Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective
Ransomware Retrospective

高度な脅迫型
脅威の台頭

点線の赤い下向き矢印

2021年のランサムウェアを振り返る

赤い大文字のRランサムウェアは昨日今日に始まったものではありません。米国司法省は、2016年以降、米国の組織に対して毎日4,000件以上のランサムウェア攻撃が行われていると見積もっています。この件数も驚異的ですが、攻撃の範囲と重大度はさらに深刻です。攻撃は慢性的に過小報告されていることを踏まえると、日ごとの件数ははるかに多い可能性があります。ランサムウェア攻撃の性質も過去1年半で大きく変化し、国家レベルの高度な戦術が営利目的のサイバー犯罪活動に進出しています。このレポートでは、ランサムウェアが、流出、暗号化、ソフトウェア・エクスプロイトという「ハット・トリック」によって、いかに高度な脅威となったかを探るとともに、政府がランサムウェア攻撃に対する措置をどのように変えているのか、各組織は形勢を逆転して優位に立つためにどのような対策をとることができるかについて考察します。

序文
厄介な
ランサムウェアの動向

2021年3月、REvilというサイバー犯罪組織(SodinやSodinokibiとも呼ばれる)が、台湾の大手コンピュータ企業であるAcer社に攻撃を仕掛けました。身代金の要求額は当時としては最高の5,000万ドルでした。復号キーの値段自体も注目に値しますが、この攻撃が注目されたのは別の理由によるものです。最初にデータを流出させてから暗号化するというREvilが使った「二重脅迫」モデルは、目新しい手法ではありませんでしたが、身代金の交渉中、REvilは、さらに踏み込んでAcer社のソフトウェアにエクスプロイトを仕込んだと主張したのです。これが事実であれば、REvilはAcer社のソフトウェアを使って同社の顧客を攻撃できることになり、これはほんの数か月前、SolarWinds Orionソフトウェアが攻撃ベクトルにされたのとほぼ同様の状況になります。
REvilの主張は、流出、暗号化、エクスプロイトからなるサイバー・ハット・トリックという最悪のシナリオでした。これが首尾よく実行された場合、最初の被害者に甚大な損害がもたらされるだけでなく、(何万ではないにしても)何千もの他の組織に攻撃者が容易にアクセスできるようになります。残念なことに、7月に発生したREvilによるKaseya社の攻撃によって、サイバーセキュリティ・コミュニティの懸念は裏付けられることとなりました。あるランサムウェア犯罪集団が、広く使用されているエンタープライズ・ソフトウェアのビルド・サーバを侵害し、大規模なランサムウェア攻撃を可能にするエクスプロイトを仕込んでいたのです。営利を目的とするSUNBURSTでした。
わずか6か月の間に発生したAcer社、Colonial Pipeline社、Kaseya社への攻撃によって、ランサムウェア犯罪集団が国家レベルの高度な戦術を盛んに使用するようになっていることが浮き彫りになりました。これらの攻撃は、もはやランサムウェアというよりも、新種のAPT(持続的標的型攻撃)と呼ぶべきものです。このレポートでは、2021年における高度なランサムウェア技法の進化を振り返るとともに、政府機関や民間組織がどのようにこの脅威に対抗することができるかについて考察します。

新種のランサムウェアの脅威

報道される忌まわしい攻撃

2020年末、北米に拠点を置く大手小売企業が、ランサムウェアの活動が検知されたことを示すアラートをExtraHop Reveal(x) 360で受け取りました。同じデバイスで、SMBのデータ・ステージングと疑わしいファイル読み取りの検知を知らせるアラートも表示されていました。同社のセキュリティ・チームは、最大限の損害をもたらすために、攻撃者がデータの暗号化に先立ってデータ流出プロセスも進めていると判断しました。この1年半でますます増えてきた二重脅迫技法です。ランサムウェアをデプロイする前のキル・チェーン・アクティビティを検知したことで、同社は影響を受けた資産とアカウントを迅速に特定して隔離できたため、攻撃者によって暗号化されたのは、狙われたファイルのごく一部のみでした。 北米とヨーロッパのCISOや他のITセキュリティ・リーダー500人を対象にExtraHopが最近実施した調査では、多くの人がそれほど幸運には恵まれていないことがわかっています。

