ランサムウェアは、この5年で、個人のコンピューターを脅かすマルウェアから、企業ネットワークに深刻な危機をもたらす脅威へと変貌しました。そしてサイバー犯罪者は、ただ単純にできるだけ多くのコンピューターを感染させるのではなく、大きな標的を狙うようになりました。企業や政府機関を攻撃するには綿密な計画が必要ですが、うまくいけば何千万ドルもの利益を引き出せる可能性があるのです。
ランサムウェアを操るサイバー犯罪グループが狙うのは、一般個人の資産をはるかに超える企業の財力です。今では、身代金を要求するだけでなく、暗号化する前にデータを盗み取り、盗んだデータを公開すると言ってさらに圧力をかける手口が主流となっています。データの漏洩は、企業として多大なリスクです。企業イメージの悪化、株主との問題、規制機関から課される罰金と、その代償は身代金どころでは済まない可能性が大です。
当社のデータによれば、2016年が転換期でした。組織を標的としたランサムウェア攻撃の数は、わずか数か月で3倍になりました(英語記事)。攻撃の頻度は、2016年1月には平均で2分に1件でしたが、9月末には40秒に1件となっています。
2019年以降は、いわゆる「大物狙い」のランサムウェアによる標的型攻撃活動が次々と現れました。マルウェアを操る犯罪グループが運用するWebサイトには、攻撃の統計が示されています。私たちはこのデータを基に、最も活発な活動を見せたサイバー犯罪者グループをランキングにまとめました。
1. Maze(別名:ChaCha)
ランサムウェア Mazeは、2019年に初めて存在が確認されて以降(英語記事)、瞬く間にトップクラスのランサムウェアとなりました。ランサムウェア被害者総数のうち、Mazeは1/3以上を占めています。Mazeを操る犯罪者グループは、暗号化する前にデータを盗み取ることを最初にやり始めたグループの一つです。身代金の支払いに応じない被害者に対し、「支払わなければ、盗んだファイルを公開する」と脅したのです。この手口に効果があることが分かり、後で取り上げるREvilやDoppelPaymerなど他のランサムウェアにもこの方法が取り入れられました。
自分たちの仕掛けた攻撃をメディアに知らせ始めたのも彼らでした。2019年末、MazeグループはBleeping Computerに対してメールを送り、Allied Universal社に不正侵入した旨を、盗んだファイルをいくつか証拠として添えて伝えました(英語記事)。Bleeping Computerの編集者とメールを交わす中で、Mazeグループは「Allied Universalのサーバーからスパムメールをばらまく」と脅しただけでなく、後には盗んだ機密データをBleeping Computerのフォーラムで公開しました。
Mazeの攻撃は2020年9月まで続きました。その時点でMazeの活動は下火になり始めていましたが(英語記事)、それまでに国際企業数社、中南米の国営銀行、そして米国都市の情報システムが被害を受けました。被害者は、いずれも数百万ドルの身代金を要求されています。
2. Conti(別名:IOCP)
Contiは2019年の終わりごろに出現し、2020年を通じて猛威を振るいました。この期間のランサムウェア被害者のうち、Contiが関係したのは全体の13%以上でした。このマルウェアの作成者は、現在も活動を継続しています。
Contiによる攻撃の興味深い点は、標的となった企業に対し、身代金の支払いと引き換えにセキュリティ強化の支援を提案するところです。身代金要求メッセージの中には、「身代金が支払われたら、暗号化されたデータを元に戻すだけでなく、今後このようなことが起きないようにセキュリティホールをふさぐ方法を伝授する。さらに、ハッカーを困らせる特別なソフトウェアもお勧めする」という内容が書かれています(英語記事)。
このランサムウェアもMazeと同様、ファイルを暗号化するだけでなく、不正侵入したシステムから、ファイルのコピーを犯罪者グループへと送信します。要求に応じなければこのファイルをインターネット上に公開する、と被害者を脅迫するのも同じです。Contiによる攻撃の中でも最も注目を集めたのが、米国内の学校に不正侵入して4,000万ドルもの身代金を要求した一件です(英語記事)。学校側には50万ドルを支払う意思がありましたが、80回にわたる価格交渉は決裂しました。
