ランサムウェア：2023年に最も注目を集めた攻撃

2023年7月、日本一の海運拠点である名古屋港のコンテナターミナルシステムがランサムウェア攻撃を受け、約3日間に渡り業務が停止するという事態に陥りました。このように、日本の物流を支える重要インフラがランサムウェアの攻撃を受けたというニュースは世界でも大きく取り上げられました。

ランサムウェア攻撃は、企業のセキュリティにとって重大な脅威です。当社の専門家による調査によりますと、2022年から2023年にかけて、ランサムウェアグループの数が世界全体で30%増加しました。それと並行して、ランサムウェア攻撃の被害者数も同期間、70%増加しました。

このブログでは、2023年に世界で発生した最大かつ最も注目を集めたインシデントをご紹介します。

2023年1月：LockBitによる英国ロイヤルメールへの攻撃

2023年早々、犯罪グループ「LockBit（ロックビット）」が、英郵便事業ロイヤルメールに対してランサムウェア攻撃を仕掛けました。この攻撃によって、バックオフィスシステムが影響を受けたため、海外発送が麻痺し、何百万通もの手紙や小包の配達に遅延が発生しました。使用されたランサムウェアは、自律的に拡散するものの一種で、小包追跡のWebサイト、オンライン決済システム、その他複数のサービスも機能不全に陥りました。また、北アイルランドのロイヤルメール配送センターでは、プリンターがLockBitグループ特有のオレンジ色の身代金請求書を大量に印刷し始めたとも報じられています。

ロイヤルメール配送センターのプリンターが大量に印刷したLockBitの身代金請求書。出典

最近のランサムウェア攻撃ではよくあることですが、LockBitは、身代金を払わなければ盗んだデータをオンラインに公開すると脅迫しました。それに対して、ロイヤルメールは支払いを拒否したため、盗まれたデータは公開されました。

2023年2月：ESXiArgsが世界中のVMware ESXiサーバーを攻撃

2月は、VMware ESXiサーバーを狙ったランサムウェア「ESXiArgs」が猛威を奮いました。これは、VMware ESXiサーバーのリモートコード実行（RCE）の脆弱性、CVE-2021-21974を利用したものです。VMwareは、2021年初頭にこの脆弱性に対するパッチをリリースしましたが、未パッチのサーバーが狙われました。この攻撃によって、3,000台以上のVMware ESXiサーバーが暗号化されました。

身代金の要求額は、約2BTC強（攻撃当時約45,000ドル相当）でした。攻撃者は、被害者ごとにそれぞれ新しいビットコインウォレットを生成し、そこに身代金を入れるよう要求しました。

ESXiArgs ランサムウェアのオリジナルバージョンからの身代金要求。出典

攻撃開始からわずか数日後、サイバー犯罪者たちは暗号化されたバーチャルマシンの復旧をはるかに困難にするクリプトマルウェアの新種を使用し始めました。また彼らの活動を追跡しにくくするために、また身代金ウォレットのアドレスを記載するのを止め、代わりにP2Pメッセンジャー、Toxを通じて連絡を取るよう被害者に要求しました。

2023年3月：ClopグループがGoAnywhere MFTのゼロデイを悪用

2023年3月、ランサムウェアグループ「Clop（クロップ）」は、Fortra製のマネージドファイル転送ツール、GoAnywhere MFTのゼロデイ脆弱性を悪用したランサムウェア攻撃を実行しました。Clopは、このように世界中で使われているサービスの脆弱性を悪用した大規模キャンペーンを展開することで知られており、2020年から2021年にかけては、Accellion FTAの脆弱性を悪用して組織を攻撃し、2021年後半には、SolarWinds Serv-U製品の脆弱性を悪用したことも報告されています。

Procter & Gamble、トロント市、米国最大級のヘルスケアプロバイダーであるCommunity Health Systems、さらには日立エナジーなど、計100以上の組織が使用する脆弱なGoAnywhere MFTサーバーが攻撃を受けました。

インターネットに接続された GoAnywhere MFT サーバーのマップ。出典

2023年4月：NCRのAloha POS端末がBlackCatランサムウェアで使用不能に

4月、ATM、バーコードリーダー、POS端末、その他の小売および銀行機器の製造・サービスを行っている米国NCR社が、ALPHVグループ（使用するランサムウェア名にちなんで別名BlackCat、ブラックキャット）からランサムウェア攻撃を受けました。

