ランサムウェア
Nefilimランサムウェアの攻撃手法をMITRE ATT&CKの観点から見る
Nefilimは、標的型攻撃の手法のような高度な技術を使用する新種のランサムウェアファミリの一つです。これは、トレンドマイクロが侵入セット「Water Roc」として追跡しているグループによって運営されています。
Nefilimは、標的型攻撃の手法のような高度な技術を使用する新種のランサムウェアファミリの一つです。これは、トレンドマイクロが侵入セット「Water Roc」として追跡しているグループによって運営されています。このグループは、高度な手法を正規のツールと組み合わせているため、被害発生前に内部の攻撃活動を検知して対応するのが困難なランサムウェアです。
このようなことから、攻撃者は検知されることなく標的組織のシステム内で数週間にわたって活動を行い、環境内を動き回って被害を最大化することができます。さらに、攻撃の開始前には対象組織を詳しくプロファイリングし、被害組織ごとに身代金額を調整します。
Nefilimは、2020年3月に発見されたRaaS(Ransomware as a Service)であり、初期のNemtyランサムウェアファミリから進化したものと考えられています。標的としているのは、北米や南米を主な拠点とする、金融、製造、運輸業界などの数十億ドル規模の企業です。Nefilimは利益分配モデルで運営されています。攻撃で得た身代金のうち30%がランサムウェアサービスの料金としてNefilimに分配され、残りの70%がネットワークアクセスを提供して攻撃を実際に実行したアフィリエイト参加者に分配されます。
Nefilimは、他のランサムウェアと同じように、ファイルを暗号化して元のファイルを置き換えてしまうため、外付けのドライブにバックアップしておくか、身代金を払って暗号鍵を買うかしなければデータを復旧することができません。
Nefilimのアフィリエイト(攻撃を代行する集団)の参加者は、二重恐喝型ランサムウェアのファミリと同じように、身代金が支払われない場合、標的組織から窃取した機密データを長期にわたって流出させます。彼らは、流出した被害者データを数ヶ月から数年にわたり長期保存し、将来の被害組織に対して身も凍るようなメッセージを伝えるために利用している数少ないグループの1つです。
ここからは、Nefilimファミリの詳細なケーススタディから作り上げた架空の被害事例を用いて、彼らの典型的な攻撃プロセスがどのように行われるかを示しています。このストーリーでは、MITRE ATT&CK フレームワークを活用して使用される各戦術やテクニックを定義しています。詳細な技術情報については、末尾に掲載した表をご参照ください。
Nefilim被害事例:X社は、Nefilimの典型的な被害者となる架空の企業です。年間の売上高が十億ドル、北米に本社を置くグローバルな製造企業であり、Nefilimの理想的なターゲットです。
環境への侵入
手順①:
攻撃者は、インターネットに接続しているX社のホストに脆弱性スキャン(T1595.002)を実行し、Citrix Application Delivery Controllerの脆弱性(CVE-2019-19781)に対するパッチが未適用であることを発見します。この脆弱性を利用すれば、公開されているRDP(Remote Desktop Protocol)を使って初期アクセス(T1133)が得られるため、攻撃を開始します。
推奨される対策:
X社のセキュリティチームは、自社の環境で公開されているサービスのインベントリを管理し、定期的に脆弱性をスキャンして、ネットワークに侵入される可能性を未然に軽減しておくべきでした。Citrixなどのインターネットに接続しているシステムは、常に優先してパッチを適用し、強力なアクセス制御で管理する必要があります。最小特権の管理モデルと強力な多要素認証システム(M1032)を使用してアクセスを制限することで、アカウントセキュリティを強化し、認証情報アクセスを防止できます。RDPが不要ならば(それがパッチ未適用の理由かもしれませんが)、無効化するかブロックする必要があります(M1042)。また、ネットワークプロキシ、ゲートウェイ、ファイアウォールで、内部システムへの外部から直接のリモートアクセスを拒否し、侵入経路をブロックすることもできます。
