で5千万ドルから7千万ドルの収入を失いました。

Metzランサムウェアはなぜ二重の脅威となるのか？

ランサムウェアの被害に遭われた方はもちろんのこと、迷路型攻撃の考案者は被害者の方にさらなる救いの手を差し伸べます。迷路攻撃には、「二重身代金」と呼ばれる悪質な手口が導入されており、被害者は、ランサムウェアの要求に協力して応じない場合、漏洩したデータを流出させると脅されています。

この悪名高いランサムウェアは、従業員のネットワークアクセスを遮断することに加え、ネットワークデータ全体のコピーを作成し、それを使って被害者を搾取し、恐喝に応じるように仕向けることから、正しく「二重の脅威」と呼ばれています。

残念ながら、迷路製作者の圧力戦術はこれだけでは終わらない。最近の調査によると、Mazeランサムウェアの背後にいる組織の1つであるTA2101は、現在、非協力的なすべての被害者をリストアップした専用ウェブサイトを公開し、罰として盗まれたデータのサンプルを頻繁に公開していることが明らかになりました。

迷路強奪事件を抑えるには

ランサムウェアのリスクを軽減・排除するには、様々な戦略を組み合わせ、各ユーザーのケースや個々の組織のリスクプロファイルに合わせた多面的なプロセスとなります。以下は、迷路の攻略を未然に防ぐための代表的な攻略法です。

アプリケーションのホワイトリスト化を義務化

アプリケーションホワイトリストとは、事前に許可されたプログラムやソフトウェアのみを実行させ、それ以外のプログラムやソフトウェアはデフォルトでブロックする、プロアクティブな脅威緩和手法のことです。

この技術は、悪意のあるコードを実行しようとする不正な試みを特定し、不正なインストールを防ぐのに大きく貢献します。

アプリケーションやセキュリティの不具合を修正する

セキュリティ上の欠陥は、攻撃者による操作や悪用を防ぐために、発見され次第すぐにパッチを適用する必要があります。欠陥の重大性に応じて、パッチを適時に適用するための推奨期限は以下の通りです。

• 極度の危険：パッチリリース後48時間以内。
• 高リスク：パッチリリース後2週間以内。
• 中・低リスク：パッチリリース後1ヶ月以内。

マイクロソフトオフィスマクロの設定

マクロは日常の作業を自動化するために使用されますが、一度有効にすると、時には悪意のあるコードをシステムやコンピュータに転送するための容易なターゲットとなることがあります。可能な限り無効化するか、使用前に評価・検討するのがベストな方法です。

アプリケーションハードニングの使用

アプリケーションのハードニングは、アプリケーションを保護し、盗難から守るために追加のセキュリティ層を適用する方法です。Javaアプリケーションは、セキュリティ侵害に対して非常に脆弱であり、脅威要因によってエントリポイントとして使用される可能性があります。ネットワークを保護するためには、この方法をアプリケーションレベルで使用することが不可欠です。

管理者権限の制限

管理者アカウントは、あらゆるものにアクセスできるため、管理者権限の取り扱いには注意が必要です。アクセスや権限を設定する際には、常に最小権限の原則（POLP）を適用する。これは、迷路型ランサムウェアやその他のサイバー攻撃を減らす上で不可欠な要素になり得るからだ。

オペレーティングシステムのパッチ

目安として、極めて危険な脆弱性を持つアプリケーション、コンピュータ、ネットワーク機器は、48時間以内に修正する必要があります。また、オペレーティングシステムは最新版のみを使用し、サポートされていないバージョンは絶対に避けることが重要です。

多要素認証の有効化

多要素認証（MFA）は、オンラインバンキングなどのリモートアクセスソリューションや、機密情報の使用を必要とするその他の特権的な操作にログインするために、複数の認証されたデバイスが必要となるため、セキュリティのレイヤーが追加されます。

ブラウザの安全性を確保する

ブラウザを常に最新の状態に保つこと、ポップアップ広告をブロックすること、ブラウザの設定で未知の拡張機能がインストールされないようにすることが重要です。

HTTPSは安全ですが、HTTPはそれほどでもないことを忘れないでください。

関連：ブラウザの内蔵ツールで不審なリンクをチェックする方法

メールセキュリティの活用

Mazeランサムウェアの主なアクセス方法は、電子メールです。

多要素認証を導入してセキュリティを強化し、パスワードに有効期限を設定する。さらに、自分自身や従業員には、知らない送信元からのメールを開かない、少なくとも不審な添付ファイルをダウンロードしないように訓練してください。電子メール保護ソリューションに投資して、電子メールの安全な送信を確保する。

定期的なバックアップ

データのバックアップは、災害復旧計画に不可欠な要素です。攻撃を受けても正常にバックアップを復元することで、ハッカーによって暗号化された元のバックアップデータを簡単に復号化することができます。自動バックアップを設定し、従業員用にユニークで複雑なパスワードを作成するとよいでしょう。

影響を受けるエンドポイントとクレデンシャルに注意

最後になりますが、ネットワークエンドポイントがMazeランサムウェアの影響を受けた場合、そのエンドポイントで使用されたすべての認証情報を迅速に特定する必要があります。常に、すべてのエンドポイントが利用可能であり、かつ/または、ハッキングされていると仮定する。Windowsイベントログは、侵害後のログインを分析するために有用である。

関連：ランサムウェアにやられないための7つの方法

認知迷路アタックに戸惑う？

この既知の違反により、ITソリューション・プロバイダーは莫大な金銭的損失とデータ損失からの回復を余儀なくされました。しかし、サイバーセキュリティの専門家の協力により、この悪質な攻撃から迅速に回復することができました。

このエピソードは、ランサムウェア攻撃がいかに危険なものかを証明しています。

迷路以外にも、悪意のある脅威者が日々行っているランサムウェア攻撃は多数存在します。しかし、十分な注意を払い、厳格なセキュリティ対策を講じれば、どのような企業でもこうした攻撃を事前に容易に軽減することができるのです。