85%

過去5年間にランサムウェア攻撃を受けたと答えた人

38%

過去5年間に
5回以上ランサムウェア攻撃を受けたと答えた人

51%

ITインフラストラクチャに
影響を受けたと答えた人

46%

エンドユーザを
狙った攻撃

98%

ダウンタイム、データ損失、罰金を
もたらした攻撃

57%

受けたランサムウェア攻撃の半数で
身代金を支払ったと答えた人

CISOやITセキュリティ・リーダー500人を対象にExtraHopが実施した調査の結果

注目を集めた2021年のランサムウェア攻撃

1月

2月

3月

4月

5月

6月

7月

8月

9月

10月

11月

12月

Kia Motors社 Logo

2021/2/26

Acer社 Logo

2021/3/19

Sierra Wireless社 Logo

2021/3/20

CNA Financial社 Logo

2021/3/23

Quanta社 Logo

2021/4/21

米ワシントンDC警察 Logo

2021/4/26

Brenntag社 Logo

2021/4/28

Colonial Pipeline社 Logo

2021/5/7

JBS USA社 Logo

2021/5/31

Kaseya社 Logo

2021/7/2

Accenture社 Logo

2021/8/11

Brown-Forman社 Logo

2021/8/15

Howard University Logo

2021/9/7

Kronos社 Logo

2021/12/13

タイムラインの矢印のコントロール - 左 タイムラインの矢印のコントロール - 右

ランサム・レポート

2021/2/26

Kia Motors社

被害者

Kia Motors社 Logo

要求額

2,000万ドル

犯人

DoppelPaymer

技法

不明

2月、Kia社の停電は実際にはランサムウェア攻撃によるものだったと複数のメディアが報じ始めました。テクノロジ関連のニュース・サイトであるBleeping Computerは、攻撃者とされるDoppelPaymerから、ビットコインによる2,000万ドルの支払いを求める脅迫状のコピーを入手しました。Kia社が実際に攻撃の被害者であったことを示す証拠は多数あるものの、同社はそのような攻撃は受けていないと否定し続けています。

ランサム・レポート

2021/3/19

Acer社

被害者

Acer社 Logo

要求額

5,000万ドル

犯人

REvil

技法

流出および暗号化と、エクスプロイトの疑い

電子工業大手のAcer社への身代金要求額(5,000万ドル)は、それまでの最高額の記録を塗り替えるものでした。REvilは複数の脅迫技法を使用し、暗号化にデータ流出とエクスプロイトを組み合わせることで脅迫の威力を強めたのです。Acer社への攻撃が成功したことで勢いづいたREvilは、数か月後、Kaseya社への攻撃でさらに高い要求額を突き付けました。BleepingComputerによれば、REvilはMicrosoft Exchange Serverの脆弱性を利用して最初のアクセスに成功した可能性があり、主要なランサムウェア・アクタが攻撃ベクトルとしてMicrosoft Exchangeの武器化に成功した最初のケースと見られています。

ランサム・レポート

2021/3/20

Sierra Wireless社

被害者

Sierra Wireless社 Logo

要求額

N/A

犯人

未公表

技法

流出、暗号化

ランサムウェアによって、世界各国で事業を展開するカナダのIoTメーカー、Sierra Wireless社の生産が停止しました。同社の発表によると、この攻撃によって社内業務が影響を受けるとともに会社のWebサイトへのアクセスができなくなったが、消費者向けの製品やシステムにリスクが及ぶまでには至っていないとのことです。Sierra Wireless社は独立したインシデント対応企業を通じて攻撃を調査しましたが、最初のアクセス・ポイント、要求額、攻撃の当事者については公表していません。同社はその後、第1四半期の収益予測を撤回しており、この攻撃の影響で大きな財務上のダメージを受けたと見られています。

ランサム・レポート

2021/3/23

CNA Financial社

被害者

CNA Financial社 Logo

要求額

4,000万ドル

犯人

Phoenix Locker/Evil Corp

技法

流出、暗号化

3月、攻撃者が偽のブラウザ・アップデートを使ってCNA社のネットワークに侵入し、足場を築きました。このアップデートは正規のWebサイトから送られたものでしたが、そのサイト自体がハッキングされていたのです。攻撃者は、環境寄生型の戦術を使って検知をすり抜けながら3月5日から21日までアクセスを維持し、ログやセキュリティ・ツールを無効化したうえ、さらなる脅迫手段として保持するためにデータを流出させました。3月21日、攻撃者はランサムウェアをデプロイして15,000台以上のシステムを暗号化し、4,000万ドルの身代金を要求しました。使用されたソース・コードは、制裁措置の対象となっているWastedLockerランサムウェアのコードと似ていることが報じられており、Phoenix Lockerは、Evil Corpとのあらゆる金融取引を禁止した2019年の制裁措置を回避するためのEvil Corpの新たな企てではないかと憶測されています。

ランサム・レポート

2021/4/21

Quanta社

被害者

Quanta社 Logo

要求額

5,000万ドル

犯人

REvil

技法

流出、暗号化

REvil(別名Sodinokibi)が、テクノロジ・サプライヤQuanta社のネットワークにアクセスし、データを流出させるとともに、何台かのシステム(数は未公表)を暗号化しました。盗まれたデータの中には、Quanta社が製造している、発売前の多数のApple製品の回路図が含まれていました。Quanta社が身代金の支払いを拒むと、ハッカーは同額をApple社に要求し、盗んだ設計図を公開すると脅しました。Apple社が支払いを拒んだことで、REvilは次期MacBook Proの回路図を含むデータを公開しました。最初のハッキングの詳細はほとんど公表されていませんが、通常、REvilは、さらなる脅迫手段にするためにデータを流出させ、システムを暗号化するとともに、バックアップ・ソフトウェアを改ざんして、暗号化後に被害者の企業がデータを復元できないようにします。