修正パッチの適用に先立ち、侵入防御システム(IPS)を活用すれば保護レイヤを追加できます。これは、Nefilimのような標的型ランサムウェアの攻撃を防ぐには特に重要になります。また、IPSのログからは、初期アクセスの攻撃活動を検知するための関連情報が得られます。
手順②:
X社のネットワークに侵入した攻撃者は、さらなる侵攻に必要なツールのダウンロードを始めます(T1608)。まず、Cobalt Strikeビーコンをダウンロードします。これを使って、バックドアを作りアクセス手段を永続化させることで、リモートでコマンドを実行し、後でデータを持ち出すことができます。ビーコンは事前に設立しておいたダミー会社に接続されます。このダミー会社がCobalt Strikeのコマンド&コントロール(C&C)サーバをホストしています。さらに、エンドポイントセキュリティエージェントを停止(T1489)するためのProcess Hackerや、認証情報のダンプ(T1003.001)のためのMimikatzなど、攻撃中に必要となるツールをダウンロードします。
一部のツールは、管理者として実行するために権限の昇格が必要となります。攻撃者は、X社のシステムにあり、パッチが未適用の別の脆弱性を利用します(T1068)。Windows COMの権限昇格の脆弱性(CVE-2017-0213)です。昇格した権限とMimikatzで得た認証情報という武器を得て、侵略の準備ができました。
推奨される対策:
数年前に公開された脆弱性が複数利用されていることから、タイムリーなソフトウェアの更新(M1051)とパッチ管理の重要性を再認識させられます。脅威インテリジェンスの活用方法を見直すことで、どのようなソフトウェアが悪用されるか、どのNデイ脆弱性が組織に最も影響を与えるかを特定することができます(M1019)。仮想パッチは、既存のパッチ管理プロセスを高度化し、既知の脆弱性と未知の脆弱性に対する防御を強化することができます。また、アプリケーションの分離やサンドボックス化は、攻撃者によるパッチ未適用の脆弱性利用の影響を軽減するために使用できます(M1048)。最終的には、悪用の挙動を探索して検出する優れたアプリケーションセキュリティが必要です。
Mimikatzは、メモリから平文のパスワード、ハッシュ、Kerberosチケット、その他の機密データの認証情報ダンプに使われる代表的なツールです。また、pass-the-hash攻撃を使ってネットワーク内の他のシステムへのアクセスを得るためにも使用されます(T1550)。なお、Mimikatzは管理者が自分のシステム上に保持しておく必要があることを説明できるような正当な用途がないため、ほとんどの場合このツールは疑わしいものとして扱われる必要があります。
また、厳格なアカウント管理とActive Directoryの監査ポリシーによって緩和することもできます。最小権限の管理モデル(M1018)を適用し、システム間での認証情報の重複を制限(M1026)することで、侵害された認証情報による横展開(ラテラルムーブメント)の防止を強化できます。
侵入完了
手順③:
攻撃者は、システム内の既存のツールを利用して横展開を行い、侵入を拡大します(T1570)。PsExecを使ってtaskkillを起動し、X社のセキュリティチームにアラートを送る可能性のあるサービスを停止したり、バックアップサービスを停止したりします(T1489)。AdFindを使ってActive Directoryの設定に関する重要情報を取得し、X社のインフラストラクチャを詳しく調べて、他の標的を見つけます(T1018)。その後、周辺機器(T1120)や共有ドライブ(T1135)などX社の環境全体を調べ上げて、あらゆる貴重なデータを見つけます(T1083)。そして、PowerShellコマンドを使い、攻撃にあたって重要となるシステムにCobalt Strikeビーコンを戦略的に投下しながら横展開していきます。
推奨される対策:
ネットワークにおける侵入検知・防御システム(IPS/IDS)(M1031)は、攻撃者による初期アクセス後の活動をネットワークレベルで制限/検知するために重要です。このシステムにより、セキュリティチームが侵入されたことを確認し、攻撃者の活動をネットワーク、クラウド、エンドポイント/サーバの各レイヤにあるセンサを使って追跡することができます。ネットワークセグメンテーションとマイクロセグメンテーションにより、横展開を阻止して、セキュリティモニタリングに対応することができます。
