二重脅迫型ランサムウェア

二重脅迫とは、今日最も広まっているランサムウェア攻撃の1つです。この手口において、攻撃者は、ランサムウェアによる暗号化処理を開始する前に、まず被害者から機密情報を盗み出します。続いて暗号化された資産へのアクセスを取り戻したいなら身代金を支払うよう被害者に要求した上で、身代金の支払い要求に迅速に応じない場合には、盗み出したデータを公開するとさらに脅します。
この手口は、ランサムウェア攻撃を受けた際にはデータのバックアップを利用すれば良いと考えていた企業や組織の復旧戦略を無にするという意味で、非常に効果的であることが証明されています。二重脅迫により、企業や組織の選択肢は、より狭められることになります。

Help Net Securityによれば、2019年当時、このような手口を利用していたのは1つのランサムウェアギャングのみでしたが、このような二重の脅迫手口が成功した結果、それはわずか1年の間に他の複数のランサムウェア攻撃者によって速やかに採用されるようになったとのことです。2021年第1四半期末には、身代金が支払われない場合に盗み出したデータを公開するという脅迫を含むランサムウェア攻撃の割合は、文書化された全ランサムウェア攻撃のうち77%を占めるまでに増加したことが研究者から報告されています。

ランサムウェア攻撃者が標的とする一般的なデータタイプ

このような二重脅迫の増加は、次のような重要な問題を提起します。それは、「ランサムウェア攻撃者は、二重脅迫する上で、どのような種類のデータを流出のターゲットにする傾向があるか?」という問題です。被害を受けた組織によって違いはあるものの、通常、ランサムウェア攻撃者が他のデータカテゴリに比べてより標的とする傾向のある一般的なデータカテゴリがいくつか存在しています。そのようなデータの種類を4つ紹介します。

ランサムウェア攻撃で狙われる保護医療情報(PHI)

保護医療情報(Protected Health Information、略称PHI)には、医療記録、診断内容、患者の医療保険データなどが含まれます。攻撃者がこのようなタイプのデータを標的にするのは、医療機関が患者の治療をタイムリーに行うために医療情報にいつでもアクセスできる必要があることを彼らが知っているためです。同じ理由により、COVID-19のパンデミック時には、多くの攻撃者が、このタイプのデータを盗むように戦術を変更しました。

Wall Street Journalによれば、ランサムウェアは、パンデミックの最中に、他の組織に比べて、医療機関のネットワーク内で、より迅速なマルウェアペイロードの展開を開始したと言われています。ただし、これらの攻撃の多くは、盗み出したデータの流出を含んでいませんでした。悪意あるアクターは、被害者が可能な限り早急にデータを取り戻すために支払いに応じるだろうと踏んだのでしょう。

ランサムウェア攻撃で狙われる個人を特定可能なその他の機密情報

生年月日、住所、社会保障番号(SSN)などは、最も一般的な個人情報の一部です。ランサムウェアアクターはこのようなタイプのデータを標的とすることで、同情報を収益化することや、同情報を完全なIDプロファイルの一部としてダークウェブで販売することが可能となります。その情報を購入した者は、それを使って、さまざまなタイプのID窃盗や詐欺を実行できます。たとえば、彼らは、その情報を使うことで、被害者の名前で偽の確定申告が行えるほか、被害者になりすまして住宅ローンの申請や銀行口座の開設が行えます。

また、ランサムウェアアクターは、そのような情報を利用することで三重脅迫スキームを実行できます。Bleeping Computerによれば、Clopは三重脅迫に関与した最初のランサムウェアギャングの1つです。

たとえば、2021年3月に検知された攻撃では、Clopの攻撃者は、彼らの標的である顧客に対して、彼らが同顧客の個人情報を盗み出したこと、そして彼らが同データを公開するつもりであることを知らせるメールを送信していました。その後、この攻撃者は、これらの顧客に対して、同攻撃者の本来の標的である組織に連絡した上で、身代金を支払って「(顧客の)プライバシーを保護」することを同組織に促すよう指示しました。

