サイバー攻撃による多大な被害が後を絶ちません。

2020年5月7日、アメリカ石油移送パイプライン大手の『コロニアル・パイプライン』が、ランサムウェア攻撃により供給システムを一時的に停止するという事態が発生。アメリカ各地でパニック買いやガソリン不足が引き起こされました。

この事態を受けて、FMCSA（連邦自動車運送業安全管理局）は緊急事態を宣言。
FBI（連邦捜査局）は、事件の攻撃者として『Dark Side』という攻撃グループが関与しているとの見方を現地時間の5月10日に示しました。

ビットコインで支払われたとされる身代金の一部はFBIにより押収されましたが、今回の攻撃で攻撃者がつねに進化しており、より大きな組織を標的としていることを知らしめる結果となりました。

人々の生活を脅かすサイバー攻撃に対して、未然に防ぐ手立てはないのでしょうか。本記事では、パロアルトネットワークス社のコラムを基に、Dark Sideの概要や、手口、対策方法などを解説します。

出典：FBI『コロニアルパイプラインランサムウェア攻撃に関する記者会見で副所長が講演』／FMSCA『ESC-SSC-WSC-地域緊急宣言2021-002-05-09-2021』／paloalt networks『米パイプライン企業へのランサムウェア攻撃に関与した攻撃グループ「DarkSide」の概要』

Dark Sideとは

Dark Sideは2020年10月頃から脅威を与えているサイバー犯罪集団です。
これまで国家レベルへの攻撃にしか見られていなかった規律性を見せており、犯罪ビジネスの投資収益率を高めています。

ただ標的を攻撃するだけでなく、RaaS（Ransomware-as-a-Service：サービスとしてのランサムウェア）を開発、ほかの攻撃者に販売して利益を得ています。実際のコード開発やインフラ、オペレーションは外部に委託し、グループのメンバーはダークウェブ※1を利用して募集。この結果、各組織で最も価値のあるデータの調査に集中し、多額の金銭窃取を実行しています。

また、身代金を支払いさえすれば復号キーを提供したり、窃取したデータを削除したと思わせる証拠を提示したりなどの行動を見せます。尋ねられれば、侵入方法をターゲットに伝えることもあり、自らを企業・組織にとって信頼できるセキュリティパートナーとして位置づけようとしている点もDark Sideの特徴といえるでしょう。

※1・・・非合法な情報やマルウェア、麻薬などが取引されているWebサイト。通常の検索エンジンからはアクセスできず、専用のツールが必要とされる。

Dark Sideの手口

Dark Sideの手口は、システムのアクセス権を奪って身代金を要求するだけではありません。一般的なランサムウェア攻撃では、標的のネットワークに侵入し、ファイルを暗号化して復号を引き換えにします。

しかし、標的のなかにはデータをバックアップしていたり、アクセス権のために身代金を支払う必要性を感じなかったりするケースもあります。

このようなケースに対してもDark Sideは対策を講じています。Dark Sideはネットワークに侵入後、暗号化だけでなく機密データを窃取します。アクセス権の回復では支払いに応じられなくても、窃取したデータを引き換えにすれば支払いに応じる場合があるためです。

Dark Sideは以下のような流れで標的にプレッシャーを与えます。

　①典型的なランサムウェア攻撃：ファイルを暗号化、アクセス権の回復と引き換えに身代金を要求

　②二重脅迫：①に応じない場合、窃取した情報を公開すると脅迫

　③三重脅迫：①②に加えて、DDoS攻撃で脅迫

たとえ拒否されてもさらなる攻勢がかけられるよう、データを公開すると脅迫したり、DDos攻撃を仕掛けたりして強硬に迫るのが最近の手法です。

この手法は、二重脅迫・三重脅迫と呼ばれており、Maze、Sodin、Clop、NetWalker、Contiなどと同様の手口です。

Dark SideのTTP（戦術、技術、および手順）

Dark Sideは、標的のネットワークに侵入するための手法として、以下のようなソフトウェアやツールを使用していることが確認されています。

• リモート監視・管理ツール（Any Desk・TeamViewerなど）
• 偵察ツール（ADRecon）
• エクスプロイト（脆弱性利用型不正プログラム）ツール（Mimikatz）
• PCの動作制御を行うソフトウェア（PowerShell）
• パスワード管理ツール（Deshlane、LastPassなど）
• SQL Serverを対象としたダンプ作成ツール（SQLDumper.exeなど）
• 社内のメッセージングソフトウェア。
• ファイル転送ソフト（Rclone）

Dark Sideをはじめとする多くの攻撃者は、標的のネットワークに侵入してもすぐにランサムウェアを実行するわけではありません。より深く侵入して認証情報や機密情報を窃取し、速やかに情報を外部へ送出・攻撃実行のタイミングを図ります。

また、正規のツールや、社内で一般的に活用するようなツールが多く利用されていることからも、攻撃がより巧妙になっていることが推察できるのではないでしょうか。

こうしたサイバー攻撃はセキュリティ対策製品に合わせてさらに進化を続けていくでしょう。企業・組織はつねに攻撃に備える防御策を講じることが大切です。

最新のランサムウェア攻撃に適したソリューション

Dark Sideのような脅威に対する防御策として適したソリューション・サービスを2つご紹介します。

Strata

Strataは、ゼロトラストネットワークを実現する次世代ファイアウォールです。

エクスプロイト攻撃、情報漏洩、ウイルスなど、既知の脅威に対する防御だけでなく、未知の脅威への対応も可能です。

自動化および機械学習を活用しているためエラーを削減。事後対応ではなくインシデント発生前に対応できます。

Cortex XDR

Cortex XDRは、エンドポイントやネットワーク、クラウドなどの範囲に捉われず、企業全体を可視化する統合型セキュリティプラットフォームです。

AIと機械学習が網羅的にログデータを収集・相関して対処するため、脅威の発見や封じ込めなどを迅速に対応できます。

まとめ

Dark Sideは、人々の生活になくてはならない石油移送パイプラインを狙うことで、標的となった組織のセキュリティの脆弱性や、サイバー犯罪が人々の脅威であることを世界に知らしめました。

Dark Sideは、典型的なランサムウェア攻撃に、情報の窃取やDDoS攻撃を加える多重脅迫を行います。また、攻撃に使用するRaaSをほかの攻撃者に販売しているため、企業・組織はより多くの脅威に対する防御策を講じる必要があります。

そのためには、既知・未知を問わず、多様な脅威に対する保護を行うセキュリティ対策ソリューションの活用が不可欠です。

サイバー攻撃の脅威に対する防御策をご検討ならお気軽にご相談ください。