次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、ESXiハイパーバイザー上でホストされている仮想マシンを侵害してファイルを暗号化する、Pythonで書かれた新しいランサムウェアの詳細を公開しました。「ESXiサーバーを暗号化するPythonランサムウェアスクリプト」と題した調査レポートで、標的を絞り込み、侵入から暗号化までを3時間以内に行う攻撃の手順を紹介しています。
ソフォスの主席研究員であるAndrew Brandtは次のように述べています。「この攻撃は、ソフォスがこれまでに調査したなかで最も速いランサムウェア攻撃であり、ESXiプラットフォームを正確に狙っています。Pythonは、ランサムウェアでは あまり使用されないプログラミング言語です。しかし、ESXiなどのLinuxベースのシステムにはプリインストールされていることから、そのようなシステム上ではPythonを用いた攻撃が可能です。ESXiサーバーを侵害することで、重要な業務アプリケーションやサービスを実行している可能性のある複数の仮想マシンを一度に攻撃できるため、ランサムウェア攻撃者の格好の標的になっています。ハイパーバイザーへの攻撃は迅速かつ高い破壊力をもっており、DarkSideやREvilなどのランサムウェアのオペレーターもESXiサーバーを攻撃の対象としています」
攻撃の時系列
今回ソフォスが調査した攻撃は日曜日の午前0時30分に、ランサムウェアのオペレーターがドメイン管理者のアクセス権限を持つユーザーのコンピューター上で実行されているTeamViewerアカウントに侵入したことで始まりました。
ソフォスの研究者によると、侵入から10分後、攻撃者はAdvanced IP Scannerツールを使ってネットワーク上の標的を探し始めました。標的となったESXiサーバーが脆弱だったのは、ITチームがコマンド実行やアップデートに使用するプログラミングインターフェイスであるシェルが有効になっていたためだと考えられます。攻撃者はこのシェルを利用して、ドメイン管理者のマシンにBitviseと呼ばれるセキュア通信ツールをインストールし、ESXiシステムおよび仮想マシンが使用する仮想ディスクファイルにリモートでアクセスしました。午前3時40分ごろ、攻撃者はランサムウェアを展開し、ESXiサーバーでホストされていた仮想ハードドライブを暗号化しました。
対策
先述のBrandtは次のように述べています。「ESXiやその他のハイパーバイザーをネットワーク上で運用する管理者は、セキュリティのベストプラクティスに従うべきです。総当たり攻撃による推測が困難な固有のパスワードを使うことや、多要素認証を行うことなどもその一部です。ESXiシェルは日頃から、従業員がパッチのインストールなどに使用していないときには常に無効にしておくべきです。ITチームはサーバーコンソール、あるいはベンダーが提供するソフトウェア管理ツールを使用して、このように設定できます」
Intercept Xを始めとするソフォスのエンドポイントプロテクション製品はランサムウェアやその他の攻撃の動作や挙動を検知してユーザーを保護します。ランサムウェアによるファイルの暗号化は、CryptoGuard機能によって阻止されます。また、ESXiハイパーハイザーの管理者向けのセキュリティガイダンスもオンラインで公開されています。
ソフォスは、ランサムウェアや関連するサイバー攻撃から身を守るため、以下のベストプラクティスに従うことを推奨しています。
セキュリティ保護の戦略
- 多層防御を導入する:恐喝を伴うランサムウェア攻撃が増加しています。バックアップは依然として必要ですが、対策としては不十分です。攻撃者を最初からネットワークに寄せ付けないこと、あるいは攻撃によって被害を受ける前に迅速に検知することが、これまで以上に重要です。多層防御を利用して、レイヤ内の可能な限り多くの場所で攻撃者を検出して、阻止できるようにしてください。
- 専門家による保護とランサムウェア保護技術を併用する:ランサムウェアによる攻撃から組織を守るためには、専用のランサムウェア対策技術と専門家の人力による脅威ハンティングを組み合わせた徹底した防御が必要です。ランサムウェア対策技術は大規模かつ自動的に組織に展開できる利点がある一方で、攻撃者による環境への侵入を示すTTP(戦術、技術、手順)の検知は人間の専門家がより得意としています。組織内に高いスキルを有する専門家がいない場合は、サイバーセキュリティの専門家によるサポートを受けることを検討してください。
セキュリティ保護の日々の実践方法
- アラートを監視し、すばやく対応する:組織に潜在する脅威を監視、調査、対応するために適切なツール、プロセス、およびリソース (人) が配備されていることを確認しましょう。ランサムウェアの攻撃者は、アラートを監視している担当者がほとんどいないと思われるオフピークの時間帯や週末、あるいは休日に攻撃を仕掛けてくることが多くあります。
- 強固なパスワードを設定して使用する:強固なパスワードは、脅威からの身を守るための基礎の一つです。パスワードは固有で複雑なものに設定し、決して使い回さないようにしてください。従業員の認証情報を保存できるパスワードマネージャーの導入も検討してください。
- 多要素認証(MFA)を使用する:どれほど強固なパスワードでも侵害される可能性があります。電子メール、リモート管理ツール、ネットワーク上のマシンなどの重要なリソースへのアクセスを保護するために、どのような場合でも多要素認証を用いることをお勧めします。
- サービスへのアクセス経路を塞ぐ:外部からネットワークスキャンを行い、VNC、RDP、その他のリモートアクセスツールでよく使用されるポートを特定して閉じてください。リモート管理ツールを使用してマシンにアクセスする必要がある場合は、VPNや、ログイン時にMFAを使用するゼロトラックネットワークアクセスサービスを通じて利用しましょう。
- セグメンテーションおよびゼロトラストを実践する:ゼロトラストネットワークモデルを実現するため、重要なサーバーを別のVLANに配置して他のサーバーや個人用のマシンから分離してください。
- データやアプリケーションのオフラインバックアップを取る:バックアップを最新の状態に保ち、いつでも復元できるようにしてください。バックアップはオフラインで保管してください。
- ネットワーク上のマシンとアカウントの一覧を作成する:ネットワーク上の未知のデバイス、保護されていないデバイス、パッチが適用されていないデバイスはリスクを増大させ、悪意のある活動が秘密裏に行われる状況を作り出します。接続されている全てのマシンの最新のインベントリを把握することが重要です。ネットワークスキャン、IaaSツール、目視での確認などを併用して接続されているマシンの場所を確認して一覧を作成し、保護されていないマシンにはエンドポイント・プロテクション・ソフトウェアをインストールしてください。
- セキュリティ製品の設定を確認する:保護されているシステムやデバイスであっても脆弱な場合があります。セキュリティ製品が正しく設定されていることを確認し、必要に応じてセキュリティポリシーを定期的に確認、検証、更新することが重要です。新しいセキュリティ機能が自動的に有効になるとは限りません。改ざん防止機能を無効にしたり、検出除外範囲を広く設定することは攻撃を受けるリスクを増大させるだけなので控えましょう。
- Active Directory(AD)を適正に管理する:ADアカウントを定期的に検査し、必要最小限以上のアクセス権が付与されていないことを確認しましょう。退職する社員のアカウントは、即座に無効にしてください。
- すべてのソフトウェアにパッチを適用する:Windowsやその他のOS、ソフトウェアを常に最新の状態に保ちましょう。パッチが正しくインストールされているか、インターネットに接続するマシンやドメインコントローラーなどの重要なシステムにパッチが適用されているかを再確認してください。
さらに詳しく知りたい方は、SophosLabs Uncut のPythonランサムウェアに関する記事をご覧ください。