ランサム・レポート

2021/4/26

米ワシントンDC警察

被害者

米ワシントンDC警察 Logo

要求額

400万ドル

犯人

Babuk

技法

流出、暗号化

攻撃者が米首都警察から機密ファイルを流出させ、250 GB以上の人事ファイルや事件ファイルを取得したと主張しました。Babukは、暗号化戦術と流出戦術の両方に必要となるアクセスの達成と維持に、Bloodhound、CobaltStrike、Metasploitなどの既存のツールを使用しています。

ランサム・レポート

2021/4/28

Brenntag社

被害者

Brenntag社 Logo

要求額

750万ドル

(支払い額は440万ドル)

犯人

Darkside

技法

流出、暗号化

世界各国の670か所以上の拠点に17,000人を超える従業員を擁するドイツの化学メーカー、Brenntag社が、Darksideの攻撃を受けました。Darksideは、ビジネスに不可欠なアプリケーションやデータをロックしてBrenntag社が使えないようにしただけでなく、150 GBのデータを盗んだとも主張しました。Darksideは当初、750万ドルの支払いを要求しましたが、最終的にはBrenntag社が440万ドル相当のビットコインを支払うことで決着しました。

ランサム・レポート

2021/5/7

Colonial Pipeline社

被害者

Colonial Pipeline社 Logo

要求額

440万ドル

犯人

Darkside

技法

流出、暗号化

ガス欠の不安ほど米国民や連邦政府の関心を引くものはありません。2020年5月にColonial Pipeline社を襲ったDarksideのランサムウェア攻撃はまさにそのとおりであり、ランサムウェアを国家的課題のトップに押し上げる要因となりました。Darksideは攻撃後、このような人目を引く重大な標的を攻撃することは意図していないことを明らかにしましたが、現実に被害はありました。攻撃されたのはColonial Pipeline社のITシステムだけでしたが、同社はインシデントの範囲を完全に調査できるまでパイプラインの操業を停止したため、東海岸のいたるところでパニックが起き、燃料を確保しようと数時間も並ぶ人々の列ができました。最終的に米国政府は、Darksideのサーバを攻撃し、機能を停止させるという措置をとりました。米国政府がこのような対応に出たのは2021年でこれが最初でしたが、これで最後とはなりませんでした。ウェビナーの視聴: How to Catch & Stop Next-Gen Ransomware

ランサム・レポート

2021/5/31

JBS USA社

被害者

JBS USA社 Logo

要求額

1,100万ドル

犯人

REvil

技法

流出、暗号化

JBS USA社は、米国最大規模の食肉供給企業です。2021年5月31日、JBS社は、ランサムウェア攻撃を受けたため、米国の5つの工場と英国およびオーストラリアの一部で一時的に操業を停止する必要があると発表しました。食料品のサプライチェーンの混乱を防ぎ、パニックによる買い占めを抑えるために、JBSは要求された1,100万ドルの身代金を支払うことを選択しました。FBIはこのハッキングをREvilによる犯行と見ています

ランサム・レポート

2021/7/2

Kaseya社

被害者

Kaseya社 Logo

要求額

7,000万ドル

犯人

REvil

技法

流出、暗号化、エクスプロイト

REvilはAcer社のビルド・サーバを侵害したと主張していましたが、その後、ITソリューション・プロバイダであるKaseya社への侵入の成功によって、Acer社に対する脅迫内容を現実のものとしました。Kaseya社はシステムやデータをロックされただけでなく、同社のソフトウェアを通じて複数の国の1,500以上の組織にマルウェアが拡散されました。暗号キーと引き換えに要求されたビットコインで7,000万ドルという身代金は、史上最高額であり、REvilによるAcer社への攻撃で打ち立てられた記録を軽々と超えるものでした。 データを解放してもらうために自主的に身代金を支払ったKaseya社の顧客の数は不明ですが、Kaseya社自体は身代金を支払わず、米国政府に協力することを選択しました。調査に協力するというKaseya社の決断が、最終的にREvilのテイクダウンにつながります。REvilによるKaseya社へのランサムウェア攻撃の詳細

ランサム・レポート

2021/8/11

Accenture社

被害者

Accenture社 Logo

要求額

5,000万ドル

犯人

LockBit

技法

流出、暗号化

2021年8月、世界的なコンサルティング企業であるAccenture社がLockBitによるランサムウェア攻撃の被害に遭ったことが報じられました。攻撃者は6 TB以上のデータを流出させたと主張していますが、同社による詳細の確認は何か月もなく、その後も証券取引所への提出書類でのみ確認されています。窃取したデータや暗号キーと引き替えに、LockBitは5,000万ドルを要求しました。Accenture社が身代金を支払ったかどうかや、その額については、明らかになっていません。

ランサム・レポート

2021/8/15

Brown-Forman社

被害者

Brown-Forman社 Logo

要求額

N/A

犯人

REvil

技法

流出

Jack Daniel's、Woodford Whiskey、Finlandia Vodkaなどの有名ブランドの親会社であるBrown-Forman社がランサムウェアの攻撃を受けたと発表しました。他の多くの組織に比べ、Brown-Forman社は幸運でした。ファイルが暗号化される前に攻撃を検知できたからです。とはいえ、REvilは1テラバイト以上の機密データを盗み出しており、オークションで最高額の入札者に売却し、その後残りを流出させることを計画していました。

