※本記事は2021年8月17日に公開されたCybereasonのブログ『身代金の相場を吊り上げた3つのランサムウェア』から抜粋・再編集しています。

進化し続けているサイバー攻撃の手法に対し、従来のセキュリティ対策では不安を感じるという企業さまも多いのではないでしょうか。

サイバー攻撃のなかでも、近年大きな脅威として注意喚起されているのがランサムウェア攻撃です。

IPA（独立行政法人 情報処理推進機構）が毎年発表している『情報セキュリティ10大脅威2021』によると、組織における脅威の1位に『ランサムウェアによる被害』がランクイン。前年の5位から1位へと上昇した裏側には、昨今の深刻な被害が影響しているものと考えられます。

本記事では、猛威をふるっているランサムウェア攻撃のなかでも、高額な身代金請求となった事例を、攻撃グループ別に分けて解説します。併せて、ランサムウェア攻撃の対処法についても紹介します。今後のセキュリティ対策の参考にしてください。

REvil（Sodinokibi・Sodin）の事例

大手企業に対する二重脅迫を主な手口としているREvil。REvilは、2021年4月に世界的なラップトップ（ノートPC）ベンダーでありApple社の提携先の企業である、Quanta Computer社に攻撃を仕掛けました。

REvilは、まず盗み取った当時未発表のApple社製品の回路図公開を盾に、身代金5,000万ドル（日本円で約56億9,200万円※11月15日現在）を要求しました。

一方のQuanta Computer社は支払いを拒否。

これを受けたREvilは、攻撃の矛先をApple社に切り替えて再度脅迫を開始、身代金の額を1億ドル（日本円で約113億8,400 万円※11月15日現在）まで増額しました。

なお、この事例では、盗まれた製品の回路図情報を攻撃者に一部公開されるなど、サプライチェーンを狙った脅迫だけでなく情報漏えいの被害も見られています。Quanta Computer社およびApple社では、身代金の支払いを行ったかどうかについては明言していません。

DarkSideの事例

燃料供給というインフラを狙い、440万ドル（日本円で約5億円※11月15日現在）の身代金を請求したDarkSide。

2021年5月、DarkSideはアメリカの石油移送パイプライン大手であるColonial Pipeline社のシステムに侵入。数時間で100GB以上のデータを盗み取り、システムを暗号化してデータへのアクセスを不能にしました。

DarkSideの攻撃によりデータへのアクセスができなくなったことで、同社はテキサス州ヒューストンとニューヨーク港の間におけるパイプラインの操業を一時停止しました。

広範囲にわたる燃料供給がストップしたため、多くのガソリンスタンドでは燃料が不足し、燃料を求めた客がガソリンスタンドに殺到するという状況に発展しました。Colonial Pipeline社が供給を行っていない地域でも同様のパニック買いが見られたとされています。

この事態にFMCSA（連邦自動車運送業者安全局）は緊急事態を宣言。

Colonial Pipeline社は事態の収束のために身代金の支払いに応じました。

一時は攻撃者の要求どおりとなっていましたが、その後の捜査により身代金の一部を回収。DOJ（アメリカ司法省）は、現地時間の6月7日、230万ドル（日本円で約2億6,100万円※11月15日現在）相当のビットコインを押収したと発表しています。

出典：DOJ『Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside』／FMSCA『ESC-SSC-WSC-Regional Emergency Declaration 2021-002-05-09-2021』

Phoenixの事例

2021年3月、アメリカ国内大手の保険会社CNA社に攻撃を仕掛けてネットワークの混乱を引き起こし、4,000万ドル（日本円で約45億5,360万円※11月15日現在）の身代金を請求したPhoenix。

Phoenixは、同年3月5日から20日の間に正規のツールや認証情報を使用してCNA社のシステム内に潜り込み、重要情報をコピー。また、20日から21日にかけて、監視やセキュリティツールの無効化、バックアップの破壊および無効化などを行い、ランサムウェアを展開したとされています。

CNA社は身代金の支払いに応じたと報じられていますが、同社は身代金について公表していないと述べています。現在では完全に復旧しており、盗まれた情報が公開・利用・販売された証拠はありません。

出典：CNA『cna-breach-notice-bc.pdf』『cna-financial-bc-legal-notice-sec-incident.pdf』

初期段階で脅威を検知する『Cybereason EDR』

ランサムウェア攻撃は、今回取り上げた3事例の通り、高額な身代金を要求、脅迫するケースがあるため、侵入させないことが肝要になります。

ランサムウェアは、メールやWebサイト、ソフトウェアの脆弱性を悪用し、ネットワーク経由で感染します。

ランサムウェア攻撃から防御するためには、侵入の入り口であるエンドポイントでウイルスを検知することが必要です。

『Cybereason EDR』は、巧妙に隠された悪意ある活動を早期に検知できるソリューションです。Windows・Mac OS・LinuxなどさまざまなOS環境に対応し、複数台のエンドポイントを一括で操作することも可能です。センサーがネットワーク内を常に監視するだけではなく、AIが不審な活動の要素を相関分析。分析結果は不審事項として監視して疑わしい攻撃を絞り込み、Malop※1として特定します。

MalopはCybereason EDRの管理画面で確認でき、攻撃の危険度や規模、感染してからの経過時間なども可視化されています。

インシデント発生から現在までの状況を一目で把握できるため、迅速かつ適切な判断に貢献します。

※1・・・Malicious Operationsの略で、悪意のある操作を指し、サイバー攻撃における一連の流れを表す。

まとめ

海外だけではなく、国内でも被害報告が相次いでいるランサムウェア攻撃は、すでに身近な脅威といってもよいでしょう。

攻撃者は、暗号化や機密情報の窃取、情報漏えいなどを盾にプレッシャーを与え、企業の大切な資産を奪おうとしています。

なかには身代金の支払いに応じる企業もあるため、現時点ではランサムウェア攻撃の撲滅は困難な状況といっても過言ではありません。

ランサムウェア攻撃を退けるには、適切な対処が重要です。

伊藤忠テクノソリューションズでは、ランサムウェア攻撃に対処できるソリューションの導入を支援しております。

「自社のサイバーセキュリティに不安を感じている」「検知情報を可視化してサーバー監視を強化したい」などとお考えならぜひ一度ご相談ください。