2024.10.25
多摩大学 ルール形成戦略研究所 客員教授
西尾 素己
2022年2月24日、ロシアがウクライナへ軍事侵攻し、今日に至るまで戦争状態が継続している。この戦争はこれまで人類が経験した戦争と明らかに違う点がある。それは軍事オプションとしてサイバー攻撃が使用されている点である。第五の戦場としてサイバー戦が定義されて久しいが、人類は初めてサイバー空間を含むフルスケールでのハイブリッド戦争を体験したのである。
民間企業で働く我々には少々遠い話に聞こえるかもしれないが、ロシアのランサムウェアギャング(ランサムウェアを用いて金銭を得る犯罪集団)が民間企業から得たサイバー犯罪の収益が、ロシア軍の軍費に使われていることは紛れもない事実であり、これを受けて米国は2022年にランサムウェアへの身代金支払いを一部違法化する法整備を行うに至った。
昨今、我が国の多くの著名企業がランサムウェアの被害にあっており、その殆どがロシアを拠点とするランサムウェアギャングによるものである。2024年に発生した大手動画配信サービスを提供する企業へのランサムウェア攻撃では、その親会社のITインフラも含めてユーザーのデータからプログラムに至るまで、ほぼすべての資産が暗号化される事態に至った。しかもその企業は身代金の支払いに応じたとの報道があったために、事態は混乱を極めた。
事実はさておき、万が一身代金を支払ったのであれば、その選択が極めて大きな意味を持つことを経営者並びにIT担当者は理解すべきである。前述の通りロシア系ランサムウェアギャングへの身代金の支払いは国際的に非常識とされており、それは支払った身代金が銃弾となって、人を殺すからである。
現代のコーポレートガバナンス、コンプライアンスはより国際的な視点が求められ、それは単なる規制への準拠にとどまらないということを認識すべきである。
世界各国の政府や軍は現在、「いかに合法的にサイバー攻撃/反撃能力を獲得するか」に悩まされている。これを背景に、昨今のサイバー犯罪の手法も極めて軍事グレードに近い手法が用いられていると言える。その代表格がLiving off The Land(LoTL)と呼ばれる手法である。
私がインシデントレスポンスを対応したある企業は、年間数十億円をセキュリティ対策に投じており、セキュリティ系のイベントでも社員が登壇するほどだった。その企業がランサムウェアの被害に遭い、顧客情報を含む重要情報と業務遂行に欠かせないシステムの構成ファイルをロックされた。
その攻撃手法は極めて高度で、まず攻撃者はとあるSaaS(Software as a Service)ベンダーを攻撃し、数百社分のIT管理者の氏名、連絡先などを入手していた。このSaaSは当該企業内での利用が承認されていないものであった。それらの情報を元に複数のIT管理者宛に攻撃用のメールが送付された。この企業ではメールの添付ファイルに対してスキャンを実施しており、圧縮ファイルの中身まで検閲する徹底ぶりであったが、添付されたファイルは特殊に細工されたショートカットファイルのみであったために、スキャンを突破した。
メールを受信したIT管理者は不覚にも当該ショートカットファイルを実行してしまい、セキュリティソフトの全プロセスが停止し、Active Directory(現Entra ID)からゴールデンチケットと呼ばれる高い権限でかつ有効期限が極端に長いケルベロスチケットを発行された。
ここで注目したいのが、なぜショートカットファイルだけでこのような動きができたのかということである。これこそがLoTLの特徴であるが、実はWindowsのショートカットファイルの宛先にCMD.exeを指定し、特殊な引数をつけることで、当該ショートカットファイルをダブルクリックしたユーザーの権限で任意のコマンドが実行できる機能がある。公式な機能なのかバグなのかは定かではないが、LoTLとはこういった標準機能の隙を突くことで、外部からマルウェアを注入するのではなく、あくまで標的の端末内にすでに存在しているリソースを使って攻撃を実行する行為を指す。
また、この攻撃者がIT管理者を狙い撃ちしたのには理由がある。IT管理者はその業務の特性上、高い権限を持つユーザーで業務を行うことが多い。攻撃者が実行したかったコマンドはActive Directory(現Entra ID)からゴールデンチケットを発行するという極めて高い権限を必要とするものであったため、IT管理者の端末が狙われたと思われる。
当該企業ではエンドポイント対策としてEDRを導入済みであり、仮に低い権限から高い権限に権限昇格を行うLocal Privilege Escalation(LPE)が行われていた場合には検知することができただろう。ゴールデンチケットを入手した攻撃者はそれらを用いてActive Directory(現Entra ID)に紐づいている全エンドポイント端末からEDRエージェントを削除し、他のLoTL手法(WindowsのHidden APIを用いた極めて高度な手法であるため今回は割愛する)を用いて端末内の情報をロックした。また、サーバーなどの資格情報を奪取した後に、Linux系システムに対しても同様の手法で構成ファイルをロックした。これにより主力事業の業務が完全に停止する大惨事となった。
しかし当該企業はU-Plane(ユーザー情報の保管場所)に加えてC-Plane(構成ファイルなどの保管場所)についてもバックアップを実施しており、システム復旧にはさほど時間はかからなかった。この点は前述した動画配信サービスとは事情が異なる点である。ただし、攻撃者は情報のロックと同時に持ち出しも行っており、当該企業は関係各所へ謝罪を実施し、取引先との契約関係に大きな支障を来す結果となった。
LoTLを用いた攻撃は、EDRやその他の製品の導入だけでは防ぎきれないことが明らかになった顕著な例だと今でもふと振り返る案件である。LoTLを用いた高度な攻撃は増加傾向にあり、あるランサムウェア被害の原因や侵入経路の統計を提供しているセキュリティベンダーの最新の統計を見てみると、これまではワンデイ(パッチが公開されてから間もない攻撃)やVPNへの認証の総当たりが主力だったに対して、「Unknown」という見慣れない表記がトップとなっている。当該企業に確認したところ、この「Unknown」とは文字通り、インシデントレスポンスを実施したが、原因がわからなかった例であることが確認できた。
前述のLoTLはまだわかりやすい部類で、現代の攻撃者は、例えばCPUの命令セットに潜む、Hidden API/Logicと呼ばれる開発者用マニュアルにも記載がない機能やバグを組み合わせて攻撃を実施し、攻撃の実施後完全にそのログを消し去るのである。こうなっては、ログは愚か痕跡の一つも残らない攻撃が可能なのである。