※ 本記事は 2016年3月7日に米国で掲載されたブログ記事の抄訳版となります。

 

ランサムウェアとは?

ランサムウェアとは、エンド ユーザーのコンピュータ上のファイルの暗号化を試み、暗号化されたファイルの復元と引き換えに金銭を要求するマルウェアの一種です。  

ランサムウェアは、現在の脅威ランドスケープにおいて最も一般的な脅威の1つです。 異なる多くの亜種が存在し、感染から回復するために多額の費用がかかる恐れがあり、ランサムウェアの攻撃者は、被害者からできる限り多くの身代金を巻き上げようとします。

この記事では、ネットワークがランサムウェアに感染しないようにするための一般的なガイドラインとして、役に立つベスト プラクティスをいくつか紹介します。

 

ランサムウェアはどのように配信されるのでしょうか?

ランサムウェアは、主に以下の手段を通じてターゲットに配信されます。 

  • フィッシング メールには悪意のある添付ファイルが含まれている可能性があります。このような添付ファイルは、必ずしも実行可能ファイル形式で配信されるわけではありません。セキュリティ ベンダーの説明書やセキュリティのベスト プラクティスでは、一般的に電子メール経由で実行可能ファイルを受信することを避けるように指示されているため、脅威の攻撃者達が変化する状況に応じて攻撃の手段を変えているからです。これは、間接的な配信メカニズムによって行うことができます。例えば、Windowsの場合、悪意のある攻撃者は、あまり直接的でない配信方法(難読化されたJavaScriptファイルをアーカイブに埋め込んでおき、後はエンド ユーザー任せにする方法)を選ぶことがあります。この場合、Windowsホスト上で.JSファイルを開くと、デフォルトのブラウザが起動し、次にJavaScriptが外部URLにアクセスして実行可能ファイルを取得し、そのファイルを被害者に配信して、実行します。現時点では、ユーザーが電子メール経由で実行可能ファイルを受信しないようにする対処法は、有効ではなくなっています。HTTP経由で実行可能ファイルが配信されるからです。  

  • エクスプロイト キット(Angler、Neutrinoなど)は、脆弱なWebサーバーを悪用してランサムウェアをユーザーに配信することが知られています。この場合、エクスプロイト キットは、脆弱なWebサーバー上で、悪意のあるWebスクリプトをホストし、特定の基準を満たす訪問者を悪用して、悪意のあるペイロードを配信します。(Anglerエクスプロイト キット 記事 @ Unit42)

     

  • 標的型ランサムウェアが、最近注目され追跡されています。このランサムウェアでは、組織の外部に公開されたWebサーバーが、悪意のある攻撃者によって攻撃の足場を得るために侵害されました。攻撃者は、対象の環境の精密なマップ作りを進め、ファイルクリプターを一斉に展開しました。(SamSaマルウェアの進化 記事 @ Unit42)

     

    ランサムウェア攻撃の阻止 — セキュリティ プロファイル

    PAN-OSでは、ランサムウェアの感染に対処し、ランサムウェアがネットワークに侵入しないようにするために、キルチェーンのさまざまなポイントにおいて防御が施されています。セキュリティ プロファイルの一般的な概要とその目的は、次の場所で参照可能です: セキュリティ ポリシーの基本 

    1) エクスプロイト キットと既知の脆弱性に対抗するために、PAN-OSコンテンツには多数の脆弱性シグネチャが存在します。  これらのエクスプロイトからユーザーを保護するために、「strict(厳格な)」脆弱性保護ポリシーの適用が役立つため、推奨されています。最低限でも、重要度が重大なシグネチャに対する防御策と共にシグネチャを確実に有効にすることが必要になります。脆弱性保護プロファイルの厳格なスタンスは、エクスプロイト キットへの暴露を防ぎ、外部に公開されたWebサーバーを、既知の脆弱性の悪用から保護するのに役立ちます。  

    関連する可能性のあるシグネチャとして、エクスプロイト キットの標識付きシグネチャ(下の参考文献1を参照)、マルウェアXOR難読化検出、Microsoft Windows OLEリモートコード実行、悪意のあるPE検出、およびJavaScript難読化検出が挙げられます。 

    また、JavaScriptはファイルブロッキングに対して未対応のファイルタイプであるため、SMTPフロー内のJavaScriptファイルの有無を検査する、シグネチャ39002および39003に関するアクションを調べることは有益です。 

    セキュリティ体制を強化するために、以下の脅威IDの例外を作成することをお勧めします。  これらを「deny(拒否)」に設定して、これらのシグネチャに一致するトラフィックをブロックします。 

