ランサムウェアとIBM i | IBM i 総合情報サイト

ランサムウェアとIBM i


ランサムウェアとIBM i

記事投稿日:2021年12月7日

2021年6月8日 ロバートアンドリュース

このドキュメントの執筆時点(2020年11月のオリジナル、2021年6月の更新)の時点では、IBM iで直接実行される既知のランサムウェアマルウェアプログラムまたはウイルスはありません。ただし、IBM iは、ネットワーク上の感染したPCの影響を受ける可能性があります。これらのPCは、感染した電子メールの添付ファイルを開くとか、HTMLインジェクション攻撃や、パッチ/更新/またはビューアを装ったマルウェアプログラムを配布するサイトへのリンクを踏んだり、アタッカーにより操られたユーザーによる攻撃だったり、またはこれらの組み合わせによって感染するものです。

IBM iは、あらゆる種類のバイナリーデータを保持するPCへのファイルサーバーになることができます。つまり、感染したファイルはIBM i上で直接実行されたり、IBM iに感染したりすることはありませんが、IBM i自身が感染したファイルの保管庫になりうる可能性があるのです。そもそも、ネットワーク共有だけではなく、FTP、SCP、リムーバブルメディアなど、ファイルがシステムに到達する方法はたくさんあります。これらの感染したファイルは、システムがWebサーバーでもある場合は、同じ方法で、またはより広くPCに共有されます。この記事の大部分は、このタイプのマルウェアの最大の攻撃対象領域であるファイルサーバーとして機能するIBM iから生じるリスクに焦点を当てます。

これらのマルウェアプログラムには多くの目的があります。まず第一に最も明白な、そしてその名の通りの攻撃は、システムをロックし、身代金または料金が(その匿名性ゆえ)ビットコインで支払われるまで、システムへのアクセスを制限することです。このロックアップは、重要なデータ、オペレーティングシステムファイル、および可能であればバックアップを暗号化することによって行われます。身代金が支払われると、復号化プログラムと鍵が提供されるというわけです。FBIを含むほとんどすべてのITセキュリティグループは、身代金を支払わないことを推奨しています。米国では、場所によっては、身代金を支払うことは犯罪と見なされることさえあります。企業が身代金を支払うことが知られると、彼らは他のグループにとってより大きな標的になります。お金の誘惑がなくなると、ランサムウェアはいなくなります。

これらのシステムが影響を受けていないバックアップまたはセグメント化されたバックアップから復元できる場合でも、2番目の懸念が高まっています。システムを暗号化する前に、もっと多くのランサムウェアの系統が次にネットワークを見回すようになるのです。より良い足場を得て、より価値の高いコンピューターまたはドメインコントローラーにピボットするための偵察の一環として、彼らは価値の高いデータまたは個人を特定できる情報(PII)を探します。見つかったら最後、ネットワーク経由で攻撃者に盗み出されます。ここで、身代金が支払われない場合、システムを回復させなければいけないだけでなく、攻撃者は盗まれた情報を公開すると脅迫します。
この情報は一般的なランサムウェアに関するものであることに注意してください。IBM iの詳細は後述します。詳細については、米国国立標準技術研究所(NIST)のサイバーセキュリティ特別刊行物(SP)1800-26、 Detecting and Responding to Ransomware and Other Destructive Eventsを参照してください。そしてもちろん、IBM独自のX-Forceチームからの The definitive guide to ransomware: Readiness, response, and remediationもお忘れなく。

IBM iの保護

このような攻撃へのIBM iの露出を減らすために企業がとることができる多くのステップがあります。これらの緩和策は、SMBのバージョンであるNetServerを介したネットワークへのIBM iファイルシステムの露出を減らすことに重点を置いています。まず、ゲストアクセスが無効になっていることを確認します。ゲストサポートは、認証されていないすべてのユーザーがマップされるシステム上の既存のユーザープロファイルを定義することで有効になります。これらのネットワークゲストユーザーは、マップされたユーザープロファイルのアクセス許可のレベルを取得します。ゲストアクセスを無効にすることをお勧めしますが、使用する必要がある場合は、ゲストアカウントに特別な権限をあたえず、可能な限り最低レベルの権限に設定されていることを確認してください。理想的には、変更を防ぐために読み取り専用にすべきです。ゲストアクセスを無効にするには、構成からユーザープロファイルを削除して、空白にします。これにより、ネットワーク上の誰もかれもがIBM iにアクセスすることはできなくなり、ユーザーはIBM iユーザープロファイルとアカウントを持っている必要が生じます。