暗号化前のデータ持ち出し
手順④:
攻撃者は、X社の環境にCobalt Strikeビーコンを用意してあるので、それを使って確立した既存のC&C通信経路を使って(T1041)、自動化されたデータ持ち出し(T1020)を実行します。ネットワークデータ転送のしきい値に関するアラートを回避するため、固定サイズのチャンクでFTP(ファイル転送プロトコル)を使用して機密データを盗み出します(T1030)。大きなファイルには、mega.nzを使い、正規のウェブサービスでデータを回収します(T1567)。
推奨される対策:
データの持ち出しを防ぐ対策として、ウェブベースのコンテンツを制限したり(M1021)、ネットワークトラフィックをフィルタリングしたりできます(M1037)。DNS、HTTP、HTTPSの疑わしい接続は、監視するか、完全にブロックする必要があります。また、ウイルス対策ソフトウェアは、機械学習のプラグインで最新の状態に保つ必要があります。一般的には、Cobalt StrikeのC&Cサーバに送信されるトラフィックをブロックすることが重要ですが、Cobalt Strikeはセキュリティ対策を回避するように設計されているため、効果的な対策とするにはマルチレイヤアプローチが必要です。
ランサムウェアの実行
手順⑤:
数週間後、攻撃者はX社の環境にある貴重なデータをすべて特定できたことに満足します。発見されないように週末まで待ってから、X社のネットワークにNefilimを展開します。復号に必要な身代金を要求する脅迫状を用意してから、NefilimがRSA-2048の公開鍵をインポートし、暗号化で使用できるように準備します。Nefilimのペイロードを、暗号化対象として特定したファイルがあるディレクトリのフルパスを含んだコマンドライン引数を与えて実行します(T1059)。X社の論理ドライブをすべて暗号化し、それぞれに「NEFILIM-DECRYPT.txt」という暗号化されていない脅迫状を書き込みます。
Nefilimは、ファイルの暗号化を始める前に、ファイルとディレクトリ名の除外リストに一致するかどうかを確認します。確認後に、ファイルの内容を暗号化し(T1486)、元の内容を置き換えます。その後、暗号鍵をメモリから消去し、3秒後に自身を削除して、自身のパスを削除します。
X社のCISOは、週末をゆっくりと過ごしてから職場に戻ると、悪夢を見ることになります。Nefilimの被害者となっていたのです。
攻撃を確認した後、最大限の恐喝となるように自社に合わせて特別に作られた脅迫状を受け取ります。自身のキャリアの中で最も難しい決断が必要になりました。身代金を払うのか、それとも、X社の機密データがすべて流出して訴訟となる危険を冒すのか。
どうすれば防ぐことができたのか
ランサムウェアに対する防御を評価する際には、そのテクニックの検出能力を評価するところから始める必要があります。Nefilimの戦術は企業の復旧能力を阻害するために使用されていて、その手法は潜在的なランサムウェア攻撃の最も優れた指標となります。Nefilimランサムウェアのバイナリ自体は単純なものであり、一般的なランサムウェアの軽減技術で保護することができます。
攻撃者は、数週間にわたる攻撃のライフサイクルを通じてサービスを停止させました(T1489)。こういった攻撃は、権限の制限(M1022とM1024)とネットワークセグメンテーション(M1030)で防ぐことができたはずです。侵入検知・分析・対応システムを運用するネットワークを本番環境から分離することで、重要な対応機能が攻撃者に発見され、妨害されるリスクを下げることができます。重要なサービスは、レジストリとディレクトリのアクセス許可を制限することで、攻撃者による干渉や無効化から保護することができます。究極的には、許可された管理者のみが重要なサービスにアクセスできるようにするために、安全なアカウント管理(M1018)が重要となります。
企業のセキュリティチームは、ランサムウェア攻撃が成功した状況などに備える災害復旧計画を策定することも検討できます。このような計画には、定期的なデータのバックアップ(M1053)や、攻撃からの復旧に使用するバックアップドライブのセキュリティのテストなど、先を見越したプロセスも含まれます。このバックアップはシステム外で安全に保管し、クラウド環境では、バージョニングを有効にしてバックアップコピーを作成する必要があります。ただし、これでは盗まれたデータの流出を止めることはできないので、最新型のランサムウェア攻撃に対しては予防が重要となります。