    ただし、電子メールで送信される.jsファイルの正当な使い方はあまりありませんが、正当なトラフィックがブロックされていないことを確認するために、事前に 「alert(アラート)」設定を使用してお使いの環境内でテストすることをお勧めします。

     

脅威ID

説明

38353

このシグネチャは、悪意のあるMSOファイルが検出されたことを示します

38590

このシグネチャは、悪意のあるMSOファイルが検出されたことを示します

38591

このシグネチャは、悪意のあるMSOファイルが検出されたことを示します  

39002

このシグネチャは、電子メールで直接送信された.js .wsfまたは.htaファイルを検出します。 

39003

このシグネチャは、電子メールで送信されたZIPフォルダ内の.js .wsfまたは.htaファイルを検出します。

 

使用可能な脆弱性シグネチャに関する詳細なデータについては、ThreatVault 2.0を参照してください。

(エクスプロイト キットおよびフィッシング脆弱性プロファイルのカテゴリ 脆弱性保護プロファイル)

 

2)悪意のあるペイロードの配信を防ぐために、PAN-OSには、最も一般的なウイルス コンテンツを転送する、サポート対象のプロトコル(http、smtp、imap、pop3、ftp、およびsmbを含む)を検査できるアンチウイルス スキャンエンジンが備わっています。防御策を含むアンチウイルス プロファイルを、一般的にターゲットとなるトラフィック(インターネットのWeb閲覧や電子メール アクセスなど)を許可するセキュリティ ルールに割り当てると、サポートされているプロトコルの[Action(アクション)]および[WildFire Action(WildFireアクション)]列の両方に対して設定された防御策と共に、理想的な形でアンチウイルス プロファイルが割り当てられます。(この差異の詳細については、「防御 - ダイナミック更新」のセクションを参照してください。)。(アンチウイルス プロファイル)

 

3)[Malware(マルウェア)]/[Phishing(フィッシング)]/[Unknown(不明)]/[Dynamic DNS(動的DNS)]/[Proxy-avoidance(プロキシ回避)]/[Questionable(疑わしい)]/[Parked(パーク)]などの疑わしいカテゴリのURLへのアクセスをブロックするようにURLフィルタリングを設定することができます。これにより、ホストから、疑わしいコンテンツ/マルウェアをホストしているとPalo Alto Networksが判定したWebサーバーにHTTP経由でアクセスできなくなります。(専門家から: URLフィルタリングの実装とトラブルシューティング )

 

4) PAN-OSアプライアンスのファイルブロッキング機能を使用します。PAN-OSは、データ ストリーム内でサポートされているファイルタイプを識別し、設定した方法に応じて処置を取ることができます。
ランサムウェア(および一般的なマルウェア作者)のよくある戦術の1つは、配信用の新しいインフラストラクチャを立ち上げ、短時間使用してから廃棄してしまうというものです。これにより、評判ベースのフィルタリングができなくなります。なぜなら、セキュリティ ベンダーがインフラストラクチャを既知と分類するときまでに、悪意のある巧妙な脅威の攻撃者はそのインフラストラクチャを廃棄して、他の場所で活動を始めてしまうからです。これに対する解決方法の1つは、一般的な悪意のあるペイロード タイプ(Flash、PDF、実行可能ファイル、Officeドキュメントなど)のファイルブロッキングを、サービス/URLカテゴリが「Unknown(不明)」に設定され宛先がパブリック インターネットであるセキュリティ ルールと組み合わせることです。これにより、PAN-OSデバイスがファイルのソースを認識しなくなるため、AV検出に関係なく、一般的なペイロード タイプの転送が効果的に防止されます。 

このタイプのポリシー変更は、正当なトラフィックに影響が及ばないように、慎重に設定する必要があります。Palo Alto Networksは社内イントラネット サイトをスキャンできないため、この種のブロックを実行に移す前に、「Unknown(不明)」カテゴリアクティビティのURLフィルタリングログを確認して、内部ユーザーのサービス停止を防止することが重要です。Palo Alto Networksのファイアウォールで現在分類されていないサイトのカスタムURLカテゴリを作成すると、このステップの準備が整います。 

また、ランサムウェアキャンペーンの大部分が、悪意のある添付ファイルを含むフィッシング メールを感染源として利用するため、SMTP経由で特定のファイルタイプをブロックすることを検討することが適切な場合もあります。

 