次に、不要になった共有をすべて削除します。管理者は、IBM Navigator for i([ファイルシステム]> [ファイル共有])を介して、共有ごとのアクティブなセッション数を表示できます。ただしこれは時間のスナップショットにすぎず、ログでも累積でもないことに注意してください。各共有を読み取り専用に設定することもできます。たとえば、システムによって生成されたPDF請求書のアーカイブであるディレクトリがある場合、それらはPCからの参照のために表示する必要があるだけかもしれません。この共有をネットワークに書き込み可能として公開する必要はありません。このタイプの変更により、ファイルが暗号化されるのを防ぐことができますが、ファイルがコピーされて攻撃者に送信されるのを防ぐことはできません。またOSのセキュリティ(後で説明します)を上書きもしません。ですのでユーザーは、OSレベルでオブジェクトへの書き込みおよび/または読み取り権限を必要とします。いつものように、これは、IBM iに直接さらされないように適切に設定する必要があります。このNetServer設定は追加で設定可能で、OSレイヤーを超えてさらに制限を提供し、システムで許可されている以外のネットワークからの書き込みを防止します。

露出を減らすために、IFSのマウントポイントがディレクトリパスのできるだけ下にあることを確認し、アクセスできるファイルの数を制限します。アプリケーションの特定のサブフォルダーのみにネットワークからアクセスする必要がある場合は、アプリケーションフォルダー全体を共有しないでください。必要なデータを含むサブフォルダーのみを共有します。これには、特定のフォルダーの下に多数の小さな共有を作成する必要が発生する場合があります。ただし、公開されるファイルの総数が減り、セキュリティが向上します。そして、これは言うまでもありませんが、改めて明言します「IFSのルート(/)を絶対に共有しないでください」。

IBM iファイルシステムのライブラリーまたは従来の部分であるQSYS.LIBも共有可能で、それによってネットワーク攻撃にさらされる可能性があることに注意してください。システムは、NetServerからQSYS.LIBへのアクセスを許可されるユーザーのみに制限するために使用するQPWFSERVER許可リストを提供しています。読み取り専用属性と同様に、この設定はOSレベルのセキュリティに追加されます。ユーザーがネットワーク経由でライブラリーにアクセスするには、少なくともライブラリーに対する読み取り権限が必要です。

上記がNetServerについてご説明してきましたが、IBM iのファイルをネットワーク全体で共有する2番目の方法があります-それはNFSまたはネットワークファイルシステムです。NFSでは、ファイル共有を作成するのではなく、NFSエクスポートを作成します。これらのエクスポートは、LinuxやWindowsなどのNFSクライアントによってマウントできるディレクトリとファイルを公開します。これらのエクスポートが作成されると、各エクスポートの許可されたユーザーが定義されます。主な懸念事項は、NFSエクスポートを作成するユーザーがファイルへの匿名アクセスを定義でき、それらのオブジェクトにアクセスするためにユーザー認証を必要としないことです。さらに悪いことに、エクスポートが定義されている場合のデフォルトでは、オーバーライドされて無効にされない限り、匿名アクセスが作成されます。NetServerゲストアクセスと同様に、匿名NFSアクセスは、認証されていないNFSユーザーをリアルにひとつのIBM iプロファイルにマップします。デフォルトはQNFSANONです。これらの匿名ユーザーがマップするプロファイルに特別な権限がなく、権限はできるだけ少なく、理想的には読み取り専用であることを確認してください。匿名アクセスを無効にするには、ANON = -1でNFSエクスポートを定義するか、IBM Navigator for iで「なし」を選択します。

NetServerと同様に、同じ推奨事項の多くがNFSエクスポートにも適用されます。まず、匿名の認証されていないアクセスを許可するようにエクスポートが定義されていないことを確認します。次に、論理的なビジネスニーズが認められる場合には、NFSクライアントからのランサムウェア攻撃による暗号化を防ぐために、エクスポートを読み取り専用にします。ルートファイルシステム(/)とQSYS.LIBはどちらもNFS経由でエクスポートできるので注意が必要です。残念ながらこれを防ぐのに役立つNetServerのような認証リストはありません。最後に、NFSエクスポートがファイルパスのできるだけ下にあることを確認して、公開するデータとファイルの量を最小限に抑えます。管理者は、IBM Navigator for i(「ネットワーク」>「サーバー」>「TCP / IPサーバー」>「NFS」>「エクスポート」)を使用して、これらのNFSエクスポートとその設定を探すことができます。

