2020/11/01のMazeプロジェクト終了プレスリリースを、犯罪者集団のメッセージと分かりつつ、あえて試訳しました。このブログのアクセス数が少ないからこそ、こっそりできることですが。

ご承知のようにMazeプロジェクトのウェブサイトはTorを使わなくても、Googleにインデックスされているので、プレスリリースの本文を検索すればドメイン名なしのIPアドレスのサイトを見つけられます。

全編ナンセンスなポエムにすぎないプレスリリースの試訳は、次の段落からスタート。

プロジェクト終了

Mazeチームプロジェクトは公式に終了をアナウンスする。

今後、我々のプロジェクトへのリンク、我々のブランドの使用、我々の仕事のやり方はすべてニセモノと見なすべきだ。

我々にはいかなるパートナーや公式の後継者もいない。我々のスペシャリストは他のいかなるソフトウェアとも仕事をしない。誰も決して我々のウェブサイトで新たなパートナーをホストすることはない。Mazeカルテルは決して存在しなかったし、今も存在しない。そんなものはMazeカルテルについて書いているジャーナリストの頭の中にしか見つけられない。

プライベートな情報を我々のウェブサイトから削除したいすべての人々への注意。皆さんはMazeのサポートチャットにコンタクトをとることができる。サポートはこのプレスリリースの1か月後まで継続する。

我々のプロジェクトについて多くのうわさ、ウソ、憶測があるので、「なぜ」と「何のために」という質問に答えることにしよう。

なぜ？

我々のこの世界は無謀と無関心、怠惰と愚かさにひたっている。他人の金や個人データに責任を取るなら、安全に保管するようにしろ。そうしない限りMazeのようなプロジェクトは他にも現れて、安全なデータ保管を促すだろう。

今この瞬間もハッカーが攻撃しさえすれば、広大な地域や国家のインターネット接続、水道、ガス、電気が失われる、そのことをよくよく考えてみろ。例えば我々はニューヨーク市の健康支援システムや、著名なインターネットプロバイダーへのアクセスに成功した。上手く攻撃して35州のインターネット接続を切断することができた。我々がそれらの対象を攻撃したのではなく、それらのセキュリティがいまだにひどいだけのことだ。そのことをよく考えろ。個人のプライバシーではなく、国家全体やその市民のセキュリティのことだ。いつかMazeではなく過激なサイコパスが、単に君たちのセキュリティが弱いことを示すためだけでなく、大きな損害を与えるために、開いたドアから侵入してくるだろう。

何のために？

我々のこの世界はデジタル収容所のようなものだ。この10年から15年間、システムから距離を置こうとしたものは全員、社会的地位を失った。社会的地位を失うと、買い物や社会的な利便性を産み出すことさえできない。その最初の兆候はビットコインだった。デジタル通貨はデジタルの世界の中にしか存在しない。しばらくすればデジタル通貨の保有者が世界を支配し、デジタル世界以外の国々の経済を破壊するだろうが、それは金や通貨準備高をビットコインに換えないからだ。オンラインで仕事をして、デジタル通貨を受け取る人々が増え、すべての仕事はオンライン化されるだろう。

暗号化通貨の価値はどんどん高まり、しばらくすれば1通貨が100万ドルの価値に達するだろう。暗号化通貨の所有者がその通貨をすべて投げ出して実物の通貨を買うとき、ごく少数の人々がビットコインを独占し、世界を破壊してデジタルプラットフォームに変えることができるようになるだろう。

それもこれもすべて、君たちの無謀さ、無知、愚かさが、今の世界をこうなるように仕向けたからだ。君たちはゆっくりとコントロール可能な群衆になり果てていく。君たちは自分で気づかないうちに、チップやDNAでタグ付けされない限り新しいデジタル世界にアクセスできないようになるだろう。君たちが暮らし、給料をもらい、消費できる世界はデジタル世界だけになるだろう。

