TOP

製品・ソリューション
ネットワーク機器

NetFort LANGuardian

ソリューション : ランサムウェアの侵入痕跡の検出

ネットワーク上でランサムウェアの侵入痕跡を検出し、それを阻止する方法について知ることは、ネットワーク・セキュリティ対策を進める上で重要な要素です。ランサムウェアの攻撃から回復することは長いプロセスであり、攻撃の加害者に支払われた身代金よりも、はるかにコストがかかることかも知れません。さらに、ネットワークが感染から完全にクリーンな状況になっていない場合、再びランサムウェの攻撃を受ける可能性もあります。したがって、組織内のネットワーク上でランサムウェアを特定できることは、攻撃の痕跡の検出と阻止に不可欠なだけでなく、反復攻撃を防止するために不可欠です。

ネットワーク上で、ランサムウェアの侵入の痕跡を調査するには、次の方法で確認することができます。

  1.   ネットワークのエッジでIDSを使用し、既知のランサムウェアの変種の侵入を検知する
  2.   組織内で、ファイルサーバとクライアントとの間で送受信されるネットワーク・トラフィックをモニタし、ファイル名の書き換え(rename)などのメタデータをキャプチャする
  3.   ランサムウェアのドメインに関連するDNSクエリをモニタする

ランサムウェアを特定するためにモニタする必要がある理由

ランサムウェアに対峙するには、防御のための複数の戦略が必要です。一般的には:

  •  データを保存する - 包括的なバックアップポリシーを策定する
  •  パッチを当てる - 最新のセキュリティパッチを適用し、ITシステムを最新の状態に保つ
  •  ブロックする - ファイアウォール、電子メールフィルタ、マルウェア対策ソフトウェアを導入する
  •  検出する – 上記の2つが失敗したときに、トランスクリプト攻撃の存在を警告する
  •  除去する - 感染したマシンを除去し、再構築する

これらの防御戦略のすべての要素が重要である一方で、「未知の脅威」(ゼロディ攻撃)およびあらゆる標的型サイバー攻撃から完全にブロックすることは極めて困難になってきているのもまた事実です。ランサムウェア「WannaCry」による感染は、電子メール・フィッシングを配信ベクトルとして使用せず、代わりにMicrosoft Windows SMBサーバ SMBv1の脆弱性を突いたエクスプロイトを介して急速に伝播し、マルウェア検出エンジンによる識別を避けるための多くの組み込み技術を持っていました。

NetFort社では、トラフィックベースのNetwork Analysis and Visibility ( NAV ) ネットワーク解析および可視化による検出に重点を置いています。これにより、企業ネットワーク内部におけるアクティビティを継続的にモニタし、ランサムウェアによる攻撃を受けたときには直ちにアラートを発し、感染したクライアントを特定し、封じ込めとクリーンアップを開始し、業務の中断を最小限に抑えることができます。

NAVによるモニタがランサムウェアを特定する最良の方法である理由

ネットワーク上のすべてのサーバおよびクライアントからの監査ログを集中管理およびモニタするには、多くの労力と費用が必要です。ロギングを行う際には各サーバには構成変更が必要となり、情報をセントラル・コレクタに送信するには、各エンドポイントでロギングを使用可能にして構成する必要があります。さらに、エンドポイントがマルウェアに感染している場合、エンドポイントは信頼できず、したがって潜在的に感染したクライアントからの監査ログも信頼できなくなります。

トラフィック・ベースのNAVによるモニタの利点は、ネットワークから収集された情報が、接続されているすべてのデバイスを本質的に継続的に監視し、感染エンドポイントによって無効にされたり、侵害されたりしないということです。ネットワークを介して伝播する、またはネットワークを介して破壊的な行動を引き起こすマルウェアはすべて、ネットワーク上に何らかの痕跡を残します。この痕跡を解析し、重要なメタデータとして保存することで、ランサムウェアの検出、アラート、フォレンジック機能が堅牢なものになります。ネットワークのトラフィックをパッシブにモニタすることにより、ネットワーク上での構成変更を生じることなく、ネットワーク上の任意のサーバまたはデバイスが送出するトラフィックを直ちに解析に利用することができます。

高度なプロトコル解析およびトラフィックに対するデコード技術

LANGuardianの高度なプロトコル解析およびトラフィックのデコード技術により、共有名、クライアントIP、およびユーザ名など、ネットワークのファイル共有へのすべてのアクセスをモニタして記録します。ファイル名の書き換え、またはファイル読み取りの回数が過剰に確認されると、アラートがトリガされます。これは、クライアントの動作に依存するため、ランサムウェアの変種に対する特定のシグネチャを必要とせず、Windowsのファイル共有上の複数のファイル名を書き換えるクライアントを検出します。これはさらに、ファイル名の書き換え時に使用される既知のファイル拡張子、既知のウェブサイトドメインへのアクセス、または身代金メモファイルのファイル名など、特定のランサムウェアの特定の痕跡の条件と組み合わせることで、迅速で正確な検出につながります。

    LANGuardianによるランサムウェア「WannaCry」の侵入痕跡の検出

ランサムウェア「WannaCry」の出現により、Microsoft Windows SMBサーバ SMBv1などの脆弱性を有するプロトコルを利用したランサムウェアの伝搬が確認されました。LANGuardian上には、SMBv1プロトコルおよびSMBv1上で発生しているすべてのファイル共有トランザクションをモニタし、サーバへの接続を確立しようとするクライアントを解析し特定する機能およびレポート機能が搭載されています。これにより、脆弱性を有するプロトコルを使用するシステムを特定し、感染が発生する前に対策を講じることができます。これはSSL.1.0およびSHA1などセキュリ的に脆弱な証明書を用いるシステムに対しても利用可能です。

    LANGuardianのパッシブ・モニタリングによるネットワーク上のMicrosoft Windows
    SMBサーバ SMBv1の検出

LANGuardianのランサムウェアの痕跡検出機能

LANGuardianでは特にWannaCryに対し、ランサムウェアの特定およびIOC(Indicators of Compromise:脅威が存在することを示す痕跡)を特定するために利用可能な各種機能を1つのダッシュボード上にまとめた、新しく設計されたランサムウェア検出ダッシュボード(Ransomware Detection Dashboard)機能が搭載されています。本ダッシュボード上では下記の機能が集約され表示されます。

  1.   ネットワーク共有上でのファイル名の書き換え(rename)の頻度を示すグラフ表示機能。ファイル名の書き換えの頻度が高い場合、明らかにランサムウェアによる行動を示すものとなります
  2.   ネットワーク上でファイル名の書き換えを実行しているトップ・クライアント表示(ユーザ名を取得することも可能)
  3.   WannaCryに関連するファイル名の拡張子の登録および同拡張子による検索。拡張子の登録リストには追加することも可能
  4.   WannaCryウェブドメインに関連するすべての活動
  5.   Windows XPクライアントのリスト。これらはSMBv1を使用するため脆弱性を伴います
  6.   SMBv1を実行しているサーバの一覧
  7.   ネットワーク上でTCPポート445を使用する外部向け通信のアクティビティの確認
  8.   WannaCryに関連付けられる身代金メモファイルのファイル名の検索・表示

    LANGuardianによるランサムウェア「WannaCry」の侵入痕跡の検出