昨今のランサムウェア攻撃への防御に対する答え
ほとんどの企業では、複数の独立したセキュリティレイヤを使用しているため、脅威情報がサイロ化され、関連づけられていない大量のアラートが発生し続けます。その結果、可視性が損なわれ、高度なランサムウェア攻撃の足跡同士を関連づけて攻撃を防ぐことが極めて困難になります。最新の攻撃手法に先手を打つには、環境全体を見て疑わしい活動を関連づけ、高品質のアラートで重要な脅威を検知できるソリューションが不可欠です。
トレンドマイクロでは、最新型ランサムウェアの課題への答えとして、専用の脅威防御XDR(Extended Detection & Response)ソリューション「Trend Micro Vision One」を開発しました。この製品は、ネイティブなセンサと保護ポイントを使用し、XDR機能と組み合わせて、レイヤを越えて脅威の活動をつなぎ合わせることで、従来型の防御を回避するNefilimのような複雑な攻撃を迅速に特定することができます。これにより、根本原因の分析、実行プロファイルの確認、環境全体にわたっての影響範囲の特定が可能になります。視野を広げ、良質なコンテキストを活用することで、アラートの数を減らしつつ、その品質を向上させながら脅威の発見、検知、封じ込めを行うので、多くの情報を確認して迅速に対応できるようになります。
※Tactic、Technique、Mitigationは日本語に翻訳しています。
| 戦術※ | 手法※ | 観測できる事象 | 緩和策※ | 予防策 |
| 偵察活動(Reconnaissance) | アクティブスキャン:脆弱性スキャン - T1595.002 | 最近公開されたエクスプロイトに対する脆弱性があり、かつインターネットに接続されているホストが活発にスキャンされます。 | 侵害前 - M1056 | この手法は、企業の防御策や管理策の対象外で実行される動作が元になっているため、予防策で緩和するのは困難です。流出するデータの量と機密性を最小化する取り組みに注力すべきです。 |
| 初期アクセス(Initial Access) | T1133:外部のリモートサービス | 攻撃者は、RDP、VPN、Citrix、または同様のサービスなどのサービスを介して公開された有効なアカウントを使用して初期アクセスを取得します。 | M1042:機能やプログラムの無効化または削除 | リモートから使用できる不要なサービスを無効化またはブロックします。 |
| M1035:リソースへのネットワークアクセスの制限 | VPNや他の管理されたリモートアクセスシステムのような集中管理されたコンセントレータを使って、リモートサービスへのアクセスを制限します。 | |||
| M1032:多要素認証 | リモートサービスのアカウントに対して強力な2要素認証または多要素認証を使用して、盗んだ認証情報の悪用を難しくします。ただし、一部の2要素認証の実装では、2要素認証回避の手法に注意してください。 | |||
| M1030:ネットワークセグメンテーション | ネットワークプロキシ、ゲートウェイ、ファイアウォールを使って、内部システムへの外部から直接のリモートアクセスを拒否します。 | |||
| リソース開発(Resource Development) | T1608:ステージ機能 | 攻撃対象の特定に使われる機能がアップロード、インストール、またはセットアップされます。 | 侵害前 - M1056 | この手法は、企業の防御策や管理策の対象外で実行される動作が元になっているため、予防的策で緩和するのは困難です。流出するデータの量と機密性を最小化する取り組みに注力すべきです。 |
| 権限昇格(Privilege Escalation) | T1068:権限昇格のための不正利用 | 管理操作や権限昇格が必要な操作を実行するために、権限が昇格されて既知の脆弱性が利用されます。 | M1048:アプリケーションの隔離とサンドボックス化 | サンドボックス化により、攻撃者が未発見またはパッチ未適用の脆弱性を利用する操作を進めることを困難にします。他の種類の仮想化やアプリケーションマイクロセグメンテーションでも、ある種の攻撃コードの影響を緩和できることがあります。こういったシステムには、他の脆弱性や弱点のリスクも存在している可能性があります。 |
