※本記事は2021年6月29日に公開されたCybereasonのブログ『サイバーリーズンvs.REvilランサムウェア』から抜粋・再編集しています。

ランサムウェア攻撃による被害が国内外を問わず大きな脅威になっています。

2021年5月30日（現地時間）にはブラジルに本社を持つ食肉加工最大手のJBS社がランサムウェアによる深刻な被害を受けたとして、広く注意喚起がされています。

JBS社はこの攻撃で製造能力の大部分が操業停止に追い込まれ、サプライチェーンの停止と商品コストの急激な上昇のリスクに直面。同年6月9日、同社のCEOアンドレ・ノゲイラ氏の声明により、犯行グループに対して1,100万ドル（日本円で約12億4,100万円※2021年11月10日現在）相当の身代金を仮想通貨で支払っていたことが分かっています。

なお、この攻撃には、ハッカー集団『REvil（レヴィル）グループ』が関与していたとして、11月8日（米国時間）、米司法省（DoJ）により2名の容疑者が起訴されました。

このようなランサムウェア攻撃に対応するためには、彼らの手口を把握し、適切な対策を行う必要があります。

この記事では、REvilの概要と、ランサムウェア対策の一翼を担うセキュリティソリューションの機能を解説します。

出典：Cybereason『サイバーリーズンvs.REvilランサムウェア』／JBS Foods『JBS USA Cyberattack Media Statement - June 9 』／Department of Justice『Ukrainian Arrested and Charged with Ransomware Attack on Kaseya』

REvilとは？

REvilは、RaaS※1を提供しているロシア系のハッカー集団で、世界的にも大きなサイバーカルテルの一つです。2019年6月に消滅したとされるGandCrab（ガンドクラブ）※2との類似点が多いことから、REvilはGandCrabの派生であるという見方もされています。

また、REvilが配布しているマルウェアそのものをREvilと指すこともあります。（別名として、Sodinokibi（ソディノキビ）、Sodin（ソーディン）とも呼ばれる）

ランサムウェアとしてのREvilは2019年に確認されたばかりの比較的新しいマルウェアであり、攻撃性が高いことで知られています。検知を逃れる能力に長けており、数多くのテクニックを使って正体を隠し、セキュリティツールの検知を回避します。

※1・・・Ransomware as a service：サービスとしてのランサムウェア。ランサムウェア攻撃をたやすく行えるようにまとめたパッケージのこと。ダークウェブ上で公開・取引される。

※2・・・2018年1月に登場したRaaS。2019年5月末に引退を表明している。

国内の被害事例

REvill（Sodinokibi）と見られる被害は、国内においても事例が報告されています。

IPAでは、被害状況の把握や対策検討のため、サイバー攻撃に関する届出を受け付け、事例として公表しています。2020 年下半期（7 月～12 月）に受理された届出のなかには、REvilと見られる被害報告も確認できます。

届出者（企業）がクラウド環境で利用している社内システムが停止したため、調査したところ、サーバ内のファイルが暗号化されており、復旧と引き換えに金銭を要求する脅迫文のようなテキストファイルが見つかった。ファイルの特徴からSodinokibi と呼ばれるランサムウェアに感染したと思われる。原因について詳細に調査を行ったところ、テレワークに対応するために、クラウドへアクセス可能な IP アドレスの制限を緩和し、インターネットからのアクセスを許可した結果、攻撃者に悪用され不正アクセスを受けたものと考えられる状況であった。IP アドレス制限を再設定して対策するとともに、WAF や監視システムの導入による再発防止策を実施した。

出典：IPA『コンピュータウイルス・不正アクセスの届出事例［2020 年下半期（7 月～12 月）］』

REvilによる被害は決して対岸の火事ではありません。このような状況に陥らないためにも、攻撃を防ぐ対策を講じることが重要です。

REvilを操る攻撃グループの手口

REvilを操る攻撃グループの主な手口は二重脅迫で、ランサムウェア攻撃が成功すると『Happy Blog』と呼ばれるリークサイトで証拠を公開（現在は閉鎖されています）。具体的には以下のような流れで脅迫を行います。

1. システムに侵入し情報を窃取
2. システムを暗号化して身代金を要求
3. 支払いに応じないと窃取した情報を公開・販売するなどと脅迫

まず標的のシステムから機密性の高い情報を盗み出し、暗号化に取り掛かります。

暗号化が完了すると、暗号を解除する鍵と引き換えに身代金を支払うよう要求する脅迫文を被害者に送り付けます。

そして、身代金の支払いを拒んだときには盗んだデータをネット上に公開するなどと脅迫。暗号の解除を必要としなくても、被害者は身代金を支払わなければならない状況に置かれてしまいます。

既知のマルウェアの情報はもちろん、リアルタイムで蓄積・更新されていく脅威インテリジェンスを基にした対策が求められます。

ランサムウェア攻撃に強いCybereasonのソリューション

ランサムウェア攻撃から防御するには、初期段階、とくにリアルタイムの対策が不可欠です。

そのためには、ランサムウェアによる振る舞いの痕跡（IOB）をよりきめ細かく可視化できることが求められます。

ランサムウェアがどのように行動するのかが分かれば、ランサムウェアの攻撃を即座に検知して攻撃を防ぐことも可能です。

伊藤忠テクノソリューションズでは、ランサムウェア攻撃に力を発揮するソリューションの導入を支援いたします。

Cybereason EDR

Cybereason EDRは、ネットワーク環境を常に監視してクラウド上のAIエンジンが分析します。攻撃をリアルタイムで検知するほか、詳細な内容を管理画面で確認することも可能です。

また、攻撃を受けた複数の端末の隔離・プロセスの停止・ファイルの隔離・レジストリの削除なども遠隔から操作できます。攻撃の全体像を即座に把握して素早いインシデント対応を行うことで、被害の最小化に役立ちます。

さらにCybereason EDRは完全日本語対応、日本法人による強力なサポートも受けられます。進行している攻撃も直感的に理解できるUIに加え、専属のカスタマーサクセスによる支援やトレーニング、ミーティングなどを通じて、強固なセキュリティ体制を実現します。

まとめ

現在最大のランサムウェアカルテルとされるREvilグループは、世界中の大手企業に対するサイバー攻撃を仕掛け、多額の身代金を要求しています。

REvilグループは二重脅迫を主な手口としており、世界のランサムウェア被害の約40％を占めるGandCrabとの関連性も疑われています。

攻撃を受けた組織のなかには、人々の生活への影響を懸念して支払いに応じるケースも見られます。

こうしたランサムウェア攻撃の被害を食い止めるためには、既知・未知を問わずにリアルタイムで検出・ブロックできるソリューションが有効です。

サイバー攻撃の脅威への対策にお悩みなら、ぜひCybereason EDRをご検討ください。