今年はランサムウェアが大きなニュースになっています。3月には、REvil/SodinokibiランサムウェアギャングがAcer社を攻撃し、5,000万ドルの身代金を要求しました。これは、その時点で、過去のあらゆるランサムウェアグループが要求した身代金の中で最高額となるものでした。さらにその1ヵ月後に、同ランサムウェアギャングは、Apple社のビジネスパートナーであるQuanta Computer社に身代金を支払わせるのに失敗したことを理由に、Apple社に対しても同じ額の身代金を要求しました。

さらに数週間後には、DarkSideランサムウェアギャングがColonial Pipeline Companyを攻撃した結果、米国東部全体で1億ガロンの燃料の流れを中断させ、ガソリン価格の上昇とガソリンの買い占めを引き起こしたことが判明しました。その約2か月後には、REvil/SodinokibiグループによるKaseya社へのサプライチェーン攻撃が行われ、世界中の少なくとも1,000社に影響を与えました。

これらの事件により、ランサムウェアのステータスは国際的なセキュリティ問題にまで引き上げられるようになりました。特に、米国のジョー・バイデン大統領は、ロシアで活動するランサムウェアグループを裁くために、ロシアのウラジーミル・プーチン大統領への圧力を強めていることからも明らかです。7月初旬にReutersの取材に応じたバイデン大統領は、次のように語っています。

「私はプーチン大統領に対して、次のことをはっきりと伝えました。国家が支援していなかったとしても、ランサムウェア攻撃が彼の領土から行われている際に、米国が犯人を突き止めるのに十分な情報をロシアに提供すれば、ロシアが行動することを期待していると」。

さらに、バイデン大統領は、プーチン大統領の協力が得られず、ロシアからのランサムウェア攻撃が続く場合、米国はサイバー報復を行う可能性があることを示唆しました。

過去にあったランサムウェア攻撃者の逮捕例

ランサムウェアをめぐる注目度は、今年、かつてないほど高くなっているようです。だからと言って、バイデン大統領が要求していることは、決して非現実的なものではありません。法執行機関は、過去に複数のランサムウェアのアクターを裁いてきたという実績があります。そのいくつかの例を下記に示します。

  • CTB-LockerおよびCerberランサムウェア:2017年の終わり近く、Forbesは、警察の捜査官が6つの施設を急襲し、CTB-Lockerランサムウェアファミリーに関係していた5名の個人を逮捕したと報じました。捜査官は、これらの個人のうち2名が、当時のもう1つの主要なランサムウェアファミリーであるCerberの配布にも携わっていたことを突き止めました。
  • 未知のランサムウェア:2020年9月、Egor Igorevich Kriuchkovという名のロシア市民が、ネバダ州にあるTeslaの工場にランサムウェアを感染させようとした容疑に関して、「無罪」を主張しました。裁判資料によると、KriuchkovはTeslaの従業員を買収した上で、100万ドルと引き換えに同社の工場を感染させようとしたとABC Newsは報じています。
  • Netwalkerランサムウェア:今年の初めに、KrebsonSecurityは、米国およびブルガリアの当局は、NetWalkerランサムウェアギャングが被害者に対する二重脅迫を行うのに利用していたデータ漏洩サイトを押収したと報じました。また、フロリダ州の裁判所は、この逮捕に関連して、NetWalkerの拡散に協力した疑いのあるカナダ国籍の人物を起訴しました。
  • EgregorランサムウェアZDNetは、その1ヶ月後に、フランスとウクライナの警察による共同捜査で、Egregorランサムウェアカルテルのメンバーが逮捕されたことを報じました。フランスのラジオ局France Interは、逮捕されたメンバーは、ランサムウェアの開発者ではなく、EgregorというRansomware-as-a-Service(RaaS)のオペレーターのアフィリエイトだと考えられると報じています。
  • Clopランサムウェア:その4ヶ月後、ウクライナの法執行機関は、Clopランサムウェアグループに対する警察活動の一環として、21回の捜索を行いました。これにより当局は、当該作戦に関与していた数名の個人を逮捕した後、それらの個人がランサムウェアの拡散に使用していたインフラストラクチャを停止させたと、Bleeping Computerは伝えています。

ランサムウェア対策が必須

上記のような事例にもかかわらず、逮捕やその他の法執行機関の活動は、ランサムウェアの脅威状況に対して、さほど大きな影響を与えていません。問題は、常に新しいランサムウェアが出現していることです。さらに、法執行機関に狙われたグループであっても、必ずしも消滅するとは限りません。TechCrunchによると、Clopグループが、ウクライナでの逮捕のわずか数日後に2社の被害者から窃取したデータを公開したというケースがありました。

企業や組織は、警察による逮捕に頼っているだけでは、永久にランサムウェアの脅威を根絶できません。そうではなく、企業や組織は、ランサムウェア攻撃を防ぐことに注力する必要があります。そのためには、まず、すべてのランサムウェア攻撃がユニークであることを理解する必要があります。つまり、セキュリティ企業は、すべてのランサムウェアに対応する検知ルールを保持しているとは限らないのです。

ランサムウェアから身を守るには

企業や組織にとって最善の戦略は、ランサムウェア攻撃の成功を未然に防ぐことです。これを実現するには、企業や組織は、振る舞いの痕跡(IOB:Indicators of Behavior)を活用した多層型のソリューションに投資する必要があります。これにより、ランサムウェアの侵入の初期段階、または二重脅迫を目的として機密データが窃取される前の段階、そして実際にランサムウェアのペイロードが配信されるずっと前の段階で、ランサムウェア攻撃を検知して防御できるようになります。

サイバーリーズンが採用しているオペレーション中心のアプローチとは、データのフィルタリングを行うことなく、稀であるかまたは攻撃者にとって有利に働くような(それ以外の点では正常な)振る舞いの連鎖に基づいて、攻撃を早期に検知できることを意味します。Cybereasonはランサムウェアとの戦いにおいて無敗を誇っています。これは、Cybereasonが次のような多層型の防御、検知、対応機能を備えているためです。

  • アンチランサムウェア機能 – 防御機能とおとり技術:振舞い検知と独自のおとり技術を組み合わせ、きわめて複雑な構造を有するランサムウェアの脅威を検知し、重要なデータが暗号化される前にランサムウェアの動きを封じます。
  • インテリジェンスベースのアンチウイルス:過去に検知された攻撃に基づく、増え続ける脅威インテリジェンスのプールを活用することで、既知のランサムウェアのバリアントをブロックします。
  • NGAV:機械学習を活用するCybereason NGAVでは、コード内に存在する悪意のあるコンポーネントを特定し、変異した未知のランサムウェアが実行されるのを防ぎます。
  • ファイルレスランサムウェア対策機能:従来のアンチウイルスツールでは検知できない、MBRベースのファイルレスランサムウェアを利用した攻撃を無力化します。
  • エンドポイントコントロール:セキュリティポリシーの管理、デバイスの制御の維持、パーソナルファイアウォールの実装、固定デバイスとモバイルデバイスの両方を含むさまざまなタイプのデバイスを対象としたディスク全体の暗号化を通じ、サイバー攻撃に対するエンドポイントの耐性を強化します。
  • ドキュメントに隠された脅威を振る舞いで検知:非常に一般的なビジネスドキュメントのフォーマットに隠されたランサムウェアをCybereasonは検知し、その攻撃を防ぎます。このようなランサムウェアには、悪意のあるマクロや他のステルス型攻撃ベクターを悪用するランサムウェアなどがあります。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/