ランサムウェアへの効果的な対策と脆弱性への対応 | CODEBLUE 2024 OpenTalks

CODEBLUE 2024 神戸康多 フューチャー株式会社 Copyright © 2024 by Future Corporation -1-

自己紹介 神戸康多（かんべこうた） フューチャー株式会社 OSS脆弱性スキャナ「Vuls」作者 脆弱性管理クラウド「FutureVuls」の運営 実績 ■ 情報処理学会ソフトウェアジャパン2020 アワード ■ BlackHat Asia Arsenal, HITCONなど海外カンファレンス講演 ■ Google OSS Peer Bonus Winners of 2022 Copyright © 2024 by Future Corporation -2-

ランサムウェア発生件数 ランサムウェアの被害件数はグローバル・国内ともに年々増加傾向である。 技術の進展に伴い脆弱な機器がネットワーク接続されるケースの増加といった理由で、最近 は情報の価値密度が高いサーバ環境が狙われている。 出所：株式会社マクニカ セキュリティ研究センター 公開情報から読み解く日系企業のランサム被害傾向 Copyright © 2024 by Future Corporation -3-

• https://security.macnica.co.jp/blog/2024/02/post-4.html

ランサムウェアの侵入経路（国外・国内） 侵入経路は、脆弱性の悪用が一番多い - グローバルでは、脆弱性の悪用が「36%」 国内は「63%」がVPN機器からの侵入（脆弱性の悪用＋弱い認証） <グローバル> 出所：SOPHOS ランサムウェアの現状2023 年版 <国内> 出所：警察庁令和５年における サイバー空間をめぐる脅威の情勢等について Copyright © 2024 by Future Corporation -4-

• https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
• https://www.sophos.com/ja-jp/content/state-of-ransomware

ランサムウェア攻撃の各段階と脆弱性の悪用 凡例 フィッシング、パスワード推測、脆弱性の悪用、Eメール等で侵入する。 その後、C2への接続、管理者権限への昇格や横方向への移動を行う。 最後に機密データの抽出、バックアップの破壊、暗号化し身代金を要求する。 13 % フィッシング 29 % <初期侵入> <内部活動> <ターゲットの暗号化> 有効な 認証情報 パスワード推測 データ 抽出 インターネット 露出サービス 36 % 横移動 コマンド& コントロール 脆弱性の悪用 権限昇格 18 % Ｅメール 侵入の 割合 添付ファイル マルウェア バックアップ の破壊 データ 暗号化 初期侵入だけでなく、横移動・権限昇格などでも脆弱性は悪用される Copyright © 2024 by Future Corporation -5-

ランサムウェアグループが悪用する脆弱性とは ランサムウェアグループはゼロデイ攻撃をド派手にしかけてくる印象があるが、既知の古い 脆弱性が狙われるケースも多い。ランサムウェアキャンペーンで悪用されている脆弱性の 全66件のうち「48.5％」が2022年以前のCVEとなっている（2024/11/11時点) ランサムウェアで利用 古い脆弱性の攻撃が多い 2023年には、ゼロデイ攻撃が大幅に減少し、 攻撃者はより古い脆弱性や既存の認証情報 を悪用する傾向が強まっている。 リスクには有効期限が無く、古い脆弱性をそのままにしている場合は餌食となる。 出所: IBM X-Force脅威インテリジェンス・インデックス2024 Copyright © 2024 by Future Corporation ShadowServer: Top100をRansomeware=knownでフィルタ -6-

• https://dashboard.shadowserver.org/statistics/honeypot/vulnerability/monitoring/?category=monitoring&amp;statistic=unique_ips&amp;limit=100&amp;known_ransomware_campaign_use=Known
• https://www.ibm.com/jp-ja/reports/threat-intelligence

ランサムグループが利用する既知の脆弱性 CISAのサイトを「#stopransomware」で検索し、ランサムグループの詳細情報を見ると古 くてインパクトが大きい脆弱性が継続的に使われていることがわかる。 CISA-KEVの「1,207件中239件（19.8 %)」がランサムキャンペーンで悪用されている。 古い脆弱性も使われている グループ名 LockBit Black Basta 段階 CVE-ID 概要 CVE-202144228 Log4Shell CVE-202126855 ProxyLogon 初期侵入 CVE-2024-1709 Citrix 横移動・権限昇格 CVE-2020-1472 ZeroLogon CVE-202134527 PrintNightmare 初期侵入 出所：CISAのサイトを「#stopransomware」で検索 Copyright © 2024 by Future Corporation -7-

• https://www.cisa.gov/search?g=stopransomeware

ランサムウェア対策において脆弱性管理は必須である CISA#Stopransomwareのランサムグループ詳細ページには「脆弱性管理とパッチ適用をせ よ」と書かれている。脆弱性管理は基本中の基本であり、当然やらないといけない。 また、CISAの2023年に悪用された脆弱性TOP15には、「悪意のあるサイバー攻撃者は、脆 弱性が公開されてから 2 年以内に脆弱性を悪用することに最も成功し続けています」 出所：CISAのサイトを「#stopransomware」で検索 CISA 2023 Top Routinely Exploited Vulnerabilities 「家に最先端の防犯システムがあっても、窓が割れたまま放置してたら侵入し放題になる」 Copyright © 2024 by Future Corporation -8-

• https://www.cisa.gov/search?g=stopransomeware
• https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-317a