ランサム・レポート

2021/9/7

Howard University

被害者

Howard University Logo

要求額

N/A

犯人

不明

技法

暗号化

Howard Universityが2021~2022年の学年度のはじめにランサムウェア攻撃を受け、学内全体でオンライン・クラスとハイブリッド・クラスを一時的に停止することを余儀なくされました。同大学は学生のデータは盗まれていないと主張していますが、この攻撃によって学内のWi-Fiネットワークがダウンするなど、主要システムの機能が停止しました。

ランサム・レポート

2021/12/13

Kronos社

被害者

Kronos社 Logo

要求額

N/A

犯人

不明

技法

暗号化

給与計算やタイムシートのソフトウェアを提供する、Ultimate Kronos Group社の一事業部であるKronos社がランサムウェア攻撃を受けたことで、同事業部のシステムが機能不全に陥り、世界中の何千もの顧客の給与計算やタイムシートの処理がほぼ停止状態になりました。犯人やランサムウェアの要求額についてはまだ公表されていませんが、Kronos社への攻撃がもたらした広範囲の影響は、ランサムウェア攻撃がいかに大きな犠牲をもたらすかを如実に示しており、特に広く使用されているソフトウェア・プラットフォームに影響する攻撃の場合、損害は非常に大きなものとなります。

代表的および新たな

ランサムウェア戦術

赤い右向き矢印
末尾に「x」が付いている赤い右向き矢印
これまでランサムウェアの終盤で実行されるのは暗号化だけでした。ランサムウェアをデプロイし、ファイルを暗号化して、キーと引き換えに代価の支払いを要求する、というものでした。2021年、この状況は変わりました。ランサムウェア犯罪者は、データの流出からソフトウェアのエクスプロイトまで、キルチェーンの複数のステップで身代金の支払いを駆り立てる手段を導入するようになりました。バックアップからの復元という対策は慰めにはなりません。そうすることで、顧客のデータがダークウェブで売られたり、顧客自身がランサムウェア攻撃の被害者になったりする事態につながるためです。以下に、2021年に台頭または普及した代表的な技法をいくつか紹介します。
タイムラインの矢印のコントロール - 左 タイムラインの矢印のコントロール - 右

横方向の移動:上陸して旋回

ランサムウェア犯罪集団は、水平方向(East-West)への移動という高度な作戦行動を採用して、被害を拡大し、業務を停止させることによって、身代金獲得の計算値を高めています。最新のランサムウェアは、トラップを発動する前に、ITインフラストラクチャを悪用してひそかに移動し、長期間滞留します(この過程はランサムウェアの中盤戦とも呼ばれます)。こうした活動によって、セキュリティおよびIT組織は、大規模なインシデントを防ぐうえで不利な状況に置かれることになります。

横方向の移動:上陸して旋回

ランサムウェア犯罪集団は、水平方向(East-West)への移動という高度な作戦行動を採用して、被害を拡大し、業務を停止させることによって、身代金獲得の計算値を高めています。最新のランサムウェアは、トラップを発動する前に、ITインフラストラクチャを悪用してひそかに移動し、長期間滞留します(この過程はランサムウェアの中盤戦とも呼ばれます)。こうした活動によって、セキュリティおよびIT組織は、大規模なインシデントを防ぐうえで不利な状況に置かれることになります。

Active Directoryのエクスプロイト

ランサムウェアのプレイブックでは、共通して、Active Directory(AD)のエクスプロイトに重点が置かれています。ADを通じてドメイン管理者の権限を狙うことにより、資産の収集とデータ侵害が高速化されます。Fireeye-Mandiantの2021 M-Trendsレポートによれば、現在、ランサムウェアの平均滞留時間は、わずか5日と驚くべき短さになっています。REvilBlackMatter(Darksideの新たなブランド名)などの不正アクタに関する多数の勧告で、ADが最短の攻撃経路であることが指摘されています。

Active Directoryのエクスプロイト

ランサムウェアのプレイブックでは、共通して、Active Directory(AD)のエクスプロイトに重点が置かれています。ADを通じてドメイン管理者の権限を狙うことにより、資産の収集とデータ侵害が高速化されます。Fireeye-Mandiantの2021 M-Trendsレポートによれば、現在、ランサムウェアの平均滞留時間は、わずか5日と驚くべき短さになっています。REvilBlackMatter(Darksideの新たなブランド名)などの不正アクタに関する多数の勧告で、ADが最短の攻撃経路であることが指摘されています。

初期アクセス・ブローカ

今日、恐喝行為に意欲的な人物であれば誰でも簡単にランサムウェアを入手することができます。侵入フェーズでさえ、初期アクセス・ブローカ(IAB)から購入可能です。熟練したIABオペレータは、まず、フィッシング、RDP、サプライチェーン、脆弱性、またはブルート・フォース・ハッキングによってビジネス・ネットワークにアクセスし、その後、そのアクセスをダークウェブのフォーラムで販売します。恐喝を企む人物は、ビジネスの規模、事業国、部門に基づいて標的を選択し、RaaSのワークフローに入り込むことができます。

