Splunkの最新レポートによると、あるランサムウェアは、毎分25,000ファイルを暗号化する能力があると報告されています。このニュース発表により、既存検知と応答戦略について再精査する必要があるかも知れません。ランサムウェアがファイルの暗号化を開始すると、瞬時に損害を食い止めることはまず不可能でしょう。

世界中にいるサイバーセキュリティ対策チームは、ランサムウェアの暗号化速度の情報収集及び分析を続けていますが、今まで推測の域を超えることはありませんでした。最近の調査で、10種類のランサムウェアファミリーの中から100変種のランサムウェアの暗号化速度の結果を発表しました。

図１. 10種類のランサムウェアファミリーと変種（Splunkレポートから抜粋）

各種ランサムウェアの暗号化速度の結果は以下の通りです。

1. LockBit: 05:50

2. Babuk: 06:34

3. Avaddon: 13:15

4. Ryuk: 14:30

5. Revil: 24:16

6. BlackMatter: 43:03

7. Darkside: 44:52

8. Conti: 59:34

9. Maze: 1:54:33

10. Mespinoza (PYSA): 1:54:54

上記の各変種ランサムウェアの暗号化速度の平均値は、容量約54ギガバイト、100,000ファイルという仮定で算出すると、42分52秒という結果となりました。あるランサムウェアの暗号化速度は10分以下ですが、他のマルウェアでも2時間弱です。Lockbitランサムウェアは最速の暗号化で4分9秒であり、計算すると毎分25,000ファイルを暗号化していることになります。

もしランサムウェアに攻撃されて、ファイルの暗号化が開始される一歩手前まで進攻されている状況に直面した場合、検知と事後対策に依存しているセキュリティ製品（EDR）では、防御できないでしょう。

95%のランサムウェアは、検知回避テクニックを実装しており、攻撃実行の最終ステージまでセキュリティソフトの検知を素通りします。ランサムウェアがひとたび実行されると（ファイルの暗号化が開始）、EDR製品は悪意の行動検知と対応を開始するので、瞬時に防御することはできません。30分に満たなくとも、ほとんどのランサムウェアは、暗号化を開始しており損害を完全に防ぐことは不可能でしょう。

以下は多くのEDRプロバイダーが多くの時間を費やしている対策内容です。

A. 検知の素早さを追求 - EDRベンダーは検知が早ければ最小の損害で制御できるという考え方です。

B. 攻撃損害の緩和 - EDRで検知された後、攻撃のダメージを受けても、復旧対策に多くのリソースを費やし、攻撃前の状態に戻すための修復時間がかかります。

覚えておかなければならない重要な点の一つに、ランサムウェアが被害者のファイルを暗号化するときは、最終攻撃に突入する直前の状態です。攻撃当初は、ランサムウェアの悪意の一部が、システム上に攻撃の足掛かりを築き (トロイの木馬、エクスプロイトの脆弱性、フィッシング経路など)、侵入後直ぐには、大きな攻撃を仕掛けて被害を被らせるようなことはしません。サイバーキルチェーンのチャートにあるようなプロセスで攻撃進行して行きます。MITREもこのチャートについて、ナレッジベースを公開しています。

図2. サイバーキルチェーンの説明

参考：サイバーキルチェーンとは？

目的の行動を起こす前に、以下の攻撃プロセスへと進行していきます。

• ネットワークへの初期アクセス
• C2サーバーとの通信連携構築
• 付加的ペイロードのダウンロード
• アクセス権限の昇格
• 水平展開攻撃とエンドポイントへ大規模感染拡大

などなど

ランサムウェアが、攻撃最終ステージに進行してから攻撃を食い止めるのではなく、初期段階に防御することが重要であるとは思いませんか？攻撃実行前に防御することができれば、各種ランサムウェアの暗号化速度など気にする必要はなくなります。

さきほどランサムウェア攻撃が成功するためのステップについて説明致しましたが、ランサムウェアは常に周囲を見渡しながら、可能な限り静寂に検知されずに活動することが重要となります。

セキュリティ製品に検知されずに、95％の変種ランサムウェアは少なくとも単体又は多数の検知回避テクニックを備えています。（サンドボックス検知回避、自給自足型攻撃、コード難読化など）

Minervaはランサムウェア回避手法を検知する事で、キルチェーンの初期段階において武装解除します。ランサムウェアが検知回避手法を駆使すればするほど、Minervaはランサムウェアの動きを防御しやすくなります。Minervaは、ランサムウェアが次の攻撃ステージへ進行する前に先制防御することができます。

暗号化の速度が最速であるLockbitランサムウェアは、Minervaを打ち負かすことは不可能です。MinervaがLockbit2.0ランサムウェアを防御したブログについてはこちらをご覧ください。

このブログの初頭でお話しましたランサムウェア暗号化速度率について最近の調査では、ランサムウェアがどのような攻撃であるのか把握すること、企業組織は被害が生じる前に先制防御するという事が最も重要です。

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。