原文のブログはこちらからご覧いただけます。
現在、医療機関に対するランサムウェアおよびデータ恐喝攻撃が増加しています。これを受け、米国の連邦捜査局(FBI)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、保健福祉省(HHS)は共同サイバーセキュリティ勧告(CSA)を発表しました。
各機関の報告によると、こうした攻撃は保護されていない VPN サーバーを狙っていることが多く、その発生頻度は 2022 年 6 月から増加の一途をたどっています。
有力な容疑者、Daixin Team
この共同勧告では、標的型のランサムウェアおよびデータ恐喝攻撃を行う今回の犯罪活動の背後にある脅威アクターとして、「Daixin Team」の名が挙げられています。Daixin Team は、複数の公衆衛生(HPH)組織で発生した特定のランサムウェアインシデントにも関与し、そこで次のような行動を取っていたと考えられています。
- ランサムウェアを展開し、電子カルテ、診断サービス、画像処理サービス、イントラネットサービスなど、医療記録とサービスの管理を担うサーバーを暗号化した。
- 個人情報(PII)や患者の健康情報(PHI)を抽出して悪用し、身代金を支払わなければこれらの機密データを公開すると恐喝した。
VPN がランサムウェアの標的に
Daixin Team の攻撃者は、MITRE ATT&CK® for Enterprise フレームワークで規定されたさまざまな戦術、技法、手順(TTP)を用いて攻撃を実施しています。しかしいずれの場合も、攻撃者は組織の仮想プライベートネットワーク(VPN)を悪用し、被害環境への初期アクセスを獲得しています。また、アクセスを獲得した後はネットワークを水平展開し、ランサムウェア攻撃の実施に利用できる関連データを不正に流出させています。
ある侵害事例では、Daixin Team の攻撃者が被害組織の VPN におけるパッチ未適用の脆弱性を悪用していました。また他の事例では、過去に侵害していた認証情報を使用して、保護されていないレガシー VPN サーバーにアクセスしていました。これらの認証情報は、フィッシングメールに添付された悪意のあるファイル(システム上で実行を許可すると認証情報がダンプされる)によって獲得されていたと考えられています。こうしてダンプされた認証情報を用いて後に侵害されたサーバーでは、多要素認証(MFA)が有効化されていなかったため、攻撃者による不正アクセスが見過ごされていました。
保護されていない VPN から得られたアクセスは完全に信頼されているため、Daixin Team の攻撃者はこれを利用して組織のネットワークを水平展開し、データを収集して暗号化した上で、身代金を要求します。ここで攻撃者は、組織内のシステム間を移動するツールとしてセキュアシェル(SSH)プロトコルとリモートデスクトッププロトコル(RDP)を利用しています。また、認証情報をダンプすることで、特権アカウントのアクセス権を獲得し、さらに将来の悪用と攻撃のために各種の認証情報を抽出しています。侵害された特権アカウントは、VMware vCenter Server にアクセスし、環境内の ESXi サーバーのアカウントパスワードをリセットするために利用されます。こうして、攻撃者が侵害されたサーバーに SSH 接続し、ランサムウェアを展開できるようになります。
第三者機関の報告によると、Daixin Team のランサムウェアは流出した Babuk Locker のソースコードを基にしており、特に ESXi サーバーを標的としています。ランサムウェアは /vmfs/volumes/ にある拡張子 .vmdk、.vmem、.vswp、.vmsd、.vmx、.vmsn のファイルを暗号化した上で、同じ /vmfs/volumes/ に脅迫状を配置します。採用された TTP や侵入の痕跡(IOC)の詳細については、CISA の Web サイトをご覧ください。
Daixin の影響を軽減するには
FBI、CISA、HHS の共同勧告では、Daixin や関連する悪意のある活動から身を守る方法として、次のような重要な軽減策が推奨されています。
