ITmedia NEWS > セキュリティ >
ニュース
» 2020年06月08日 10時29分 公開

この頃、セキュリティ界隈で:ますます卑劣化するランサムウェア 窮状に付け込み二重の脅迫

重要なデータを人質に取るランサムウェア。盗んだ機密情報をオークションにかけてさらに脅しをかける手口が浮上している。

[鈴木聖子,ITmedia]

 コンピュータに感染してファイルを暗号化し、身代金を要求する「ランサムウェア」。万が一被害に遭ったとしても、バックアップからの復旧に成功して身代金を支払わなかったり、経営が苦しくなっていて支払えない場合もある。そんな被害者に2段階の脅しをかけて支払いを強要しようとする卑劣な手口が浮上している。

 セキュリティ情報サイトのKrebs on Securityによると、ランサムウェア「REvil」を操る集団が、企業から盗み出した機密情報のオークションをダークWebで開始すると発表した。売りに出したのは、カナダの企業から盗んだと称する2万2000本あまりのファイル。開始価格は5万ドル。画面には残り時間を表示して切迫感をあおる。

photo Krebs on Security

 同じような被害は、米航空宇宙局(NASA)の契約を請け負っているIT企業でも発生している。ZDNetによると、「DopplePaymer」と呼ばれるランサムウェア集団は、Digital Management Inc(DMI)から盗んだと称するアーカイブファイルの一部をダークWebに掲載した。この中には「NASA」の名称が付いたフォルダも見える。さらに、ランサムウェアによって暗号化したとするDMIのサーバやワークステーション2500台あまりの情報も暴露された。

 「被害企業に身代金の支払いを迫り、要求に応じなければ公に恥をかかせることを狙った手口がエスカレートしている」。Krebs on Securityを運営するブライアン・クレブズ氏はそう指摘する。「同時に、新型コロナウイルス禍の中で経営が苦しくなった被害者からも利益を得るために、犯行グループが新しい手段を模索している様子がうかがえる」

 欧州や米国で新型コロナウイルスが猛威を振るうようになってから、身代金の支払い額は激減しているという。景気悪化で被害企業の経営が悪化し、その影響でランサムウェア集団の実入りも減った。そこで身代金を払う意思や能力のない被害企業に対して支払いを強要する手段の1つがオークションだったというわけだ。「自分の会社のデータがオークションにかけられているのを被害者が見せ付けられれば、身代金を支払う気になるかもしれない」(BleepingComputerのエディター、ローレンス・エイブラムス氏)

 さらに、暗号化されたファイルの復号に必要な鍵に対する身代金に加えて、盗んだファイルを恒久的に削除する条件として、別の身代金を要求する二重の脅迫の手口を使う集団も現れたと同氏は伝えている。

 こうした被害を未然に防ぐにはどうすればいいのか。ランサムウェアを発動される前に、不正アクセスの兆候を検知する対策に力を入れる必要があるとMicrosoftは勧告する。

 4月上旬に相次いで被害が発生したランサムウェア攻撃についてMicrosoftが調査した結果、実は数カ月前から標的とするネットワークに攻撃者が侵入し、ランサムウェアを発動させるタイミングをうかがっていたことが分かったという。

 不正侵入の発端は、ネットワークデバイスの脆弱性が悪用されたケースもあれば、Windowsのリモートデスクトッププロトコル(RDP)サーバに対するブルートフォース(総当たり)攻撃によってパスワードが破られたケースもあった。

 しかし、ログイン情報を盗んでネットワーク内部で横方向に移動し、最終段階でランサムウェアを展開させるという手口は共通していた。従って、「ランサムウェアの展開を阻止するためには、ログイン情報の窃盗や横移動といった攻撃の兆候を検知することに、防御の重点を置く必要がある」とMicrosoftは言う

photo Microsoft Security Blog

 もちろん、サーバやデスクトップの脆弱性に対して迅速にパッチを適用し、ファイルやデータベースのバックアップを確実に取るといった基本的な対策は欠かせない。

 特にRDPは注意が必要だ。インターネット経由でRDPにアクセスできる状態になっていて、簡単に推測できるパスワードを使っていたためにランサムウェアの被害に遭ってしまった企業が、特に医療機関であまりに多いとクレブズ氏は指摘し、RDPの無効化を推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.