Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”：Itmedia Security Week 2023秋 イベントレポート（1/2 ページ）

今やランサムウェアグループは分業化などが進み、組織はますます高度化している。著名なランサムウェアグループContiの実態と攻撃手法から、EDRの限界が見えてきた。

[吉田育代，ITmedia]

　サイバー攻撃は今や組織化と分業化が進んでおり、攻撃者側には高度なエコシステムが存在している。予算や人員が限られる中、ユーザーは立ち向かえばいいのか。

　先端セキュリティ研究に注力するスタートアップであるリチェルカセキュリティの黒米祐馬氏（取締役 CTO）が、今求められるエンドポイントのセキュリティ対策を解説した。

本稿は、アイティメディア主催イベント「ITmedia Security Week 2023 秋（2023年8〜9月実施）における黒米氏の講演を編集部で再構成した。

　リチェルカセキュリティは脆弱（ぜいじゃく）性診断やペネトレーションテスト、セキュリティコンサルティングトレーニングなどのサービスを提供しているスタートアップ企業だ。リチェルカはイタリア語で探索・研究を意味しており、研究開発に注力しているところに特徴がある。

　特にファジングという攻撃の先端的な手法については、防衛装備庁から資金提供を受け、AI（人工知能）技術の1つである強化学習を組み合わせて研究を進めている。創業メンバーは、ハッキングコンテスト「CTF」（Capture The Flag）参加チームで、セキュリティコンテストへの参加にも力を入れている。2023年は他のセキュリティ企業との合同チームながらハッカーの祭典「DEF CON」のCTFで決勝戦に出場した。

サイバー攻撃の変遷と新たなトレンドとは？

　黒米氏ははじめに、ここ10年のサイバー攻撃の変遷を振り返った。エンドポイントセキュリティという用語が出てきたのは2013年ごろのことだ。標的型攻撃が頻発し、アンチウイルスソフトのシグネチャ検証では検知できないマルウェアが続々と登場した。旧来型のアンチウイルスソフトは“死んだ”といわれ、次世代型アンチウイルス製品やEDR（Endpoint Detection and Response）製品が出てきた。大きな攻撃事案としては、日本年金機構やJTBに対する攻撃が世間の注目を集めた。

　2017年に入って、ワーム型のランサムウェア「WannaCry」が全世界に広くばらまかれたり、「Cobalt Strike」というペネトレーションテスト用の商用ツールが攻撃に悪用されたり、「PowerShell」が使われたりなど攻撃のパターンが多様化した。

　2020年を過ぎたころ、コロナ禍によってテレワークが増加、企業がVPNを経由して職場環境にアクセスするようになった。これに伴いVPN製品の脆弱性を突いた攻撃が増加。2021年には、コロニアルパイプラインがこの手法で操業停止に追いこまれた。

　そしてもう一つのトレンドは、二重脅迫ランサムウェアだ。VPNの脆弱性を起点に侵入・横展開し、「Active Directory」などを対象にランサムウェアに感染させ、ファイルを暗号化し、ダークWebにアップロードすることが一般的だ。復号してほしければ身代金を、公開されたくなければ身代金を、と二重に脅迫する。

　こうした攻撃は、攻撃者側の組織化・分業化により成り立っており、そこには攻撃者エコシステムが存在する。いわゆるRaaS（Ransomware as a Service）である。分業の具体的な役割分担はランサムウェアの本体を開発するランサムウェア開発者、侵入に用いる脆弱性に対するエクスプロイトを開発するエクスプロイト開発者、ランサムウェア制御用のインフラをサービスとして運用する攻撃インフラ運用者、脆弱性のある組織を調査してリストを販売する攻撃先リスト販売者などがいる。個人ハッカーや国家に支援されたグループが攻撃担当者になることもある。

　「このように攻撃者側の組織が複雑化しているため、具体的に誰が攻撃しているのかを特定する難易度が上がっており、困難さは増しているが、特定の重要性は高まっています」（黒米氏）

Contiから分かった攻撃者のエコシステム

　黒米氏は次に、RaaSでの著名なアクター「Conti」を取り上げた。これは2020〜2022年に猛威を振るったアクターだ。攻撃対処のフレームワーク「MITRE ATT&CK」を利用した攻撃フロー分析によると、Contiは、まずネットワークを探索し（イニシャルアクセス）、認証情報を探し出す（クレデンシャルアクセス）。そこから認証情報を基に権限昇格した上で、ファイルを分析したり、別の端末にマルウェアを感染させたりする。

　具体的には、最初の侵入実行でCobalt Strikeが使われており、認証情報取得では、オープンソースソフトウェアが使われている。独自開発ツールを使うこともあれば、商用リモートデスクトップツールで外部とやりとりすることもある。アンチウイルスソフトに見つからないよう、動作を停止させたり、削除を試みるツールを内製していたりもする。

　こうした巧妙な手法により、Contiの売上高は約2億ドルに達したとされる。しかし2022年、内部分裂をきっかけに、組織内のチャットやツール、ドキュメント類が公開たことで、攻撃者のエコシステムが明るみに出た。

　「もう普通のスタートアップのような組織体制が整っていました。攻撃者を雇う“人事部”があってロシア版の『LinkedIn』のようなところ求人を出したり、アンチウイルスソフトを正規に購入して分析し、ランサムウェアを改善したりしていました。サービス運営に携わるシステム管理者が存在する他、競合組織を分析するチームやターゲット企業を調査するチームもありました。公開された資料を見ていくと、防御側のノウハウは攻撃側も知っていることがよく分かる。この事実を防御側も認識しておく必要があります」（黒米氏）