君たちのテクノロジーはどれもこれも君たちが救いようがない存在であることの象徴だ。一度車いすに乗ってしまえば、二度と立ち上がって歩くことは出来ない。一度テクノロジーに心を売り渡してしまえば、自意識を取りもどすことは出来ない。自分の意識活動の一部を機械にゆだねてしまえば、現実をはっきりと見ることは出来ない。

君たちは、君の心を殺す者を友人や支援者と呼んでいる。そして君たちの弱さを暴く者を、敵や犯罪者集団と呼んでいる。現代の世界は原因と結果、善と悪を取り違えている。

そうしたことをよく考えてみろ。そしてそうならないように努力しろ。現代の世界を地獄だと思っているのだろうが、その世界はまだやって来たばかりだ。君たちにできることはたくさんある。

世界が別のものに変わったとき、我々は戻って来るだろう。君たちに誤りと過ちを示すために再び戻って来るだろう。そして君たちをMaze（迷路）から助け出すだろう。

（以上、試訳おわり）

（訳注：以下は、米サイバーセキュリティ・インフラストラクチャー・セキュリティ局(CISA)と州横断ISAC(Multi-Sate ISAC)が2020/09/30に共同でリリースした‘RANSOMWARE GUIDE SEPTEMBER 2020’のPart 2: Ransomeware Response Checklistを個人的な備忘のために試訳したものです。直訳では意味が通りづらい部分は意訳しています）

Part 2: ランサムウェア対応チェックリスト

万一あなたの組織がランサムウェアの被害者になった場合、CISAは以下のチェックリストを利用して対応することを強く推奨します。最初の3つのステップ(1.～3.)は必ず実施するようにして下さい。

検知と分析

1. 影響を受けたシステムを特定、ただちに隔離する

• 複数のシステムまたはサブネットが影響を受けたと思われる場合、ネットワークをスイッチレベルでオフラインにする。インシデント発生中にシステムを個別に切断できない場合があるため。
• ただちにネットワークを一時的にオフラインにすることができない場合は、ネットワークケーブル(例. イーサネット)の場所を特定し、感染を封じ込めるために、影響を受けたデバイスのプラグを抜くかWi-Fiから切断する。
• 最初に侵入した後、攻撃者はあなたの組織の活動や通信を監視して、自分たちの攻撃が検知されていないかを知ろうとする。したがって、組織で協力して、攻撃を検知したことや対策を取ろうとしていることを攻撃者に知られないように、電話などネットワーク以外の通信手段でシステムを隔離すること。さもないと攻撃者は横展開して攻撃を続けようとしたり(これはすでにありふれた戦術になっている)、ネットワークをオフラインにされる前にランサムウェア感染を拡大しようとする。

注：下記のステップ2は、ランサムウェア感染の形跡やメモリ上に残っているかもしれない感染の証拠を保全できなくなるので、ネットワークを一時的にシャットダウンしたり、影響を受けたホストを他の手段でネットワークから切り離せない場合にのみ実施すること。

2. ネットワークからデバイスを切り離せない場合のみ、ランサムウェアのさらなる感染拡大を防ぐため電源を落とす

3. 影響を受けたシステムのリストアとリカバリの優先順位付けをおこなう

• リストアすべき重要システムの特定と優先順位付けをおこない、影響を受けたシステム内のデータの性質を確認する
  • リストアやリカバリの優先順位付けは、あらかじめ定義しておいた重要情報資産リストに基づいて行う。そのリストには安全衛生、収益源となるシステム、他の重要な情報システムや、それらシステムが依存するシステムも記載しておくこと。
• 影響を受けていないと思われるためリストアやリカバリの優先順位を下げたシステムやデバイスも記録しておくこと。そうすればあなたの組織はより効率的に業務を再開できるようになる。

(訳注：ここまでが必ず実施すべき最初の3ステップ)