初期アクセス・ブローカ

今日、恐喝行為に意欲的な人物であれば誰でも簡単にランサムウェアを入手することができます。侵入フェーズでさえ、初期アクセス・ブローカ(IAB)から購入可能です。熟練したIABオペレータは、まず、フィッシング、RDP、サプライチェーン、脆弱性、またはブルート・フォース・ハッキングによってビジネス・ネットワークにアクセスし、その後、そのアクセスをダークウェブのフォーラムで販売します。恐喝を企む人物は、ビジネスの規模、事業国、部門に基づいて標的を選択し、RaaSのワークフローに入り込むことができます。

データの流出

サイバー犯罪者によるデータの窃取は目新しいことではありません。身代金目当ての犯罪者が、データの暗号化はしたがコピーはしていない、暗号化されたデータ以外にコピーは存在しないと約束しても、それを真に受けるのは甘い考えです。ノイズが多いデータ流出はランサムウェア・プレイブックの重要な要素です。盗み出したデータを保持することで、犯罪者のROI計算値は高くなり、闇市場で売上が倍増し、さらにボーナスを獲得できるようになります。

データの流出

サイバー犯罪者によるデータの窃取は目新しいことではありません。身代金目当ての犯罪者が、データの暗号化はしたがコピーはしていない、暗号化されたデータ以外にコピーは存在しないと約束しても、それを真に受けるのは甘い考えです。ノイズが多いデータ流出はランサムウェア・プレイブックの重要な要素です。盗み出したデータを保持することで、犯罪者のROI計算値は高くなり、闇市場で売上が倍増し、さらにボーナスを獲得できるようになります。

ランサムウェア攻撃の復旧コスト

バックアップを使用できるかどうかは、支払い計算の重要な要素です。残念ながら、身代金の支払いは、攻撃によって必然的に生じる金銭的損害の総額とほぼ無関係です。身代金の支払い額は、被害者が実際に被った損害の10%に相当することが調査で示されています。2021年のランサムウェア攻撃の平均支払い額は17万ドルだったのに対し、平均復旧コストは185万ドルでした。

ランサムウェア攻撃の復旧コスト

バックアップを使用できるかどうかは、支払い計算の重要な要素です。残念ながら、身代金の支払いは、攻撃によって必然的に生じる金銭的損害の総額とほぼ無関係です。身代金の支払い額は、被害者が実際に被った損害の10%に相当することが調査で示されています。2021年のランサムウェア攻撃の平均支払い額は17万ドルだったのに対し、平均復旧コストは185万ドルでした。

ランサムウェア +

重要なインフラストラクチャ

ガス欠の不安ほど米国民の関心を引くものはありません。2021年5月にColonial Pipeline社がランサムウェア・インシデントへの対応措置として操業を停止したとき、大西洋岸のあちこちでドライバーが給油所に殺到し、満タンにしようと何時間も並びました。多くのドライバーが予備のガソリンを入れる容器も持ってきていました。操業の停止自体はすぐに解除されましたが、影響は長く続きました。この攻撃が公表されてからわずか数週間後、バイデン政権は、ランサムウェア攻撃に、テロリストの脅威と同様の優先度を適用することを開始すると発表しました。これまでのところ、バイデン政権はこの約束を実行しています。

Colonial Pipeline社のマップ

断固とした措置

2021年5月に行われたColonial Pipeline社の攻撃に関する記者会見で、バイデン大統領は次のように述べています。「責任ある国々がこのようなランサムウェア・ネットワークに対して断固たる措置をとる必要があることについて、ロシア政府と直接話し合っています。​​また、『ランサムウェア攻撃者』の活動能力を阻害するための対策にも取り組むつもりです。」翌日の早朝、Darkside(Colonial Pipeline社の攻撃の犯人であるランサムウェア・グループ)自体が、グループのブログ、支払い処理、分散型サービス拒否(DDoS)活動へのアクセスを遮断され、機能停止に陥ったというニュースが流れました。米国政府はこのテイクダウンの実行声明は出していませんが、ニュースが流れてから数分もしないうちに、第780軍事情報団が、このシャットダウンに関するRecorded Future社のブログ記事を、コメントもコンテキストも加えずに静かにリツイートしています。このような措置はその後もとられることになります。
ニュースが流れてから数分もしないうちに、第780軍事情報団が、このシャットダウンに関するRecorded Future社のブログ記事を、コメントもコンテキストも加えずに静かにリツイートしています。このような措置はその後もとられることになります。7月4日の独立記念日の直前、ソフトウェア・プロバイダのKaseya社がランサムウェアの攻撃を受けたことが報じられました。これは通常のランサムウェア攻撃ではありませんでした。攻撃を実行した犯罪組織のREvilは、Kaseya社のデータを流出させ、暗号化しただけでなく、同社のソフトウェアの脆弱性を悪用して何千もの顧客にランサムウェアを伝播させたのです。世に出た最初のサイバー・ハット・トリックの成功の対価として、REvilは、Kaseya社およびその顧客のデータの暗号キーと引き換えに7,000万ドルの身代金を要求しました。
2021年7月13日、REvilはインターネットから姿を消しました。米国、ロシア、または両国政府の何らかの連携によって、このテイクダウンが実行されたのではないかという憶測が飛び交いましたが、両国とも正式なコメントは出していません。しかし、Darksideのテイクダウンと同様、完全な沈黙が守られたわけではありませんでした。7月13日午前11時23分(東部標準時)、REvilがダウンしたというニュースが流れるなか、第780団のツイッター・アカウントが再びこのニュースを静かにリツイートしました。数週間のうちにREvilはサーバの復旧に成功し、再びインターネットの世界に戻りました。その後の10月中旬、REvilがテイクダウンしたというニュースが再び流れましたが、このときは、誰がこのテイクダウンを実行したかに関する憶測は長くは続きませんでした。10月21日、Reuters通信社によって、7月と10月のシャットダウン作戦の両方に米国政府機関が関与していることが確認されました。
誰がこのテイクダウンを実行したかに関する憶測は長くは続きませんでした。10月21日、Reuters通信社によって、7月と10月のシャットダウン作戦の両方に米国政府機関が関与していることが確認されました。VMware社のサイバーセキュリティ戦略の責任者であり、米国シークレット・サービスのサイバー犯罪調査の顧問を務めているTom Kellermann氏は次のように述べています。「FBIは、サイバー軍、シークレット・サービス、志を同じくする他の国々と連携して、これらのグループに対する大規模な破壊活動を実際に行っています。REvilはリストの筆頭に挙げられていました。」

