ランサムウェアの感染方法
ランサムウェアのオペレーターの戦術が進化を続ける中、効果的な防御のためには、最も一般的に使用される攻撃ベクトルを理解することが重要です。
ランサムウェアはさまざまな方法で拡散しますが、以下のような10種類の感染方法が最も一般的です。
- ソーシャルエンジニアリング(フィッシング)
- マルバタイジング
- ファイルレス型攻撃
- リモートデスクプロトコル
- MSPとRMM
- ドライブバイダウンロード
- 海賊版ソフトウェア
- ネットワーク伝播
- マルウェアの難読化
- サービスとしてのランサムウェア(RaaS)
1. ソーシャルエンジニアリングを使用したフィッシングEメール
ランサムウェア攻撃においては、テクノロジーと人間の性質が表裏一体の関係にあります。クラウドストライクが確認したあるケースでは、CEOのEメールが偽装され、攻撃者はソーシャルエンジニアリングを使用して、従業員に役員からの偽装Eメール中のリンクをクリックさせようとフィッシング攻撃を仕向けました。
こうした攻撃を成功させるためには、この会社の経営陣、従業員、業界に関する入念な調査が必要です。ビッグゲームハンティング攻撃が増加するにつれ、フィッシング攻撃の中でソーシャルエンジニアリングが使用される頻度が高くなっています。ソーシャルメディアの役割も大きくなっており、攻撃対象の情報を発見する手段だけではなく、マルウェアを展開する経路にもなっています。
2. マルバタイジングとエクスプロイトキット
マルバタイジングとエクスプロイトキットを併用することにより、「トロイの木馬ポップアップ」や悪意のあるコードが仕込まれた広告を作成できるランサムウェアを広めることができます。ユーザーが広告をクリックすると、エクスプロイトキットのランディングページに不正にリダイレクトされます。エクスプロイトキットのコンポーネントは、攻撃者が悪用できる脆弱性を探そうとコンピューターをひそかにスキャンします。
脆弱性が見つかれば、ランサムウェアペイロードを送り込んでホストを感染させます。エクスプロイトキットは、自動化されたツールであることから、サイバー犯罪(eCrime)グループに好まれています。さらに、エクスプロイトは、ディスクに書き込むことなくメモリに直接読み込ませる効率的なファイルレス技術であるため、従来のウイルス対策ソフトウェアでは検知できません。
深い技術的ノウハウがなくとも展開できるため、エクスプロイトキットはそれほど知識のない攻撃者の間でも広く使用されています。ダークネットで少額の投資をするだけで、事実上誰でもオンラインの身代金ビジネスに参入できてしまいます。
3. ファイルレス型攻撃
ファイルレス型ランサムウェア攻撃は増加しています。こうした攻撃では、初期の段階でディスクに実行ファイルが書き込まれることがありません。PowerShellやWMIなどのOSにプリインストールされているツールを使用するため、攻撃者は侵害したシステム上で悪意のあるファイルを実行することなくタスクを実施できます。ファイルレス型攻撃は、多くの従来型のアンチウイルスソリューションをすり抜けることができるため、広く使用されています。
カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。
