攻撃インフラを解体しても止まらないランサムウェア攻撃

ランサムウェア攻撃の現状については、PC-Webzineでも別記事が指摘しているとおり、攻撃は高止まりしている。2024年、もっとも警戒すべきサイバー攻撃のひとつといえる。

概要としては、攻撃の組織化・高度化がさらに進んだ。たとえば、2024年は、「LockBit」という国際的なランサムウェアプラットフォーム(RaaS)が、各国の警察組織の連携および合同捜査により、摘発・解体された。このグループだけで約1億2000万ドルもの被害が発生していたとされる。だが、摘発によりランサムウェアの攻撃が収まったかというと、そんなことはなかった。

LockBit解体後、利用していたアフィリエイターたちは別のRaaSプラットフォームに移ったり、LockBitランサムウェアの亜種の存在も確認されている。

BlackCat、BlackSuitなど別グループの活動は現在も活発で、このうちBlackSuitは、日本のKADOKAWAに対するランサムウェア攻撃を行ったとされている。この攻撃では、KADOKAWAグループの動画配信プラットフォームや出版物の物流システムが停止する被害が出たほか、グループ企業の代表取締役の免許証画像が流出・公開されるなどスキャンダラスな事件としても話題になった。

どんな点がアップデートされたのか

ランサムウェア攻撃が暴露型に変化したのも2024年の大きな特徴といえる。この変化の影響は、侵入方法や侵入してからの攻撃手法、利用されるマルウェアにも影響を与えている。

以前は、侵入したらすぐに暗号化して警告画面を出して脅迫していた。現在は、侵入してから外部サーバーなどと通信しながら、マルウェアをインストールしたり、機密情報を得るため、他のサーバーへのハッキングを隠密裏に行う。脅迫もすぐに行うのではなく、脅迫に有効な情報を精査し、外部に持ち出してから暗号化やデータ破壊、脅迫を行う。脅迫は時として複数回行われる。情報を小出しにして何度も足元を見てくるわけだ。
このように、侵入してから段階を踏み、標的内部に深く入り込み、長期的な攻撃を繰り返す手法は、APT(Advanced Packaging Threat:高度かつ継続的な攻撃)のサイバーキルチェーンに通じるものがある。

金銭目的のランサムウェアは、これまでAPTや国家支援型の攻撃、サイバーテロとは距離を置いたものだった。ランサムウェアグループが組織的な動きをすると言っても、いわゆるマフィアやギャング、犯罪組織だ。だが、暴露型・情報窃取(Infostealer)のみの攻撃が増えると、APT攻撃との区別が難しくなる。ウクライナ戦争では、ロシア系のAPTがInfostealerを利用していることが確認されている。

このように2024年のランサムウェア攻撃の風景はこれまでと変わった様相を呈している。対策も暴露型を前提としたものに強化しておく必要があるだろう。ランサムウェアを想定したバックアップと保存データの暗号化、保存場所や媒体の冗長化・分散化が有効とされる。

フィッシングメールがランサムウェアの最初の侵入経路であることに変わりはないが、企業ランサムウェアの侵入経路にリモートデスクトップVPN装置の脆弱性の利用が増えている。暴露型・APT型が増えることで、脆弱性を利用した攻撃への備えも強化する必要がある。

ランサムウェア以外で注目すべきインシデント

2024年に起きたインシデントで、ランサムウェア攻撃以外でも警戒を強めたほうがいいものがある。

データウェアハウスやクラウドストレージへの攻撃
データ漏洩に関して、別の動きもある。国内ではあまりニュースになっていないが、Snowflakeというクラウド型データウェアハウスサービスがサイバー攻撃を受け、利用者が保存していた情報が漏洩するインシデントが発生している。160社以上の企業データが漏洩したとされる。

専門家が懸念・指摘するのは、2次被害の拡大だ。漏洩したデータに企業内のアカウント情報が含まれていた場合、そのアカウントで業務システムにログインされ、ランサムウェアやデータ窃取などに悪用される。AI市場の拡大によりシミュレーションやデジタルツインが広がっていくとき、膨大なデータのクラウド保存、ビッグデータの保存先としてのデータウェアハウス、データレイクのセキュリティが問われることになりそうだ。

BlackHat USAを始め、主だったセキュリティカンファレンスでは、AWSのS3などクラウドストレージの脆弱性やハッキング手法の発表もあった。クラウドストレージやデータウェアハウスのバケットやストレージリソースは日常業務の中で半自動的に生成されることがある。これらの設定や管理方法にも目を向けたい。

脆弱性情報の管理負荷増大
脆弱性発見も増加傾向にある。Qualysの脅威分析部門のレポートによれば、2024年は前年比で30%ほどCVE(脆弱性報告)が増えているという。実際の攻撃に利用される比率は多くないが(1%以下)、パッチ未公開のものやゼロデイ状態になっているシステムでは、攻撃の成功率は高く大きな被害に結び付きやすい。

CVEの件数が増えるということは、脆弱性ハンドリングの工数も増えるということだ。また、2024年は、Microsoft製品のケルベロス認証処理、セキュリティベンダーの管理ソフト、WordPressなどの脆弱性は攻撃事例が確認されている。自社システムを適切な状態に保つためには、どの脆弱性情報が自社システムにとって重要かを見極める目が求められている。SBOMやアセットリストの整備と、管理プロセスの自動化や脆弱性情報ごとの適切なリスク評価が不可欠となる。