| M1038:実行防止 | 既知の脆弱性があり、カーネルモードでのコード実行により利用される可能性があるドライバの実行をブロックすることを検討します。本番環境に導入する前に、監査モードでドライバブロックルールを検証し、安定性を確認してください。 | |||
| M1050:エクスプロイトからの保護 | WDEG(Windows Defender Exploit Guard)やEMET(Enhanced Mitigation Experience Toolkit)のような、攻撃中に行われる動作を探索するセキュリティアプリケーションを使用すると、一部の攻撃動作を緩和できます。ソフトウェアエクスプロイトを発見して、その発生を阻止するには、制御フローの整合性を確認するという方法もあります。こういった保護機能の多くは、アーキテクチャと対象アプリケーションバイナリの互換性を必要とし、また、権限昇格の標的となるソフトウェアコンポーネントには無力です。 | |||
| M1019:脅威インテリジェンスプログラム | 特定の企業に対してソフトウェアエクスプロイトとゼロデイが使用される可能性がある脅威の種類とレベルを判断するため、サイバー脅威インテリジェンスを活用します。 | |||
| M1051:ソフトウェアの更新 | 企業内のエンドポイントとサーバに対してパッチ管理を活用し、ソフトウェアを定期的に更新します。 | |||
| 認証情報へのアクセス(Credential Access) | T1003.001:OS認証情報のダンプ:LSASSメモリ | 初期アクセスが奪われた後、認証情報がダンプされて使用され、内部ネットワークの他の部分へのアクセスも奪われます。認証情報は、その後の横展開にも使用されます。このような手法の使用を示唆する証拠やアーティファクトを探索します。 | M1043:認証情報アクセス保護 | Windows 10では、LSAシークレットを保護する新しい保護機能「Credential Guard」が実装されており、認証情報ダンプという形で認証情報が盗まれることを防止できます。デフォルトでは設定されておらず、ハードウェアとファームウェアに関するシステム要件があります。また、すべての形式の認証情報ダンプから保護できるわけではありません。 |
| M1028:OSの設定 | NTLMの無効化または制限を検討します。WDigest認証の無効化を検討します。 | |||
| M1027:パスワードポリシー | ネットワーク上のすべてのシステムで、ローカルの管理者アカウントに、複雑な一意のパスワードを設定します。 | |||
| M1026:特権アカウントの管理 | 厳重に管理されていない限り、ユーザまたは管理者のドメインアカウントをシステム全体のローカル管理者グループに入れないでください。これは多くの場合、すべてのシステムで同じパスワードを持つローカル管理者アカウントがあるのと同じことになります。エンタープライズネットワークの設計と管理に関するベストプラクティスに従い、管理階層全体で特権アカウントの使用を制限します。 | |||
| M1025:特権プロセスの整合性 | Windows 8.1とWindows Server 2012 R2では、LSAのProtected Process Lightを有効にします。 | |||
| M1017:ユーザ教育 | 複数のアカウントで同じパスワードを使用しないようにユーザと管理者を教育することで、アカウント間、システム間での認証情報の重複を抑制します。 | |||
| 横展開(Lateral Movement) | T1550:代替認証マテリアルの使用 | 攻撃者はMimikatzを使ってハッシュ、チケット、平文のパスワードをダンプできます。 | M1026:特権アカウントの管理 | 認証情報の侵害による被害を防止し、システム間の「横展開」を困難にするため、システム間での認証情報の重複を抑制します。 |
| M1018:ユーザアカウントの管理 | 最小権限の原則を適用します。ドメインユーザを複数のシステムのローカル管理者グループに入れることを許可しないでください。 | |||
