国際共同捜査で「Ragnar Locker」の主要メンバーの1人を逮捕

2023年は前年に引き続き、ランサムウェアの被害が世界中で多発した年でした。そんな中、10月にランサムウェアの攻撃グループを巡って幾つかの大きな動きが見られたためここで紹介したいと思います。

まず10月21日、これまで世界中で数多くの攻撃を繰り広げてきたランサムウェアグループ「Ragnar Locker(ラグナロッカー)」の主要メンバーが逮捕されたというニュースが報じられました。Ragnar Lockerは、単に攻撃先のデータを暗号化してその復号と引き換えに金銭を要求するだけでなく、データを窃取してその公開をチラつかせてさらに金銭を脅し取る「二重脅迫」の手口を用いることで広く知られています。

これまで世界中の22カ国の企業・組織がこのRagnar Lockerによるランサムウェアの攻撃を受けており、その構成メンバーの捜査は11カ国の捜査機関が協力し合う国際共同捜査によって行われました。日本の企業・組織もこのグループの攻撃により被害を受けていることから、日本の警察庁もこの捜査に加わっていました。

こうした捜査活動の甲斐あり、今回の捜査ではマルウェアの開発作業に関与していたと思われるメンバーを逮捕できたほか、窃取した情報を公開するためのリークサイトの閉鎖も行ったとのことです。

「RansomedVC」のオーナーが活動停止とプロジェクト売却を発表

同じく2023年10月に、セルビアを拠点に活動してきたランサムウェアグループ「RansomedVC(ランサムド・ブイシー)」のオーナーが、「個人的な理由により活動が継続できなくなった」とダークウェブ上に投稿し、攻撃ツールや過去に窃取した情報を含めて全てのデータを売りに出す意向を表明しました。

RansomedVCはまだ活動が確認されてから日が浅い新興グループですが、2023年9月に「ソニーとNTTドコモに対して攻撃を行い、データを窃取した」と発表したことで日本でも大きな注目を集めました。ただしソニーはサーバーに対する攻撃があったことは認めつつも、このサーバー内には顧客や取引先に関する情報や個人情報などは保管されておらず、情報漏えいも確認されていないと発表しています。またNTTドコモに至っては、メディアの取材に対して「そもそも被害を受けていない」と答えています。

RansomedVCはこの両社への攻撃とデータ窃取が成功した証拠として、「窃取したデータの一部である」と主張するデータをリークサイトで公開していました。しかしこのリークサイトに公開したデータ自体が、他の攻撃グループが公開したデータのサンプルを流用したものだという情報もあり、セキュリティ専門家の間では「『攻撃に成功した』という発表自体が虚偽のものだったのではないか」との見方が強まっていました。

これらの結果、当初からRansomedVCは虚偽の窃取データを使って利益を得ることが目的だったのではないかとの疑念が高まったため、ダークウェブでも信用が失墜したことでRansomedVCによる攻撃の続行が困難になったのではないかと推察されています。

世界各地でますます攻撃を活発化させる「LockBit」

このように、これまで比較的広く知られていた攻撃グループが活動停止に追い込まれる一方で、ますます活動を活発化させるグループも存在します。その代表格が「LockBit(ロックビット)」で、日本においても数々の攻撃を展開して大きな被害をもたらしたことで広く知られるグループです。2023年7月に名古屋港のコンテナターミナルのシステムがLockBitによるランサムウェア攻撃を受け、システム停止に追い込まれたインシデントはまだ記憶に新しいところです。

さらに2023年10月には米ボーイング社のシステムがLockBitによる攻撃を受けたと見られ、翌11月に「ボーイングから窃取したデータの一部」とされる50Gバイトのデータが公開されています。このことから、恐らくボーイングはLockBitからの身代金支払い要求に応じなかったものと推察されます。

なおLockBitは以前からサーバーやVPN機器の脆弱性を悪用した攻撃手法を頻繁に用いており、今回のボーイングへの攻撃でもゼロデイ脆弱性が利用された可能性が示唆されています。

あらためて自社のランサムウェア対策の在り方を見直す

このように幾つかの主要な攻撃グループがその活動を停止したにもかかわらず、全体としては残念ながらランサムウェアの脅威が減っているとは言えない状況です。ランサムウェア攻撃では、感染と共にデータの暗号化やその復旧に伴う業務停止だけではなく、情報流出による社会的信用の失墜、株価の下落など企業経営に極めて深刻な影響が及ぶ可能性があります。それは自社だけに留まらず、取引先やサービスの提供先にまで影響が広がる事も多いため、引き続きランサムウェア対策には万全を期す必要があります。

ランサムウェア対策として推奨する具体的な取り組みは、パッチの適用漏れといったセキュリティリスクを特定するための評価の実施です。リスク評価の十分なリソースを社内で確保できない場合は、弊社が提供する「CSPA(サイバーセキュリティプログラム評価)サービス」のような、外部ベンダーが提供するセキュリティアセスメントサービスを利用するのも手です。

しかし、近年のランサムウェアの手口は極めて高度化・巧妙化しているため、どんなに事前対策を強化してもその感染や侵入を100%完璧に防ぐのは事実上不可能です。そのため弊社の「Cybereason EDR」に代表されるEDR製品などを導入することで、常時新たな脅威手法についての監視を強化すると共に、侵入してきた脅威をいち早く検知・除去できる手立てを講じておく必要があります。

また、製品やツールを導入するだけでなく、インシデント対応演習等のサービスを活用し、有事の際に適切に対処できる体制・プロセスがきちんと構築できているかどうかを検証しておくことも重要な取り組みであることを再度強調します。

【グローバル調査結果】2023年版 ランサムウェアと最新のSOC〜ランサムウェアがSOCを最新化するために与えた影響〜

セキュリティオペレーションセンター(SOC)は、その規模や成熟度にかかわらず、人材不足、可視性や自動化の欠如、ツールの増加、アラート過多などが原因で、常に窮地に立たされています。攻撃者の一歩先を行くこと、セキュリティ投資に対するリターンを示すこと、そしてスタッフを燃え尽きるほど酷使しないようにすること、このような課題に常に取り組んでいる現状は、多くのSOCにとって耐え難いものです。

サイバーリーズンの新しい調査では、世界8ヶ国、12業種における1,203人のサイバーセキュリティ担当者を対象として、SOCが現在直面している課題は何か、そしてそれらの課題がSOCの最新化にいかなる影響を与えているかについてアンケートを実施しました。

本レポートでは、調査結果を元に、ランサムウェアとSOCの最新化やサイバーセキュリティ担当者が直面している4つの必要性について紹介します。
https://www.cybereason.co.jp/product-documents/survey-report/10369/