3. REvil(別名:Sodin、Sodinokibi)
ランサムウェアREvilによる攻撃は、2019年初めにアジアで確認されました。正当なプロセッサー機能を利用してセキュリティシステムによる検知を回避するなど、このランサムウェアの優れた技術力は、たちまちエキスパートたちの注意を引くところとなりました(英語記事)。また、このマルウェアのコードには、リース用に作成されたことを示す特徴的な兆候がありました。
REvilの被害者は、被害者全体の11%を占めます。このマルウェアの攻撃を受けた業種は約20におよび、そのうち被害者が最も多かったのは生産・製造(30%)、次いで金融(14%)、プロフェッショナルサービスおよび消費者サービス(9%)、法務(7%)、ITおよび電気通信(7%)の順でした。2019年に最も目立った攻撃の一つは、マネージドサービスプロバイダー(MSP)が標的となり、その顧客の間にSodinokibiがばらまかれたというものでした(英語記事)。
この犯罪者グループは2021年3月、Acerに5,000万ドルを要求しました(英語記事)。この額は現時点で身代金要求額の史上最高記録です。
4. Netwalker(別名:Mailto)
Netwalkerは被害者総数の10%以上を占めます。その標的には物流大手、企業グループ、エネルギー企業その他の大企業が名を連ねています。2020年のわずか数か月の間に、このサイバー犯罪者グループは2,500万ドルを超える利益を上げました(英語記事)。
Netwalkerの作成者たちは、単独で詐欺活動する者に対し、攻撃で得た利益の一部と引き換えにNetwalkerのリース契約を提案しました(英語記事)。こういったビジネスモデルの場合、リースを受ける側の利益の方が少ないのが一般的ですが、Bleeping Computerによると、Netwalkerのリース契約を結んだ者の取り分は身代金の70%に達していた可能性があるとのことです(英語記事)。
Netwalkerを操るサイバー犯罪者グループは、自分たちの意図を明確に示すため、高額送金のスクリーンショットを公開しました。また、リース手続きができるだけ円滑に進むように、盗んだデータを身代金支払い期限後に自動公開するWebサイトまで開設しています。
2021年1月、警察はダークWeb上にあった NetwalkerのWebサイトを差し押さえ、恐喝によって2,760万ドル以上の利益を得た容疑で、カナダ市民権を持つセバスチャン・ヴァション・デジャルダン(Sebastien Vachon-Desjardins)を起訴しました(英語記事)。ヴァション・デジャルダンは、標的の探索、標的のシステムへの侵入、Netwalkerの展開を担当していました。これにより、Netwalkerは事実上、撲滅されました。
5. DoppelPaymer
最後に紹介するのはDoppelPaymerです。このランサムウェアの被害者は、全体の約9%を占めています。DoppelPaymerの作成者たちは、バンキング型トロイの木馬であるDridexや、DopplePaymerの前身とみなされる今は亡きランサムウェアBitPaymer(別名:FriedEx)など、他のマルウェアも作りだしています(リンク先は英語)。したがって、この犯罪者グループによる被害者の数は、実際にはもっと多いのです。
DoppelPaymerの攻撃を受けた企業は、電子機器メーカー、自動車メーカー、中南米の大手石油会社などがあります(英語記事)。このほか医療、救急、教育関連その他の政府機関も、世界各地でたびたび標的となっています。この犯罪者グループが絡んだ事件としては、米国ジョージア州ホール郡から盗み取った有権者情報を公開した件(英語記事)と、同ペンシルベニア州デラウェア郡に50万ドルを支払わせた件が(英語記事)、いずれもトップニュースになっています。DoppelPaymerの攻撃は現在も続いており、今年2月には欧州の研究機関がハッキングを受けた旨を発表しています(英語記事)。
標的型攻撃の手口
