ランサムウェアは、最も壊滅的なサイバーセキュリティ脅威の一つとして進化を続けており、攻撃者は脆弱性を悪用する新たな手段を次々と発見しています。その一つが、公開されているSMB2(Server Message Block version 2)接続を標的とするものです。ファイルやプリンタの共有に広く使用されているSMBは、インターネットに無防備な状態になったり、設定ミスがあったりすると、攻撃者にとって格好の標的となる可能性があります。このブログでは、攻撃者が公開されているSMB2接続を悪用してランサムウェアを展開し、データを暗号化し、ネットワークを侵害する仕組みを解説します。また、Seqrite / Quick Heal Antivirusがこれらの攻撃からシステムを保護する方法についても解説します。
ランサムウェアはどのようにして SMB2 接続を悪用するのか?
SMB2は、ネットワーク内で効率的なファイル共有を実現するために設計されたプロトコルです。しかし、設定ミスや脆弱性が放置されると、セキュリティリスクとなる可能性があります。攻撃者は以下のようにSMBXNUMXを悪用します。
- 公開された共有をスキャンしています: サイバー犯罪者はShodanなどのツールを使って、公開されているSMB共有を見つけます。インターネットに公開されている、脆弱な、あるいは設定ミスのあるSMB2接続を探します。
- 脆弱性の悪用: 攻撃者は、EternalBlue(CVE-2017-0144)などのエクスプロイトを利用して、SMB2を実行しているパッチ未適用のシステムを標的とします。これらのエクスプロイトにより、不正アクセスや権限昇格が可能になります。
- ランサムウェアの配信: アクセスが成功すると、攻撃者はアップロードする ランサムウェア SMB共有にコピーするか、直接実行します。これにより、ランサムウェアは共有ファイルを暗号化し、接続されたデバイスに拡散します。
- 横方向の移動: ランサムウェアは SMB2 プロトコルを使用してネットワークを横方向に移動して、他のシステムや共有に感染します。
- データの暗号化と身代金要求: ランサムウェアはファイルを暗号化した後、復号キーと引き換えに暗号通貨の支払いを要求する身代金要求メモを残します。
SMBベースのランサムウェア攻撃の実例
泣きたい: ネットワーク間でのファイルやリソースの共有に広く使用されている SMB プロトコルは、資格情報が弱い、ソフトウェアが古い、セキュリティ構成が不十分であるなどの理由で、無防備な状態になることがよくあります。
WannaCry: EternalBlue を悪用して SMB 経由で拡散し、業界全体に広範囲にわたる混乱を引き起こしました。
ペトヤではない: SMB エクスプロイトを使用して、ランサムウェアを拡散し、システムを世界中に暗号化しました。
リューク: 価値の高い組織をターゲットにした横方向の移動に SMB 接続を活用しました。
SeqriteがSMB2エクスプロイトとランサムウェアからどのように保護するか
Seqrite エンドポイント保護 ランサムウェアやSMB接続に関連する脆弱性に対する強力な保護を提供します。その仕組みは以下のとおりです。
- ランサムウェア保護: Seqrite Endpoint Protectionは、不正なファイル暗号化をリアルタイムで監視・ブロックします。これにより、ランサムウェアがSMB共有上のファイルを暗号化できないようにします。
- 行動検出: 自律的AI 行動検出技術Seqrite は、不正なファイル変更や SMB2 経由の横方向の移動の試みなど、疑わしいアクティビティを識別してブロックします。
- ネットワーク攻撃防止: Seqriteは、EternalBlueや関連攻撃を含むSMBの脆弱性を悪用する攻撃をブロックします。これにより、攻撃者がネットワークに足掛かりを築くのを防ぎます。
- データのバックアップと復元: データのバックアップと復元機能により、ランサムウェア攻撃が発生した場合でもデータを回復でき、ダウンタイムと損失を最小限に抑えることができます。
- 脆弱性スキャナー: Seqrite Endpoint Protectionは、パッチ未適用のシステム、安全でないSMB共有、その他の不適切な設定を識別します。このプロアクティブなアプローチは、攻撃対象領域の縮小に役立ちます。
- ファイアウォールと侵入検知: Seqrite のファイアウォール保護は、受信トラフィックと送信トラフィックを監視し、SMB 接続への不正アクセスを防止します。
- メール保護: 多くのランサムウェア攻撃はフィッシングメールから始まります。Seqriteはメールの添付ファイルとURLをスキャンし、ランサムウェアのペイロードがシステムにダウンロードされないようにします。
SMB2 セキュリティのベストプラクティス
Seqrite は強力な防御層を提供しますが、組織は SMB2 接続をさらに安全にするために次のベスト プラクティスを採用する必要があります。
- パブリックアクセスを制限する: インターネット上の SMB ポート (ポート 445 など) へのアクセスをブロックします。
- 強力な認証を使用します。 SMB アクセスには強力なパスワードと多要素認証 (MFA) を適用します。
- システムを定期的に更新する: 既知の悪用から保護された状態を維持するために、SMB の脆弱性を修正します。
- SMB1を無効にする: 暗号化と署名が有効になっている SMB2 または SMB3 を使用します。
- ネットワークアクティビティを監視する: 異常なネットワーク動作を監視および検出します。
結論
公開されているSMB2接続を悪用したランサムウェア攻撃は、企業と個人の両方にとって深刻な脅威となります。攻撃ベクトルを理解し、次のような強力なセキュリティ対策を実施することで、 セクライト システムとデータを保護できます。
著者
ウマル・カーン A
ニラジ・ラザラス・マカサレ
ディキシット・アショクバイ・パンチャル
スミット・パティル
マティン・タドヴィ
