トレンドマイクロでは、2021年に入り新たに登場したランサムウェア「Cring(クリング)」の被害が国内で拡大していることを確認しました。トレンドマイクロが2021年1~4月の間にインシデント対応を支援したランサムウェア被害事例のうち、およそ7割が「Cring」によるものでした。
の例.png)
図:ランサムウェア「Cring」の身代金要求文(ランサムノート)の例
■ランサムウェア「Cring」とは
「Cring」は2020年12月頃から活動開始したとされている新たなランサムウェアであり、「Crypt3r」をはじめ「Vjiszy1lo」、「Ghost」、「Phantom」、「VnBeHa99y」、「Pay4it」など様々な別名でも呼ばれる場合があります(トレンドマイクロ製品では「Ransom.Win32.CRING」などとして検出)。Cring自体は、ファイルの暗号化とランサムノートの作成の他、Windowsシャドウコピーを含むバックアップファイルの削除、システム回復機能の無効化など、ランサムウェアとして標準的な活動を行います。Cringの攻撃の全体像としては不特定多数によるばらまき型の攻撃ではなく、いわゆる「Human-Operated」つまり攻撃者によるネットワークへの侵入と内部活動の後にランサムウェア感染に至るものとなっています。またCringのランサムノート上では「支払いが無い場合には窃取した情報を暴露する」旨の記述がありますが、リークサイトの存在などいわゆる「暴露型」の活動は現在のところ確認されていません。
■「Cring」の攻撃手法
トレンドマイクロが国内で確認したCring事例では、被害の起点としてNGFW(次世代型ファイヤウォール)やVPNなどネットワーク機器の脆弱性を利用した攻撃による侵入を確認しており、特にFortinet製品での被害が目立っています。海外でのCringの被害事例でも同様に、Fortinet製品のSSL/VPN機能の脆弱性「CVE-2018-13379」が起点として報告されており、Cringの攻撃者がFortinet製品を攻撃対象の1つとしていることは明白です。
Fortinet製品に関しては上述の「CVE-2018-13379」に加え「CVE-2019-5591」、「CVE-2020-12812」の3つの脆弱性が標的型攻撃に利用されていることを、米国連邦捜査局(FBI)などが4月に入って改めて注意喚起しています。ここで注意すべきは、日本で確認されたCring事例の中に、脆弱性が修正済みだったにも関わらず被害が発生したと考えられる事例があることです。前出の3つの脆弱性はすべて機器内の情報を不正に取得可能とする脆弱性であり、機器から取得した認証情報を使用して不正アクセスを行う攻撃シナリオが考えられます。つまり、脆弱性を修正した時点で既に攻撃を受けておりネットワーク機器の認証情報を取得されていたことにより、修正後であっても被害が発生した可能性が考えられます。関連として2020年11月にはCVE-2018-13379脆弱性の影響を受けるネットワーク機器約5万台のリストがハッキングフォーラム上に投稿されていたことが報告されており、JPCERT/CCではパスワード変更対応などの注意喚起を行っています。このように、一定期間脆弱性が修正されていなかった機器に関しては、何らかの経路で事前に認証情報を入手されている可能性が拭えません。このため、脆弱性をアップデートしただけでは安心できず、併せて認証情報の変更も行う必要があるものと言えます。
ネットワークへの侵入成功後にはC&Cサーバからの遠隔操作を確立しますが、この際には商用のペネトレーションテストツールである「Cobalt Strike」の利用が確認されています。またネットワーク内でのラテラルムーブメント(水平移動、攻撃基盤拡大)時にはリモートデスクトップ(RDP)機能を悪用した遠隔操作が確認されています。最終的にCringランサムウェアの展開、実行前にはセキュリティ対策製品の無効化なども行われ、最悪の場合には感染端末だけでなく、Active Directoryサーバやファイルサーバなどの重要サーバも暗号化されてしまいます。国内で確認した被害事例の中では、実際に重要サーバのファイルが暗号化され使用不能となったことにより、業務が停止した例もありました。
図:「Cring」攻撃の全体像
■被害に遭わないために
Cringランサムウェアの攻撃に関しては、VPNなどネットワーク機器の脆弱性を利用した侵入の手法が明らかになっています。ご利用のネットワーク機器を確認し、速やかに必要なアップデートの適用を行ってください。また、アップデート適用前に既に攻撃を受けている可能性を鑑み、認証情報の変更も行ってください。また認証情報を盗まれたとしてもそれだけで容易に不正アクセスされないよう、多要素認証やアクセス制御など追加のセキュリティを講じておくことも重要です。
ネットワーク内に侵入後の攻撃基盤拡大の活動では、RDPの悪用が確認されています。不要なRDPの無効化やアクセス元の制限、RDP通信の監視などの対策を検討してください。
その他、ランサムウェアからシステムを保護するために講じるべきベストプラクティスの一部を以下に示します。
- アプリケーションとソフトウェアに修正プログラム(パッチ)を適用するため、定期的にアップデートしましょう。これにより、既知の脆弱性に確実に対処できます。速やかにアップデートできない場合、またゼロデイ脆弱性が利用される可能性については、仮想パッチなどの技術的緩和策も検討してください
- 従来型のウイルス検出機能だけでなく、セキュリティソリューションが備える機械学習や挙動監視技術などの新たな対策技術を有効化しましょう。また可能であればサンドボックス分析を有効化しましょう。
- バックアップの際には「3-2-1のルール」を実践しましょう。3つ以上のバックアップを定期的に作成し、2つの異なるメディア内に保存し、そのうちの1つを他の2つのコピーとは別の場所に、可能ならネットワークから隔離された場所に保存してください
■トレンドマイクロの対策
トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨されるものを以下に示します。
法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。
また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
「Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。
※調査協力:田中啓介(スレットリサーチチーム)、濱口裕介(ジェネラルビジネスSE部)、サイバーセキュリティ・イノベーション研究所 スレット・インテリジェンス・センター