脆弱性管理の進化（手動 → 自動） これまで主流だったCVSSスコアでの判断では絞り込みができず実運用が回らない。脅威情報 を元に実際に悪用されている「5%」を特定し、優先的に対応するのがトレンドである。 これまで（手動） 現在（自動） 資産と脆弱性 の特定 ● 手動の資産管理 ● 手動の脆弱性情報収集 ● 手動の影響調査 ● スキャナやSBOMで資産登録 ● 自動でNW機器を特定 ● 自動で脆弱性検知 リスク判断 ● CVSS≧7.0は全て対応 ● 手動で脅威情報の収集 ● 手動で判断し社内メール送付 ● 実際に悪用される5%を特定 ● リスクを自動判断（SSVC) ● 自動で対応指示 対応 ● 手動でパッチ、仮想パッチ適用 ● 手動での対応状況管理（Excel) ● 手動でメールで対応を催促 ● 自動でパッチ、仮想パッチ適用 ● 自動で対応状況を管理 ● 自動で対応催促 次ページよりランサムウェア対策の観点からFutureVulsの機能を紹介 Copyright © 2024 by Future Corporation -9-

FutureVulsの脆弱性管理の全体像 FutureVulsは全社の資産と脆弱性を一元管理。検知した脆弱性のリスクを自動判断し、運用 者に対応を自動指示。セキュリティ管理者は画面上で対応状況を追跡し催促も可能。 管理対象 構成情報取得 Windows Vulsスキャナ Linux Trivy OSS Library SBOMツール ミドルウェア CPEリスト 有償ソフト NW機器検知 コンテナ AWS / GCP… SSVC機能がリスク判断し ４段階の対応レベルに分類 構成情報DB NW機器 GitHub 資産管理ツール Ops 脆弱性 脆弱性 脆弱性 管理 CSIRT Immediate 出力 脆弱性DB 脅威情報DB チケットDB WordPress 通知 対応レベルに応じて 対応期限などを自動設定 SBOM Copyright © 2024 by Future Corporation - 10 -

SSVC - 米国政府推奨のCVSSの課題を解決するトリアージ手法 FutureVulsのSSVC機能は『リスク = 脆弱性 x 脅威 x 影響』を考慮して対応優先度を４段 階に自動で決定する。「インターネット公開の重要システム」を想定して分類したところ、 immediate と out-of-cycle を全体の1.5%まで絞り込めた。 脅威 脆弱性の脅威情報 脆弱性 攻撃の自動化可能性 インターネット露出度 影響 ビジネス影響度 Copyright © 2024 by Future Corporation - 11 -

FutureVulsのランサム対策機能：ランサムウェア悪用フィルタ ランサムウェアキャンペーンで悪用されている脆弱性を全社横断でチェックできる。 CISA KEVとVulnCheck KEVに定義されている、ランサムウェアキャンペーン悪用情報を用 いて、検知された脆弱性をフィルタし、対応状況を確認可能。一括操作で対応を指示。 初期侵入はもちろん、横移動、権限昇格に使われる脆弱性も可視化できる Copyright © 2024 by Future Corporation - 12 -

FutureVulsのランサム対策機能：外部スキャンインポート 外部スキャン結果をインポート可能。内部で検知された脆弱性のうち、ランサムウェアの初 期侵入に使われる「インターネットに露出している脆弱性」を画面上で特定できる。 外部スキャン 内部スキャン CVE-****-**** CVE-****-**** CVE-****-**** Nessus ASM 脆弱性診断 外部スキャン結果 Nmap CVE-****-**** Qualys CVE-****-**** … CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** CVE-****-**** .. . で内部・外部の脆弱性を関連付けて統合管理 Copyright © 2024 by Future Corporation - 13 -

FutureVulsのランサム対策機能：外部スキャンインポート 「外部スキャン列」がチェックされた脆弱性はインターネットに露出中の脆弱性である。 さらに「ランサムで利用」マークがついているものは緊急対応が必要と判断できる。 さらに該当する「システム > サーバ > ライブラリ」をドリルダウンで特定できる Copyright © 2024 by Future Corporation - 14 -

FutureVulsのランサム対策機能：EPSSでのソートと対応催促 検知された脆弱性を、EPSS（今後30日以内に悪用される可能性）でソート可能。 高リスクな脆弱性を放置している担当者に一括で対応を指示できる。 EPSSを用いれば、近い将来悪用されそうな脆弱性を補完できる Copyright © 2024 by Future Corporation - 15 -

FutureVulsのランサム対策機能：ソフトウェア横断検索 ゼロデイ脆弱性や大きな話題となっている脆弱性のニュースが公開された際に、対象ソフト ウェアを全社横断で検索可能。 表示されたシステム、サーバ、バージョン番号をもとに影響を判断して注意喚起できる。 Copyright © 2024 by Future Corporation - 16 -

まとめ ランサムウェア対策の基本は脆弱性管理 ゼロデイ攻撃が騒がれ目立つが、古くてインパクトの大きい脆弱性も継続的に使われている リスクベースでの脆弱性管理が主流 FutureVulsでは、無償公開の脅威情報で実際に悪用されている「5%」の脆弱性を特定し、 さらにSSVCで『リスク = 脆弱性 x 脅威 x 影響』を判断できる FutureVulsは徹底的に自動化可能 FutureVulsは脆弱性管理のプロセスを徹底的に自動化。少人数でも運用がまわる Copyright © 2024 by Future Corporation - 17 -

Vuls FutureVuls Blogでスライドと全文ログを公開予定です 展示ブースでお待ちしてます