4. あなたのチームと話し合って、起こった事実について最初の分析にもとづく最初の理解を文書化しておく

5. 下記の連絡先情報を利用して、社内外のチームや関係者がインシデントによる被害の低減や対応、リカバリのために何ができるかを合意しておく。

• あなたが入手できる情報を共有して、インシデントに関係する支援をいちばんタイムリーに受けられるようにすること。状況の変化に応じて、マネジメントや管理職に定期的に情報提供すること。関係者の中には、IT部門、マネージド・セキュリティサービスプロバイダー、サイバー保険会社、各部署の選任されたリーダーを含めること。
• 関係する政府機関や、ISAC、地方や国家の司法機関などの支援をうけることも考慮すること。下記連絡先リストを参照。
• 必要に応じて、広報部門と連携して社内および社外に正確な情報が伝わるようにすること。
• 「Public Power Cyber Incident Response Playbook」には組織としてのコミュニケーション手順の指針や、対外的なセキュリティインシデント発表のひな型があるので、あなたのチームと協力してできるだけ早く同様の手順や公式発表の草稿を作っておくこと。インシデント発生中に公式発表文を作成するのは最善策ではない。社内外とどの程度詳細に情報共有するのが適切か、情報をどのように流すのかは、このPlaybookを参照すれば事前に決めておくことができる。

(訳注：連絡先リストはこのブログ記事の末尾に付けた)

注意：身代金を支払っても、あなたのデータが確実に復号されることはなく、あなたのシステムやデータが二度と攻撃を受けないわけでもない。CISA, MS-ISAC、連邦法執行機関は身代金を支払うことを推奨していない。

封じ込めと除去

6. 影響を受けたデバイス(例 ワークステーションやサーバ)のサンプルからシステムイメージとメモリのキャプチャを採取する。さらに関連するログと、先行して侵入しているマルウェアのバイナリ、それに関連する観測事項やセキュリティ侵害インディケーター(IoC)をすべて収集すること(例. 疑わしいコミュニケーション・アンド・コントロールのIPアドレス、疑わしいレジストリエントリ、その他の検知された関連ファイル)。下記連絡先リストはこれらの作業を支援してくれる。

• 非常に消失しやすい性質のエビデンスや、一部しか確保できないエビデンスについては、損失や改ざんを防ぐために十分注意して保存すること(例. システムメモリ、Windowsセキュリティログ、ファイアウォールのログバッファ内のデータ)

7. 入手可能な復号方法があるかもしれないので国の法執行機関に相談する。セキュリティー・リサーチャーはすでにいくつかのランサムウェアの暗号化アルゴリズムを解明している。

引き続きインシデントの封じ込めと被害の低減のため、以下のステップを続けること。

8. 特定のランサムウェアについて信頼できるガイダンスを調査し(例. 政府や各種ISAC、著名なセキュリティーベンダー等)、追加の推奨手順を実施して、影響を受けたことが確定しているシステムを特定し、封じ込める。

• 既知のランサムウェアのバイナリの実行を停止、または無効化し、システムに対する被害や影響を最小化する。その他、関連する既知のレジストリ値やファイルを削除する。

9. 最初に不正侵入を受けたシステムとアカウントを特定する。電子メールアカウントも含む。

10. ここまでで特定された不正侵入や侵害にもとづいて、さらなる不正侵入に継続的に悪用される可能性のある関連システムをすべて封じ込める。不正侵入は機密情報の大量窃取をともなうことが多い。引き続き認証情報の悪用による不正アクセスから、ネットワークやその他の情報源を守るには、以下の対策を含めてもよい：

• VPN、リモートアクセスサーバー、シングルサインオン、クラウド、その他の外部公開されている情報資産の無効化。

11. 追加の推奨対策ーサーバ側データの暗号化を素早く特定する手順：

• 感染したワークステーションによってサーバ側データが暗号化されてしまった場合、それを素早く特定する手順は以下のとおり：
  1. 関連するサーバーで「コンピュータの管理」＞「セッション」および「開いているファイル」をチェックし、それらのファイルにアクセスしているユーザーやシステムを特定する。
  2. 暗号化されたファイルやランサムノートのファイルプロパティーをチェックし、それらのファイルの所有者となっているユーザーを特定する。
  3. ターミナルサービスのリモート接続マネージャーのイベントログをチェックし、成功しているRDP接続がないか確認する。
  4. Windowsセキュリティログ、SMBイベントログ、関連するすべてのログをチェックし、重要な認証イベントやアクセスイベントがないか確認する。
  5. 影響を受けたサーバーでWiresharkを実行し、ファイルの書き込みや名前の変更に関係するIPアドレスをフィルタで特定する(例 “smb2.filename contains cryptxxx”)。