暗号化ランサムウェアの支払いのブロック

2021年9月、米国財務省は、ランサムウェア・アクタを阻害することを目的とする独自の措置を発表しました。注目すべき点として、これには、ランサムウェアの支払いを容易にすることで知られる仮想通貨取引所に対する一連の制裁措置が含まれています。財務省のプレス・リリースは、仮想通貨取引所は「ランサムウェア攻撃の収益生成に不可欠」であるとしています。支払いを容易にするため、ランサムウェア犯罪者が仮想通貨取引所を悪用していたというケースもありますが、多くのケースでは、通貨取引所自体が自身の不正な目的のために不正な取引の助長に関与しています。制裁措置に加えて、財務省は、民間部門の組織のランサムウェア対策を支援するとともに、ランサムウェア攻撃や身代金の支払いについての報告を促すための新たな取り組みについても発表しました。
Quote Icon

SUEXの既知の取引の分析を通じて、SUEXの既知の取引履歴の40%以上が不正アクタに関連していることが判明しています。

プレス・リリース, 米国財務省

2021年の身代金開示法

長い点線の赤い左向き矢印

2021年10月、バイデン政権と米国議会は、ランサムウェアの高度な脅迫型脅威に対抗することを目的としたいくつかの主要ステップを発表しました。10月5日、Elizabeth Warren米国上院議員とDeborah Ross米国下院議員が、身代金開示法(Ransom Disclosure Act)という法案を提出しました。この法案が成立すると、ランサムウェア攻撃を受けて身代金を支払った組織は、その支払いについて48時間以内に米国当局に開示することが義務づけられます。
その支払いについて48時間以内に米国当局に開示することが義務づけられます。この開示の義務化は、ランサムウェアの脅威の範囲を把握するうえで重要なステップです。CISOを対象にExtraHopが実施した最近の調査では、回答者のほぼ4分の3の組織が、過去5年間に少なくとも1回身代金を支払ったと回答し、そのほぼ61%が、攻撃や身代金の支払いについての公表はできる限り抑制するようにすると述べています。これは、すでに多くの人が疑っていたこと、つまりランサムウェア攻撃、そして身代金の支払いは、報じられているよりもはるかに多いのではないかという疑いを裏付けるものとなっています。
攻撃や身代金の支払いについての公表はできる限り抑制するようにすると述べています。これは、すでに多くの人が疑っていたこと、つまりランサムウェア攻撃、そして身代金の支払いは、報じられているよりもはるかに多いのではないかという疑いを裏付けるものとなっています。同じ調査によれば、61%がランサムウェアの開示は避けている一方で、全回答者の実に3分の2が、ランサムウェア攻撃を受けたときに、その攻撃について開示することは、攻撃に対する意識の向上と将来の攻撃への対応力の強化につながるため、実際には会社にとって良いことだと考えています。
将来の攻撃への対応力の強化につながるため、実際には会社にとって良いことだと考えています。Warren上院議員とRoss下院議員も同様の見解を持っており、二人の法案は、開示の判断を被害者に決めさせるのではなく、開示を義務化することを目的とするものとなっています。この法案に関する共同声明のなかで、Ross下院議員は、「この法律によって得られるデータを通じて、連邦政府と民間部門の両方が、サイバー犯罪者がわが国にもたらす脅威と戦うための態勢を整えることができます。」と述べています。

