ランサムウェア攻撃で「二重脅迫」や「大物狩り」の手法、研究者が注意喚起--Black Hat

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2021-08-06 11:04

 Cisco SecureのリサーチエンジニアEdmund Brumaghin氏は「Black Hat USA 2021」で、高い収益を得ようとする「big game hunting」(大物狩り)と呼ばれるトレンドの下、ランサムウェア実行犯の用いる戦術がさらに進歩していると述べた。

big game hunting
提供:Cisco Talos

 同氏は、こうした大物狩りの潮流が「メインストリーム」になり、サイバー攻撃者らは標的のシステムにすぐにランサムウェアを仕掛けなくなっていると述べた。ランサムウェア「SamSam」を用いた典型的な攻撃などに見られるように、脅威アクターはエンドポイントを通じて最初のアクセスポイントを確保した後、ネットワーク内を水平移動(ラテラルムーブメント)し、できる限り多くのシステムへのアクセスを得ようとすることが多くなっているという。

 同氏は、「彼らは自らの統制下に置いた環境を最大限に活用できるようになってはじめて、ランサムウェアを一斉に配備する」と述べ、「これにより、標的となった組織では単一のエンドポイントが侵害されるのではなく、サーバー側インフラの70~80%で同時に業務に支障が生じることになる。その結果、こうした組織は身代金を支払わざるを得ない状況に追い込まれる。攻撃者らはそれをよく理解している」と続けた。

 被害者は、システムの統制を失った後、新たな問題に直面する。これが最近になって増加してきている「二重脅迫」(double extortion)だ。攻撃者はネットワーク内に潜伏している間にファイルをあさり、顧客やクライアントの情報のほか、知的財産(IP)といった企業の機密データを盗み出し、それらを販売したり、公開するとして被害者を脅迫する可能性がある。

 Brumaghin氏は、「サーバーへのアクセスを回復したければ、身代金を特定の期間内に支払えというだけでなく、その時までに支払いがなければ、すべての機密情報をインターネット上で一般公開し始めると脅すことになる」と述べた。

 「ランサムウェア攻撃に、さらなる脅迫が追加される」と同氏が表現するこの戦術は、近年よく見られるようになっており、ランサムウェアの実行犯は、データダンプ目的や被害者とのやり取りのためのポータルとして、ダークウェブと通常のウェブの双方に「漏えいサイト」を作成している場合がある。

 同氏によると、これは「非常に強力な組み合わせ」の手法であり、深刻化している。サイバー犯罪者は、初期アクセスブローカー(IAB)を利用することで攻撃の準備段階を省略するようになっている。こういったIABとのやり取りは、ダークウェブ内のフォーラムで個別に行われている。このような中間業者は、VPNの脆弱性を通じて、あるいは盗み出した認証情報から獲得した、システムへの初期アクセス手段を販売している。このため、攻撃者が標的とするネットワークに対するアクセス料金を支払う意志さえあれば、マルウェアの感染に向けた初期作業を省き、時間と労力を節約できるようになる。

 また、Ciscoのセキュリティチームは、ランサムウェア「カルテル」の増加が見られると指摘している。情報を共有し、協力して、収益化につながる可能性の高い手法や戦略を見いだすグループだ。

 Brumaghin氏は次のようにコメントした。

 私たちは、非常に多くの新たな脅威アクターがこのビジネスモデルを導入し始めていることを確認している。新たな脅威アクターの台頭が見られることが続いているため、これは企業が本当に認識する必要があるものとなっている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    マンガで解説--企業に必要な「WAF」と「FW」の違い

  4. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]