9月12日~15日に開催された「TECH+ EXPO for セキュリティ 2023」に、日本ハッカー協会 代表理事の杉浦隆幸氏が登壇。「攻撃に使えるマルウエアとPowerShell」と題して攻撃者の観点からその手法と特徴について語った。

「TECH+ EXPO for セキュリティ 2023」その他の講演レポートはこちら

ランサムウエア攻撃のリアル、組織的犯行により被害は拡大中

杉浦氏は2000年にセキュリティ会社を創立し、2015年に同社をバイアウトしたのちに、2018年に日本ハッカー協会を立ち上げた。その後、内閣官房の情報通信技術(IT)総合戦略室やデジタル庁関連などの仕事にも携わった経歴の持ち主だ。マネジメントのみならず、技術系の分野にも精通しており、現在はOSINT(オープンソース・インテリジェンス)関係を専門にしている。

セキュリティの各分野へ目を光らせている同氏は「サイバー犯罪におけるランサムウエアの被害が、非常に目立ってきている」と指摘した。

また、外部の調査データから「被害額は事件1件の平均で5000万円ほど」と話すように、被害の大きさも拡大傾向にあるという。同氏曰く、ランサムウエアによる攻撃の多くは組織的犯行だそうだ。

サイバー攻撃の実行犯はアフィリエータと呼ばれ、グループが窃取した身代金の7~8割ほどが報酬となる。実行には5日~10日ほどしかかからず、高額の収入を容易に得られてしまうのが現状だ。

「収入に困っている国の人々にとっては稼げるビジネスになっています。今や世界各国に広がっていて、日本にもプレーヤーが存在するという話も聞くようになりました」(杉浦氏)

攻撃者の視点から侵入方法を解説

続いて杉浦氏は、実際にどのように攻撃されるのかを説明した。

攻撃者はまず、ファイアウォールやVPNなど脆弱な対象を発見して侵入する。侵入に成功すると、バックドアを開いて繋げ、ファイルサーバを探すのだという。Windowsのネットワークを組んでいる組織が多く、攻撃者はWindowsのファイルサーバを探すことが多いと同氏は補足する。

ファイルサーバに侵入した後は、ファイルアクセスのできるID・パスワードを取得し、最終的にランサムウエアによりファイルを暗号化する。ランサムウエアを使用するのは攻撃の最後に近い段階のため、「侵入されても、気付かないところもある」と同氏は指摘する。また、侵入に気付いても止められない場合もあるという。

「止められなければ、活動し放題となります」(杉浦氏)

  • ランサムウエア攻撃の手順

続いて、杉浦氏はランサムウエア攻撃に必要な道具について話した。必要となるのは、それなりに高性能なPCとインターネット回線に加え、専用のツール類だと言う。

ツールの具体例として、正当なペネトレーションテストにも使われるKali Linuxや攻撃用のフレームワークであるMetasploitのほか、認証情報を取得するMimikatzや、侵入後に横展開するためのツールであるCobalt Strikeを挙げた。本来は正当な脆弱性診断をするはずのツールが、悪事の片棒を担がされているのだ。

PowerShellは攻撃側にも防御側にも強力なツール

解説は、いよいよ本題であるPowerShellの話題に入る。PowerShellはスクリプト言語の一種であり、7以降のWindowsが標準搭載するほか、LinuxやmacOSからでも利用可能だ。

「システム管理ではとても便利ですが、攻撃側も非常に便利になってしまうところがポイントです」(杉浦氏)

攻撃側が対象を探す際、自分で探すことも可能だが、脆弱性をスキャンするサービスの結果を使うことが多い。

対象を定めた攻撃者は、侵入先のシステムから攻撃者側へ接続するリバースシェルを実行する。ウイルス対策ソフトを導入済みでも、「ファイルを検査するソフトウエアだと検出できない場合が多い」と杉浦氏は述べる。また、攻撃用ツールの一種を使って難読化させることで、ウイルス対策ソフトをすり抜けられるとのことだ。