| T1570:ツールの横転送 | 攻撃者は横展開を支援するために、システム内にツールを導入します。導入されるツールには、PsExec、Bloodhound、AdFindなどがあります。 | M1037:ネットワークトラフィックのフィルタリング | ホストファイアウォールを使ってSMBなどのファイル共有の通信を制限することを検討します。 | |
| M1031:ネットワーク侵入防止 | ネットワーク侵入検知および防止システムは、ネットワーク シグネチャを使用して、特定の敵対的マルウェアのトラフィック、または FTP などの既知のツールやプロトコルを介した異常なデータ転送を識別し、ネットワーク レベルでの活動を軽減することができます。シグネチャは多くの場合、プロトコル内の固有の指標に対応し、特定の敵対者やツールが使用する特定の難読化技術に基づく場合があり、さまざまなマルウェア・ファミリーやバージョンで異なっている可能性があります。 | |||
| 探索(Discovery) | T1018:リモートシステムの探索 | Active Directoryの情報を収集するためにAdFindのようなツールが悪用され、次のターゲットを見つけるためにインフラストラクチャが詳しく調査されます。 | この種の攻撃手法は、システム機能を悪用して行うため、予防策で緩和するのは困難です。 | |
| T1083:ファイルとディレクトリの探索 | 攻撃者はファイルやディレクトリを列挙したり、ホストやネットワーク共有の特定の場所でファイルシステム内の特定の情報を検索したりする可能性があります。 | この種の攻撃手法は、システム機能を悪用して行うため、予防策で緩和するのは困難です。 | ||
| T1120:周辺機器の探索 | 攻撃者はコンピュータシステムに接続された周辺機器やコンポーネントに関する情報を収集しようとする可能性があります。 | この種の攻撃手法は、システム機能を悪用して行うため、予防策で緩和するのは困難です。 | ||
| T1135:ネットワーク共有の探索 | 「収集」に先立ってその情報源を特定したり、横展開の展開先になりそうなシステムを特定したりする手段として、リモートシステムで共有されているフォルダやドライブが探索されます。 | M1028:OSの設定 | Windowsグループポリシーの「SAM アカウントおよび共有の匿名列挙を許可しない」というセキュリティ設定を有効にして、ネットワーク共有を列挙できるユーザを制限します。[36] | |
| 持ち出し(Exfiltration) | T1020:自動化された持ち出し | 「収集」中に機密文書などのデータが集められた後、自動処理で持ち出される可能性があります。 | この種の攻撃手法は、システム機能を悪用して行うため、予防策で緩和するのは困難です。 | |
| T1041:C&Cチャネルを使った持ち出し | 既存のコマンド&コントロールチャネルを使った持ち出しにより、データが盗まれることがあります。盗まれたデータは、コマンド&コントロール通信と同じプロトコルを使用して、通常の通信チャネルにエンコードされます。 | M1031:ネットワーク侵入防止 | ネットワーク侵入検知および防止システムは、ネットワーク シグネチャを使用して、特定の敵対的マルウェアのトラフィック、または FTP などの既知のツールやプロトコルを介した異常なデータ転送を識別し、ネットワーク レベルでの活動を軽減することができます。シグネチャは多くの場合、プロトコル内の固有の指標に対応し、特定の敵対者やツールが使用する特定の難読化技術に基づく場合があり、さまざまなマルウェア・ファミリーやバージョンで異なっている可能性があります。 | |
| T1030:データ転送サイズの制限 | 攻撃者はファイル全体ではなく固定サイズのチャンクでデータを持ち出したり、パケットサイズを特定のしきい値以下に制限したりすることがあります。この手法は、ネットワークデータ転送量のしきい値に関するアラートが発生するのを回避するために使用されます。 | M1031:ネットワーク侵入防止 | 特定の敵対的不正プログラムのトラフィックをネットワークシグネチャで特定するネットワーク侵入検知・防止システムを使用すれば、ネットワークレベルで攻撃活動を緩和できます。シグネチャは、プロトコル内の固有の目印を対象としていることが多く、特定の攻撃者やツールが使う特定の難読化手法に基づく場合があるため、不正プログラムのファミリやバージョンによって異なる可能性があります。攻撃者はツールのコマンド&コントロールのシグネチャを変更し、一般的な防御ツールによる検知を回避するようにプロトコルを構築する可能性があります。 | |
