ニュース
ランサムウェアグループがデータ流出に悪用している12の正規ツール:セキュリティニュースアラート
Symantecは、ランサムウェア攻撃に正規ソフトウェアが悪用されているとし、データ流出に使われる12種類のソフトウェアを公開した。
Symantecは2024年3月6日(現地時間)、ランサムウェアグループがより多くのデータ流出ツールをサイバー攻撃に使うようになっていると伝えた。
ランサムウェアグループに悪用されている12の正規ソフトウェア
同社はこの3カ月間でランサムウェアグループが少なくとも12種類のツールがデータ流出に使用されているとし、そのツールのほとんどが正規のソフトウェアだったと説明している。
データ流出に悪用されていることが確認された主なソフトウェアは以下の通りだ。
- Rclone
- AnyDesk
- RDP
- CobaltStrike
- ScreenConnect
- Atera
- WinRAR
- Restic
- TightVNC
- WinSCP
- PandoraRC
- Chisel
Symantecは正規のツールの悪用事例として「Rclone」のケースを取り上げている。Rcloneはオンラインバックアップやクラウド内コンテンツを管理できるオープンソースのコマンドライン型プログラムだ。ランサムウェアグループはRcloneを悪用し、侵害したネットワークからデータを窃取したり、窃取したデータのコピーを他のシステムにコピーしたりしているという。
同社はこれらのツール悪用の背景として、ランサムウェアグループの攻撃手法の変化を挙げる。ランサムウェア攻撃の主流は、侵害してデータを窃取した後にデータ流出と引き換えに身代金を要求する「二重の脅迫」という手口へと変化している。
Symantecはランサムウェア攻撃の被害者にならないために以下の緩和策を推奨している。
- 送信トラフィックを監視して異常なパターンや外部サーバ、クラウドストレージサービスとの通信を検出する
- ネットワーク内のデュアルユースツール(正規のツールが悪用されているケース)の使用を監視する
- ネットワーク内で実行されたレジストリーとシステムの変更を監視する
- 最新バージョンの「PowerShell」を使用して強化されたログ記録と監査機能を使うとともに「AppLocker」など最新のセキュリティ機能を利用する
- RDPサービスへのアクセスを制限する。特定の既知のIPアドレスからのRDPのみを許可し、多要素認証(MFA)を使用する
- 管理者アカウントの使用状況の適切な監査と制御を実装する
- 管理ツールの使用プロファイルを作成する
- アプリケーションのホワイトリストの使用を検討する
関連記事
- 「情報セキュリティ10大脅威 2024」の追加資料をIPAが公開
IPAは、情報セキュリティ10大脅威 2024に関連した3つの解説書を追加公開した。脅威の詳細と具体的な対策、ドキュメントの活用法などがまとめられている。 - “EDR運用失敗”にどう対処する? ウィズセキュアが2024年事業戦略を発表
ウィズセキュアは2024年の事業説明会を開催した。EDRを導入してもうまく運用できない企業がいる中、同社はこれをどう解消するのか。 - Cloudflare、大規模言語モデルを保護する新たなファイアウォールを開発
Cloudflareは大規模言語モデルを悪用から保護するための「Firewall for AI」を開発していると発表した。今後数カ月以内にβ版を提供する予定だ - Oktaが従業員の約400人を解雇 度重なるサイバー攻撃との関係は?
Oktaは全従業員の7%に相当する約400人を解雇する旨を発表した。「世界で最も頻繁に狙われている企業の一つ」とも言われる同社は、度重なるサイバー攻撃に悩まされている。今回の大規模なレイオフとサイバー攻撃との関係はあるのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.