リバースシェルに成功すると攻撃者は、ブラウザの閲覧履歴やブックマーク(お気に入り)、パスワードを保存しているサイトのリストなどを取得する。ブラウザ側でも昨今はパスワードの保存サイトリストを暗号化しているため、「以前と比べて攻撃側は必要な操作が増えた」と同氏は言う。

続いて攻撃者は、ツールを使用して共有ファイルを探す。有用なマシンから窃取したファイルは、攻撃者が契約するクラウドのストレージなどへアップロードされる。すなわち、情報漏洩が発生することになる。

重要なファイルを言わば“人質”として取得した攻撃者は、いよいよランサムウエアを実行する。ランサムウエアを作成するツールの一部は何者かによって公開され自由にダウンロードできるようになっているそうだ。また、攻撃する手段や実行するコマンドのリストも比較的容易に入手可能なため、「ランサム攻撃グループを新たに立ち上げたり攻撃したりがしやすくなっている」と、杉浦氏は現状を語った。

これらのような攻撃を防ぐ際にカギとなるのが、PowerShellとコマンドプロンプト(cmd.exe)への対策だと杉浦氏は説く。

セキュリティ対策を施している組織では、AppLockerやActive Directory、Microsoft 365のIntuneなどによってポリシーを配布し、PowerShellやコマンドプロンプトを使用する必要のない一般社員や職員には、使用不可にしている場合が多いという。

「攻撃者が攻撃後の手段を取れなくなるので、これは非常に有効な手段です。ほとんどの攻撃を無効にできるケースもありますね」(杉浦氏)

また、コマンドプロンプトの実行ファイルであるcmd.exeをリネームすることも、有効な対策の1つだと言う。

AppLockerについて杉浦氏は、非常に便利なツールだとしながらも、攻撃者が逆に利用するケースもあると説明する。例えば、ウイルス対策ソフトの無効化や動作の制限が可能な点がある。つまり、攻撃者にとっても、攻撃を受ける側にとってもAppLockerが機能するということだ。よって、攻撃を受けてしまった側は復旧する際に、「無効化されたセキュリティ機能も忘れずに復旧させることが重要」だと杉浦氏は説いた。

「これを忘れ、セキュリティ機能が全く生きてないまま復旧させてしまうケースも実際にありました」(杉浦氏)

攻撃側の手口を知った上で、採るべき有効な対策は?

これまで攻撃側の事情を詳らかにしてきた杉浦氏は、守備側の対策を5つのポイントにまとめた。

まず基本中の基本だが、ファイアウォールなどのネットワーク機器や、PC、スマートフォンなどのアップデートをきちんとすることが第一だという。

2点目は、「サポート切れの機械は、もう破壊して捨てた方が良い」(杉浦氏)ということ。実際、テレワークが始まりVPNの機械が足りないため古い機器を使用したところ、そこから侵入された大企業もあったそうだ。

3点目としては、外部サービスの利用時に二要素認証以上を必須化することを挙げる。日本では4割から5割ぐらいのユーザーが同一パスワードを使い回しているとの推計があると言い、「1つのパスワードが漏れると多数のシステムに侵入されてしまうため、二要素認証を必須化してほしい」と杉浦氏は力説した。

4点目は、管理者などではない一般ユーザーに対しては、PowerShellやcmd.exeをAppLockerなどで利用制限すべきだということを挙げた。

5点目は、安易な内部のパスワードを残さないことである。攻撃者にとってパスワードの解析には時間が掛かるが、安易な内部パスワードを残していると侵入に気付く前に突破されてしまうため、「これを残さないのが、非常に重要なファクター」だと同氏は述べた。

  • 杉浦氏が語るランサムウエア対策のまとめ

最後に杉浦氏は「攻撃側の手口を知ることによって、実際の効果的な対策が進むでしょう」と語り、講演を結んだ。

* * *

杉浦氏が語ったように、攻撃者はセキュリティの網をくぐり抜けるべく、わずかな隙を狙っている。対策者にとっては、自分たちのシステムや運用体制が抜け道をつくっていないか検証することが重要だ。ぜひ、同氏が語ったような勘所から自社の運用体制を振り返り、攻撃者の侵入を防ぐヒントとしていただきたい。

「TECH+ EXPO for セキュリティ 2023」その他の講演レポートはこちら