　セキュリティ情報サイトのKrebs on Securityによると、ランサムウェア「REvil」を操る集団が、企業から盗み出した機密情報のオークションをダークWebで開始すると発表した。売りに出したのは、カナダの企業から盗んだと称する2万2000本あまりのファイル。開始価格は5万ドル。画面には残り時間を表示して切迫感をあおる。

Krebs on Security

　同じような被害は、米航空宇宙局（NASA）の契約を請け負っているIT企業でも発生している。ZDNetによると、「DopplePaymer」と呼ばれるランサムウェア集団は、Digital Management Inc（DMI）から盗んだと称するアーカイブファイルの一部をダークWebに掲載した。この中には「NASA」の名称が付いたフォルダも見える。さらに、ランサムウェアによって暗号化したとするDMIのサーバやワークステーション2500台あまりの情報も暴露された。

　「被害企業に身代金の支払いを迫り、要求に応じなければ公に恥をかかせることを狙った手口がエスカレートしている」。Krebs on Securityを運営するブライアン・クレブズ氏はそう指摘する。「同時に、新型コロナウイルス禍の中で経営が苦しくなった被害者からも利益を得るために、犯行グループが新しい手段を模索している様子がうかがえる」

　欧州や米国で新型コロナウイルスが猛威を振るうようになってから、身代金の支払い額は激減しているという。景気悪化で被害企業の経営が悪化し、その影響でランサムウェア集団の実入りも減った。そこで身代金を払う意思や能力のない被害企業に対して支払いを強要する手段の1つがオークションだったというわけだ。「自分の会社のデータがオークションにかけられているのを被害者が見せ付けられれば、身代金を支払う気になるかもしれない」（BleepingComputerのエディター、ローレンス・エイブラムス氏）

　さらに、暗号化されたファイルの復号に必要な鍵に対する身代金に加えて、盗んだファイルを恒久的に削除する条件として、別の身代金を要求する二重の脅迫の手口を使う集団も現れたと同氏は伝えている。

　こうした被害を未然に防ぐにはどうすればいいのか。ランサムウェアを発動される前に、不正アクセスの兆候を検知する対策に力を入れる必要があるとMicrosoftは勧告する。

　4月上旬に相次いで被害が発生したランサムウェア攻撃についてMicrosoftが調査した結果、実は数カ月前から標的とするネットワークに攻撃者が侵入し、ランサムウェアを発動させるタイミングをうかがっていたことが分かったという。

　不正侵入の発端は、ネットワークデバイスの脆弱性が悪用されたケースもあれば、Windowsのリモートデスクトッププロトコル（RDP）サーバに対するブルートフォース（総当たり）攻撃によってパスワードが破られたケースもあった。

　しかし、ログイン情報を盗んでネットワーク内部で横方向に移動し、最終段階でランサムウェアを展開させるという手口は共通していた。従って、「ランサムウェアの展開を阻止するためには、ログイン情報の窃盗や横移動といった攻撃の兆候を検知することに、防御の重点を置く必要がある」とMicrosoftは言う。

Microsoft Security Blog

　もちろん、サーバやデスクトップの脆弱性に対して迅速にパッチを適用し、ファイルやデータベースのバックアップを確実に取るといった基本的な対策は欠かせない。

　特にRDPは注意が必要だ。インターネット経由でRDPにアクセスできる状態になっていて、簡単に推測できるパスワードを使っていたためにランサムウェアの被害に遭ってしまった企業が、特に医療機関であまりに多いとクレブズ氏は指摘し、RDPの無効化を推奨している。

身代金5億円要求も　増長するランサムウェア、被害止まらず
データを人質にされるランサムウェアの対策は？
地方自治体を襲う「死神リューク」　ランサムウェア身代金支払いで被害増大の連鎖
漫画「デスノート」に登場する死神リュークの名を冠したランサムウェアが、米国の地方自治体を食い荒らしている。このリュークの好物はリンゴではなくてお金なのだ。