- 2022/02/10
- ランサムウェア
ランサムウェアの進化史を振り返る
Post by : Anthony M. Freed
ランサムウェア攻撃がもたらす脅威は、現在どのような状況にあるのでしょうか?
「【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜」と題した最近のレポートで、当社は、Cybersecurity Venturesが行った調査に基づいて、ランサムウェア攻撃は推定で約11秒に1回発生していることを紹介しました。この比率に従えば、1年間で約300万件のランサムウェア攻撃が発生していることになります。
この数字の意味をよく考えてみましょう。これは、暗号化されたファイルの数でもなければ、影響を受けた企業や組織の件数でもありません。これは、企業や組織に対する固有なランサムウェア攻撃の発生件数が1年間に300万件に上るということなのです。
サイバーリーズンでは最近、「【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜」と題したフォローアップ調査レポートを発表しました。同レポートでは、世の中がホリデーシーズンに向かう中で、ランサムウェア攻撃が週末や祝日期間中に企業や組織にもたらす脅威に焦点を当てています。
ランサムウェアが30年にわたって進化を続けてきた脅威
ランサムウェア攻撃を受けた組織の大半は、その結果としてビジネスに対する大きな影響を経験しています。これには、収益の損失をはじめ、組織のブランドに対するダメージ、計画外の人員削減、さらには事業の閉鎖などが含まれます。
2021年に世間を賑わせたランサムウェア攻撃は、現在までに200件以上発生しています。しかも、これは公的に認知されているランサムウェア攻撃の件数であり、公表されていないランサムウェア攻撃を加えるとその件数はさらに多くなります。このような事態に至った経緯を理解するためには、ランサムウェア攻撃という脅威が、長年にわたってどのように進化してきたかを振り返ってみる必要があります。
1989年:ランサムウェアの誕生
ランサムウェアの最初の事例が文書化された1989年までさかのぼってみましょう。この年の12月に、ハーバード大学出身の進化生物学者であるJoseph Popp博士が、ストックホルムで開催された世界保健機関の国際AIDS会議に出席した人々に対して、コンピューターウイルスに感染したフロッピーディスク2万枚を送りつけるという事件が発生しました。
このウイルスは、コンピューターにロードされると、ファイルのディレクトリを非表示状態にした上で、ファイル名をロックしました。そして同ウイルスは、当該ファイルへのアクセスを回復したければパナマにある私書箱に189ドルを送金するよう被害者に伝えました。
この事件から約2週間後、Popp博士は、アムステルダムのスキポール空港にいたところを当局により発見されました。続いて、警察当局は、彼を両親の家で逮捕した後、英国へと送還しました。その後、Popp博士は英国において、現在「AIDSトロイの木馬」と呼ばれているコンピューターウイルスを配布したことに関して、合計10件の脅迫罪および器物損壊罪で告訴されました。
2007年:ロッカー型ランサムウェアのバリアントが初めて登場
「AIDSトロイの木馬」事件から約20年後、最初のロッカー型ランサムウェアのバリアントがサイバー脅威の舞台に登場しました。ケネソー州立大学の研究者が指摘するように、このランサムウェアの初期バージョンはロシアのユーザーを標的にしており、被害者のマシンを「ロック」することで、コンピューターの基本機能(キーボードやマウスなど)を使用できないようにするものでした。
このランサムウェアは、感染したコンピューターに「アダルト画像」を表示した後、被害者に対して、プレミアムレートの電話番号に電話をかけるか、またはSMSテキストメッセージを送信することで、攻撃者の身代金要求に応じるように指示するものでした。
2013年:モダンな暗号化ランサムウェアの先駆けとなるCryptoLockerが登場
2013年、Naked Securityは「CryptoLocker」と呼ばれる新しいランサムウェア脅威を発見しました。これは、Windowsを使用している被害者の「Documents and Settings」フォルダにランサムウェアをインストールした後、さらにレジストリリストにランサムウェアを追加するものでした。
このランサムウェアは、ハードコーディングされたコマンド&コントロール(C&C)サーバーの1つに接続した後、被害者を特定するための小さなファイルをアップロードし、そのファイルを使って公開鍵と秘密鍵のペアを生成します。そして、その公開鍵を利用して、被害者の文書、スプレッドシート、画像、その他のファイルを暗号化した後、身代金要求書を表示します。このメッセージは、身代金300ドルを72時間以内に支払うよう被害者に通知するものでした。これは、数千万ドルにも及ぶ今日の身代金要求額と比べるとはるかに少額です。
CryptoLockerを使った攻撃は、その後数年でより一般的になりました。ケネソー州立大学の研究者によれば、FBIは、2015年末までに被害者がCryptoLockerの攻撃者に支払った金額は、2700万ドルに上ると推定しているとのことです。
2018年:ランサムウェアアクターが「大物狩り」へと移行
2018年初頭に、FBIは無差別なランサムウェア攻撃が減少していることを観測しました。その代わりに、FBIは、特定の企業や組織(特に州政府や地方自治体、医療機関、工業会社、運輸関連など)を標的とした攻撃が増加していることを確認しました。
Ars Technicaによると、この時期に多くのランサムウェアグループが、「大物狩り」へと移行したことが報告されています。彼らは、企業や組織の持つ高い価値のデータを暗号化し、被害者の業務を混乱させることで、さらに高額な身代金の支払いを要求することを目指すようになったのです。「【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜」では、これらの攻撃が組織に与える影響として、次のものを取り上げています。