ランサムウェアに関しては、米国当局への開示は重要な第1ステップですが、これだけでは十分ではありません。

被害組織が重要なインフラストラクチャに関与している場合は、そのインフラストラクチャに対する規制権限や利害関係を持つ関連部門にも、攻撃とその後の身代金支払いについての報告を行うことを被害組織に義務づけるべきです。身代金開示がFOIAの対象となる場合は、企業が株主と取締役会への通知を行うことも法案で義務づけるべきです。最後に、個々の身代金支払いがFOIAによる情報開示の対象とならない場合でも、ランサムウェア攻撃と身代金支払いについての集計データの報告書を議会、GAO、その他の利害関係者に提出することを政府に義務づけるべきです。

Mark Bowling(ExtraHop、セキュリティ・サービス担当VP)

身代金開示法案の発表からちょうど1週間後、バイデン政権はランサムウェアに対する透明性、説明責任、コラボレーションを高めるための独自のキャンぺーンを引き続き実施し、ランサムウェアに関するこれまでで最大の多国間会議を開催しました。この会議には、30か国から法執行機関、国家安全保障、サイバー・インテリジェンスの担当者が集まりました。この会議によって、法執行を通じたランサムウェア組織の破壊や、官民にわたるサイバーセキュリティの強化など、分野を越えた協力の意向が表明されました。サイバーセキュリティについては、重要なインフラストラクチャの強化が特に強調されています。

ランサムウェア保険の今後

保険の基本的な考え方は、リスクは個人で抱えるより集団で抱えたときのほうが小さくなる、つまり悪いことは一部の人には起きるが全員に起きるわけではない、というものです。ある制度への参加者がそれぞれ少額の資金を支払い、共同資金としてプールすることによって、全員が、必要になったときに、支払った額よりも大きな資金を利用することができます。ただし、この制度が機能するのは、プール金額が請求額の合計よりも多い場合に限られます。請求額がプール金額を上回りはじめると、保険はコストが法外に高くなるか、またはまったく使えなくなります。サイバー保険が保険のポートフォリオに導入された当初は、低リスクの分散手段と見なされていました。しかしここ数年、サイバー保険の損害率は、より広範な損害保険業界の損害率を大幅に上回っており、サイバー保険会社では、リスク選考度と保険料の見直しが急務となっています。これはランサムウェアの影響によるものと考えられます。Insurance Journalによれば、ランサムウェア関連の請求は2020年に35%増加し、サイバー保険全体の請求のなんと75%を占めました(Insurance Journal)。2021年の早期予測はさらに厳しいものになりそうです。CISOを対象にExtraHopが実施した最近の調査は、この主張を裏付けるものとなっています。回答者の85%の組織が少なくとも1回ランサムウェア攻撃を受けており、そのほぼ4分の3が少なくとも1回身代金を支払っています。これらのケースのすべてではないにしろ、ほとんどに、保険が関与していると考えられます。
この請求の増加に保険会社は危機感を抱いています。請求件数が現在のペースで増加し続けると、ランサムウェアは、保険会社にとって保険を掛けられないリスクとなり、カリフォルニアのワイン生産地の火災やニューオーリンズの洪水と同じように、不可避のリスクと見なされるようになるでしょう。カリフォルニアのワイン生産者やニューオーリンズの居住者にとって、痛みを伴うにせよ、解決策は明らかです。住居として、または生活のために使用している財産が経済的またはその他の方法で保護されない場合、移転することが唯一の選択肢かもしれません。しかし、サイバー攻撃は自然災害ではありません。世界中のアクタによって行われる、メリットばかりで損はほとんどない計算された企みなのです。また、ますます接続され、相互接続されているこの世界では、どこに移転することも隠れることもできません。このように、今後ランサムウェアは保険を掛けられないリスクと見なされる可能性が高くなっていますが、実際にそうなったら何が起きるでしょうか。ランサムウェアのコストの負担が税金で賄われる可能性があります。2008年の住宅危機のときと同様、ランサムウェアに攻撃された企業が「大きすぎてつぶせない」企業である場合、消滅の危機を回避するためには救済する必要があります。また、各国政府が、サイバーテロ対策で、これまでよりはるかに積極的にランサムウェア犯罪組織を標的にすることを決定する可能性もあります。Colonial Pipeline社とKaseya社の攻撃後、米国や他の国の政府はDarksideとREvilの活動を停止させました。しかし、このアプローチには限界があります。莫大なコストがかかるため、きわめて重大な攻撃にしか使われないでしょう。

