MENU
2025年9月Udemy全コース共通クーポン【VARONTO2025SEP】 Udemyコース
  1. ホーム
  2. SOCアナリストになるために
  3. 【攻撃手法編】:【第7回】ランサムウェア攻撃のライフサイクルと防御策

【攻撃手法編】:【第7回】ランサムウェア攻撃のライフサイクルと防御策

SOCアナリストになるために

ランサムウェア攻撃のライフサイクルと防御策

目次

1. 概要(要点)

ランサムウェアの典型的な流れは次の通りです。
初期侵入 → 権限昇格 → 横展開 → データ暗号化(破壊)→ 身代金要求/外部流出
SOCは各段階で「兆候」を早期に検出して被害拡大を防ぐ役割を持ちます。

2. フェーズ別の説明・検知ポイント・対応

フェーズ A:初期侵入(Initial Access)

典型的手口

  • フィッシング(添付/リンク)
  • リモートサービスの脆弱性(RDP・VPN)
  • サプライチェーン経路(管理ツール、アップデート)

検知ポイント

  • メールゲートウェイでマルウェア添付/悪性URL検知
  • 外部からの不正ログイン試行(多要素未設定のアカウント)
  • 新規プロセス起動(Word/Excel → PowerShell / mshta)

サンプルログ

mailgw: time=2025-10-01T08:12Z from=spoof@pay[.]com subject="Invoice" attachment=invoice.xlsm sha256=abcd...
edr: Time=08:15 Host=PC-ISHIDA Parent=WINWORD.EXE Process=PowerShell.exe Cmd="-EncodedCommand SQBFA..."
auth: 08:14 user=i.ishida src_ip=198.51.100.23 auth=success

初動対応

  • 該当メールの隔離・削除(メールGW)
  • 該当ホストのネットワーク隔離(EDRでIsolation)
  • 当該アカウントのパスワードリセット/MFA強制

フェーズ B:権限昇格 & 永続化(Privilege Escalation / Persistence)

典型的手口

  • ローカルアカウントやサービスアカウントの権限取得
  • サービス作成、レジストリ Runキー、スケジュールタスク登録

検知ポイント

  • 新規サービス作成イベント、Runキー追加、Scheduled Taskの追加ログ
  • 権限昇格に伴うプロセスやトークン操作ログ

サンプルログ

sysmon: Event=CreateService Host=PC-ISHIDA ServiceName=UpdateSvc Image=C:\Windows\Temp\mal.exe
registry: Time=09:00 User=SYSTEM Key=HKLM\...\Run Value="maldropper.exe"

初動対応

  • 新規サービスの停止・無効化、永続化ポイントの保全(証拠確保)
  • 管理者権限での異常な活動がないか横展開チェック

フェーズ C:横展開(Lateral Movement)

典型的手口

  • SMB、WMI、PSExec、RDPを使った横展開
  • 認証情報のクローンやパスワードダンプ(LSASSメモリ抽出)

検知ポイント

  • SMBでの大量ファイルアクセス/暗号化の前兆(大量の書き込み操作)
  • 異常なリモートサービス呼び出し、RDP接続の増加
  • Credential dumpingツールの検知(procdump, Mimikatz)

サンプルログ

fileserver: Time=10:20 user=svc_backup action=write file=\\filesrv\share\docs\*.docx count=1200
edr: Time=10:22 Host=PC-ISHIDA Process=lsass.exe ReadMemory by process=procdump.exe

初動対応

  • SMB共有のアクセス制限、該当サービスアカウントのロックダウン
  • 影響ホストのネットワーク分離、認証ログの全社検索

フェーズ D:暗号化(Impact / Data Encryption)

典型的手口

  • 攻撃者が見つけた重要ファイルを暗号化し、拡張子変更やランサムノートを配置
  • 一部はデータの盗難と公開威嚇(double extortion)

検知ポイント

  • 同一時間帯に多数ファイルの拡張子変更/大量のファイルの書き込み(短時間)
  • ファイル名にランサムノート(README_FOR_DECRYPT.txt)出現
  • EDRでプロセスが大量のファイルを開くイベント

サンプルログ

fileserver: Time=11:05 user=svc_backup action=modify file=\\filesrv\share\confidential\report.docx -> report.docx.locked
edr: Time=11:05 Host=PC-ISHIDA Process=mal.exe FileOps=write count=865

即時対応

  • 暗号化が始まったら直ちにネットワークを分断(セグメント単位)
  • バックアップの整合性確認と隔離(攻撃者がバックアップに到達していないか)
  • IRチームへエスカレーション(法務/経営への通知)

フェーズ E:身代金要求/外部流出(Exfiltration / Extortion)