関連するファイルタイプは次のとおりです: すべてのPEファイルタイプ(exe、cpl、dll、ocx、sys、scr、drv、efi、fon、pif)、HLP、LNK、CHM、BAT、VBE、VBS、JS、JSE、PS1、PSD1、PSM1

 

暗号化されたファイルタイプをブロックまたはアラートを出すことで、暴露の低減に役立つこともあります(暗号化されたzip)。

 

可視化とログ解析のためにブロックされていないすべてのファイルタイプについてアラートを出すと有益な場合があります。

(フィールドからのヒント: ファイル ブロッキング プロファイル)

 

5) ランサムウェアの一部の亜種は、データを受信するために外部のインフラストラクチャに接続します(規定されたインフラストラクチャからの入力により暗号化キーを生成してファイルを暗号化するなど)。 そのため、「strict(厳格な)」設定のアンチスパイウェア プロファイルを設定し、パブリック インターネットにトラフィックを出力するセキュリティ ルールにこのプロファイルを確実に適用することが重要です。

(アンチスパイウェア プロファイル)

 

また、アンチスパイウェア プロファイルには、疑わしいDNSクエリが検出されたときのアクションが含まれています。アンチウイルスおよびWildFireのコンテンツには、悪意のあるトラフィックに関連している可能性があるとPalo Alto Networksが判定したドメインのリストが含まれています。ネットワーク管理者は、このプロファイルを使用してこれらのドメインへのDNS要求をブロックしたり、詳細な分析のために設定した内部IPアドレスにトラフィックをシンクホールしたりすることを選択できます。真に熱心な管理者は、ここでいくつか興味深い設定を行う可能性を見いだします。 DNSをハイジャックしてシンクホールにリダイレクトした後、そのIPアドレスでWebサーバーを立ち上げると、管理者は成功したDNS検索から得られた結果を検査することができます。(DNSシンクホールを設定する方法 |  DNSシンクホール機能が動作することを確認する方法 | ビデオ チュートリアル: DNSシンクホールを設定する方法)

 

6) WildFireがライセンスされている場合、サポートされているファイルタイプを評価のためにWildFireクラウドに送信できるように、WildFire送信を設定する必要があります。これにより、Palo Alto Networksのファイアウォールは、新しいマルウェアの亜種を識別し、そのマルウェアのシグネチャを作成して、コンテンツ更新で配信することができます (コンテンツ配信の詳細については、「防御 - ダイナミック更新」のセクションを参照してください。) (WildFire分析用のファイルの送信 Wildfireの設定、テスト、およびモニタリング  )

 

7) PAN-OSは、外部の評判ソースに基づいて宛先との通信を防止するために、セキュリティ ルールで使用する外部ダイナミック リストの使用をサポートしています。Palo Alto Networksは現在、独自の承認されたソースのリストを公開していませんが、ここでユーザーが利用可能なリソースのリストが入手可能です。(ポリシーでダイナミック ブロック リストを使用する ダイナミック ブロック リスト(DBL)または外部ブロッ クリスト(EBL)を設定する方法)

 *2018年3月、AutoFocusにMineMeldが加わりました。MieMeldにより、脅威データベースやオープンソースの脅威情報を、自動で取り込み、整形、デバイスに設定を反映させることを自動化することを実現します。詳細はこちら

 

8) SSL復号化の使用は、ベスト プラクティスを実装する際に考慮すべき重要な要素です。ファイアウォールを通過するデータ ストリームが暗号化されており、検査のために復号化できない場合は、上記の防御策を行うことはできません。アンチウイルス検査はHTTPSストリームまたは暗号化された電子メールに対して機能しません。URLフィルタリングは、Webサーバーに割り当てられた証明書の共通名/SNIに対するベストエフォートとなります。通過するプロトコルが暗号化されているためにPAN-OSがファイルを識別できない場合、ファイルブロッキングを行うことはできません。通過するプロトコルが暗号化されているためにPAN-OSが転送するサポート対象のファイルタイプを識別できない場合、WildFire送信を行うことはできません。トラフィックが暗号化されている場合、脆弱性およびスパイウェアのプロファイルでは、そのトラフィックを既知のシグネチャと照合することはできません。このため、SSL復号化は、ネットワークに盲点がないことを保証する上で不可欠な要素となります。(SSL復号化リソースリスト)

 

9) できる限り、セキュリティ ルールで個別のアプリケーションを許可します。可能であれば、'unknown-tcp'および'unknown-udp' トラフィックをブロックし、必要に応じて内部アプリケーション用のカスタムアプリケーションを作成することを検討してください。 

 