しかし第3のオプションがあります。

セキュリティ組織がこうした攻撃に対する防護力を高めることです。

長い点線の赤い下向き矢印

ランサムウェア・キル・チェーン

キル・スイッチ

青緑色の大文字のT組織が自らと顧客を保護し、身代金の支払いを避け、評判を維持することを可能にする最善の方法は、攻撃者が脅迫のトラップを発動する前に攻撃を阻止する防御策を構築することです。ランサムウェア・アクタは先発者優位性を握っており、ネットワークへの最初のアクセスに成功する可能性があります。100%の侵入防御は不可能な目標です。SecOpsチームがランサムウェアとの戦いに勝利するためには、検知の範囲を拡大して戦略的に対処する必要があります。組織は、侵入防御ではなく被害防御を重視して、より広範囲に注意を向けることによって、ランサムウェアに対する耐性を確立する必要があります。最新のランサムウェア攻撃者の最大の強みは、企業環境内の死角でこっそりと動き回り、身代金獲得計算の数字を大きくするのに役立つ資産やデータをいくらでも貯め込むことができることです。したがって、防御戦略には、攻撃者が環境に寄生しながら隠れている死角に光を当てる機能が含まれていなければなりません。幸い、脅迫型の侵入者は、一か所に定着するタイプではありません。こうした攻撃者は、利益追求のあさましい衝動から、損害を与え、盗み出し、被害組織の目の前に餌としてぶらさげるのに適した肉厚のデータを探すために、定期的にあちこちへ移動します。しかし、攻撃者のこの貪欲さの中に、捕獲のチャンスがあります。不正なアクタは侵入したネットワークを横方向に移動します。組織は、自身の環境に対する所有権を持っており、環境を可視化することができます。ランサムウェアに共通する拡大戦術と横方向の移動をセキュリティ・チームが監視することによって、本格的な侵害が発生する前に侵害の痕跡を特定することが可能です。

ランサムウェアを軽減する方法

最新のランサムウェアのプレイブックは3幕で演じられます。各幕に、専門化、ツール、サービス化(As-a-Service)の固有のエコシステムがあります。

従来、セキュリティ・オペレーション・センター(SOC)は、インシデントの管理と対応において、エンドポイントでの検知と対応(EDR)ツールと、セキュリティ情報イベント管理(SIEM)ツールに大きく依存してきました。しかし、これらのツールでは水平方向(East-West)のトラフィックのリアルタイムの可視性は得られません。攻撃の中盤でインフラストラクチャのいたるところへ活動を拡大しようとするランサムウェアを検出するには、この可視性が不可欠です。

ターゲットの
列挙

横方向の
移動

ドメイン・
エスカレーション

SMBファイル・システムや
DBのエクスプロイト

コマンド&
コントロール

データの
ステージング

EDRは、容易に回避されてしまうアンチウイルス・ツールから大きな成長をとげ、初期アクセスの防止で重要な役割を担っています。しかし、流出したContiのプレイブックや、SUNBURSTによるSolarWindsの攻撃などの現実の攻撃が示すように、攻撃者はEDRをすり抜けるか、または管理されたエンドポイントを完全に避けます。またEDRだけに頼ることは、大規模な防御のすき間が生じることにつながります。サーバ、IoT、サードパーティや、その他の管理されていないエンドポイントが防御対象からもれるからです。同様に、SIEMテクノロジでは、アラート、コンプライアンス、ダッシュボードなどの基本的なセキュリティ制御機能は得られるものの、ログの表示が不明瞭であるため、侵入者の横方向の移動に対応するための実用的な洞察を十分に得ることはできません。ExtraHopのネットワークでの検知と対応(NDR)は、このようなすき間を発生させません。
ExtraHop NDRと、EDRおよびSIEMを比較した表 *ターゲット・ホスト上に高度なエージェントが必要 **データ・ソースに依存

NDRソリューションは、サーバ、 Linuxホスト、管理されていないIoT、サードパーティ・ソフトウェアも含めて、すべてのデバイスのネットワーク通信をパッシブにキャプチャし、高度な行動分析と人工知能を適用して既知と未知の両方の攻撃パターンを特定します。NDRは、EDRのように、SIEMログ収集などの他のテクノロジのテレメトリの品質に依存することも、ホストなどへのエージェントのデプロイによって技術面・運用面で摩擦を生じさせることもありません。NDRが実現するトラフィックの可視化は、増加するサーバ、Linuxホスト、IoTデバイスによって引き続き生み出されている、EDRの防御のすき間の問題を補正する制御機能としての役割も果たします。攻撃の中盤に対するこの完全な可視性と高度な分析を通じて、今日の最新のランサムウェア・キャンペーンをリアルタイムに検知するための洞察が確保されるため、実際に被害が発生する前に侵入者を阻止できます。

結論
対策をとる

ランサムウェアに関して、2021年はあらゆる意味で画期的な年でした。過去最高の身代金要求額、重要なインフラストラクチャへの攻撃、明らかになった初のサプライチェーン・ベースのランサムウェア攻撃、米国政府と同盟国が犯行者を打ち倒すために取った措置。これらのことから、私たちがまったく新しい脅威に直面していることが明らかになりました。この新種のランサムウェアは、巧妙で、多額の資金がつぎ込まれており、犯行者は不正な利益を容赦なく追求します。ランサムウェアの万能薬はありませんが、希望はあります。2021年の攻撃の範囲と重大度によって、高度なサイバー脅迫の問題に新たな焦点、緊急性、透明性がもたらされました。身代金要求型攻撃者の資金獲得能力を抑制することを狙った政府の新たな取り組みや、主要なランサムウェア犯罪組織のシャットダウンなどの対策は、攻撃への当局の対応方針の重要な変化を示しています。同様に、民間組織や個人もランサムウェアの現実に目を向けはじめています。世界中の企業が、進化を続けるこの脅威の重大性を認識し、フィッシング・メールの正確な識別のための従業員のトレーニングの取り組みや、サイバーセキュリティへの投資の拡大といった、さまざまな対策に着手しています。