- 事業収益の損失:アンケート回答者の66%が、ランサムウェア攻撃後に多額の収益を失ったと回答しました。
- ブランドや評判へのダメージ:アンケート回答者の53%が、ランサムウェア攻撃の成功により、ブランドや評判が損なわれたと回答しました。
- 経営幹部レベルの人材の損失:32%の組織が、ランサムウェア攻撃の成功が原因で、経営幹部クラス(Cレベル)の人材を失ったと回答しました。
- 従業員のレイオフ:アンケート回答者の29%が、ランサムウェア攻撃の成功がもたらした財務上の理由により、従業員を解雇せざるをえなかったと回答しました。
2019年:Mazeランサムウェアギャングが二重脅迫を考案
2019年11月末頃、Bleeping Computerは、Mazeランサムウェアギャングが使用しているメールアドレスからメッセージを受け取りました。このメッセージは、Mazeグループが、あるセキュリティ人材派遣会社の侵入に成功し、同社のファイルを暗号化する前に、同社の情報を平文で盗み出したことを、コンピューター関連のセルフヘルプウェブサイトに知らせるものでした。この主張を証明するために、攻撃者は、同社から盗み出したファイルのサンプルを送付し、その後すぐに700MBのデータをオンラインに流出させました。
その後数ヶ月以内に、他のランサムウェアグループも、この「二重脅迫」の手口を採用し始めました。そうすることで、彼らは、データバックアップ戦略を備えた組織に対して優位に立つことが可能になりました。彼らは、被害者がデータのバックアップコピーを使用して感染したコンピューターを復元することはできるが、データ窃取の進行を逆転させることはできないと知っていたのです。
その後、攻撃者は、被害者に対して2つの身代金を要求しました。1つは被害者のデータを復号するための身代金であり、もう1つは攻撃者が運営するサーバーから被害者の情報を削除するための身代金でした。
複合型RansomOpsの台頭
最近のブログ記事で、当社は、今日の複合型のRansomOps攻撃は、従来のような「闇雲に乱射する」タイプの大量スパムメールキャンペーンよりも、ステルス型のAPTライクな攻撃に似ていることを紹介しました。また、この記事では、より大規模なランサムウェアエコノミーが、それぞれ独自の専門性を持って活動していることについても触れています。
これらのプレーヤーには、ネットワークに侵入した後、潜在的な影響を最大化するためにラテラルムーブメントを実行することでランサムウェア攻撃の下地を築くIAB(初期アクセスブローカー)や、攻撃を遂行するアフィリエイトに攻撃基盤を提供するRaaS(Ransomware-as-a-Service)オペレーターが含まれます。
このレベルのハッキングにより、RansomOps攻撃者は、さらに高額な身代金を要求できる立場を取ることが可能となり、RansomOpsの手法も、通常、前述した二重脅迫戦術のような複数の脅迫手法を伴うようになります。
中には、さらに一歩踏み込んだことを実行するグループもあります。たとえば、9月中旬、Bleeping Computerは、Griefランサムウェアグループが、被害者が身代金の引き下げ交渉をするために誰かを雇うことを選択した場合、被害者の復号化キーを削除すると脅し始めたと報じました。これは、Threatpostが「RagnarLockerグループは、被害者がランサムウェアに感染したことをFBIや地元警察に通報した場合、被害者のデータを公開すると脅している」と報じた直後の出来事でした。
ランサムウェアとRansomOpsから身を守るには
企業や組織が、ランサムウェアやRansomOpsに対する防御を攻撃の初期段階から行うことは可能です。実際のランサムウェアのペイロードはRansomOps攻撃の最終段階で配信されるため、ペイロードの配信前に数週間から数ヶ月の検知可能な活動が存在します。そして、そのような期間中にこそ、標的となった組織に深刻な影響が及ぶ前に、攻撃を阻止できることを忘れないでください。
ランサムウェア攻撃を終わらせるための重要なポイントとして、RansomOps攻撃が最初に企業や組織の環境に侵入してから、セキュリティチームが同攻撃を検知して終わらせるまでの期間を最短にすることが挙げられます。
サイバーリーズンは、Colonial Pipelineを停止させたDarkSideランサムウェアをはじめ、食肉加工大手のJBSやITサービスプロバイダーのKaseyaを混乱に陥れたRevilランサムウェア、Accentureを攻撃したLockBitランサムウェア、およびその他のあらゆるランサムウェアファミリーがもたらす脅威から、すべての顧客を保護しました。
予測保護(Predictive Protection)とは、サイバーリーズンが、微妙な振る舞いや攻撃者のアクティビティに基づいて、最も高い信頼性でランサムウェアを終了させることを意味します。サイバーリーズンは、他の企業が見逃しているものを見抜き、防御者による手動操作を必要とせずに、攻撃者の次なる行動を推測します。
サイバーリーズンは、エンドポイント、企業全体、そしてサイバー攻撃が行われているあらゆる場所で同攻撃を阻止するために、防御者と一丸となって尽力しています。
またサイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
さらには、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜
サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。
2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/