このランサムウェア攻撃により、主にファーストフードなどのレストランで使用されているAloha POSプラットフォームを扱うデータセンターが数日間停止に追い込まれました。

ALPHV/BlackCatグループにランサム攻撃を受けたNCR Aloha POSプラットフォーム。出典

基本的に、このプラットフォームは、決済処理、オンライン注文の受付、ポイントプログラムの運営から、厨房での料理の準備や給与計算の管理まで、ケータリング業務を管理するためのワンストップショップです。NCRへのランサムウェア攻撃の結果、多くのケータリング施設は、手書きで注文を取る以前の方法を余儀なくされました。

2023年5月：ダラス市へのロイヤルランサムウェア攻撃

5月上旬、全米で9番目に人口の多い都市、テキサス州ダラスの自治体サービスが、ランサムウェア攻撃を受けました。最も影響を受けたのはダラス市警の通信システムで、ダラス市のネットワークプリンターが身代金要求のメモを突然印刷し始めました。

ダラス市のネットワークプリンターで印刷された身代金要求書。出典

さらに同月末、都市部の自治体を狙った別のランサムウェア攻撃が発生しました。その標的は米ジョージア州のオーガスタ市で、攻撃者はBlackByte（ブラックバイト）というグループでした。

2023年6月：Clopグループ、MOVEit Transferの脆弱性を利用した大規模攻撃を開始

6月、Fortra製のGoAnywhere MFTに対する2月の攻撃を担当した同じClopが、別のマネージドファイル転送ツールであるProgress SoftwareのMOVEit Transferの脆弱性を悪用したことが確認されました。この脆弱性、CVE-2023-34362は、5月最終日にProgressによって修正されましたが、パッチが適用されていないクライアントが侵害される被害に遭いました。

このランサムウェア攻撃は、今年最大のインシデントのひとつで、石油会社のシェル、ニューヨーク市教育局、英公共放送のBBC、イギリスの薬局チェーンBoots、アイルランドの航空会社Aer Lingus、ジョージア大学、ドイツの印刷機器メーカーHeidelberger Druckmaschinenなど数多くの組織に影響を与えました。

ClopのWebサイトでは、侵害された企業に対し、交渉のために同グループに連絡するよう指示している。出典

2023年7月：ハワイ大学がNoEscapeグループに身代金を支払う

7月、ハワイ大学はランサムウェア攻撃を受け、犯人への支払いに応じたことを明らかにしました。事件自体は、MOVEitへの攻撃に注目が集まっていた1ヶ月前に発生していたということです。攻撃者は、「NoEscape」という名の比較的新しいグループで、大学の学部のひとつであるハワイアン・コミュニティ・カレッジにランサムウェア攻撃を仕掛け、機密データを流出させたと主張しました。

大学に対し攻撃者は、盗んだ65GBのデータを公表すると脅迫しました。そのデータには、28,000人分の個人情報が含まれていました。そのため、大学側が犯人の要求に応え、身代金を支払う結果となりました。

NoEscapeがハワイ大学をハッキングしたとウェブサイトで発表。出典

特筆すべきは、ランサムウェアの拡散を食い止めるため、大学職員がITシステムを一時的にシャットダウンしなければならなかったことです。NoEscapeグループは身代金を支払うと復号キーを提供しましたが、ITインフラの復旧には2ヶ月かかりました

2023年8月：Rhysida、ヘルスケア部門を標的に

8月は、ランサムウェアグループ「Rhysida（リシダ）」が、医療分野へ一連の攻撃を行いました。アメリカの複数の州で16の病院と165の診療所を運営するプロスペクト・メディカル・ホールディングス（PMH）が、最も大きな被害を受けました。
攻撃者は、1TBの企業文書と、50万件の社会保障番号、パスポート、運転免許証、患者の医療記録、金融および法律文書を含む1.3TBのSQLデータベースを盗んだと主張しました。そして、50BTC（当時のレートで約130万ドル相当）の身代金を要求しました

リシダグループからの身代金要求の手紙。出典

2023年9月：BlackCatがシーザーズとMGMのカジノを攻撃

9月上旬、シーザーズとMGMという米国最大級のホテル、カジノチェーン2社に対する一連のランサムウェア攻撃が発生しました。この攻撃の背後には、NCRのAloha POSプラットフォームへの攻撃に関与したALPHV/BlackCatグループがいるとされています。

