「すみません、閉店中です」ほとんどのランサムウェア攻撃が業務時間外に発生する理由

祝日、週末、そして業務時間外に発生するサイバー攻撃が増えています。こうした「オフピーク」攻撃が一般的な組織の業務体制と人間の脆弱性を簡単に悪用できることは明らかです。
少数のスタッフの緊張が解け、従業員が精神的にも物理的にも仕事からログオフしている時間帯では、エンタープライズ内の検知とトリアージのスピードは低下しています。これにより脅威アクターは気づかれることなく忍び込むことができます。リアルタイムに動作する自律的システムが存在しなければ、こうした予期しない攻撃が実行された場合、対処と復旧には格段に大きな影響が及びます。
ランサムウェア:歓迎されないプレゼント
営業時間外に最も頻繁に検知される脅威の一つがランサムウェアです。感染事例の76%は、暗号化プロセスが業務時間外または週末 に開始しています。Darktraceはクライアントのネットワークにおいて、ほとんどの従業員がオフラインであったクリスマスの日の早朝に実行されたランサムウェアインシデントを検知しました。

図1:クリスマスに発生したランサムウェア攻撃のタイムライン
暗号化が始まった前の週、1台のデスクトップにおいて気づかないうちに最初の足掛かりが作成されていました。このベクトルを使用して、脅威アクターは水平移動を行い、2台のドメインコントローラへのアクセスを獲得しました。これらはユーザーを検証しリクエストを承認するのに使われるサーバーでした。2台のサーバーはその後ランサムウェアに関連した未知のエンドポイントに対して不審なC2(Command and Control)接続を開始しました。次に、この脅威は隠れていきました。Darktraceはこのアクティビティのあらゆる段階を把握していましたが、セキュリティチームは12月のそれまでの作業負荷が大きかったこともあり、非常に重大なアラートであったにもかかわらずアクションをとることができませんでした。Antigena NetworkもProactive Threat Notifications (PTNs) も適用されていなかったため、脅威は中断なく進行しました。
そして休暇中の12月24日、突如として再浮上し、さらなる権限を使用して不審な実行形式ファイルをさまざまな内部デバイスに書き込みました。事前に狙われた一連の企業データが抜き出され、ランサムウェアペイロードが同じクラウド上の場所からダウンロードされました。
祝日を狙ったサイバー攻撃はコミュニケーションを混乱させる可能性が高いと言えます。誰が対応すべきか?連絡はとれるか?業務時間外の対応については別の対応要領があるか?祝日に予期しない攻撃が発生した場合、こうした質問に答えることは驚くほど難しいことがあります。ようやく答えが見つかったときには、多くの場合手遅れであり、損害は既に発生しています。
対応が済んだ後も、評価が必要となります。セキュリティ担当者は何が起こったのかを調査し、この攻撃の将来的な影響を調べる必要があるでしょう。社内のスタッフを動かすのが難しく、社外のセキュリティサービスが高価な場合、このプロセスは困難な作業となり、重要な証拠が失われてしまうかもしれません。その結果、将来同じような攻撃に対して無防備なままとなってしまいます。
土曜の夜のフィアウェア
祝日が人間とロジスティクス上の脆弱性であることは明らかです。しかし、同じようなダウンタイムが年間を通じて小規模に発生していることは見逃されがちです。それは毎週末のことです。Darktraceは過去数か月間、週末における攻撃が激増していることを確認しています。

図2:過去6か月間にDarktraceが検知した業務時間外に発生したモデル違反に含まれていた主要な単語を表した図
これには、英国所在のホスピタリティ企業を襲ったあるランサムウェアインシデントも含まれています。そこでは1人のユーザーが間違って危険なEメールにアクセスしたことにより社内のデバイスが侵入を受けました。この感染は平文のパスワードファイルを悪用して他の4台のデバイスに水平移動し、これには重要なサーバーも含まれていました。そしてこのサーバーを使用してスパムの発信がホストされ、さらに感染が広がりました。その後数週間の週末、侵害されたデバイスはオープンなまたはTorでホスティングされた大量のC2接続をXINOFランサムウェアと関連のあるエンドポイントに対して行いました。
これは、業務時間外の感染はあらゆるベクトルで発生しており、人間のコンプライアンスエラーを悪用してすばやくマルウェアを拡散し、月曜日にセキュリティチームが仕事に戻ってくる前には隠れてしまうということを示す例です。多くのデータ漏えいが発見までに既に数か月かかってしまう中で、脅威アクターは最初の侵入を監視の目が少ないタイミングで実行することにより活動をさらに隠ぺいしようとしているのです。
これらの最初の侵入に対する検知を向上させ、短い業務時間外の期間にも適応していくことで、長い休暇期間への対応と調整を強化していくことにも繋がります。しかし恒久的な修正を行うには、プロアクティブなアプローチが必要です。
眠らないソリューション
上記の事例において、自動対処がアクティブモードにされていれば、攻撃のあらゆる段階で可能でした。Antigena Emailが適用されていれば、異常な添付ファイルを特定し感染がネットワーク内に入る前に隔離することで最初の侵入を阻止したでしょう。ネットワーク内においても、自動対処が適用されていれば悪用された重要なサーバーが侵入を受けることはなかったはずです。収集されたパスワードによる悪意あるログインアクティビティは確認されるまで停止されていたはずだからです。また、XINOF ペイロードを含む悪意あるサイトへの接続をブロックし、さらなる損害の発生を防ぐこともできたはずです。
人間と違って、AIは眠りませんし、休暇をとることもありません。AIは24時間活動を続け、あらゆるタイプの脅威を最も早期の段階で封じ込めます。これにより悪意あるアクティビティがエスカレートするのを防ぐと同時に、人間のセキュリティチームが反応しインシデントの原因に対処するための貴重な時間を確保することができます。
セキュリティチームの調査を補強するためのさらなる目が必要であれば、Proactive Threat Notifications (PTNs) を使ってインシデントの緩和を行うこともできます。このサービスは深刻度の高い検知結果をDarktraceのお客様専用SOCに即座に送り、エキスパートサイバーアナリストによる調査を行うものです。Darktrace PTN SOCはお客様環境の監視に世界中の拠点を使ってアプローチし、24時間体制で組織を保護します。
タイミングがすべて
このブログで紹介した事例は週7日、24時間体制の必要性を喚起するものです。セキュリティプロフェッショナルが脅威と戦うためのスキルと創造性を高めるなかで、悪意あるアクターもそれに適応し、攻撃においてタイミングを自らの有利になるように使おうとしています。タイミングというアドバンテージを脅威アクターから取り除き、オフィスが閉まっていてラップトップの電源が落ちているときにもセキュリティを維持するためには、今やAIベースの検知が唯一の手段であることがかつてないほどに明確になっています。
この調査結果についての考察はDarktraceアナリストGabriel Few-Wiegratz が協力しました。