ランサムウェア
2021年第3四半期におけるランサムウェアの脅威動向を分析
2021年第3四半期(7~9月)、新たな攻撃手口を取り入れたランサムウェアのオペレータは、特に「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)を通じて、アフィリエイト(実行役)によるランサムウェアファミリ「REvil(別名:Sodinokibi)」の拡散活動を活発化させていました。
2021年第3四半期(7~9月)、新たな攻撃手口を取り入れたランサムウェアのオペレータは、特に「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)を通じて、アフィリエイト(実行役)によるランサムウェアファミリ「REvil(別名:Sodinokibi)」の拡散活動を活発化させていました。また、本ブログでは2021年7月5日公開の記事で、攻撃者がIT管理プラットフォーム「Kaseya VSA」内のゼロデイ脆弱性を悪用して、脆弱な顧客の端末に不正スクリプトを送り込んでいたことを報告しました。マネージド・サービスプロバイダ(MSP)やIT企業へIT管理ソフトウェアを提供している「Kaseya社」では通常、顧客にソフトウェアアップデートを配布するためにVSAソフトウェアを使用していましたが、当時VSAは攻撃者によって武器化されていたため、REvilランサムウェアを読み込んでいました。REvilランサムウェアは、被害者に身代金の支払いを促すために情報暴露型の二重脅迫の手口を用いることで知られています。
上記のほかにトレンドマイクロは、7~8月に「LockBit 2.0」として再び活動を活発化させたランサムウェアグループ「LockBit」を追跡調査しています。当該バージョンには今日における最速かつ最も効率的な暗号化方式の1つが備わっていると同グループは主張しています。さらにLockBitグループは、認証情報やアクセス権を提供可能な標的組織の内部者に「数百万ドル(数億円)」の支払いを保証することで、より多くのアフィリエイトを募ろうと試みていることが推測されます。
本ブログで紹介するデータは、2021年第3四半期におけるランサムウェアファミリの脅威動向を示しており、感染端末のロック解除と引き換えに身代金を要求する従来型の脅威と、新たにRaaSや多重脅迫の手口を取り入れた脅威の両方が含まれています。同期間中にトレンドマイクロは、メール、ファイル、URLの各レイヤーでランサムウェアの脅威を合計3,462,489件検出・ブロックしました。今回トレンドマイクロが実施した追跡調査では、ランサムウェアファミリの脅威動向および標的となった業界および法人組織の種類を調査範囲としています。
■ランサムウェアの検出数トップ5(部門別)
図2に示す通り、ランサムウェア「REvil」の検出数は7月に最も多く、「LockBit」は8月と9月にランクインしています。これらのランサムウェアの標的は、大企業と中小企業でした。また、従来型ランサムウェア「WannaCry」や「Locky」は、すべての部門を対象に攻撃活動を繰り広げていたことが見て取れます。WannaCryは、3か月間に渡って大企業部門で最も多く検出されたファミリであり、Lockyは、コンシューマ部門で最も多く検出されたファミリでした。7月上旬に大企業部門でREvilの検出数が急増したのは、Kaseyaを対象としたセキュリティ侵害に関する報道と一致しています。
■ 2021年第3四半期に確認されたランサムウェアファミリの上位10種
WannaCry、Locky、Cerber、GandCrabといった従来型のランサムウェアファミリは、2021年第3四半期を通じて一貫して検出されました。一方、REvilやLockBitなどの新たな攻撃手口を用いるランサムウェアファミリの検出数は変動しやすいことがわかりました。新たな手口を採用したランサムウェアファミリのオペレータは通常、慎重に選んだ標的企業を対象にペイロードを展開するため、これらのファミリの攻撃活動の検出数はさらに一貫性のないものとなります。
ランサムウェアグループ「Conti」もこの時期に特に活動を活発化させていました。9月には、CISA(Cybersecurity and Infrastructure Security Agency)および米連邦捜査局(FBI)が、米国や国際組織に対してContiランサムウェアを使用した400件以上の攻撃活動を観測したと報告しています。ランサムウェアグループ「Mount Locker」の活動もこの時期に検出されており、その数か月後に、同ファミリに関連する新たなビジネスモデルが発見されました。
■ ランサムウェアが検出された業界トップ3
ランサムウェアの検出数では、政府機関および医療業界が常に上位2位以上にランクインしました(図4、5)。さらに、通信、製造、金融といった各業界も、この3カ月間に数多くの攻撃を受けていたことが見て取れます。7月にREvilの攻撃活動が急増し、特に通信業界で活動の増加を確認しました。一方、政府機関や医療機関ではLockBitが検出されたほか、医療業界では「Clop」も検出されました。Clopは新たな攻撃手口を用いるランサムウェアで、様々な種類の脅迫の手口が採用されています。
■ ランサムウェアが検出された上位5カ国
上記のように、新たな手口を用いるランサムウェアは、標的を絞って攻撃活動を展開するため、検出数が変動しやすいことがわかっています。この傾向はREvilの事例に見られ、米国での検出数が7月にピークに達したのち、9月には事実上消滅したかのように見えます(図6~8)。REvilの攻撃活動は他の国でも減少しましたが、ブラジルと日本では低い数値が継続的に観測されていました。一方で、7月にLockBitが日本国内で確認され、再び活動を活発化させました。9月には世界各地でさらに多くの標的を攻撃していることが観測されました。
■ 被害に遭わないためには
ランサムウェアは、法人組織にとって継続的な脅威であり、特にランサムウェアのオペレータが使用するツールや技術が高度化し続けていることを考えると、その危険性は計り知れません。法人組織は、オペレータが攻撃を開始する前にランサムウェアの不正活動、攻撃手法、動作を予測して対応できるクロスレイヤーでの検知・対処を可能にするセキュリティソリューションを導入することで、新旧ランサムウェアによる侵害のリスクを軽減することができます。
■ トレンドマイクロの対策
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
トレンドマイクロの「Network Defense」製品群は、次世代IPSを超える「XGen™セキュリティ」を活用することで、複数の世代の技法を組み合わせたソリューションを提供し、適切なタイミングで適切なテクノロジを適用し、ゼロデイ攻撃を始め、さまざまな脆弱性の脅威に対する統合された検出と防御を実現します。
2021年第3四半期におけるランサムウェアの検出データはこちら(英語)からダウンロードできます。
参考記事:
- 「EXAMINING ERRATIC MODERN RANSOMWARE ACTIVITIES RANSOMWARE IN Q3 2021」
by Trend Micro
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)