ランサムウェア
国際的な捜査活動により「GandCrab/REvil」および「Cl0p」カルテルのメンバーが逮捕
ランサムウェアサービス(Ransomware as a Service、RaaS)を通じて拡散力を高めていたサイバー犯罪組織2つのメンバーとみられる容疑者が合計13人逮捕されました。今回の捜査活動は、法執行機関や民間団体(トレンドマイクロを含む)の参加する5大陸にまたがる国際的な連合体が、大規模な攻撃活動を続けるランサムウェアのオペレータを取り締まるために実施されました。
ランサムウェアサービス(Ransomware as a Service、RaaS)を通じて拡散力を高めていたサイバー犯罪組織2つのメンバーとみられる容疑者が合計13人逮捕されました。今回の捜査活動は、法執行機関や民間団体(トレンドマイクロを含む)の参加する5大陸にまたがる国際的な連合体が、大規模な攻撃活動を続けるランサムウェアのオペレータを取り締まるために実施されました。
■ 「GandCrab/REvil」グループからの逮捕者
インターポール(国際刑事警察機構)の報告書によると、17カ国における19の法執行機関によって実施された今回の国際的な捜査活動は、「GandCrab/REvil」グループの「アフィリエイト(実行犯)」またはパートナーとして関与した容疑者7人の逮捕につながったとされています。同グループは、2019年初頭以来、7,000件を超える攻撃活動の元凶と考えられる並外れたランサムウェアネットワークを構築しています。
「Quicksand(GoldDust)」というコードネームが付けられた今回の作戦は、インターポール、ユーロポール(欧州刑事警察機構)、法執行機関、および民間企業が協働で実施したものです。それぞれが情報や技術的な専門知識を共有することで、4年間に及ぶ捜査に貢献しました。
「REvil(別名:Sodinokibi)」および「GandCrab」は、同一グループによって運営されていると考えられており、ランサムウェアのコードを他のサイバー犯罪者に貸し出すランサムウェアサービス(Ransomware as a Service、RaaS)を通じて提供されます。アフィリエイトと呼ばれるグループに提供される作戦計画には、企業内部への侵入、ランサムウェアの展開活動、身代金の要求が含まれており、実行後、被害者に支払わせた身代金を残りの関係者に分配するというビジネスモデルで成り立っています。
ユーロポールの報告書では、2019年以降、7人の容疑者によって決行されたすべての攻撃活動を通じて、合計2億ユーロ(約255億円)以上の身代金要求が行われていたと推定されています。
今回構成された国際的な連合体によって、以下のことに貢献することができました。
- 韓国の法執行機関による容疑者3人の逮捕(2月、4月、10月)。
- クウェート当局による「GandCrabを用いたランサムウェア攻撃を決行したとみられる」男の逮捕。
- ルーマニア当局による「ランサムウェア攻撃を決行した疑いと、5,000件を超える感染活動および50万ユーロ(約6380万円)の身代金支払いに関与したとみられる」容疑者2人の逮捕。
- 「ランサムウェア「Kaseya」を用いた攻撃活動を展開していたとみられる」男の逮捕。この攻撃活動は、2021年7月に「REvil」グループが実行したと考えられていたもので、全世界で1,500人以上の人々と1,000社以上の法人組織が影響を受けたとみられている。
■ トレンドマイクロによる「GandCrab/Revil」ランサムウェアの監視活動
トレンドマイクロは、スパムメールを通じて韓国のユーザを狙っていたGandCrab v4.3の発見を2018年8月に報告して以来、このランサムウェアファミリを注意深く監視してきました。このスパムメールでは、EGG(.egg)ファイルを使用してGandCrab v4.3ランサムウェア(トレンドマイクロ製品では「Ransom_GANDCRAB.TIAOBHO」として検出)を配信しました。拡張子「EGG」は、韓国で一般的に使用されている圧縮・アーカイブファイルの形式(ZIPに類似)です。スパムメールの件名、本文、添付ファイル名にハングル文字が使用されていることから、韓国のユーザを狙った攻撃活動であると推測されます。
2019年5月トレンドマイクロは、同じく韓国で確認された注目に値するGandCrabランサムウェアの攻撃活動を報告しました。このスパムメールは、「SHIPPED ORDER INCORRECT」という件名で出回っていました。このメッセージは、有名な宅配便会社からの出荷注文通知を装い、受信者を騙して電子メールの添付ファイルを開かせるように設計されていました。最初に紹介した攻撃活動と同様に、電子メールの本文は韓国語で書かれており、小包に関する情報を含んでいるようにみえるRARファイルが添付されていました。
■ ランサムウェアグループ「Cl0p」のメンバー逮捕
サイバー犯罪組織の解体を目的とした国際的な官民連携による捜査活動のもう一つの節目は、韓国企業と米国の学術機関を対象とした30ヶ月に及ぶ共同捜査の末、ランサムウェアグループ「Cl0p」のメンバーとみられる容疑者6人が逮捕されたことです。