さらなるステップ

これまでに説明したことはすべて、IBM iオペレーティングシステムがすでに提供している保護に追加してできることです。ただし、多くのクライアントにおいて、理想的とは言えないオブジェクトレベルの権限と権限が定義されていることも事実です。すべてのオブジェクトは重要ですが、その中でも重要なアイテムはライブラリとフォルダであり、それらはオブジェクトとその中のファイルへのゲートウェイとして機能します。ベストプラクティスとしては、オブジェクトへの* PUBLIC、個人、およびグループの読み取りおよび書き込み権限の削除が含まれています。承認されたアプリケーションを介してのみデータオブジェクトにアクセスする為に、採用された権限(QSYS.LIB)またはスワッピングプロファイル(IFS)を使用してアクセスを許可するようにするべきです。*ALLOBJ特殊権限を持つユーザーまたはグループは、システム上のすべてのオブジェクトにアクセスできることを忘れないでください。書き込み権限を削除することにより、ファイルが変更および暗号化されるのを防ぐことができます。読み取り権限を削除することにより、ファイルがコピーおよび盗難されるのを防ぎます。必要な権限、ユーザーが持っている権限、およびその権限をどこから取得しているかを確認するための最良の方法の1つは、権限コレクションを実行することです。このツールは、IBM iが水面下で行ったすべての権限決定を確認するためのトレースとして機能します。

IBMは、ユーザー・ライブラリーおよびフォルダーへの変更に加えて、システムのセットアップ、構成、および実行後にIFSに2つの変更を加えることを推奨します。これらは、IFSルート(/)およびQOpenSysフォルダーの権限を*PUBLIC *RWXから*RXのみに変更することです。これらのパスは、システムの構成時に書き込む必要がある場合がありますが、運用が開始されると、これらの場所を公に書き込み可能なままにしておく正当な理由はありません。ユーザーとアプリケーションが作成したルートIFSフォルダーに、過度のパブリック書き込みおよび読み取り権限がないかどうかを確認し、個人がプライベートストレージに使用しているかどうかを/homeディレクトリの下の権限で確認します。

ランサムウェア攻撃が発生した場合、回復するための最良の方法は、十分に計画され、テストされたリカバリープランを持つことです。特にバックアップが分離されたネットワークまたはセグメント化されたネットワークにあることが重要です。ランサムウェアの攻撃者は、回復をより困難にするために、破損または暗号化可能なオンラインバックアップを探します。これらのバックアップは安全な場所に保管する必要があります。IBMのSafeGuardedCopyやRecoveryPointFlashなどの不変のバックアップテクノロジーを検討してください。システムが攻撃された場合、それらの破損したファイルがHAシステムに複製されるか、メディアにバックアップされる可能性があるため、確認する必要があります。

また、すべてのテクノロジと同様に、サポートされているオペレーティングシステムのリリースとソフトウェアパッチ(PTF)を最新の状態に保つことが重要です。IBM i OSレベルがアクティブにサポートされていることを確認してください。最新の累積PTF、HIPER、Db2、およびSecurityPTFグループを少なくとも四半期に1回適用してください。システムにインストールされているサードパーティおよびオープンソースのアプリケーションも忘れないでください。

アセスメントをうける

ほとんどのIT標準では、外部組織による年次セキュリティ評価が必要です。これは、「新鮮な目」で環境を確認し、物事がどのように設定されているかを確認するための優れた方法です。IBM i Security Lab Servicesチームは、環境のリスクと弱点を探すためのセキュリティー評価を提供します。IBM iセキュリティー・アセスメントは、起こりうるエクスポージャーに対処するための優れた方法です。これらの評価の詳細については、当社のWebサイト(http://ibm.biz/IBMiSecurity#assessments)にアクセスしてください。

IBM iランサムウェア保護チェックリスト

  • ゲスト/匿名ネットワークアクセスを無効にする
  • できるだけ多くのネットワーク共有/エクスポートを削除します
  • 可能であれば、残りの共有/エクスポートを読み取り専用に設定する
  • 共有/エクスポートマウントポイントを移動して、公開されるディレクトリとファイルの数を減らす
    ※IFSのルート(/)は絶対にシェアまたはエクスポートしてはいけません!
  • QPWFSERVERを使用して、NetServerからQSYS.LIBへのアクセスをブロックする
  • 共有データへのアクセスをできるだけ少ない人数に制限する
    ※ライブラリまたはIFSフォルダーのアクセス許可を変更して、書き込み権限を削除(ファイルの暗号化防止のため)
    ※ライブラリーまたはIFSフォルダーの許可を変更して、読み取り権限を削除(データの漏えい防止)
    ※システムのセットアップが完了したら、IFSルート(/)とQOpenSysを* RWXから* PUBLIC * RXに変更。
  • 完全にテストされた、分離およびセグメント化されたバックアップ方法論と文書化された計画を持っている
  • PTF、パッチ、およびOSレベルを最新の状態に保つ
  • IBM LabServicesなどの外部ソースから年次セキュリティ評価を取得する

併せて読みたい!
「できるIBM i 7.4 第11回 IBM i のネットワークファイル共有機能 NetServer」
https://www.i-cafe.info/column/serials/dekiruibmi_no11

Copyright © IGUAZU