VPNアプライアンスの脆弱性を利用するランサムウェア「Cring」

VPNアプライアンス「FortiGate」の脆弱性を突いたランサムウェア攻撃。その全容は。

2021年第1四半期、ランサムウェア「Cring」(別名:Ghost、Crypt3r)を使用した一連の攻撃が発生しました。Kaspersky ICS CERTは、攻撃を受けた企業のうち一社にてインシデント調査を行い、この攻撃でFortinet のVPNアプライアンス「FortiGate」の脆弱性が利用されたことを突き止めました。

これら攻撃の被害者の中には、欧州諸国の製造関連企業が含まれます。製造プロセスを司るサーバーが暗号化されてしまったために製造が一時的停止した例が、少なくとも1件ありました。

FortiGateに関しては2019年、脆弱性「CVE-2018-13379」の存在が公表されました(リンク先は英語)。この脆弱性はすでに対処済みでパッチが提供されており(英語記事)、Fortinetは繰り返し注意を呼びかけています。

Kaspersky ICS CERTによるインシデント調査から得られた情報を基に、このランサムウェア攻撃がどのように進行したのかを解説します。

攻撃の流れ

攻撃では、企業ネットワークへのアクセス権を取得するために、FortiGate の脆弱性CVE-2018-13379が利用されていました。

攻撃の主要フェーズに入る数日前、攻撃者はFortiGateへのテスト接続を実施していました。FortiGateから盗み出したVPN認証情報がまだ有効かどうか、確認するためだったと考えられます。 なお、認証情報の入手に関しては、攻撃者が自分たちでIPアドレスのスキャンを行って脆弱性を持つデバイスを特定した可能性のほかに、彼らが脆弱なIPアドレスのリストを購入した可能性もあります。2020年秋、脆弱なFortinetデバイスのリストを販売する旨の投稿がダークWebのフォーラムに出現しています。

ダークWebのフォーラムへ寄せられた投稿。脆弱なデバイスのデータベースを売ります、という内容

ダークWebのフォーラムへ寄せられた投稿。脆弱なデバイスのデータベースを売ります、という内容

攻撃の本番に入ると、企業ネットワーク上で最初のシステムにアクセスした後、そのシステムへ「Mimikatz」をダウンロードしています。攻撃者はMimikatzを使い、このシステムへ過去にログインしたことのあるWindowsユーザーのアカウント認証情報を盗み出しました。これによって攻撃者はドメイン管理者アカウントへの侵入に成功し、ここから企業ネットワーク上にあるその他システムへのマルウェア拡散を開始しました。この管理者は一つのユーザーアカウントからネットワーク上の全システムにアクセスできる権利を持っていましたが、それが悪用された形です。

感染先のシステムを掌握すると、攻撃者は、ランサムウェアCringをダウンロードして起動するためのバッチファイル「execute.bat」をダウンロードし、実行します。

Cringは、データベースファイルの暗号化とバックアップデータの削除ができるように、データベースサーバーとバックアップシステムのプロセスを終了させます。その後、バックアップデータを削除し、ファイルの暗号化を開始して、RTFファイル形式の身代金要求メッセージを残します。

Cringを使った攻撃の流れ

Cringを使った攻撃の流れ

念入りな偵察活動と準備

攻撃の細かい点の端々から、攻撃者が標的のインフラを詳細に分析し、集めた情報から攻撃用のインフラとツールを準備したことがうかがえます。

例えば、Cringのダウンロード元となったサーバーは、IPアドレスによるフィルタリングが有効になっており、欧州のいくつかの国々からのリクエストにだけ応答していました。

また、攻撃者が利用するCring実行用バッチファイルは、その企業で使用されているセキュリティ製品の活動にCringの活動を見せかけたり、暗号化の対象として選んだシステム上でデータベースサーバーのプロセスとバックアップシステムのプロセスを終了したりと、細かな動きを見せています。

攻撃者の活動を解析したところでは、彼らは標的企業のネットワークを偵察した結果に基づき、「これが機能しなくなるとその企業に一番大きなダメージになる」と判断したサーバーを狙って暗号化したと見受けられます。

攻撃の技術的詳細については、Kaspersky ICS CERTのブログ記事をご参照ください。

インシデントの要因

このようなインシデントが発生した背景には、いくつかの要因がありました。

一番の要因は、脆弱性を抱えた古いバージョンのFortiGate(バージョン6.0.2)が使用されていたために、CVE-2018-13379を通じたネットワーク侵入が成立してしまったことです。

攻撃を受けたシステムではセキュリティ製品が使用されていましたが、定義データベースがタイムリーにアップデートされていなかったため、セキュリティ製品による検知とブロックが妨げられる結果となりました。また、そのセキュリティ製品の複数機能が無効化されていたために、保護の質がさらに低下していたことも注目に値します。

このほか、ドメインポリシーにおけるユーザーアカウントの権限設定の問題、リモートデスクトップ(RDP)アクセスの問題もあります。全ユーザーが全システムにアクセスできるような権限設定となっていたために、一つのユーザーアカウントに不正アクセスされたことが多数システムへの不正アクセスにつながり、企業内でのマルウェアの展開が早く進むこととなりました。

推奨の対策

今回考察したのは欧州の企業でのインシデントですが、Kasperskyグローバル調査分析チーム(GReAT)の石丸傑によると、SSL-VPN機器の脆弱性や漏洩した認証情報を悪用して組織内に侵入する攻撃は、日本国内でも複数確認されています。石丸は、「その中では、内偵の手口やマルウェアの実行痕跡等から、今回のCringに非常によく似た標的型ランサムウェアの攻撃も確認されている」と述べています。

SSL-VPN機器の脆弱性を用いて初期侵入を企む攻撃は、今後も続くと考えられます。被害に遭わないため、企業や組織としては、まずは自組織が使用しているVPNをはじめとした機器のファームウェアが最新の状態かどうか、今一度の確認が推奨されます。

ファームウェアバージョンの確認を含め、推奨する対策は以下のとおりです。

  1. VPNゲートウェイのファームウェア、エンドポイントセキュリティ製品を、常に最新バージョンにしておく。
  2. アンチウイルス定義データベースは、常に最新バージョンにしておく。
  3. エンドポイントセキュリティ製品の各機能がすべて有効になっているか、確認する。
  4. 産業ネットワーク上のホスト間のネットワーク接続(特にVPN接続)を制限し、業務プロセスに関係のないポートに対する接続を遮断する。
  5. バックアップデータを専用のサーバーに保管するように、バックアップのシステムを設定する。
  6. ランサムウェア攻撃に対する自社の耐性を向上させるため、Endpoint Detection and Response (EDR)タイプのセキュリティ製品をITネットワークとOTネットワークの両方に導入する。
  7. いざという場合にセキュリティのプロフェッショナルの専門知識と技能に頼れるように、Managed Detection and Response(MDR)サービスの導入を検討する。
  8. 産業プロセスの保護に特化したソリューションを利用する。Kaspersky Industrial CyberSecurityは、エンドポイントを保護するだけでなく、OTネットワークを監視して悪意ある活動の特定と阻止を行うことができます。
ヒント
新着記事をメールでお知らせします