- ソフトウェアとシステムを最新状態に保つ。特に、リモートアクセスソフトウェアと仮想マシンへのパッチ適用には注意を払う。
- すべてのシステムで MFA の使用を義務付ける。
- 内部ネットワーク経由でのアクセスを制限し、リモートデスクトッププロトコル(RDP)を保護および監視する。
- 業務目的で使用されていないポートとプロトコルを無効化する。
- SSH やその他のネットワーク機器管理インターフェイスを無効化し、有効化する場合は強固なパスワードと暗号化で保護する。
- 多層ネットワークセグメンテーションを実装および適用し、最も重要な通信とデータを最も安全で信頼性の高いレイヤーに配置する。
- ネットワーク接続が必須のエンドポイントに対しては、常に継続的認証を行ってアクセスを制限し、データパッケージが転送中に中間者攻撃で操作されないことを保証する。
- 内部システムでは標準ユーザーアカウントを活用し、管理者アカウントを制限することで、ネットワーク全体として「最小権限」のアクセスを促進する。
- 監視ツールを使用して、各種の接続デバイスが侵害によって異常な動作をしていないか確認する。
- サイバーインシデント対応を計画してデータのバックアップを取り、ランサムウェア攻撃に対する演習と準備を定期的に実施する。
ゼロトラストの採用による攻撃の軽減
インシデントの軽減に向けた CISA の推奨事項の多くは、共同勧告で示された TTP の影響を極めて受けやすい従来の VPN テクノロジーを脱却し、ゼロトラストネットワークアクセス(ZTNA)を採用する上でも、基本的な原則となります。
この戦略の鍵となるのは、ZTNA ソリューションとエンドポイントセキュリティエージェントの緊密な連携を確保することです。これにより、同一のテナントからアクセス管理とエンドポイントセキュリティを活用するためのロックステップ手順が強化されます。
さらに、プライベートリソースへのアクセス時にユーザーの再認証を義務付けることで、継続的認証を実施して情報の公開可否を管理できることが保証されます。また、最小権限アクセスを採用することで、脅威アクターが侵害したアカウントを通じて獲得する可能性のある「足がかり」が最小限に抑えられます。
そのほか、侵入検知システム(IDS)によって組み込まれる脅威予防機能は、悪意のある活動の特定や宛先のレピュテーション分析を支援することで、これらの防御を強化します。これにより、ネットワーク防御の担当者は、攻撃者が窃取した認証情報で承認済みユーザーになりすましている場合でも、既知の悪意のある宛先からネットワークリソースへのアクセスが試行されているかどうかを把握できます。
ゼロトラストの基礎をなすこれらの要素は、きめ細かいアクセス制御と多層ネットワークセグメンテーションを保証することで、最も重要なデータと通信に対する最大の保護を実現しながら、連携して脅威に対抗します。
ZTNA を総合的に導入できれば、それはランサムウェア、コマンドアンドコントロール(C2)ビーコン、権限昇格、データの抜き出しに対する抑止力となります。その結束力は、攻撃対象領域を削減し、水平展開や望ましくないアプリケーションの探索行為を予防すると同時に、オンプレミスとクラウド双方のリソースに対するネットワークアクティビティの可視性を向上させます。
BlackBerry は、マルチテナント型のクラウドネイティブなアプローチで ZTNA を実現することで、ネットワークとエンドポイントの安全を確保しながらデジタルビジネスの変革を促進する、高速で高信頼、かつ弾力性の高いソリューションを現代の企業に提供できると確信しています。また、効果的な予防ファーストの戦略をサポートするには、ZTNA を世界最高クラスの AI(人工知能)と ML(機械学習)を活用したサイバーセキュリティソリューションと連携させる必要があると考えています。
ZTNA の詳細情報
増大する脅威ベクトルに対処するために ZTNA の力を活用する方法や、Cylance® AI を備えた各種の BlackBerry® ソリューションを活用する方法についての詳細は、CylanceGATEWAY™ のページをご覧ください。