昨今のサイバー攻撃の傾向を見ると、ランサムウェアによる被害が依然として多く、2023年には警視庁よりデータを暗号化することなく(ランサムウェアを用いることなく)データを窃取し、対価を要求する新たな手口、「ノーウェアランサム」による被害も報告されています。
ChatGPTを始めとする生成AIが悪用され、標的型攻撃の強化が予想される中、それらの攻撃を100%防ぐ入口対策はますます難しい状況となっています
攻撃された場合・乗っ取り被害に遭ってしまった場合を想定し、「いかにして重要データを守るか」という、出口対策の重要性が増していると言えます。
今回は、そんな出口対策として有効な弊社製品「NonCopy2」で、「有名どころの各種ソフトによるデータ持ち出しを防止できるか」を調べてみました。
※国立研究開発法人情報通信研究機構(NICT)からの検証結果レポートを基にしております。
セキュリティ対策ソフトをお探しの方の、ご参考になれば幸いです。
目次
1.NonCopy2とは
2.検証方針と検証方法
3.各ソフトウェアの検証結果
3.1.正規ツール
3.1.1.Rclone
3.1.2.WinSCP
3.1.3.MEGAsync
3.1.4.FileZilla
3.1.5.PuTTY(FTP, SCP)
3.2.OS標準ツール
3.2.1.エクスプローラ
3.2.2.PowerShell
3.3.Webブラウザ
3.3.1.Google Chrome
3.3.2.Microsoft Edge
3.3.3.Mozilla Firefox
4.おわりに
1.NonCopy2とは
ランサムウェアは、被害者のデータを盗み出し、その後身代金を要求する攻撃の一形態です。最近では、被害者のデータを盗み出す「データエクスフィルトレーション」が増加しており、被害者に対して追加の圧力をかけるために、盗まれたデータを公開する脅迫が行われています。
また、ランサムウェアグループは盗まれたデータをダークウェブで売却することでさらなる収益を得ています。被害者は、身代金を支払うことでデータを削除するか、秘密に保つことを約束されます。このような攻撃は、特に公共の医療機関や学校など、重要な情報を保有する組織にとって影響が大きく、セキュリティ対策が
NonCopy2(以降、NC2)とは、データ保護・情報漏えい対策に焦点を当てた情報漏えい対策ソフトウェアです。
強固かつ柔軟なセキュリティ対策機能を備えており、その中でもデータの持ち出し防止機能が特徴となっています。
ファイルサーバ内のフォルダを指定し、その中のファイルを暗号化して持ち出しを防止することができるため、情報漏えい対策ソフトウェアとして官公庁・大手企業に採用いただくなど、一定の評価を得てきた製品です。
今回は、そんなNC2をインストールした環境において、サイバー攻撃を想定した持ち出し操作を抑止できるかの確認を行いました。
2.検証方針と検証方法
情報持ち出し・データ窃取を行う攻撃者は、マルウェア感染後の端末を手動操作してそれらを実行することが多くなっています。
具体的には、主に以下の3パターンの手法に分類されます。
(1)OS標準ツールやWebブラウザによる持ち出し、転送
(2)正規ツールの悪用(攻撃者のサーバーや正規のオンラインストレージへアップロード)
(3)独自ツールによる転送
今回は、RATやRDP(リモートデスクトップ)でターゲットとなるPCに手動でアクセスし、上記(1), (2)の手法を用いての持ち出し操作を実施し、NC2による持ち出し防止機能で阻止できるかを検証します。
検証方法としては、クライアント端末のデスクトップ上に以下の2種類のフォルダを作成し、それぞれにテキストファイルを配置し、持ち出し操作を実施の上、防止できるかを確認します。
(1) NCフォルダ:NC2で保護するフォルダ
フォルダ名:Important-Confidentiality
(2) 通常フォルダ:NC2で保護しないフォルダ
フォルダ名:normal
3.各ソフトウェアの検証結果
代表的なソフトウェアにおける、検証結果を記載してまいります。
3.1.正規ツール
代表的なFTPクライアントやファイル同期ツール等のソフトウェアにおける検証結果です。
3.1.1.Rclone
Rcloneは、各種クラウドストレージをコマンドラインで管理できるツールです。
ランサムウェア攻撃者が利用するケースもあるとされています。
検証結果は以下の通りです。
・使用バージョン:rclone1.65.0
・検証方法
Google Driveにアカウントを作成し、接続後にNCフォルダ内のファイルをアップロード
$ rclone copy [ローカルパス] rclone_gdrive:.
