マルウェアを使ってデータを暗号化し、元に戻す代わりに「身代金」を要求するランサムウェア攻撃は、これまでに広範囲で発生してきました。ランサムウェア攻撃は、一般的に、企業が直面する脅威の中でも特に深刻なものと見なされています。重要業務が中断させられるだけでなく、財政上の莫大な損失につながる可能性もあり、例えばWannaCryによる攻撃では、40億ドルを超える金銭的損失が発生したと試算されています。
しかし、ランサムウェア攻撃の様相は、この数年で変化を見せています。特定の企業や業界に対する、より標的を絞った攻撃へと移行しつつあり(英語レポート)、データの暗号化だけでなく、機密情報のオンライン公開が脅迫手段として使われるようになっています。
Kasperskyの調査チームは、この新たな脅迫方法を実践しているランサムウェアファミリー、「Ragnar Locker」および「Egregor」を調査しました。
Ragnar Locker
Ragnar Lockerが最初に発見されたのは2019年でしたが、その名が知られるようになったのは、2020年前半に大規模な組織に対する同グループの攻撃が見られてからです。これらは標的を絞った攻撃で、検体は標的ごとにカスタマイズされていました。身代金の支払いを拒むと、彼らが運営するWebサイトの「Wall of Shame」セクションに機密情報が公開される仕組みとなっています。支払いを拒否するまでの間に被害者と攻撃者がチャットでやりとりをしていた場合、チャットの内容も公開されます。主に米国内の各種業界の企業を標的としていますが、日本を含む他国での活動も見られています。
Ragnar Locker は今年7月、Mazeのランサムウェアカルテルに加わったと発表しました。いわば、両グループは今後、盗んだ情報を共有し、協力して活動していくという宣言です。Mazeは2020年、特に悪名をはせたランサムウェアファミリーの一つです(英語記事)。
Egregor
EgregorはRagnar Lockerよりも新しく、最初に発見されたのは今年9月です。しかし、Ragnar Lockerと同様の手法を数多く使用しており、コードにはMazeとの類似が見られます。通常このマルウェアはネットワークへの不正アクセスを通じて投下され、重要情報を盗み、被害者に対して身代金支払いの猶予を72時間与えます。被害者が支払いを拒むと、攻撃者は被害者となった企業の名前と、その企業の機密情報をダウンロードするためのリンクを自分たちのWebサイトに公開します。
Egregorの攻撃範囲はRagnar Lockerよりも広く、北米、欧州、さらにアジア太平洋地域の一部でも攻撃が確認されています。
ランサムウェア2.0
このように、ランサムウェアの攻撃は非常に的を絞ったものになりつつあります。また、脅迫手段はデータの暗号化にとどまらず、機密情報の公開という踏み込んだものとなっています。Kasperskyのグローバル調査分析チーム(Grobal Research and Analysis Team:GReAT)のラテンアメリカ地域ディレクター、ドミトリー・ベストゥージェフ(Dmitry Bestuzhev)は、この状況を「ランサムウェア2.0」と呼んでいます。ベストゥージェフはまた、攻撃者による機密情報公開がHIPAA(米国の医療保険の携行性と責任に関する法律)やGDPR(EUの一般データ保護規則)などの規制に違反した場合、訴訟のリスクも発生し、被害は財政的な損失にとどまらない可能性があると指摘しています。
ランサムウェア2.0の脅威は、単なるマルウェアの一種がもたらす脅威以上のものであると捉える必要があります。ランサムウェアの活動は攻撃活動の最終段階であって、ランサムウェアが実際に展開されるまでの間に、攻撃者はすでにネットワークを調査して機密情報を特定し、ひそかに盗み出しているのです。したがって、攻撃を早期段階で検知することが重要です。
ランサムウェア2.0の詳細については、Securelistの記事(英語)をご参照ください。
対策
このような標的型ランサムウェア攻撃から企業を保護する対策として、Kasperskyのエキスパートは以下を推奨しています。
- RDPなどのリモートデスクトップサービスを、どうしても必要な場合以外はパブリックネットワークに接続しない。また、常に強力なパスワードを設定する。
- 自分の使用する全デバイスで、ソフトウェアを常に最新版にしておく。ランサムウェアによる脆弱性の悪用を防ぐには、脆弱性の検知とパッチの適用を自動的に行うツールの活用をお勧めします。
- VPNソリューションを使用している場合は、利用可能なパッチがあればすぐに適用する。
- メールの添付ファイルや知らない相手からのメールは注意して扱い、疑わしいところがある場合は開かない。
- 攻撃を早期に特定して阻止するために、Kaspersky Endpoint Detection and Responseのようなソリューションを利用する。
- 攻撃の横展開とインターネット上へのデータ送出を検知可能な防御戦略を採る。サイバー犯罪者の通信を検知するために、外へ出て行くトラフィックに注意を払いましょう。また、データは定期的にバックアップを作成し、いざというときすぐにアクセス可能な状態にしておきましょう。
- 従業員向けに、サイバーセキュリティに関する教育を行う。
- 従業員が個人的に使用するデバイスに、ランサムウェアからデバイスを守り、悪意あるアプリケーションによる変更をロールバック可能な、さまざまなオンライン上の脅威を防ぐ機能を備えたセキュリティ製品のようなセキュリティ製品をインストールする。
- 企業環境に、無料で利用可能なKasperskyのAnti-Ransomware Tool for Businessを導入する(リンク先は英語)。
- 脆弱性攻撃防止機能、ふるまい検知機能、悪意ある操作のロールバック機能を備えた、Kaspersky Endpoint Security for Businessのようなエンドポイントセキュリティソリューションを使用する。