典型的手口

  • データを外部に持ち出し、公開/交渉を要求
  • C2を使ったデータの転送(HTTPS/SFTP/DNSトンネリング等)

検知ポイント

  • 大量の外向き通信(外部ストレージや疑わしいIP)
  • DNSでの大きなデータ量や異常なエンコード文字列のクエリ

サンプルログ

network: Time=12:00 Host=PC-ISHIDA DstIP=203.0.113.77 DstPort=443 Volume=500MB
dns: Time=12:01 Host=PC-ISHIDA Query=longencodedstring.command-and-control[.]top

対応

  • ネットワーク出口のブロック、該当IP/ドメインの遮断
  • 列挙したIOCを全社で検出・封鎖

3. 初動プレイブック(簡易版:ランサムウェア疑い)

  1. 検知・トリアージ(Tier1)
    • SIEMでファイル操作のスパイク、EDRの大量FileOpsアラートを確認
    • 影響範囲(ユーザー・ホスト・共有)を特定
  2. 封じ込め(Tier1/Tier2)
    • 該当ホストを即隔離(EDR isolation / ネットワークスイッチでポート遮断)
    • 検出されたアカウントを停止、パスワードをリセット
    • 重要共有のアクセスを緊急で制限
  3. 証拠保全(Tier2)
    • メモリダンプ、ディスクイメージ、ログの収集(フォレンジック)
    • 被害ファイルをバックアップ(解析用に保存)
  4. 復旧(IR / Ops)
    • 侵害範囲の確定 → バックアップからの復元(整合性確認)
    • システムのクリーンインストール(必要に応じて)
  5. 報告・外部対応(法務/経営)
    • 法的・規制義務(個人情報漏えいの届出等)の確認と実行
    • 必要なら警察やCSIRTへの通報
  6. 再発防止(Tier3)
    • 検知ルール・プレイブックの更新、SOARによる自動封じ込めフロー構築
    • パッチ運用、特権管理、バックアップ改良、ユーザ教育

4. SIEM / EDRで使える概念クエリ例(製品依存:概念で示す)

  • 短時間に大量のファイル書き込み(ファイルサーバ)
index=fileserver | stats count by host, user, bin(_time,1m) | where count > 200
  • EDR:1ホストからの短間隔外向き接続(ビーコン疑い)
NetworkEvents | where SourceHost == "PC-ISHIDA" | stats count by DestinationIP, bin(timestamp,1m) | where count > 10
  • 大量のファイル拡張子変更
FileEvents | where EventType == "rename" | where NewExtension in ("locked","encrypted","crypt") | stats count by host, bin(_time,1m)

5. 予防・長期対策(組織レベル)

  • バックアップ設計:バックアップはネットワーク分離・世代管理・定期復元検証(DR訓練)
  • 特権アクセス管理(PAM):管理アカウントは最小特権・監査ログ必須
  • パッチ管理:重要サーバ/外部接続サービスを迅速にパッチ適用
  • 多要素認証(MFA):リモートアクセスや管理者アカウントに必須
  • アプリケーション制御(ホワイトリスト):不審な実行を防止
  • ネットワーク分離・マイクロセグメンテーション:横展開のリスクを低減
  • EDR導入と監視:プロセス・コマンドライン監視、隔離機能の活用
  • ログの長期保存と相関解析(SIEM):相関で早期検出を強化
  • ユーザ教育とフィッシング演習:人的要因の低減

6. 復旧時の重要な注意点

  • バックアップの確認:攻撃側がバックアップを暗号化・削除していないか確認すること
  • 段階的復旧:一斉復旧は感染再拡大のリスク。セグメントごとか機能単位で段階的に実施
  • 根本原因の除去:単にファイルを戻すだけでなく、侵入口(脆弱性・不正アカウント)を修正すること

7. 法務・コミュニケーション

  • 内部向け報告:技術レポート(詳細) + 経営向けサマリー(簡潔)を準備
  • 外部通知:個人情報漏えい等の要件に従い所轄機関へ通知(国/業界規定に依存)
  • 被害者対応:顧客データが流出した場合の通知、対応窓口準備
  • Ransom対応:身代金支払いは法務・経営・外部専門家(IRベンダー、法執行機関)と慎重に判断

8. 面接で使える短いまとめ(30秒)

「ランサムウェアは初期侵入→権限昇格→横展開→暗号化の流れで被害が拡大します。SOCではメール・EDR・SIEM・ファイルサーバログ等を横断して兆候を早期発見し、検出時は『隔離→認証停止→IOC横展開→証拠保全→復旧』の手順で即座に封じ込めます。長期的にはPAM、MFA、パッチ管理、分離されたバックアップと復元テストで被害耐性を高めます。」

SOCアナリストになるために
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

コメント

コメントする

目次