10AutoFocus (autofocus.paloaltonetworks.com) を使用すると、特定の亜種のランサムウェアの動作パターンをよりよく理解することができます。ランサムウェアが発動したときに、ホストとネットワーク側の両方で生成されるアーティファクトは、非常に固有性が高く、ランサムウェアのタイプを識別するのに役立つことがよくあります。これには、暗号化されたファイルのファイル拡張子、復元手順と共に残されている身代金を要求するメモのフォーマット、外部WebホストへのC2トラフィックなどが含まれます。AutoFocusで一般的なランサムウェアファミリタグを確認すると、どの亜種にどのような固有性があるのかを把握することができ、ユーザーが各亜種の特性を理解するのに役立ちます。ネットワーク管理者は、この知識を身につけることで、潜在的な感染への対処策を強化することができます。

 

AutoFocusは、どのようなランサムウェアがどの組織、業界、または同業者をターゲットにしているのかについてコンテキストを提供することもできます。これにより、インシデントに先立ってある程度先を見越したデータ収集を行うことが可能になり、管理者は今後の攻撃に備えるために防御を強化することができます。

 

AutoFocusによるセキュリティ侵害の痕跡検出機能と、その他のPAN-OSの防御機能(外部ダイナミック リストなど)を組み合わせて、セキュリティ体制を向上させることもできます。(ヒントとテクニック: AutoFocus FAQ ヒントとテクニック: AutoFocusを使用する方法 (ビデオを利用) )

 

ランサムウェア攻撃の阻止 — ダイナミック更新

PAN-OSのセキュリティ プロファイルを適切に設定すると同時に、デバイス上で最新のコンテンツを利用できるようにすることで、最新の脅威からネットワークを保護することができます。(コンテンツ更新の管理

 

Palo Alto Networksは、さまざまな形でコンテンツを提供しています。

 

  • URLフィルタリングの場合、URLにアクセスする際にPAN-DB/BrightCloud検索が行われます(一定期間後にそれらのキャッシュの期限が切れます)。そのため、URLフィルタリングにはスケジュールされた更新は必要ありません。

     

  • アンチウイルスの更新は、ほぼ24時間毎に1回行われ、太平洋標準時で午前中早い時間に発行されます(これは推定時間であり、品質保証プロセスによって時間が変わる場合があることに注意してください)。そのため、少なくとも1日に1回アンチウイルス コンテンツを更新するようにPAN-OSデバイスを設定することをお勧めします。アンチウイルス コンテンツには既知の悪意のあるファイルのシグネチャが含まれており、このコンテンツは、送信されたサンプルのWildFireサンドボックス分析の結果として生成されます。このコンテンツは、[Action(アクション)]列のアンチウィルスセキュリティ プロファイルに結び付けられています。

     

  • WildFireの更新(ライセンスされている場合)は約5分ごとに利用可能です。そのため、できるだけ頻繁にWildFireコンテンツを更新するようにPAN-OSデバイスを設定することをお勧めします。これにより、デバイスにはいつでも最新のシグネチャが保持され、防御機能が最新の状態に保たれます。このコンテンツは、[WildFire Action(WildFireアクション)]列のアンチウィルスセキュリティ プロファイルに結び付けられています。

     

  • アプリケーションおよび脅威の更新は、ほぼ7日に1回行われ、火曜日の夕方から水曜日の午前中にかけてリリースされます(時折、定期的な週次の2つのリリースの間に緊急のコンテンツ更新が行われる場合があります)。そのため、少なくとも1週間に1回はアプリケーションおよび脅威を更新するようにPAN-OSデバイスを設定することをお勧めします。これらのパッケージにはアプリケーション識別機能の更新が含まれているため、コンテンツをインストールする前に、管理者はリリースノートをよく読んで、潜在的な影響や必要な設定の変更を十分に理解するようにしてください。このパッケージの「Threats(脅威)」部分には、脆弱性シグネチャ(脆弱性保護セキュリティ プロファイルに結びついているもの)の更新と、スパイウェア シグネチャの更新(アンチスパイウェアセキュリティ プロファイルに結びついているもの)が含まれています。

     

    最後に、バックアップが、ランサムウェアに感染したネットワークへの深刻な影響に対する最善の防御策であることを認識しておくことが重要です。

     

    最新のセキュアなバックアップデータが確保されている限り、感染後の修復が、被害を受けた当事者や組織に大きな負担をかけることはありません。

     

     

    ■その他の参考資料

    社内拡散を防ぐために有効な内部脅威対策について

     


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 9676

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 4923

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 3477

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1533

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2369