資料の紹介
ランサムウエアは相変わらずまん延しており、被害の規模も大きくなる傾向にある。2021年5月に発生した米コロニアル・パイプラインに対するランサムウエア攻撃では、社会インフラである石油パイプラインが停止し、米国の経済活動や社会生活に大きな影響が出たことから、米国政府が緊急措置対応に乗り出した。
防御側は、これまで長年、静的なファイルによるマルウエア検出に頼ってきた。しかし、攻撃者が難読化や暗号化によりマルウエアを隠ぺいしている場合には、静的な検出では十分な対応ができない。そこで最近では、オープンソースのルール定義言語であるSigmaなど、動的な検出手段を使ってランサムウエア攻撃を阻止するアプローチも広まりつつある。
本資料では、最近注目を集めたランサムウエア攻撃と、最もよく見られるランサムウエアの現状を分析し、攻撃者がよく使うテクニックを明らかにする。それらのテクニックの一つひとつを、非営利の研究開発組織であるMITREのナレッジベース「ATT&CK」の識別子に対応付けて作成したSigmaルールについても言及する。