アカウントクレデンシャル

アカウントクレデンシャルとは、主にユーザー名とパスワードから構成される情報であり、これはランサムウェアアクターにとって重要な情報となります。攻撃者は、標的とするネットワークのできるだけ多くの部分へと感染を広げるために、これらの情報を必要とします。実際、複合型ランサムウェアオペレーションの検知(RansomOps™)に関する以前のブログ記事では、典型的なランサムウェア攻撃の第4段階では、悪意あるアクターがクレデンシャルを盗み出すことで、標的となったネットワークのより多くの部分へのアクセスを取得するようになることを指摘しました。

最終的に、悪意あるアクターは、そのようなアクセス権を利用して当該ネットワーク上でのラテラルムーブメントを実行することで、さらに多くのデバイスを暗号化し、その結果、より高額な身代金を要求できるようになります。

ランサムウェア攻撃で狙われる知的財産

知的財産には、被害者の基幹業務(LOB)に不可欠である新製品のリリース情報や詳細情報などが含まれます。機密性の高い個人情報を盗み出した場合と同様に、ランサムウェアアクターは、ダークウェブを通じて被害者の知的財産を収益化することや、スポンサーとなる国家に同情報を渡すことができます。

また、競合する企業や組織は、闇市場を通じて購入したそのような情報を利用することで、被害者に損害を与えることが可能となります。あるいは、競合する国家の政府は、そのような情報を利用して、被害者の所在国に金銭的な被害を与えることで、自国の利益を推進できます。

ランサムウェア攻撃がもたらす影響

最近のレポート、【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜で、当社は、ランサムウェア攻撃者が上記のデータカテゴリの暗号化や窃取に成功した場合、被害者となった企業や組織はさまざまな影響を受ける可能性があることを明らかにしました。具体的に影響を受ける点としては、下記のものが挙げられます。

  1. 事業収益の損失:アンケート回答者の3分の2が、ランサムウェア攻撃後に多額の収益を失ったと回答しました。
  2. ブランドや評判へのダメージ:アンケート回答者の半数以上(53%)が、ランサムウェア攻撃の成功により、ブランドや評判が損なわれたと回答しました。
  3. 経営幹部レベルの人材の損失:約3分の1の組織が、ランサムウェア攻撃の成功が原因で、経営幹部クラス(Cレベル)の人材を失ったと回答しました。
  4. 従業員のレイオフ:アンケート回答者の約30%が、ランサムウェア攻撃の成功がもたらした財務上の理由により、従業員を解雇したと回答しました。
  5. 事業の閉鎖:アンケート回答者の4分の1が、ランサムウェア攻撃を受けた後、一時的に事業を閉鎖したと回答しました。

上記の調査結果は、81%の回答者がランサムウェア攻撃のリスクを非常に懸念していると回答した理由を裏付けるものとなっています。また、この調査結果は、企業が情報を安全に維持する必要性を強調するものにもなっています。

ランサムウェアに対するサイバーリーズンの優位性

企業や組織にとって最善の戦略は、ランサムウェアの攻撃を未然に防ぐことです。これを実現するために、企業や組織は、多層型のソリューションに投資する必要があります。同ソリューションでは、IOB(Indicators of Behavior、振る舞いの痕跡)を活用することで、ランサムウェアの侵入の最初期の段階、二重脅迫のために機密データを窃取する前の時点、そして実際のランサムウェアペイロードが配信されるずっと前の時点で、ランサムウェア攻撃を検知して防御できるようになります。

サイバーリーズンのオペレーション中心のアプローチは、RansomOps攻撃を早期に検知する能力を提供するほか、市場で最も優れた予防、検知、対応能力は、ランサムウェアとの戦いで無敗を続けていることで証明されています。

また弊社が提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

さらには、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

サイバーリーズンは、エンドポイントから企業に至るまで、あらゆる場所において、サイバー攻撃から防御するために、防御者と一丸となって尽力します。

【ホワイトペーパー】ランサムウェア対策ガイド~二重脅迫型など進化するランサムウェアから情報資産を守るために~

近年、世界中で深刻な問題となっているランサムウェア。
このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/