12. 組織にある既存の検知システムまたは防止システム(ウイルス対策、エンドポイント検知対応(EDR)、IDS、侵入防止システム(IPS)等)およびログの精査をする。それによって攻撃の初期段階に関係していた、別のシステムやマルウェアについてエビデンスを明らかにできる。

• 先行して侵入している「ドロッパー」マルウェアのエビデンスを探す。ランサムウェア感染はそれ以前に起こっていた未解決のネットワーク不正侵入の証拠かもしれない。ランサムウェア感染は、TrickBot、Dridex、Emotetといったランサムウエアがすでに存在していた結果であることが多い。
  • これら最新のマルウェアのオペレーターはネットワークへのアクセス方法を販売していることが多い。場合によっては、攻撃者はそうしたアクセス方法を悪用してデータを窃取してから、データを公開するぞと脅迫した後で、さらに被害者を脅迫して支払いを迫ろうとネットワークをランサムウェアに感染させる。
  • 攻撃者はネットワークに手動でランサムウェアをドロップし、不正侵入後の活動を分かりにくくする場合がある。継続的な侵入を防ぐには、バックアップから復旧させる前にそのようなドロッパーを注意して特定しておく必要がある。

13. 外部から内部、内部から外部への継続的攻撃のメカニズムについて踏み込んだ分析を行う

• 外部から内部(outside-in)の継続的攻撃には、不正アカウントによる外部システムへの認証済みアクセスや、境界システムのバックドア、外部システムの脆弱性の不正利用などが含まれることがある。
• 内部から外部(inside-out)の継続的攻撃には、内部ネットワークに埋め込まれたマルウェア、または環境寄生(自給自足)型のシステム変更(例. Cobalt Strikeのような市販の侵入テストツールの悪用、PsExecを含むPsToolsの悪用、マルウェアを遠隔インストールし制御することによるWindowsシステムの情報収集や遠隔管理操作、PowerShellスクリプトの悪用)が含まれることがある。
• これらを特定する方法として、エンドポイント検知・対応(EDR)ソリューションの導入や、ローカルとドメインのアカウント監査、集中ログ収集システムで見つかったデータの精査、環境内での動きが一度でも特定された場合は、その該当するシステムのより深いフォレンジック分析が含まれることがある。

14. 重要なサービスの優先順位付けに基づいたシステム復旧(例 安全衛生または収益源となるサービス)。できればあらかじめ設定済みの標準イメージを利用する。

15. 環境が完全にクリーンにされ復旧した後(影響を受けたすべてのアカウントや継続的な不正メカニズムの除去を含む)、影響を受けたすべてのシステムのパスワードリセットを行い、セキュリティ面や可視化されていなかった部分の脆弱性や未対応部分に対処すること。パッチの適用、ソフトウェアのアップグレード、その他それまで講じていなかったセキュリティ予防策の実施が含まれることもある。

16. 上述の手順を踏むことや外部の支援を得ることも含め、確立された規準にもとづいて、所定のIT部門またはITセキュリティ責任者がランサムウェア・インシデントの終了を宣言する。

リカバリーとインシデント後の活動

17. システムを再接続し、重要なサービスの優先順位付けにもとづいてオフラインで暗号化されたバックアップからデータをリストアする。

• リカバリー中にクリーンなシステムを再感染させないように注意すること。例えば、リカバリのために新たなVLANを構成する場合、確実にクリーンなシステムのみを追加すること。

18. インシデントからの学びや関連するインシデント対応活動を文書化することで、組織のポリシー、計画、手順を更新・改善するための情報源として活かし、同様のインシデントについて今後の演習のガイドとする。

