ランサムウェアによる脆弱性の悪用パターンと標的：2017～2023年

Insiktの最近の調査では、過去6年間のランサムウェアと脆弱性の傾向を分析し、将来の予想に関する洞察を提供しています。

ランサムウェアグループは、一部のグループのみが標的とするものと、一部のグループが広く悪用するものという2つの異なるカテゴリーの脆弱性を悪用します。それぞれのカテゴリーで必要な防御戦略は異なります。特定の脆弱性を狙うグループは特定のパターンに従う傾向があるため、企業は防御と監査の優先順位を決めることができます。特殊な悪用から身を守るには、可能性のある標的と脆弱性の種類を理解することが重要です。

過去5年間に脆弱性の悪用に関わったランサムウェアグループの数を示す図。 たとえば、「1 つのグループ」とは、脆弱性を悪用したと報告されたのは 1 つのグループのみを意味します (出典: Recorded Future)

広く悪用されている脆弱性は、一般的に使用されているエンタープライズソフトウェアに見られ、侵入テストモジュールなどのさまざまな手段で簡単に悪用されます。ランサムウェアの運営者が最も狙う脆弱性はいずれも、侵入テストモジュールや1行のコードを介して簡単に悪用される可能性があります。このような悪用から身を守るには、脆弱性への迅速なパッチ適用、概念実証のためのセキュリティリサーチの監視、犯罪フォーラムでの（特定の脆弱性ではなく）技術スタックのコンポーネントへの言及の有無を確認する必要があります。

ランサムウェアグループの中には、防御者に明確な標的パターンを提示して、3つ以上の脆弱性を悪用することに重点を置いているものもあります。例えば、CL0Pは、Accellion、SolarWinds、MOVEitのファイル転送ソフトウェアを狙っています。標的となる脆弱性のほとんどは広く使用されているエンタープライズソフトウェアに存在し、簡単に悪用される可能性があります。固有のベクトルを必要とする脆弱性は、通常、少数のグループによってのみ悪用されます。

脆弱性の分類される上位カテゴリーの考察を基に、当社では脆弱性を悪用するグループが1つのみの場合、特製パッケージ（圧縮ファイルやアプリケーションデータなど）が必要となる可能性が高く、数行のコードで簡単に悪用することはできないという確信を抱いています。

Across all vulnerabilities exploited by ransomware operations, five stood out as those that garnered the most threat actor attention, having been exploited by the highest number of individual ransomware threat actors. These vulnerabilities are ProxyShel, ZeroLogon, Log4Shell, CVE-2021-34527 — which affected Microsoft enterprise products such as Exchange, Netlogon, and Print Spooler — and CVE-2019-19781, which affected Citrix software. Microsoft’s dominance here is unsurprising: As we have identified in previous reports, Microsoft is regularly the vendor most affected by zero-day exploitation and by ransomware overall, as about 55% of the vulnerabilities exploited by three or more groups were in Microsoft products.

この上位5つの脆弱性は、公表後のより幅広い脅威状況でも主な標的となっています。その要因として、システムへのアクセスや制御の点でインパクトが大きいことや影響を受けるソフトウェアの普及率が高いことなどが挙げられます。例えば、国家グループをはじめとするランサムウェア以外のサイバー犯罪者は侵入活動の一環として、これらの脆弱性を繰り返し標的にしていることが確認されています。

ランサムウェアの運営者や関係者は特定の脆弱性についてほとんど議論しませんが、より広範なサイバー犯罪エコシステムでは、公知の脆弱性や悪用の潜在的なターゲットを特定し、議論します。

緩和戦略

上記の調査結果と評価を基に、当社は以下がランサムウェア運営者による脆弱性の悪用に対する最も効果的な防御策であると考えました。

• 必要な場合を除き、デバイスとネットワークがHTTP/S経由の着信リクエストを受信できないようにします。ランサムウェアによる脆弱性の悪用では、HTTP/Sリクエストを受信可能なデバイスに数行のコードを適用して悪用できる、重要な脆弱性を選好するケースが多数にのぼります。この傾向は、パストラバーサルの脆弱性を悪用するケースで特に顕著に見られます。
• HTTP/Sリクエストでベースとなる単純なエクスプロイト構文を参照するために、セキュリティ調査員の記事やブログ、コードリポジトリに目を光らせます。この情報は一般アクセスが可能な状態を維持しなければならないデバイスに対するエクスプロイト攻撃を検出する仕組みを構築するために使用できます。
• 懸案のランサムウェアグループについて、当該グループが脆弱性の標的を固有に設定して製品と脆弱性タイプの両方に関して最有力の標的候補のプロファイルを作成しているかどうかを特定します。
• 広範に悪用された重要な脆弱性にできるだけ早くパッチを適用します。滞留時間統計では、ランサムウェアグループが脆弱性の公表後にも、被害者の脆弱なインフラを3年間にわたって悪用可能なことが示されています。
• ランサムウェアグループが犯罪フォーラムで特定の脆弱性に言及することはほとんどないため、グループがこうした脆弱性に関心があるかどうかを確実に判断する方法としてフォーラムを監視するのは得策ではありません。また、犯罪者がCVE識別子に言及するのは、もっぱら悪用が発生してからであるため、CVE識別子への言及もアラートとして利用しないでください。代わりに、懸念されるベンダーと製品をめぐる犯罪者同士のディスカッションを注視しましょう。

2024年を見据えると、生成AIの進歩によりサイバー犯罪者にとっての技術的障壁が低下し、より多くのゼロデイ脆弱性の悪用が容易になる可能性があります。GoogleやAppleなどの主要ベンダーは以前はこうした脅威の影響を受けませんでしたが、ランサムウェアキャンペーンの標的になる可能性があります。さらに、暗号通貨の価値が回復する可能性があるため、恐喝グループの焦点は脆弱性調査から暗号通貨ウォレットの窃盗に移る可能性があります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

注：本レポートの概要は2024年2月8日に発表され、2024年10月30日に更新されました。当初の分析と調査結果に変更はありません。