- 2024/10/24
- ランサムウェア
ランサムウェアを巡る最新動向「LinuxやVMwareサーバーもターゲットに」
Post by : Shinsuke Honjo
国際共同捜査の成果が上がる一方でますます活発化する攻撃も
現在、世界各国の捜査当局が連携してランサムウェア攻撃グループの国際共同捜査に当たっており、ここへ来てその成果が徐々に表れ始めています。2024年だけでもLockBit、Ragnar Locker、ALPHV(BlackCat)といったこれまで広く知られていた攻撃グループのリークサイトが相次いでテイクダウンされたり、あるいはメンバーが検挙されたりしています。
しかしたとえ攻撃グループを解体まで追い込んだとしても、残ったメンバーが別の攻撃グループに合流したり、新しい攻撃グループを立ち上げたりしており、結局いたちごっこの状況はほとんど変わっていないのが実情です。ランサムウェアの攻撃自体はやはり相変わらず世界中で多発しており、企業は引き続き対策を怠るべきではありません。
特に最近活動が目立つ攻撃としては、以下のようなものが挙げられます。
- BlackSuit
2023年5月ごろから活動が確認されている攻撃グループで、IAB(Initial Access Broker)から入手したアカウント情報を悪用したり、ブルートフォース攻撃を使った不正侵入の手口を多く用いることで知られています。なお、こういった手口は他のランサムウェア・グループでも使われます。 - BlackBasta
主に欧米やオーストラリアで被害が確認されているランサムウェアで、かつてはQbotマルウェアを介して感染することが多かったのですが、Qbotが閉鎖された後はその他複数のマルウェアを使って侵入・感染を図るようになりました。 - Clop
データの暗号化を行わずに、窃取したデータの公開をちらつかせて身代金を要求する手口を多く用います。2019年から活動が確認されており、米政府や大企業のほか、日本企業の海外支社なども被害に遭っています。 - Akira
2023年に初めて活動が確認された比較的新しいランサムウェアで、他のランサムウェアグループと同様にVPN製品やRDP製品の脆弱性を悪用した侵入手口を多用します。主に欧米やオーストラリアの企業をターゲットにしており、現時点では日本企業の被害は確認されていません。
ランサムウェアのマルチプラットフォーム対応が進む
また近年のランサムウェア攻撃のトレンドの1つとして、「VMware ESXiの脆弱性を悪用した攻撃」が挙げられます。例えば2021年に公開された脆弱性「CVE-2021-21974」を悪用してVMware ESXiが稼働するサーバーへの侵入を図る攻撃が2023年2月ごろから急増しており、JPCERT/CCからも注意喚起が行われています。
Linux環境をターゲットにしたランサムウェア攻撃も、近年急増しています。少し前までのランサムウェアはもっぱらWindows環境をターゲットにしていましたが、ここへ来てLinuxやVMwareなどWindows以外のプラットフォームへの対応が進んでおり、これにより攻撃者はサーバー環境への直接的な侵入を図っているものと思われます。
一方、国家の関与が強く疑われる攻撃も近年数多く確認されています。米国の捜査機関が公表した情報によると、2021年5月ごろから北朝鮮によるものと推測される「ヘルスケア産業へのランサムウェア攻撃」が確認されています。医療機関は人命を預かっているため、攻撃者から見ると身代金を支払う可能性が高いターゲットと見なされているようです。なおこれらの攻撃を実行したグループは既にほぼ特定されており、2024年7月には米国司法省が北朝鮮の特定の人物を特定しています。
中国の関与が強く疑われる事案も相変わらず多発しており、悪名高い「APT41(Winnti)」による被害も引き続き発生しています。この攻撃グループはExchange Serverの脆弱性を悪用する手口を多用することで知られており、欧米だけでなく日本の企業でも知的財産窃取などの被害が多数発生しています。
まずは基本的なセキュリティ対策を徹底することが先決
ここまで紹介してきたように、近年多く見られるランサムウェア攻撃はどれも極めて高度かつ巧妙な手口を用いており、中にはゼロデイ脆弱性や窃取したアカウント情報を悪用するなど、通常の対策ではどうしても防ぎきれないものも多く含まれます。そのため企業はランサムウェアの感染を防止するための取り組みだけでなく、万が一感染してしまった場合に備えた対策が必須です。
例えばデータのバックアップはその最たるものですが、最近のランサムウェアはバックアップデータも当たり前のように暗号化してしまうため、ネットワークから切り離したオフラインバックアップをとるなどの対策も欠かせません。またマイクロセグメンテーションの技術を用いてネットワークをあらかじめセグメント化しておき、感染の横展開を防ぐことで被害を局所化するための対策も強く推奨されます。
もちろん重要なデータに対するアクセス権限を見直して、最小限の権限のみを付与するよう設定したり、多要素認証を導入するといった認証周りの対策も極めて重要です。ランサムウェアのトレンドがどのように変遷しても、最終的にはこのような基本的なセキュリティ対策を徹底することこそが、被害を未然に防ぐための最良の方策なのです。
2024年サイバー脅威予測 〜2023年の主要な脅威の振り返りと、2024年に警戒すべき脅威の予測〜
2023年は一部のランサムウェア・マルウェアに対して警察など大きな組織による閉鎖や、深刻な脆弱性の発見と悪用などが起きました。
本資料では、2023年に起きたサイバー空間の脅威の傾向を受けて、特に大きな影響を及ぼす5つの脅威を2024年のサイバーセキュリティ予測として取り上げました。2023年の主要な脅威を振り返りながら、2024年のサイバー脅威予測について説明します。
2024年度のご自身が所属する組織におけるサイバーセキュリティ対策の検討にお役立てください。
https://www.cybereason.co.jp/product-documents/survey-report/11608/
