全3165文字
PR

 2019年以降、世界各国で標的型ランサムウエアによる被害が相次いでいる。基本的な手口は、ランサムウエアを使ってコンピューターのデータを暗号化することだ。暗号化したデータを元に戻すために必要な情報(秘密鍵)と引き換えに“身代金”を支払うよう求める。このためデータのバックアップを取ることが有効な対策となった。バックアップを取っていれば復旧作業の手間はかかるものの、身代金を支払う必要はない

 そこで攻撃者は新たな手口を編み出した。暗号化する前にデータを盗み出し、そのデータをインターネットで公開すると脅すのだ。そして身代金が支払われない場合、実際に公開する。今回はこの新手口を解説する。

実際に窃取データを公開

 身代金を支払わなければデータを公開すると脅すこと自体は数年前から確認されている。しかし脅すだけで実際には公開しなかった。ところがランサムウエアのMazeを使う攻撃者のグループは2019年11月、窃取したデータを本当に公開したのだ。

 Maze攻撃グループは窃取したデータを公開する専用のWebサイトを立ち上げ、そこでデータを公開した(図1)。データを公開するWebサイトはリークサイトと呼ばれる。

図1●ランサムウエアMazeの攻撃グループが運営するWebサイト
図1●ランサムウエアMazeの攻撃グループが運営するWebサイト
攻撃グループはMazeに感染させる前にコンピューターからデータを窃取し、身代金を受け取れないとそのデータを自分たちのWebサイトで公開する。SodinokibiやNetwalkerなどのランサムウエアを使う攻撃グループも同様のWebサイトを立ち上げている。
[画像のクリックで拡大表示]

 脅しではなく実際に公開したことは、セキュリティー業界に大きな衝撃を与えた。これを見たSodinokibiやNetwalker、Ako、CLoPなどのランサムウエアを使う攻撃グループは次々と同じ戦略を採用した。

 2020年に入ってから確認された比較的新しいランサムウエアAvaddonの攻撃でもリークサイトが立ち上げられ、窃取したデータが公開された。

大手IT企業が被害を公表

 Mazeのリークサイトには国内外の多くの企業や組織のデータが公開されている。Webサイトに並ぶ企業名をクリックすると、それぞれの窃取データをダウンロードできるリンクが表示される。

 リークサイトで名前を挙げられた大手IT企業の米コグニザントテクノロジーソリューションズは2020年4月、Mazeによってサービスを一時停止されたと公表した。ただリークサイトに載せられた企業や組織の多くは「ランサムウエアに感染した」「サイバー攻撃を受けた」と公表し、Mazeによるものかどうかは明らかにしていない。