- 2022/01/18
- ランサムウェア
Contiランサムウェアの強盗団に襲われた「スターたちの宝石商」
Post by : Cybereason Security Team
オプラ・ウィンフリー、ドナルド・トランプ、デビッド・ベッカムといった有名人にはどんな共通点があるでしょうか。彼らは皆、ジュエリーブランドGraffの顧客です。Graffは、ハリウッドの最高級のスターや世界の富裕層を顧客に持つことから、「スターたちの宝石商」と呼ばれています。その彼らに、また共通点が生まれました。Graffを襲ったContiランサムウェアの攻撃者によって個人の顧客情報がダークウェブ上に流出したことです。
デイリー・メール紙の報道によると、サイバー犯罪者たちは、手始めの力のアピールとして69,000件の機密書類を流出させました。脅威アクターは、彼らが暗号化したGraffのシステムの暗号解除と、さらなる機密情報の流出の停止と引き換えに、数千万ドルの身代金を要求しています。
Contiランサムウェアのグループは、Graffの約11,000人の顧客に関する機密データを抽出したと主張しています。Contiが盗取した書類は、顧客リスト、領収書、請求書、クレジット明細書などです。これまでに流出させた69,000ファイルは、彼らが保有しているGraffのデータの約1%に過ぎないとのことです。
サイバーリーズンでは、生死に関わる問題や国家的な緊急事態でない限り、身代金を払わないことを推奨しています。実際、世界の1,200以上の組織を対象に最近行ったサイバーリーズンのランサムウェアに関する調査によると、身代金を払った組織のうち80%が2度目の攻撃を受けており、多くの場合、同じ攻撃者に襲われています。とはいえ、Graffの顧客は莫大な財力があり、自分の個人情報が公開されないことに強い関心を持っています。
Contiランサムウェア
Contiランサムウェアは、比較的短い間に大きな被害をもたらしたことで、世界中で話題になりました。しかし、どこからともなく現れたわけではありません。ランサムウェアのグループは、時間の経過とともに常に変化し、進化し、名前を変えていきます。ContiはRyukランサムウェアの後継者であることが確認されています。
ランサムウェアのペイロードを実際に展開する前に、Contiの攻撃者はネットワークに侵入し、組織のシステム内で縦横無尽に動き回ろうとします。このグループは、最初に感染させたマシンにダメージを与えるだけでは満足しません。SMB経由で拡散し、リモートマシンにも暗号をかけます。これは単なるマルウェアの悪用ではなく、複雑なランサムウェアの操作(RansomOp)なのです。
Contiグループは、このランサムウェアの新バージョンを複数リリースしており、バージョンごとに機能を改善および拡張しています。サイバーリーズンのNocturnusチームは、Contiグループの脅威レベルを攻撃の破壊力の観点から「高」と評価しています。
Graffが受けたランサムウェア攻撃
ランサムウェア攻撃でGraffが被った影響の全貌を把握するには、実際のところ何週間もかかるかもしれません。言えるのは、財力のある組織ほど身代金を払う可能性が高くなるということです。Graffの顧客は知名度が高いため、他の組織に比べて、要求された身代金を全額払う可能性が高いと考えられます。
Contiグループの主張によると69,000件は盗取したファイルの1%だということですが、これは少し奇妙です。なぜなら、Graffのシステムから抽出したファイルの数が全体で700万個以下という計算になりますが、これは極めて少ない数です。一般的なマシンには平均で数万のファイルが格納されているので、計算が間違っているか、抽出の標的にしたデータファイルが非常に絞られているのでなければ、数百台のコンピューターしか侵害されていないように思えます。
しかし、いずれにしてもデータ流出の被害に遭った11,000人の顧客にとっては大きな問題です。Contiグループに盗取された情報は、恥ずかしいものになるかもしれません。何かの理由で数千ドルを集めたセレブが、宝石に数百万ドルを費やしたことが明らかになれば、反発を受けるかもしれないし、有名人が配偶者以外の誰かに高価な宝石を買っていたことが公表されてしまうのも恥ずかしいことでしょう。
今回の攻撃でGraffとその顧客が抱えるリスクは主に次の3つです。
- 情報がプロの犯罪者の手に渡り、ジュエリー強盗のために自宅を襲われたり、もっとひどいことになった場合の顧客のプライバシーや安全
- 個人のブランドイメージ低下
- スピアフィッシング攻撃の可能性
脅威アクターはこれらのリスクを理解しており、これらの機密情報が漏洩した場合にGraffとGraffの顧客が受ける影響を認識しています。データの盗取を目的に組織を狙う場合、攻撃者は粘り強く、忍耐強く、徹底した攻撃を行います。サイバーリーズンは2020年からContiを追跡しており、彼らは、世界中の病院、法執行機関、重要インフラ事業者などの組織に対して数えきれないほどの攻撃を容赦なく行ってきました。
今回のランサムウェア攻撃によって注意が喚起させられたことは、組織は早急に投資して予防と検知の能力を強化し、組織の危機耐性を向上させる必要があるということです。サイバーリーズンは、火には火で戦うことができます。行動分析に基づく検知を迅速に行い、機密データが流出する前に、ランサムウェアのペイロードが配信される前に攻撃を阻止することができます。
つまり、サイバーリーズンなら重大なデータ漏洩/侵害を過去のものにすることができます。攻撃者たちが城壁につま先をかけていたとしても、事前に防御計画を立て、抜け目なく先手を打つことで、城への侵入を防ぐことができるのです。
【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~
近年、世界中で深刻な問題となっているランサムウェア。
このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/