** 本記事は、Ransomware mishaps: adversaries have their off days too の翻訳です。最新の情報は英語記事をご覧ください。**
どんなに綿密に計画されたランサムウェア攻撃でも、必ずしも計画通りに進まないことがあります。
たとえば 、人間が主導する高度なランサムウェア攻撃の場合、侵入者はランサムウェアのペイロードをリリースするまでに、数週間とは言わないまでも、数日間はネットワーク内にいることが多いです。この間、侵入者はネットワーク内を移動し、資産を侵害し、新しいツールをインストールし、バックアップを削除し、データを削除するなどしています。どの段階でも、攻撃が検知され、防御側によってブロックされる可能性があります。
そうなると、攻撃をコントロールするキーボードを操作しているオペレーターにプレッシャーがかかります。攻撃の途中で戦術を変更したり、1 回目の攻撃が失敗した場合にランサムウェアを再実行したりしなければならないかもしれません。そのようなプレッシャーから、見落としやミスが発生することもあります。
Sophos Rapid Response チーム担当マネージャーである Peter MacKenzie は、次のように述べています。「ランサムウェアの攻撃者は、攻撃の影響を直接受ける防御側からすると、恐ろしい存在に映ります。ランサムウェアの攻撃者は躊躇なくこの点を突き、脅迫的で攻撃的な行動や身代金の要求などをしてきます。しかし、攻撃者も人間であり、他の人と同じように間違いを犯す可能性があることを忘れてはいけません。」
以下は、Sophos Rapid Response インシデント対応チームが最近の調査で発見したランサムウェアの攻撃者によるミスのトップ 5 です。
- Avaddon ランサムウェアの攻撃者は、被害者から「ファイルの一部が復元できないので、盗んだデータを流出してほしい」と頼まれていたにも関わらず、攻撃者は「被害者が協力しなければデータを公開する」というお決まりの脅しを続けました。当然被害者が協力しなかったため、攻撃者はデータを流出させましたが、その結果、被害者は望んでいた情報を取り戻すことができました。
- Maze ランサムウェアの攻撃者は、被害者のファイルを大量に盗み出しましたが、それより 1 週間前に DoppelPaymer ランサムウェアによってすでに暗号化されていたため、ファイルが読めなくなっていることに気づきました。
- Conti ランサムウェアの攻撃者は、自分たちが新たにインストールしたバックドアを暗号化しました。攻撃者は、リモートからアクセスできるようにために感染したマシンに AnyDesk をインストールした後、マシン上のすべてを暗号化するランサムウェアを起動しましたが、インストールした AnyDesk も暗号化されました。
- Mount Locker ランサムウェアの攻撃者は、攻撃した組織の情報の一部を流出させました。この組織とは異なる企業の情報を公開していたことに気が付いていなかったためなぜ支払いを拒否されたのか理解することができませんでした。
- ある攻撃者は、データを外部に送信するために使用していた FTP サーバーの設定ファイルを残していました。これにより、被害を受けた組織はこの FTP サーバーにログインし、盗まれたデータをすべて削除できました。
Peter MacKenzie は以下のように述べています。「今回発見した攻撃者のミスは、ランサムウェアを実施している攻撃者側の状況が過密になっており、ランサムウェア環境がコモディティ化していることを示しています。このような傾向の結果、複数の攻撃者が同じ組織を標的としてことがあるとわかります。さらに、セキュリティソフトウェアやインシデント対応チームによる圧力が加わると、攻撃者がミスを犯すのも無理はありません。」
「標的組織へのログイン認証情報などを販売するブローカーから、ランサムウェアの実行ファイルや攻撃のためのインフラを貸し出すサービスとしてのランサムウェア (Ransomware-as-a-Service) まで、攻撃者がランサムウェア攻撃を組み立てて展開するために必要なものは、おそらくダークウェブのどこかで有料サービスとして提供されています。身代金を支払わせて数百万ドルを稼ぎ出している有名なランサムウェアファミリーでさえも、標的組織に最初にアクセスするためにブローカーを利用しています。そして、価値の高いターゲットや、身代金を支払う意思を示した組織へのアクセス情報は、何度も転売され、複数のサイバー犯罪者に同じネットワークに侵入される恐れがあります。
「また、ランサムウェア組織が解散し再結成する傾向も報告されています。2021 年だけでも、REvil や Avaddon などの組織が消滅したと言われています。これらのランサムウェアオペレーターは、他の組織に参加したり、新たな組織を旗揚げして再結成していると考えらており、侵害されている認証情報など の情報を以前に所属していた組織から持ち出しており、新しい組織でも悪用している可能性があります。
対策
ランサムウェアの攻撃者がミスを犯すことを知っても、防御側は最善を尽くさなくてはなりません。たとえば 、暗号化のコーディングに不備があれば、復号化キーが機能しなくなるなど、特定のミスがリスクを高める恐れがあり、サイバーセキュリティ対策がより重要となるケースもあります 。
以下に、将来に向けて IT セキュリティを強化し、影響を未然に防ぐための対策 を紹介します。
- ネットワークセキュリティを 24 時間 365 日監視し、攻撃者の存在を示す 5 つの早期指標に注意を払うことで、ランサムウェア攻撃を未然に防止します。
- インターネットに接続しているリモートデスクトッププロトコル (RDP) をシャットダウンして、サイバー犯罪者が簡単にネットワークにアクセスできないようにします。RDP へのアクセスが必要な場合は、RDP で VPN またはゼロトラストネットワークアクセスを利用し、多要素認証 (MFA) も強制的に適用します。
- 従業員にフィッシングや悪意のあるスパム対策のトレーニングを実施し、強固なセキュリティポリシーを導入します。
- 最も重要なデータの最新版をオフラインのストレージデバイスに定期的にバックアップしておきます。バックアップの際は標準的な「3-2-1バックアップ」のルールに従うことを推奨します。これは、3つのデータコピーを作成し、2つの異なるシステムを使用して、1つをオフラインにする、というルールです。また、バックアップしたデータを戻すことができるかどうかもテストしてください。
- 攻撃者によるアクセスやセキュリティの無効化を防止します。多要素認証が有効になっているクラウド型管理コンソールと、アクセス権の制限が可能なロールベースの管理機能を備えたソリューションを選択してください。
- すべての状況に対応できる万能型の保護機能は存在しません。厳重に対策を張り巡らせた多層防御型のセキュリティモデルが不可欠です。このセキュリティモデルをすべてのエンドポイントとサーバーに拡張し、セキュリティ関連データを共有できるようにしてください。
- 効果的なインシデント対応計画を策定し、必要に応じて更新します。必要に応じて、脅威を監視したり、緊急インシデントに対応したりするために、外部の専門家のサポートを検討しましょう。
攻撃者の行動、インシデントレポート、セキュリティ運用担当者向けのアドバイスなどの情報は、Sophos News SecOps に掲載されています。
ランサムウェアの種類別の TTP(戦術、技術、手順)などの情報は、ソフォスの最新の脅威情報を提供する SophosLab Uncut に掲載されています。