ランサムウェアシミュレータ(RanSim)は、ランサムウェア攻撃をシミュレートし、実際にランサムウェア攻撃があった場合にエンドポイント保護ソフトウェアがどのように対応するかを確認するツールです。RanSimを使用すると、エンドポイント保護ソフトウェアがランサムウェアをブロックするか、誤検出が発生するかどうかを確認できます。また、RanSimを使用すると、特定のファイルがランサムウェアによってどのような影響を受けるかを確認できます。
ビデオチュートリアルも視聴できます。「RanSim」のビデオも参照してください。
前提条件
RanSimをインストールして起動するには、以下の要件を満たす必要があります。
- お使いのコンピューターで64ビットのMicrosoft Windows 10以降がインストールされていること。
- お使いのコンピュータに、少なくとも2個以上のプロセッサコア、2GBのRAM、100MBのHDDの空き容量があること。
- お使いのコンピューターが、インターネットに接続できること。
- お使いのコンピューターでRanSimを起動するために、.NET Framework 4.5.2がインストールされていること。
重要:ただし、.NET Framework 4.5.2を使用していないコンピューターでは、RanSimをインストールする時に.NET Framework 4.5.2が自動的にインストールされます。
- RIPlacerのランサムウェアシナリオを実行するには、コントロールされたフォルダアクセスを有効にする必要があります。詳細については、この記事の「コントロールされたフォルダアクセスの有効化」のセクションを参照してください。
RanSimのインストール
お使いのコンピューターが上記の「前提条件」を満たしていることを確認したら、RanSimをインストールできます。
RanSimをインストールするには、以下のステップに従って操作します。
- ブラウザでknowbe4.com/ransomware-simulator移動します。
- [I want my RanSim download(RanSimをダウンロードします)]フォームに必要事項を入力してください。
- [Get RanSim!(RanSimを入手)]をクリックします。
-
[Click Here To Download RanSim(こちらをクリックしてRanSimをダウンロード)]リンクをクリックします。このリンクをクリックすると、ransim.zipファイルがコンピューターにダウンロードされます。
- ファイルマネージャでransim.zipファイルをダブルクリックします。
- 次に、SimulatorSetup.exeファイルをダブルクリックします。このファイルをダブルクリックすると、パスワードの入力画面が表示されます。
- このフィールドに「knowbe4」と入力すると、コンピューターにRanSimがインストールされます。
RanSimのインストールが完了すると、[KnowBe4 RanSim Setup(KnowBe4 RanSimのセットアップ)]ウィンドウに「Installation Successfully Completed(インストールが完了しました)」というメッセージが表示されます。RanSimの起動方法については、以下の「RanSimの起動」のセクションを参照してください。
コントロールされたフォルダアクセスの有効化
RIPlacerランサムウェアのシナリオを実行するには、お使いのコンピューターでMicrosoftのコントロールされたフォルダアクセスが有効になっている必要があります。
手動またはグループポリシーでコントロールされたフォルダアクセスを有効にする方法については、以下のリンクをクリックしてください。
コントロールされたフォルダアクセスを手動で有効にする
コントロールされたフォルダアクセスを手動で有効にするには、以下のステップに従って操作します。
- Windowsのボタンをクリックし、検索バーに「ランサムウェアの防止」と入力します。
- [コントロールされたフォルダアクセス]をオンにします。
-
[保護されているフォルダ]セクションに以下のフォルダのパスを追加します。
- c:\KB4\Newsim\DataDir\MainTests\8-Files
- c:\KB4\Newsim\DataDir\MainTests\12-Files
- c:\KB4\Newsim\DataDir\MainTests\16-Files
- [ランサムウェアの防止]画面に戻り、[アプリをコントロールされたフォルダアクセスで許可する]リンクをクリックします。