・検証結果:持ち出し防止成功
アップロードに失敗し、通信ができなくなった。
エビデンス画面は以下の通りです。
3.1.2.WinSCP
WinSCPは、Windows向けのFTPクライアントの1つです。
ユーザーインターフェースが直感的で、ドラッグ&ドロップでファイルの転送ができるため、初心者でも比較的簡単に扱えるソフトとして親しまれています。
反面、2024年5月にはWinSCPの偽インストーラによるランサムウェアが配布されるなど、その知名度を悪用した被害も報告されています。
検証結果は以下の通りです。
・使用バージョン:WinSCP 6.1.2
・検証方法
NCフォルダ内のファイルをSSHサーバー宛に転送する。
・検証結果:持ち出し防止成功
転送しようとすると転送中画面が表示されるが、タイムアウトとなり切断された。
アプリケーションが終了するまでNCフォルダ以外のファイルも転送不可であった。
エビデンス画面は以下の通りです。
3.1.3.MEGAsync
MEGAsyncは、クラウドストレージサービス「MEGA」が提供するデスクトップアプリケーションで、ファイルやフォルダをクラウドに自動的に同期・バックアップするためのツールです。
ローカルコンピュータ上の指定したフォルダとMEGAクラウドストレージとの間でリアルタイムでファイルを同期します。
MEGAsyncもランサムウェア攻撃者が利用した事例があることから、持ち出し防止といった出口対策が重要であると言えます。
検証結果は以下の通りです。
・使用バージョン:4.11.0
・検証方法
MEGAクライアントのアップロード機能を使用して、NCフォルダ内のファイルをMEGAへアップロードする。
・検証結果:持ち出し防止成功
通常ファイルではアップロードがすぐに完了した。
NCフォルダ内のファイルではアップロード開始後転送は進まず、0バイトのままであった。
エビデンス画面は以下の通りです。
3.1.4.FileZilla
FileZillaは、WinSCP同様に代表的なFTPクライアントの1つです。
操作感としても同じく直観的で、ドラッグ&ドロップ操作が可能です。
2024年4月には「FileZilla」を装った偽の広告からマルウェア「Nitrogen」が配布されるなど、こちらも知名度を悪用した事例が報告されています。
検証結果は以下の通りです。
・使用バージョン:3.66.1
・検証方法
NCフォルダ内のファイルをFTPサーバー宛に転送する。
・検証結果:持ち出し防止成功
転送しようとすると、転送中画面が表示されるが、タイムアウトとなり切断された。
アプリケーションが終了するまでNCフォルダ以外のファイルも転送不可であった。
エビデンス画面は以下の通りです。
3.1.5.PuTTY(FTP, SCP)
PuTTYは、Simon Tatham氏が開発したオープンソースの端末エミュレータソフトウェアです。
telnetやSSHなどによりネットワーク上の他のPCに接続して遠隔操作したり、PCに接続された周辺機器などと通信することができます。
PuTTYも知名度が高いことから、WinSCPと同様2024年5月に偽インストーラによるランサムウェアが配布されるといった被害が報告されています。
今回はFTP・SCPでの持ち出し操作防止を検証しました。
まずは、FTPにおける検証結果です。
・使用バージョン:0.79
・検証方法
PSFTPを使用しFTPサーバーに接続後、NCフォルダ内のファイルを転送する。
・検証結果:持ち出し防止成功
ネットワークエラーで転送に失敗した。
エビデンス画面は以下の通りです。
続いて、FTPにおける検証結果です。
・使用バージョン:0.79
・検証方法
PSCPを使用して以下のコマンドでNCフォルダ内のファイルをSSHサーバー宛に転送する。 pscp.exe -c:<アップロード元> <アップロード先>
・検証結果:持ち出し防止成功
転送中画面が表示されるが、ネットワークエラーとなり、切断された。
エビデンス画面は以下の通りです。
3.2.OS標準ツール
WindowsOSの標準ツールであるエクスプローラーとPowerShellにおける検証結果です。
3.2.1.エクスプローラ
エクスプローラーは、WindowsのPCにおける標準のファイル・フォルダ管理アプリケーションです。
ファイルやフォルダを開いたり、コピーや移動・削除する際に使うものなので、Windowsユーザーにとっては無意識のうちに使用しているアプリケーションになります。
逆に言えば、乗っ取り等でエクスプローラーを悪用すれば、PC内のほぼ全てのファイルを操作可能ということになるので、出口対策としての重要度は高いと言えます。