このタスクフォースは、韓国のサイバー犯罪捜査部門の要請を受けて活動し、ウクライナでの容疑者の逮捕に貢献しました。この作戦は2021年6月に実施され、インターポール、ユーロポールおよび韓国 / ウクライナ / 米国の法執行機関が関与しました。
「Operation Cyclon(サイクロン作戦)」というコードネームが付けられた作戦では、韓国と米国の民間企業を標的にしたとされるCl0pランサムウェアのオペレータを世界の警察がウクライナで追跡調査していました。インターポールは、Cl0pの攻撃活動が民間企業のコンピュータファイルやネットワークへのアクセスを妨害し、その後、アクセス権を修復するために莫大な身代金を要求したと報告しています。
容疑者らは、ランサムウェアグループに代わって資産の移転や現金化を促進すると同時に、被害者に要求した追加の支払いが拒否された場合は機密データを一般公開すると脅迫していたとみられています。この6人の容疑者は、匿名ネットワーク「Tor」を使用した暴露サイト上で被害者を名指しで非難することで知られるロシア語話者のサイバー犯罪ネットワークと密接に関係があったと考えられています。さらに特筆すべき点は、複数のランサムウェア攻撃に関与して5億米ドル(約564億円)以上の資金を集めていたことです。Cl0pの攻撃活動は、交通・物流、教育、製造、エネルギー、金融、航空宇宙、通信、医療など、重要なインフラストラクチャや業界を標的としています。
サイクロン作戦は、トレンドマイクロをはじめとした民間のサイバーセキュリティ企業の支援や情報提供を受けて展開されました。これらの情報収集の相乗効果により、ウクライナ警察は20軒以上の家屋、企業、車両を捜索し、財産、コンピュータ、現金など合計185,000米ドル(約2087万円)を押収することに成功しました。
■ トレンドマイクロによる「Cl0p」ランサムウェアの監視活動
トレンドマイクロのリサーチ機関では、法人組織がランサムウェア攻撃に効果的に対処できるように、Cl0pやその他のランサムウェアを背後で操る攻撃者について幅広く執筆しています。
Cl0p(別称:Clop)は、「CryptoMix」ランサムウェアファミリの亜種として初めて知られるようになりました。2020年、Cl0pグループは、二重脅迫手口の初の試みとして、製薬会社から盗み出したデータを一般公開しました。その後、Cl0pグループの脅迫手口はますます巧妙化し、その結果、より破壊的な活動を行うようになっています。
ランサムウェアのオペレータは、交渉を開始するために電子メールを送信して標的組織を脅迫します。メッセージが無視されると、標的組織から盗み出したデータを暴露サイト「Cl0p^_-Leaks”」上で一般公開、またはオークションにかけると脅迫します。さらにCl0pグループは、経営幹部や顧客を狙って支払いを迫るなど、様々な脅迫の手口を採用しています。
■ 被害に遭わないためには
ランサムウェアの活動を阻止するには、法執行機関およびサイバーセキュリティベンダなどの民間企業の双方が協動して問題に取り組む必要があります。トレンドマイクロでは、ランサムウェアをはじめとしたサイバー脅威に対抗するために、法執行機関と協動すると共に、捜査に必要な脅威情報を提供しています。
ランサムウェアが今後も重大なセキュリティ上の脅威として存続することは明らかであり、その数は増え続け、ますます複雑化していくことが予想されます。これまで目にしてきたように、ランサムウェアは急速にさらなる破壊的な脅威へと高度化します。ランサムウェアからネットワークやシステムを保護するために、法人組織やユーザは以下のベストプラクティスに準拠することが推奨されます。
- 検証されていないソースから受信した電子メールの添付ファイルをダウンロードしたり、リンクをクリックしたりしないこと。リンクをクリックする前にWebサイトの安全性を確認したい場合は、トレンドマイクロの「Site Safety Center」を利用いただくことも有効な手段です。
- オペレーティングシステム(OS)、プログラム、ソフトウェアを定期的にアップデートして修正プログラム(パッチ)を適用すること。
- 以下のように3-2-1ルールに従うこと。
- 3つ以上のバックアップ用コピーを作成し保存する。
- 2つの異なる種類のメディアに保存する(例:ハードドライブおよびUSB)。
- そのうちの1つは他の2つとは異なる場所に保存する(例:オフィスとデータセンター)。
- 米国の非営利団体「Center of Internet Security(CIS)」および「National Institute of Standards and Technology(NIST)」が策定したセキュリティフレームワークに準拠することで、全体的なリスクレベルを下げ、ランサムウェアのオペレータが悪用する可能性のある脅威や脆弱性を露出させないように対策すること。
■ トレンドマイクロの対策
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
参考記事:
- 「Global Operations Lead to Arrests of Alleged Members of GandCrab/REvil and Cl0p Cartels」
by Trend Micro
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)