- 以下のアプリケーションを許可リストに追加します。
- c:\windows\system32\cmd.exe
- c:\windows\system32\notepad.exe
- c:\KB4\Newsim\MainStarter.exe
グループポリシーによってコントロールされたフォルダアクセスを有効にする
グループポリシーによってコントロールされたフォルダアクセスを有効にするには、以下のステップに従って操作します。
- グループポリシー管理コンソールを起動します。
- 設定するグループポリシーオブジェクトを右クリックし、[編集]をクリックします。
- [グループポリシー管理エディター]で、[コンピューターの構成]に移動します。
- [ポリシー]をクリックし、[管理用テンプレート]をクリックします。
- ディレクトリツリーを展開して、[Windows コンポーネント] > [Microsoft Defenderウイルス対策] > [Microsoft Defender Exploit Guard] > [フォルダアクセスの制御]に移動します。
- [フォルダアクセス制御の構成]の設定をダブルクリックし、[有効]をクリックします。
- [Guard My Folders Feature(マイフォルダの機能の保護)]の設定を[監視]に設定します。
- 保護するフォルダと許可するアプリケーションを構成します。この情報は、上記のサブセクション「コントロールされたフォルダアクセスを手動で有効にする」のステップ3、4、および5に記載されています。
RanSimの起動
RanSimを起動するには、以下のステップに従って操作します。
-
[KnowBe4 RanSim Setup(KnowBe4 RanSim設定)]ウィンドウで、[Launch(起動)]をクリックします。または、パソコンで[KnowBe4 Ran Simulator]のアイコンをダブルクリックします。
-
[Welcome to KnowBe4 RanSim(KnowBe4 RanSimへようこそ)]ウィンドウで、[Check now(今すぐチェック)]ボタンをクリックします。このボタンをクリックすると、RanSimはコンピューターでランサムウェアシミュレーションを開始します。このシミュレーションには23件のランサムウェアシナリオと2つの誤検出シナリオが含まれます。これらのランサムウェアのシナリオと誤検出のシナリオの詳細については、以下の「ランサムウェア攻撃のシナリオ」と「誤検出のシナリオ」のセクションをご覧ください。
シナリオの進行状況は、[KnowBe4 RanSim]ウィンドウで確認できます。
RanSimがすべてのシナリオを実行すると、結果が表示されます。[Vulnerable(脆弱)]シナリオ、[Not Vulnerable(脆弱ではない)]シナリオ、[Incorrectly Blocked(不正ブロック)]シナリオなど、シナリオごとに結果を確認できます。結果の表示と解析の詳細については、以下の「RanSim結果の分析」セクションを参照してください。
[Language(言語)]オプション
デフォルトでは、 RanSimの言語は[English (United States)(英語(米国))]に設定されています。しかし、[Spanish (Spain)(スペイン語(スペイン))]または[French (France)(フランス語(フランス))]を選択することもできます。
言語設定を変更するには、クライアントの右下にある現在の言語リンクをクリックします。クリックすると、[Display Language(言語の表示)]モーダルが開き、ドロップダウンメニューから言語を選択できます。
ランサムウェア攻撃のシナリオ
RanSimを起動すると、23のランサムウェア攻撃のシナリオをコンピューターで実行します。各シナリオの詳細については、以下の表を参照してください。
BlackKingdomVariant
このシナリオは、Pythonで記述されたランサムウェアをシミュレートします。このタイプのランサムウェアは、開発フォーラムで共有されているコードと同じ要素を使用しています。このタイプのランサムウェアは、使用されなくなり廃止されたコードも使用します。
例:Black KingdomまたはGAmmAWare
Collaborator
このシナリオは、複数のプロセスを使用してファイルを暗号化するランサムウェアをシミュレートします。このシナリオでは、実行可能なコードが他のプロセスを呼び出してテストファイルを列挙します。そして、元のファイルを暗号化してから移動および削除します。
