本ブログ記事は、2021年2月1日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
2020 年はランサムウェアが一般化した年です。かつて多国籍企業や政府請負業者に展開されることが一般的だった極めてニッチな脅威が、今では、あらゆる規模や種類の組織にとって大きな悩みの種になっています。
最近の脅威に関する速報で、当社は、特に従来からサイバーセキュリティに関して遅れを取っている一部の組織に対して、ランサムウェアの危険性を強調しました。ランサムウェアは学校にとっても大きな問題になりつつあり、攻撃者はこの種のマルウェアを使って市役所にも狙いを定めています。
しかしランサムウェアのリスクは、このような攻撃対象の拡大だけで生じるものではありません。これらの攻撃の中心となるマルウェアも巧妙化しています。このことは、2020 年に観測された最も危険なランサムウェアについてまとめた以下の概要で、明確に示されています。
1. Netwalker ランサムウェア
Netwalker ランサムウェアは、2020 年に最も広く使用され成功したランサムウェアの 1 つです。COVID-19 が発生してから数か月後に頻繁に目にするようになり、在宅勤務に付随して起こった、フィッシングキャンペーンやマルウェア感染の急増の主要な原因になりました。
Netwalker は、2019 年末に登場した Mailto ランサムウェアが進化したものです。現在でも多くの場合、電子メールフィッシングキャンペーンを介して配信され、あらゆる規模の企業や教育機関、政府機関を標的にしています。
Netwalker は注目すべきいくつかの攻撃を成功させました。このマルウェアは、オーストラリアの輸送会社 Toll Group、ミシガン州立大学、そして最近ではカリフォルニア大学サンフランシスコ校に対する攻撃に使われ、攻撃を成功させました。
2.Nefilim ランサムウェア
Nefilim ランサムウェアは、2020 年に注目を集めたいくつかの攻撃を実行し、特に重要なインフラ(ヘルス、エネルギー、サプライチェーン、行政サービスなど)を管理する会社を標的にしていました。これは、ここ数年の憂慮すべき傾向であり、Nefilim ランサムウェアはこの傾向を煽るツールの 1 つです。
Nefilim 攻撃に使用される厳密な攻撃経路は依然として不明なところが多いままですが、このマルウェアはリモートデスクトッププロトコル(RDP)システムの弱点を悪用するようです。そのため、この 1 年の Nefilim 攻撃の急増を説明する2 つの要因があります。
1 つの目の要因は、Microsoft の RDP に複数の脆弱性が存在することです。RDP の脆弱性を悪用することでアクセスしやすくなるため、サイバー犯罪者はブルートフォース攻撃を最もよく仕掛けます。2 つ目の要因は、パンデミックの影響により、過去 1 年間で RDP システムの利用者数が大幅に増加していることです。
企業は、この種のマルウェアを検出する効果的な方法として、動的アプリケーションセキュリティテスト(DAST)を使用できます。このシステムは、アプリケーションの実行中に、常にアプリケーションの脆弱性をスキャンし、ランサムウェアの脅威をできるだけ早く検出します。
3.WastedLocker ランサムウェア
WastedLocker は、一連のランサムウェア亜種の中では最新のものであり、米国の大手企業を標的にしています。このマルウェアは、現在世界最大規模のランサムウェア活動の 1 つ Evil Corp Gang で最もよく使用されています。
WastedLocker は、以前のマルウェア亜種のいくつかから開発されました。Zeus という悪名高きバンキング型のトロイの木馬は、4 年以上前に住宅所有者を狙った Locky ランサムウェアを開発した同じ集団によって開発されました。
2020 年、WastedLocker は 大手企業を標的にしました。通常、このマルウェアを使用して開始された攻撃はすべて、米国内の特定の企業を標的にしていました。
その中で最も注目されたのが、ナビゲーションやスマートウォッチのメーカーである Garmin への攻撃で、同社は 7 月に世界中のサービスを停止しました。
BlackBerry® の脅威リサーチチームは、テスト用に WastedLocker ランサムウェアのサンプルを入手し、調査内容の概要を提供しました。
4.Tycoon ランサムウェア
2020 年には、教育機関や政府機関が直面する脅威の増大がニュースになりましたが、Tycoon ランサムウェアがその中心的存在になっています。2019 年 12 月に最初に観測されたこのマルウェアは当初、トロイの木馬化された JRE の、あまり害のないめずらしい例のように見えました。
残念ながら、そうではありませんでした。このマルウェアは、自宅から職場のネットワークにアクセスしなければならなくなった多くの労働者のマシンに感染しましたが、その主な原因は、スタッフに提供された VPN ツールのセキュリティが不十分だったことです。現在、ほとんどの消費者向け VPN サービスは、最高の暗号化基準の 1 つである SHA512 認証ハッシュまたは 2048 ビット DHE RSA キー交換を使用するオプションをユーザーに提供しています。
しかし最近リモートワークを始めたユーザーが使用している低価格の VPN アプリの多くは、こうした暗号化基準を満たしていません。そのためこうしたユーザーは、Tycoon ランサムウェアを使用した標的型攻撃を非常に受けやすくなります。このマルウェアに関する記事の中で説明しているように、当社は、いくつかの組織を、身代金を支払わずデータを復旧できるようにサポートすることができました。
5.Nuke ランサムウェア
Nuke ランサムウェアは、このリストの中で最も古いマルウェアですが、危険であることにかわりはありません。このマルウェアは、2016 年に最初に発見され、通常は電子メールのフィッシング詐欺で配信されます。
Nuke は、被害者のマシンの中に入ると、AES 256 ビット暗号化キーを使ってファイルを暗号化します。ファイルが暗号化されると、ファイル名は、.nuclear55 拡張子が続く文字の組み合わせに変更されます。暗号化キーは、2048 ビット RSA を使用して非対称的に暗号化されることで保護されます。
まとめ
2020 年は、これまで以上に多くのマルウェアが登場し、攻撃の巧妙化が進んだことで、ランサムウェアにとって異例の年になりました。これは特別なことだとは思えません。ランサムウェアは 2020 年のずっと前から増加しており、COVID-19 時代におけるランサムウェアの使われ方を見ると、今後数年のうちにはるかに一般的になるでしょう。だからこそ現在、自分自身、自分のデータ、自分のスタッフ、自分のビジネスを保護することが重要なのです。
BlackBerry は、組織が事後対応型から防御ファーストのセキュリティ体制にシームレスに移行するために必要な、サイバーセキュリティソリューションとコンサルティングサービスを提供します。ベストプラクティスガイドをお読みになり、ランサムウェアからの保護と修復について、詳細を確認してください。