大企業を狙った標的型攻撃は、インフラの脆弱性を探り当て、筋書きを練り、ツールを選択するという長い準備プロセスを経て開始され、不正侵入を果たした後にマルウェアを企業インフラ全体に拡散させます。サイバー犯罪者は、ファイルを暗号化して身代金を要求するまで、数か月にわたって企業ネットワーク内に潜伏することもあります。
インフラへの主な侵入経路は、以下のとおりです。
- 十分に保護されていないリモート接続:保護が十分でないRDP(リモートデスクトッププロトコル)接続は、マルウェアを忍び込ませる手段としてよく使用されます。闇市場ではRDPを悪用するサービスが取引されています。世界の大半がテレワークに移行したときには、このタイプの攻撃が急増しました。Ryuk、REvilなどのランサムウェア攻撃の常套手段です。
- サーバーアプリケーションの脆弱性:サーバー側ソフトウェアへの攻撃が成功すれば、サイバー犯罪者は非常に機密性の高いデータへアクセス可能となります。最近の例では今年3月、ランサムウェアDearCryが、Microsoft Exchangeのゼロデイ脆弱性を突いた攻撃をしています(英語記事)。保護が不十分なサーバー側ソフトウェアは、標的型攻撃の入口となる可能性があります。企業向けVPNサーバーもセキュリティ問題と無縁ではなく、昨年中にいくつかの事例が確認されています(英語記事)。
- ボットネットベースの配信:多くの標的を狙い利益を増やすために使われるのが、乗っ取られた何千台ものデバイスで構成されるボットネットです。ボットネットのオペレーターは、このネットワークをサイバー犯罪者と共有します。ボットネットを構成するデバイスは、自動的に脆弱なシステムを探し出してそこへランサムウェアをダウンロードします。ContiやDoppelPaymerなどのランサムウェアは、こうして感染を広げました。
- サプライチェーン攻撃:REvilによる活動の最大の特徴は、サプライチェーン攻撃を経路とするところです。このサイバー犯罪者グループはMSP業者のセキュリティを侵害し、その業者の顧客のネットワークにランサムウェアを拡散させました。
- 悪意ある添付ファイル:悪意あるマクロを含むWordドキュメントが添付されたメールは、マルウェアを送り付ける手段として今もよく使われています。NetWalkerは、悪意ある添付ファイルの付いたメールに「COVID-19」という言葉が入った件名を付け、受け取った人にファイルを開かせようとしました。
危険を招き入れないための対策
- 従業員に対し、サイバーセキュリティに関するトレーニングを実施する。フィッシングというものが何かを説明し、疑わしいメールのリンクをクリックしないこと、怪しいサイトからファイルをダウンロードしないこと、強力なパスワードを作成・記憶・保護する方法を、従業員の一人一人が理解する必要があります。攻撃のリスクを最小限に食い止めるため、また攻撃者にネットワークへの侵入を許してしまった場合のダメージを軽減するためにも、定期的に情報セキュリティのトレーニングを実施してください。
- ソフトウェアの既知の脆弱性を突いた攻撃を阻止するため、定期的にOSとソフトウェアをすべて更新する。クライアント側とサーバー側の両方のソフトウェアを更新してください。
- セキュリティ監査を実施し、機器のセキュリティを確認し、どのポートが開いていてインターネットからアクセス可能な状態にあるかを把握する。テレワークの際には、保護された接続(VPN)を使用してください。ただし、VPNであっても絶対に安全だとは限らない点には、十分に留意する必要があります。
- 企業データのバックアップを作成する。バックアップがあれば、ダウンタイムを削減できるだけでなく、ランサムウェアの攻撃を受けた場合に業務プロセスの復旧にかかる時間の削減にもなります。このほか、ハードウェアの誤作動のような事態からの復旧にも役立ちます。
- ふるまい分析やランサムウェア対策機能を備えたセキュリティソリューションを使用する。
- ポートを探る動きや標準外のシステムへのアクセス要求など、ネットワークインフラ内の異常を認識できる情報セキュリティシステムを導入する。ネットワークを監視できる専門家が社内にいない場合は、外部の専門サービスの活用をお勧めします。