例:現在は、このシナリオの例はありませんが、このタイプのランサムウェアを検出してブロックできるように、エンドポイント保護ソフトウェアを設定しておく必要があります。
CritroniVariant
このシナリオは、通常とは異なる攻撃パターンでファイルを暗号化するランサムウェアをシミュレートします。
例:CritroniまたはCBT
DearCryVariant
このシナリオは、ファイルをコピーして暗号化し、元のファイルを削除するランサムウェアをシミュレートします。このシナリオで使用される暗号化の方法では、ファイルを暗号化するために攻撃者のC&Cサーバーと通信する必要がありません。
例:DearCry
DjVuVariant
このシナリオは、Mazeランサムウェアが使用する方法をシミュレートします。通常、大規模な組織を攻撃するために使用されます。DjVuは対象ファイルのコピーを暗号化して、元のファイル削除します。
例:DjVu
HollowInjector
このシナリオは、プロセスホローイングと呼ばれる手法で悪意のあるコードを正規のプロセスに注入するランサムウェアをシミュレートします。
例:JaffまたはGrandCrab
Injector
このシナリオは、悪意のあるコードを正規のプロセスに注入してファイルを暗号化するランサムウェアをシミュレートします。このタイプのランサムウェアは、ダイナミックリンクライブラリ(DLL)インジェクションなどの一般的な手法でコードを注入します。
例:GandCrab
InsideCryptor
このシナリオは、ファイルを暗号化し、暗号化されたデータを元のファイルに追加するランサムウェアをシミュレートします。
例:PClock
LockyVariant
このシナリオは、Lockyランサムウェアの亜種をシミュレートします。このシナリオは、Lockyがファイルを感染させる方法のみをシミュレートします。暗号化のアルゴリズムをシミュレートするわけではなありません。
例:Locky
MazeVariant
このシナリオは、Mazeランサムウェアが使用する方法をシミュレートします。
例:Maze
Mover
このシナリオは、ファイルを暗号化し、元のフォルダのサブフォルダにファイルを移動するランサムウェアをシミュレートします。
例:Alpha
PaymerVariant
このシナリオは、DoppelPaymerなどのランサムウェアが使用する方法をシミュレートします。
例:DoppelPaymer
PhobosVariant
このシナリオは、Mazeランサムウェアが使用する方法をシミュレートします。通常、小規模な組織を攻撃するために使用されます。Phobosは対象ファイルのコピーを暗号化して、元のファイル削除します。
例:Phobos
ReflectiveInjector
このシナリオは、暗号化コードを正規のプロセスに注入する高度な手法を用いたランサムウェアをシミュレートします。
例:ChimeraまたはRokku
Replacer
このシナリオは、.docxや.pdfなどの特定の拡張子を持つファイルのコンテンツを上書きするランサムウェア攻撃をシミュレートします。このコンテンツは元のファイルと同じ形式のコンテンツで上書きされます。コンテンツが上書きされると、身代金を支払って元のファイルのコンテンツを復元するようにユーザーが要求されます。
例:DirCrypt
RigSimulator
このシナリオは、コンピューターのCPUを利用して暗号通貨を採掘するクリプトマイニングをシミュレートします。
例:XMRig
RIPlacer
このシナリオは、マイクロソフトのコントロールされたフォルダアクセスで保護されているマシンが攻撃に対して脆弱であるかどうかをテストします。
例:現在は、このシナリオの例はありませんが、このタイプのランサムウェアを検出してブロックできるように、エンドポイント保護ソフトウェアを設定しておく必要があります。
SlowCryptor
このシナリオは、検出を回避するために時間をかけてファイルを暗号化するランサムウェアをシミュレートします。
例:FCryptVariant
Streamer
このシナリオは、複数のファイルを暗号化し、暗号化されたデータを単一のファイルに追加するランサムウェアをシミュレートします。
例:Bart
StrongCryptor
このシナリオは、ほぼすべてのタイプのランサムウェアによる攻撃をシミュレートします。RanSimは各テストファイルについて新しいファイルを作成します。作成されるファイルには、テストファイルの暗号化されたコンテンツが含まれます。次に、RanSimは元のテストファイルのコンテンツを上書きし、そのファイルを削除します。
