マルウエアに感染したらどうなる？直近のマルウエアの挙動と傾向から考える対策の最適解

今回は「マルウエアに感染したら？」というテーマでお話を進められたらと思います。私たちの立場では製品を紹介するときに、感染した場合にどうするかという話をするのですが、実際に感染したことがないという方もいらっしゃいますよね。

はい、今回はSB C&S技術担当の宮澤さんよりお話を伺いたいと思います。よろしくお願いします。

よろしくお願いします。

それでは、本日のテーマはこちらです。

マルウエアといえば、昔は「ウイルス」と言われていたと思うのですが、最近は表現が「マルウエア」に変わってきているように思います。まず、このあたりの定義からまずは伺えますか？

マルウエアについてですが、端的に言うと、マルウエア＝Malicious Software、つまり悪意のあるソフトウエアあるいはコードです。

そのため、使う状況により、ウイルスだけでなくワームやトロイの木馬（以下「トロイ」）を指す場合があります。情報を人質に取るランサムウエアや、恐怖心をあおってマルウエアをダウンロードさせるスケアウエアも含みます。

なるほど。つまり、悪いことをするソフトウエア全般を指してマルウエアと呼ぶわけですね。

はい、そのように理解していただければと思います。では、それぞれのマルウエアの特徴について抜粋してご紹介します。

ウイルスは、端末内のファイルにコードを追記する寄生型のもので、その他のワームやトロイはexeファイルなどとして単体で存在できるものです。こうした違いから、感染力や潜伏性、つまり検出のしにくさに違いが出てきます。

なるほど。いつからウイルスなどプログラムがマルウエアと言われるようになったのでしょうか？

1970年代からMS-DOSなどOS上で動作するウイルスが存在しております。当時は不正コピー防止の注意喚起やいたずら目的のジョーク的なものでしたが、次第に悪用できるということが広まり、感染力の強いワームによるデータの破壊や、ステルス性を高めたトロイなどの種類が体系化されていきました。次第に、こうした悪意を持って利用されるソフトウエアやプログラムをマルウエアと呼ぶようになりました。今、企業にとって脅威となっているランサムウエアなどはトロイやワームの特徴を兼ね備えています。

なるほど。こうしたいきさつがあったのですね。

実際にマルウエアに感染してしまった場合はどのようになるのでしょうか？

まず直近のマルウエア動向からお話しさせてください。近年話題になったものでEmotetというメールなどから感染し情報を窃取するものがございました。直近では、PhemedroneというWeb経由で感染して情報を窃取するマルウエアが話題になっています。

PhemedroneはWindowsの脆弱性を利用してセキュリティを回避し、侵入後に情報を窃取するマルウエアです。外部にあらかじめ用意されている攻撃者のサーバ（C2サーバ）と通信して、ランサムウエアなどの別のマルウエアをダウンロードします。Emotetは話題になることも多く、Emotet対策ができているかという話になりがちですが、危険なマルウエアはEmotetだけではないということも覚えておいてください。

こういった情報はセキュリティ会社が発信してくれていると思うのですが、実際には抑えるのは大変じゃないですか？

そうですね。しかし、この場合なら「Windowsの脆弱性が利用されている攻撃が増えている」ということを把握することが対策の第一歩になります。まずはそこからですね。

ありがとうございます。マルウエアといえばランサムウエアを連想しますが、ランサムウエアの最近の状況はどのようになっているのでしょうか。

こちらはランサムウエアの推移を表したグラフなのですが、右肩上がりといった状況ですね。

それでも、おそらく公表した企業についての集計だと思いますので、氷山の一角といったものですかね？

そうですね。まだまだ見えていないものがある可能性が高いですね。

なるほど。引き続きランサムウエアによる攻撃は多いので注意ということですね。ところで、実際にランサムウエアに感染してしまうとどのようになってしまうのですか？

では、実際の被害の状況について事例から解説していきます。

某港運協会の事例では、LockBitというランサムウエアによって重要なターミナルシステムが停止し損害が発生してしまいました。某大学機構では、ファイアウォール、つまりネットワーク機器の設定不備によりランサムウエアに感染し、ネットワーク内の端末の権限情報などを扱っているAD（Active Directory）サーバーが暗号化されてしまい、学生と職員の個人情報が流出してしまいました。

なるほど。

損害は身代金が注目されがちですが、払わなくても業務が停止することで数千万から数億円単位の被害が出てしまいます。米国など海外では4000万ドル（約60億円）とかなり大規模な数字になった事例もありますし、情報漏えいやステークホルダーへ不信感を与えてしまうなど、看過できないダメージになることもあります。

お金だけでなく、情報漏えいなども含めると広範囲に影響があるのですね。一回の感染で大きな被害をもたらすマルウエアは、どのように企業や組織に入ってくるのでしょうか。

ウイルスやワームやトロイはWebアクセスやファイル共有ソフトなどでのP2Pネットワークでの通信、外部記録媒体の接続により感染するケースがあります。被害の内容は多岐にわたりますが、企業のダメージという観点では情報の窃取やデータ送信などがトピックになりやすいです。URLや攻撃コードをパターンマッチで検出できるようなものも多いですが、短縮URLなどを使って偽造している場合もあります。