検証結果は以下の通りです。
・検証方法
エクスプローラを使用して、NCフォルダ内のファイルをコピー、ペースト、移動を試行する。
・検証結果:持ち出し防止成功
移動に失敗し、中断した。
エビデンス画面は以下の通りです。
3.2.2.PowerShell
PowerShellは、WindowsOSに標準搭載されているコマンドラインシェルおよびスクリプト環境です。
以前から使用されていたコマンドプロンプトと比較し、コマンドレットへの対応やモジュールによる拡張が可能であるなど、システム管理やスクリプト作成・複雑なタスクの自動化がより効率的に行える点で優れたツールとなっています。
検証結果は以下の通りです。
・検証方法
以下の2種類のコマンドでNCフォルダ内のファイルのPC内移動を試行
Copy-Item -Path “コピー元“ -Destination “コピー先“
Move-Item -Path “コピー元“ -Destination “コピー先“
・検証結果:持ち出し防止成功
どちらのコマンドも失敗した。
エビデンス画面は以下の通りです。
3.3.Webブラウザ
Webページの閲覧に必要不可欠な、Webブラウザにおける検証結果です。
主に「保護フォルダ内から、ブラウザ経由でクラウドストレージ (Google Drive) へのアップロードを防止できるか」といった観点での検証になります。
3.3.1.Google Chrome
Google ChromeはGoogle が提供するブラウザです。
2024年現在では国内シェアが60%を超えるなど、最も広く利用されているブラウザとなっています。
Google提供なだけあって、Google関連のWebサービス・検査エンジンとの親和性が高く、拡張機能が豊富であることも特徴の1つです。
検証結果は以下の通りです。
・検証方法
NCフォルダ内のファイルをブラウザ経由でGoogle Driveにアップロードする。
・検証結果:持ち出し防止成功
アップロードに失敗した。
エビデンス画面は以下の通りです。
3.3.2.Microsoft Edge
Microsoft EdgeはMicrosoftが開発したブラウザで、以前のWindowsでは標準だったInternet Explorerの後継ブラウザです。
Windows10以降では標準ブラウザとして搭載されていることから、2024年現在は国内で20%ほどのシェアがあり、比較的利用されているブラウザであると言えます。
検証結果は以下の通りです。
・検証方法
NCフォルダ内のファイルをブラウザ経由でGoogle Driveにアップロードする。
・検証結果:持ち出し防止成功
アップロードに失敗した。
エビデンス画面は以下の通りです。
3.3.3.Mozilla Firefox
Mozilla Firefox は、Mozilla Foundationおよびその傘下のMozilla Corporationによって開発されているWebブラウザです。
2009年には30%ほどのシェアを誇るなど人気が高かったですが、2024年現在は国内で5~6%ほどとなっています。
数値だけ見れば少ないように感じますが、Chrome・Edgeに次ぐ第3位のブラウザとなっています。
検証結果は以下の通りです。
・検証方法
NCフォルダ内のファイルをブラウザ経由でGoogle Driveにアップロードする。
・検証結果:持ち出し防止成功
アップロードに失敗した。
エビデンス画面は以下の通りです。
4.おわりに
今回の検証では、FTPクライアント・コマンドラインツール・OS標準ツール・Webブラウザといった、PCで一般的な各種ソフトにおいて、「NC2による持ち出し防止が可能」という結果になりました。
つまり、「万一PCが乗っ取り被害に遭っても、保護フォルダ内からの持ち出しは防止できる」ということになるため、NC2は各種サイバー攻撃の出口対策として一定の有効性があると言えます。
冒頭で触れました通り、全ての標的型攻撃を100%防止することは困難です。
最悪のケースまで想定し、「いかにして重要データを守るか」といった対策も、ご検討してみてはいかがでしょうか。
今回の検証で使ったNonCopy2は、評価版のご提供(無料トライアル)も可能です。
「自社で使っているソフトでも防止できるか」、「導入後に通常業務を変わりなく運用できるか」といった評価も行っていただけますので、本記事をご覧になって気になった方は、ぜひお気軽にご相談ください。
また、本記事についてより詳細にまとめたPDFレポートもご提供しております。
こちらも以下リンクより、ご連絡くださいませ。