暗号化にはAESが使用されます。
例:インターネット通信を行わないCryptoLockerの亜種
StrongCryptorFast
このシナリオは、多くのタイプのランサムウェアによる攻撃をシミュレートします。RanSimは各テストファイルについて新しいファイルを作成します。作成されるファイルには、元のテストファイルの暗号化されたコンテンツが含まれます。次に、RanSimは元のテストファイルをすべて削除し、暗号化されたバージョンのテストファイルを残します。
暗号化にはAESが使用されます。
例:CryptoLocker
StrongCryptorNet
このシナリオは、多くのタイプのランサムウェアによる攻撃をシミュレートします。RanSimは各テストファイルについて新しいテストファイルを作成します。作成されるファイルには、元のテストファイルの暗号化されたコンテンツが含まれます。次に、RanSimは元のテストファイルを削除します。
暗号化にはAESが使用されます。このシナリオでは、RanSimはHTTP接続も作成し、暗号化キーを送信するためにポート23054でIPアドレス127.0.0.1へのアクセスを試行します。
例:C&Cサーバーと通信するCryptoLockerの亜種
ThorVariant
このシナリオは、Thorランサムウェアの亜種をシミュレートします。このシナリオは、Thorがファイルを感染させる方法のみをシミュレートします。暗号化のアルゴリズムをシミュレートするわけではなありません。
例:Thor
VirlockVariant
このシナリオは、複雑なランサムウェアをシミュレートします。このシナリオは、他のシナリオが先に起動されるのを待つ「ウォッチドッグ」プロセスを使用します。他のシナリオがブロックされた場合、このシナリオは別のシナリオを再作成して再起動します。
例:Virlock
WeakCryptor
このシナリオは、脆弱な暗号化方法を使用する攻撃をシミュレートします。RanSimは各テストファイルについて新しいテストファイルを作成します。作成されるファイルには、元のテストファイルの暗号化されたコンテンツが含まれます。次に、RanSimは元のテストファイルを削除します。
このシナリオでは、元のファイルのコンテンツをGZipで圧縮して、暗号化をシミュレートしています。次に、結果の最初のバイトである0x1Fを0x00に置換します。
例:TeleCrypt
誤検出シナリオ
23のランサムウェア攻撃のシナリオに加え、RanSimは2つの誤検出シナリオをコンピューターで実行します。誤検出とは、ファイルやプログラムがエンドポイント保護ソフトウェアによって悪意のあるものと誤って判断されてブロックされることです。
RanSimの2つの誤検出シナリオは、ArchiverとRemoverと呼ばれています。これらのシナリオでファイルやプログラムがエンドポイント保護ソフトウェアによってブロックされる場合、RanSimの[Incorrectly Blocked(不正ブロック)]結果が増加します。結果の表示の詳細については、以下の「RanSim結果の分析」セクションを参照してください。
誤検出シナリオがブロックされる場合、RanSimの結果は、エンドポイント保護ソフトウェアの効果を正しく測定できない可能性があります。
RanSim結果の分析
RanSimがすべてのランサムウェアと誤検出シナリオを終了したら、[KnowBe4 RanSim]ウィンドウで結果を確認できます。
ウィンドウの左上にある[Vulnerable(脆弱)]、[Not Vulnerable(脆弱ではない)]、[Incorrectly Blocked(不正ブロック)]ボックスで、各ステータスになっているシナリオ数を確認できます。[Vulnerable(脆弱)]のシナリオが0/23、[Not Vulnerable(脆弱ではない)]のシナリオが23/23の非脆弱性シナリオ、[Incorrectly Blocked(不正ブロック)]のシナリオが0/2と表示されていれば理想的です。
[KnowBe4 RanSim]ウィンドウでは、結果の詳細情報を示す円グラフや表も表示できます。円グラフは、検出された脆弱なファイルの種類(文書や画像など)の情報を表示します。表には、シナリオの名前とステータス、シナリオの説明、暗号化されたテストファイルのファイルパスなど、各シナリオに関する情報が表示されます。[Scenarios(シナリオ)]セクションの右上にある[Export to CSV(CSVにエクスポート)]リンクをクリックすると、CSVファイルをダウンロードできます。このCSVファイルには、RanSimの結果の情報が含まれます。