19. インシデントからの学びや関連する侵害インディケーター(IoC)を当局に共有し、さらに業界ISAC、情報共有分析機関(ISAO)にも共有し、コミュニティー内部の他の人々や組織の利益にもなるように考慮する。

連絡先リスト

万一あなたの組織がランサムウェアの被害者になったときのために、以下の連絡先リストを埋めておくこと。被害低減やインシデント対応の支援をうけたり、通知をする目的でこれらの組織と連絡をとること。

連絡先	24×7連絡先	役割と責任
IT部門/ITセキュリティチーム – 情報や報告の集約
部門のリーダーまたは選任されたリーダー
州および地方政府の法執行機関
連邦政府と地方政府の調整機関 (訳注：日本には関係ない)
システム管理/セキュリティ管理委託先
サイバー保険会社

マイクロソフトの豪州リージョナル・セキュリティディレクターTroy Hunt氏が、「人間はURLが苦手、フォントも無関係」というブログを書いていたので、以下要約。

フィッシングメールに引っかかったユーザーを責めるのは間違い。URLのドメインが読める人でさえ間違いを犯す。例えばこれ。

フィッシングサイトの可能性が高いのはどれでしょうか。

Following our quiz on risky URLs, check out @troyhunt’s blog post.

— NordVPN (@NordVPN) October 28, 2020

正解は3。フォントをSerifにすると大文字のIが入っているのが分かる。

じゃあURLを全部小文字に正規化すればフィッシングは防げる、というのも間違。紛らわしいURLで警告を出す案も間違い。googie[.]comというサイトは実在し、紛らわしいサイト扱いされた方はとんだ迷惑。

英字の「a」とキリル文字の「а」などのいわゆるホモグラフも、最終的にPunycodeに変換されてもブラウザによって処理が違い、見分けられないユーザーを責めるのは間違い。

そもそもURLを見てユーザーに正しいサイトかどうか判断させる発想が間違い。Googleブログの正しいURLが以下のうちどれか分かる？

blog.google
google.blog
googleblog.com
googleblog.google

正解はblog.google。分からんわな。

だからといって、誰もがフィッシングサイトを見分けられるような標準を作ればいい、という理想論もダメ。例えば学際的な専門家を集めて検討チームを作るとか。

そんなのは最終的にGoogle Chromeの開発チームがフィッシング対策を考えるのと大差なくなるだけ。

じゃあ正規サイトに商標のアイコンなどを表示するのはどうかと言えば、EV証明書の誤りをくり返すだけ。これがフィッシング防止にいかに役に立たなかったかは歴史が証明している。

すべてのユーザーがURLから正しいサイトを見分けられる世界なんて、まったく非現実的。数十億のユーザーを教育して、URLの微妙な違いを理解させるなんてアイデアは解決法でも何でもない。

じゃあ正解は何か？

例えばパスワードマネージャーを使うのは一つの方法。偽ドメインにはパスワードは入力されない。また、VPNソフトには不正ドメインへ接続させない機能をもつものもある。また、フィッシングサイトを警告するブラウザを常に最新バージョンにする方法もある。

ユーザーを教育するならし続ければいい。あらゆる方法で。でも、いちばん精通しているインターネットユーザーでさえ、最終的にはURLを読むのが苦手なわけで。僕みたいにね。(“Keep educating people, by all means, but expect even the savviest internet users will ultimately be as bad at reading URLs as I am”)

以上が要約。

個人的に要点を2段落でまとめると・・・

数十億のインターネットユーザーを教育するなんて非現実的な考えはやめて、まずはOS、ブラウザを常に最新のものにするという、今までどおりの啓蒙をつづけること。

そして、ウイルス対策ソフトや、パスワードマネージャー、VPNクライアント、ブラウザの補助機能など、不正サイトを自動的にブロックしてくれると同時に他のセキュリティ対策にもなるツールを普及させるのが現実的、ということ。

Troy Hunt氏のブログは皮肉や反語が多く、理解するのに苦労するので、上記の要約に間違いがあればご指摘ください。