これにより、複数のホテルのチェックインシステムからスロットマシンに至るまで、各社のインフラ全体がシャットダウンしました。巨大ビジネスを抱えるシーザーズは、調査や復旧作業にも莫大なコストが発生するため、犯人と交渉することを選択し、当初の3,000万ドルの要求額の半分である1,500万ドルを支払うことで合意しました。一方のMGMは、金銭は一切支払わず、自力でインフラを復旧させることを選びました。この復旧作業には9日間を要し、その間に同社は、1億ドルの損失（同社の試算）を被りましたが、そのうち1,000万ドルはダウンしたITシステムの復旧に関連する直接費用でした。

シーザーズとMGM、ラスベガスのカジノの半分以上を所有

2023年10月：BianLianがエア・カナダを攻撃

10月、グループ「BianLian（ビアンリアン）」は、カナダ最大の航空会社エア・カナダにランサムウェア攻撃を仕掛けました。攻撃者は、従業員／サプライヤーのデータや機密文書を含む210GB以上の様々な情報を盗んだと主張しました。特に、攻撃者は航空会社の技術面の違反やセキュリティ問題に関する情報を盗むことに成功したと述べています。

BianLianはWebサイト上でエア・カナダに身代金を要求。出典

2023年11月：LockBit、Citrix Bleedの脆弱性を悪用

11月は、「LockBit」がCitrix Bleedの脆弱性を悪用しました。この脆弱性に対するパッチは1カ月前に公開されていたが、大規模な攻撃が行われた時点では、一般にアクセス可能な1万台以上のサーバーに脆弱性が残っていました。LockBitはこれを利用し、複数の大手企業のシステムに侵入。データを盗み、ファイルを暗号化しました。

被害者の中には米国ボーイング社も含まれており、攻撃者は盗んだデータを身代金の支払いを待たずに公開してしまいました。LockBitは、世界最大の商業銀行である中国工商銀行（ICBC）も攻撃しました。

LockBitのWebサイトがボーイング社に身代金を要求

この事件は、UAEに本社を置き、世界中で数十の港湾とコンテナターミナルを運営する大手物流企業、DPワールドのオーストラリア部門に大きな打撃を与えました。DPワールド・オーストラリアのITシステムに対する攻撃によって、同社のロジスティクス業務を大幅に中断させ、約3万個のコンテナがオーストラリアの港で立ち往生しました。

2023年12月：法執行機関、ALPHV/BlackCatのインフラを押収

年末にかけて、FBI、米司法省、欧州警察機構（ユーロポール）、そしてヨーロッパ数カ国の法執行機関による共同作戦が行われ、ランサムウェアグループ「ALPHV/BlackCat」のWebサイトを押収しました。法執行機関はALPHV/BlackCatのサーバーに侵入し、サイバー犯罪者の行動を数ヶ月間静かに観察し、データの復号キーを奪取することに成功しました。その後、奪った複合キーを元に復号ツールを開発し、被害者を支援しました。

こうして、同機関は世界中の500以上の組織からランサムウェアの脅威を排除し、約6,800万ドルの支払いの可能性を回避しました。その後、12月に最終的なサーバーの乗っ取りが行われ、BlackCatの活動は終了しました。

ALPHV/BlackCatのインフラを押収するための合同法執行作戦。出典

ランサムウェアグループの活動に関する様々な統計も公開されました。FBIによりますと、ALPHV/BlackCatは2年間の活動期間中、1000以上の組織に侵入し、被害者に総額5億ドル以上を要求し、約3億ドルの身代金の受け取りに成功しています。

ランサムウェア攻撃から身を守るには

ランサムウェア攻撃は年を追うごとに多様化し、巧妙化しているため、インシデントを防ぐためのキラー・キャッチオール・ヒントは存在しない（存在し得ない）。防御策は包括的でなければならない。以下の作業に重点を置いてください：

• 従業員にサイバーセキュリティ意識向上のトレーニングを実施する。
• データの保存と従業員のアクセスを確認し見直す。
• 重要なデータを定期的にバックアップし、ネットワークから隔離する。
• すべての社内デバイスに堅牢な保護をインストールする。
• EDR（Endpoint Detection and Response）を使用して、企業ネットワーク上の不審な活動を監視する。
• 社内の情報セキュリティに能力がない場合は、脅威の検索と対応を専門企業に委託する。