| T1567:ウェブサービスを使った持ち出し | 攻撃者は、メインのコマンド&コントロールチャネルではなく、既に存在している正規の外部ウェブサービスを使用してデータを持ち出す可能性があります。一般的なウェブサービスが持ち出しのメカニズムとなる場合、侵害前にネットワーク内のホストがそのサービスと通信している可能性があるため、かなりの隠蔽が可能となります。また、そのサービスへのトラフィックを許可するファイアウォールルールが既に存在する場合もあります。 | M1021:ウェブコンテンツの制限 | ウェブプロキシを使用して、未承認の外部サービスの使用を禁止する外部ネットワーク通信ポリシーを適用できます。 | |
| 実行(Execution) | T1059:コマンドとスクリプトのインタプリタ | コマンドとスクリプトのインタプリタが悪用され、コマンド、スクリプト、バイナリが実行されることがあります。 | M1049:ウイルス対策/不正プログラム対策 | ウイルス対策で疑わしいファイルを自動的に検疫できます。 |
| M1045:コード署名 | 可能な場合には、署名済みスクリプトのみ、実行を許可します。 | |||
| M1042:機能やプログラムの無効化または削除 | 必要ないまたは使用されないシェルやインタプリタを無効化または削除します。 | |||
| M1038:実行防止 | 必要に応じてアプリケーション制御を使用します。 | |||
| M1026:特権アカウントの管理 | PowerShellが必要な場合は、PowerShellの実行ポリシーを管理者に限定します。なお、環境設定によっては、PowerShellの実行ポリシーを回避する方法があるので注意してください。 | |||
| M1021:ウェブコンテンツの制限 | スクリプトブロック拡張機能を使用すると、攻撃の過程でよく使用されるスクリプトやHTAファイルの実行を防止できます。広告経由で送り込まれる悪意のあるコードについては、アドブロッカーを使えば、そもそも実行の防止に役立てることができます。 | |||
| 影響(Impact) | T1486:影響を与えるためのデータ暗号化 | 攻撃者はターゲットシステム上のデータ、またはネットワーク内にある多数のシステム上のデータを暗号化して、システムとネットワークリソースの機能を一時的に中断することがあります。 | M1053:データのバックアップ | IT災害復旧計画を策定し、その中に定期的なデータのバックアップとそのテストの手順を含めることで、企業のデータを復旧できるようにすることを検討します。バックアップはシステム外に保管し、攻撃者が一般的に使用するアクセス取得手段や復旧を妨げるためのバックアップの破壊方法から保護します。クラウド環境ではバージョニングを有効にして、ストレージオブジェクトのバックアップコピーを残すことを検討します。 |
| T1489:サービスの停止 | システム上のサービスが停止または無効化され、正規のユーザが使用できなくなることがあります。 | M1030:ネットワークセグメンテーション | 重要な対応機能が発見されたり妨害されたりする可能性を下げるため、侵入検知・分析・対応システムを本番環境とは別のネットワーク上で運用します。 | |
| M1022:ファイルとディレクトリのアクセス許可の制限 | 重要なサービスの無効化や妨害を防ぐため、プロセスやファイルに適切な権限またはアクセス許可を設定します。 | |||
| M1024:レジストリのアクセス許可を制限する | 重要なサービスの無効化や妨害を防ぐため、レジストリに適切なアクセス許可を設定します。 | |||
| M1018:ユーザアカウントの管理 | 許可された管理者のみがサービス変更やサービス設定の操作をできるようにするため、ユーザアカウントとグループの権限を制限します。 |
参考記事:
- 「Nefilim Ransomware Attack Through a MITRE Att&ck Lens」
by Trend Micro