また、侵入時には攻撃コードやURLを持たず、侵入後に自分を構築してPhemedroneのように悪質な行為をするものもありますので十分に注意してください。

こちらは「比較的よく知られているもの」とのことですが、これとは別の「最近知られているもの」みたいなのもありますか？

はい。最近先鋭化が進んでいるものですね。最近被害が増えているランサムウエアの主な感染経路はこのようになっています。

まずフィッシングメールやネットワーク機器の脆弱性などをつき、攻撃者によるEmotetやQakBotへの感染の試みが行われます。これらに感染し検出できない場合、マルウエアが端末の権限設定やセキュリティポリシーを変更してバックドア（※）を作成します。

※悪意のある目的で外部からアクセスするための手順や経路。

こうした手順の中でWindows標準ツールのマクロやPowershellを使って武器を現地調達していくのですが、これらをプレマルウエアと呼びます。これによってバックドアが作成され、攻撃者の用意しているC2サーバー（※）との通信と攻撃の実行を行いまして、端末にあるアドレス帳などから情報を読み込んでフィッシングメールを拡散したり、ランサムウエアのダウンロードやADサーバー（※）への横展開を行ったりといった攻撃が行われています。PCが感染してしまった場合、攻撃者がADサーバーを探索して社内ネットワーク内のさまざまな経営情報を窃取できてしまいます。近年の攻撃は侵入後にはじめて攻撃に変化することが多く、検出の難易度が高くなっているという状況です。

※C2サーバー：攻撃者がマルウエアに感染した端末と通信するためのサーバー。
※ADサーバー：認証情報やアクセス権限を管理するためのサーバー。

なるほど。外部と通信するためのバックドアを作られていることもあれば、マルウエアが入ってきたことで作られる場合もあると。それで攻撃をどんどん仕掛けられてしまうのですね。また、それがパターン検査ではみつけにくいと。

はい。侵入段階では無害なフリをしながら、侵入後にバックドアを作ったり攻撃的なものをダウンロードしていたりするため、パターン検査だけでは対応できないというのが1つのポイントですね。

一見いい人に見えるけど、実は…、みたいなやつですね。一番気を付けるべきタイプだ(笑)。

ははは。さて、こちらが実際にランサムウエアに感染した場合の映像です。内容はやや古いものですが、WannaCryというランサムウエアの挙動についての動画です。

【IPAチャンネルのこちらの動画を埋め込んでください】
https://www.youtube.com/watch?v=duN9dYG4q3s

左側のPC1では手動でWannaCryを実行していますが、右側のPC2ではSMBというプロトコルの脆弱性を利用されて、ほぼ自動で実行されています。見るとわかるように、あっという間に感染して拡大してしまう。これがたった1つの脆弱性によってもたらされるかもしれないのです。結果的に、かなりの範囲に被害が出てしまうことがわかりますね。

このWannaCryも、先ほど話題に上がったEmotetやPhemedroneなども、しっかり対策していないと業務が止まったり身代金が請求されてしまうかと思います。こうした攻撃に対する対策についてご紹介いただけますか？

はい、ではこちらをご覧ください。対策について、「事前対策」と「もしもの時に」という軸で分けております。

なるほど。わかりやすいですね。

中でも特に今は、サイバーハイジーン、レジリエンスですね。この2つは人の心が担うため、どうしてもヒューマンエラーの危険性が出てきます。この人の脆弱性というべき部分への対策が、侵入後の対策とともにポイントと言えると思いますね。

ありがとうございます。無害なフリをして入ってくることもあるから、侵入後の対策をしっかり準備するということ、そして人の脆弱性への対策が大事ということですね。

それでは、これらのポイントをカバーするために、シマンテック製品であればどの機能がそれに該当するでしょうか？

ポイント①の「侵入後の振る舞い対策」につきましては、Symantec Endpoint Security（SES）で提供しているNGAVや、Symantec Endpoint Security Complete(SESC)で提供しているAdaptiveProtectionがございます。また、高精度のEDRは端末内の不審な挙動を捕捉して、他機能と連動して端末を保護してくれます。

ポイント②の「人の脆弱性」をカバーするものとしては、サービスで提供されている「脅威ハンティング」があります。機械学習やログのアナリストたちの分析によってユーザーが気付いていないような潜在的な脅威や脆弱性を見つけるサービスです。また、「ホストインテグリティ」機能は、パッチの当たっていない端末を検出して、遮断するというようなものです。「TDAD（Thread Defense for Active Directory）」は、脆弱性がある端末がネットワーク内にあり感染への対応が遅れた場合でもドメイン参加端末への被害を防ぐことができるようになっております。

2つの対策のポイントについて、対策の立て方としては、いろんな製品を組み合わせて守るアプローチもあると思いますが、シマンテックの場合は上位版のSESCであれば両方のポイントを押さえつつ総合的にユーザーのセキュリティを強化できるということですね。

そうですね。いろいろな製品を使ってしまうと、運用担当者がさまざまな製品を使う中でどうしてもセキュリティホールができてしまうことがありますので、オールインワンで多層防御できる、統一された隙の無い対策を実現していただけたらと思います。