ランサムウェアを操る脅迫犯、盗んだデータを公開

ランサムウェア開発者の間では、身代金の支払いを拒否した企業のデータを公開することが新しいトレンドになっているように見受けられます。

データのバックアップ。手間はかかりますが、暗号化型ランサムウェアからデータを守る効果的な対策の1つです。しかし近年、身代金の支払いを拒否する企業に対し、盗んだデータをインターネットに公開するという力技に出るサイバー犯罪者が現れています。

「データ公開」が脅しではなく現実に

「機密情報を公表する」という脅しは、以前からありました。たとえば、2016年にサンフランシスコ市営鉄道のシステムが暗号化型ランサムウェアに感染した際、この攻撃を仕掛けた攻撃グループは、身代金要求に応じなければ機密情報を公開するとの脅しをかけました(英語記事)。このときは、実際に公開されはしませんでした。

始まりはMazeだった

昨年後半にランサムウェアMazeを使って攻撃を仕掛けた犯罪者グループは、それまでの犯罪者たちとは違って有言実行でした。2019年11月、この犯罪者グループはAllied Universalのネットワークに侵入して重要データを盗み出し、Mazeを使ってファイルを暗号化しました。ファイルの復号と引き換えに要求された身代金の支払いをAllied Universalが拒否すると、犯罪者グループは契約書、分離協定、デジタル証明書など同社の内部データ700MB分をインターネット上にリークしたのです(英語記事)。このグループは、公開したのは窃取したデータのうち10%にすぎない、要求に応じなければ残りのデータも公開する、と主張しました。

同年12月、この攻撃グループはWebサイトを開設し、Mazeの餌食となった企業の名前、感染日、手に入れたデータの量、感染したサーバーのIPアドレスとサーバー名をサイト上に公開しました(英語記事)。それだけではありません。12月の終わりごろ、米国フロリダ州ペンサコーラ市から盗み出されたと見られる2GBのファイル群が掲載されました(英語記事)。脅しがはったりではないことを証明するために情報を公開した、というのが攻撃グループの言い分です。

2020年1月にはMedical Diagnostic Laboratoriesのデータ9.5GB分が、新たにオンラインで公開されました。また、同じくMazeの攻撃を受けたケーブル製造会社Southwireは、攻撃者グループに対する訴訟を起こし、同グループのWebサイトを一時的に閉鎖に追い込みましたが、攻撃グループはこれに対抗してSouthwireの文書データ14.1GB分をオンラインフォーラムに公開しました(英語記事)。

SodinokibiNemtyBitPyLockが後に続く

ほかのサイバー犯罪者も、この動きに追随しています。2019年の大晦日に国際的金融会社TravelexをランサムウェアSodinokibiで攻撃した犯罪者グループは、2020年1月初め、同社の顧客情報を公開する意思を表明しました(英語記事)。顧客の誕生日、社会保障番号、クレジットカード情報など5GBを超える情報を所持しているとしています。

Travelex側は、漏洩の証拠は認められないとして支払いを拒否しています。これに対し、Sodinokibiを操る犯罪者グループは、同社が交渉の開始に同意したと主張しています。

同グループは1月11日、身代金の支払いに応じなかった人材あっせん会社Artech Information Systemsから窃取したデータの一部だと称して、約337MBのデータを参照するリンクを、ハッカー向けの掲示板に掲載しました(英語記事)。Artech Information Systemsが身代金の支払いに応じなければ残りのデータを売りに出す(公開ではなく)と、と犯罪者グループは述べています。

これに続いて、マルウェアNemtyを開発した攻撃者グループも、身代金の支払いを拒否した企業の機密データを公開すると発表しました(英語記事)。ブログを開設し、要求に応じなかった企業の社内文書を少しずつ投稿していくと述べています。

新しく現れたランサムウェアBitPyLockの仕掛け人たちも、この流れに乗っています(英語記事)。このランサムウェアが表示する身代金要求メッセージの中には、要求に応じなければ機密データを公開するとの文言があります。今のところ機密データの公開には至っていませんが、BitPyLockを操る犯罪者グループも、自分たちが本当にデータを盗んだのだと証明しようとするかもしれません。

単なるランサムウェアではない

ランサムウェアにファイルの暗号化以外の高度な機能が追加されているのも、珍しいことではありません。2016年には、暗号化機能を持つトロイの木馬であるShadeのあるバージョンが、感染した先が会計業務用PCであることが判明すると、ファイルを暗号化するのではなくリモート管理ツールをインストールしていました(英語記事)。このほか、CryptXXXは、ファイルを暗号化するだけでなく、Bitcoinとログイン情報を盗み出しました。RAAの一部バージョンにはトロイの木馬Ponyの機能が追加され、ファイルの暗号化だけでなくログイン情報の取得も狙っていました(英語記事)。ランサムウェアのデータ窃取能力は、今さら驚くようなことではなく、特に企業はデータをバックアップする必要性に対する認識を強めています。

データのバックアップでは対抗できない事例が現れたことは、気がかりです。万が一感染してしまった場合、損失を回避する手立てはなく、脅迫犯がファイルの復旧を保証しない以上、損失は身代金だけに収まるとは限らず、顧客情報の流出も避けなければなりません。ランサムウェアから身を守る唯一の対策は、ランサムウェアをシステムに侵入させないことです。

ランサムウェアから身を守るには

この新しいランサムウェアのトレンドが効力を発揮するか廃れていくか、現時点でははっきりしません。この種の攻撃は本格化し始めているところであり、対策が必要です。いつもながら、セキュリティの基本的対策が鍵となります。

  • 情報セキュリティに対する意識の向上を図る。社員の知識が高まれば、フィッシングやその他ソーシャルエンジニアリングの手口にひっかかる可能性が低くなります。当社のブログ『Kaspersky Daily』では、攻撃者のさまざまな手口を紹介しています。
  • OSやソフトウェアを速やかにアップデートする。特に、システムへの不正アクセスやシステムの制御を可能にする脆弱性が発見された場合には、ただちに対処する必要があります。
  • ランサムウェア対策に特化した保護ソリューションを使用する。当社のランサムウェア対策ツールKaspersky Anti-Ransomware Toolは、無料でご利用いただけます。
ヒント