全3102文字
PR

ランサムウエア攻撃は組織犯罪化するなど悪質さを増している。被害に遭った米石油パイプライン最大手は5億円近い身代金を払ったようだ。一方で国際社会では身代金の支払いに制裁を加える動きも出ている。

 2021年5月7日、米石油パイプライン最大手のコロニアル・パイプラインはランサムウエア(身代金要求型ウイルス)を用いたサイバー攻撃を受け、全ての操業を停止した。停止は約6日間に及び、米国の複数の州で緊急事態宣言が出された。操業停止3日後の5月10日、米連邦捜査局(FBI)はロシアの犯罪集団「DarkSide(ダークサイド)」の犯行と断定した。

 ダークサイドは2020年8月に初めてその存在が確認されたサイバー攻撃グループで、ランサムウエアを用いた「暴露型」攻撃を仕掛ける。期限までに身代金を支払わないと、盗んだデータを暴露サイトに公開すると脅すというものだ。暴露サイトは各攻撃グループがそれぞれ個別に持っている。

 トレンドマイクロの調査によると、ダークサイドが2021年5月14日に活動停止を「表明」するまでに暴露サイト上でデータをリークされた組織は99社に上る。その業種はITや金融、製造などで、企業が属する国は米国やドイツ、スペイン、ブラジル、日本、オーストラリアなど多岐にわたる。

 「暴露型ランサムウエア攻撃による被害は2019年末から急増している」とトレンドマイクロの岡本勝之セキュリティエバンジェリストは話す。暴露サイトに投稿されたと同社が確認した組織は2019年11月時点で1社だったが、同年12月に21社となり、2020年9月に256社にまで増えた。日本関連組織も2021年5月15日までに41社に上った。

高度化する攻撃に4つの特徴

 ダークサイドに代表される近年のランサムウエア攻撃者の特徴は主に4つある。第1は、ばらまき型ではなく標的型である点だ。攻撃者は対象組織を絞って不正アクセスなどで侵入する。この際ドメインコントローラーを狙うケースが多い。侵入後はデータを盗み、パソコンやサーバーのデータを暗号化するためにランサムウエアを放つ。

 データを盗むのは、暴露すると脅すためだけではない。「ダークサイドに限らず、攻撃グループは被害組織から盗んだ財務記録やサイバー保険の契約状況から被害組織の支払い能力を推量し、要求金額を決めているケースもある」。三井物産セキュアディレクションの吉川孝志・上級マルウェア解析技術者は最近の傾向をこう明かす。

 第2の特徴は多重に脅迫してくる点だ。前述の通り、ファイルを暗号化し「復号する代わりに身代金を支払え」と要求し、拒めば盗んだデータを暴露サイトに流出させると2重に脅す。さらに身代金を支払うまでDDoS攻撃(分散型のサービス拒否攻撃)を仕掛けたり、電話やメールで脅したりと、3重4重の脅迫をしてくる傾向がある。

 第3の特徴はRaaS(ランサムウエア・アズ・ア・サービス)と呼ばれる組織化した犯行の構造を背景にしている点だ。首謀者であるランサムウエア開発者と、実動部隊である「アフィリエイト」に分かれている。

 首謀者はランサムウエアを開発・改良するとともに、アフィリエイトに攻撃を指示ないし委託し、アフィリエイトはそれぞれ得意な手口で標的組織を攻撃する。従って「同じ種類のランサムウエアでも異なる攻撃手口で感染する」(同)。身代金は首謀者とアフィリエイトが分け合う。

図 ランサムウエア・アズ・ア・サービスにおける首謀者とアフィリエイトの関係
図 ランサムウエア・アズ・ア・サービスにおける首謀者とアフィリエイトの関係
犯罪のビジネスモデルが出来上がっている(出所:三井物産セキュアディレクションの資料を基に日経コンピュータ作成)
[画像のクリックで拡大表示]

 第4の特徴は、脆弱なアカウントなどから奪い取ったRDP(リモート・デスクトップ・プロトコル)の認証情報などを使用して侵入するケースが多い点だ。ハッキングやマルウエア感染などで盗んだRDP認証情報を売買するサイトがダークウェブ上に複数存在しており、RDPで接続可能な状態にある端末の最新リストを簡単に入手できる検索エンジンもある。

 RDPの画面やアカウント名から組織名が類推できる例もあり、攻撃者は標的企業を定めやすくなる。他にはVPN(仮想私設網)機器などの脆弱性を狙うケースもある。吉川氏によればダークサイドによる攻撃の侵入経路もRDPや脆弱な機器だった。

 「近年のランサムウエア攻撃は組織的で、実行者によって攻撃の手口が異なるため予測がつかない。『これさえやっておけば安心』というものはなく、地道な防御策の積み重ね不可欠だ」――。吉川氏はこう警鐘を鳴らす。