米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)は米国時間10月18日、食品や農業分野の企業2社を狙った最近の攻撃に、ランサムウェアグループ「BlackMatter」が関与しているとの見解を公式に発表した。NEW CooperativeとCrystal Valleyを標的にした9月の攻撃にBlackMatterが関わっているという、一部のセキュリティ研究者の評価を裏付けるかたちとなった。
アイオワ州に拠点を置く農業サービス企業のNEW Cooperativeは9月20日に攻撃を受け、BlackMatterから590万ドル(約6億7000万円)の身代金を要求されたとみられている。ミネソタ州のCrystal Valleyもその2日後に攻撃に遭った。いずれも、農家にとって収穫が本格化する時期を狙って攻撃されている。
CISA、FBI、NSAが発表した共同アドバイザリーは、BlackMatterが7月以降、米国で複数の重要インフラを標的にしていると警告した。同グループの手口を詳細に検証し、通常どのような戦術で組織を攻撃しているかを説明している。
CISAはアドバイザリーで、「BlackMatterは、埋め込まれている、以前侵害された認証情報を使い、Lightweight Directory Access Protocol(LDAP)とServer Message Block(SMB)プロトコルを使用して、Active Directory(AD)にアクセスし、ネットワーク上のすべてのホストを発見する」と述べた。
「そしてBlackMatterは、見つけたホストと共有ドライブをリモートから暗号化する。重要インフラを狙ったランサムウェア攻撃は、重要インフラサービスを利用する消費者に直接影響を与える可能性がある。そのためCISA、FBI、NSAは、重要インフラ事業体を含むすべての組織に対して、この共同アドバイザリーの緩和策セクションに記載されている、推奨事項の実施を強く求めている」(アドバイザリー)
CISAらによると、BlackMatterは「サービスとしてのランサムウェア(RaaS:ランサムウェア・アズ・ア・サービス)」モデルで運営されており、5月に米石油パイプライン大手のColonial Pipelineを攻撃した後、活動を休止していたとみられる「DarkSide」が名前を変えて再浮上した疑いがあるという。
BlackMatterは身代金として、8万〜1500万ドル相当のBitcoinやMoneroを要求している。
「BlackMatterのこの亜種は、侵害したオリジナルのホストから、埋め込まれた認証情報とSMBプロトコルを使用して、ADMIN$、C$、SYSVOL、NETLOGONなど、発見した共有のコンテンツをすべてリモートから暗号化する。BlackMatterの攻撃者は、『Linux』ベースのマシンの場合、別の暗号化バイナリーを使用し、『ESXi』仮想マシンも日常的に暗号化している。そして、バックアップシステムを暗号化する代わりに、バックアップデータストアやアプライアンスを消去したり、再フォーマットしたりする」とアドバイザリーでは説明されている。
「BlackMatterはしばしば試用アカウントを設定し、正規のリモート監視・管理ソフトウェアとリモートデスクトップソフトウェアを使って、被害者のネットワーク上で永続性を維持しようとする。そして恐喝のためにデータを抜き取ろうと試みる。BlackMatterは、SMBプロトコルを介して共有部分をリモートで暗号化し、各ディレクトリーにランサムノート(身代金を要求するドキュメントなど)を仕掛ける。そしてバックアップシステムを完全に消去してしまうこともある」
アドバイザリーは、BlackMatter対策として数十項目を挙げており、検出シグネチャーの実装、強力なパスワードの利用、多要素認証の導入、定期的なパッチ適用、ネットワークのセグメント化、アクセス制限の導入などを推奨している。
ランサムウェア攻撃は週末や祝日に増加する傾向があるため、CISAは管理者レベル以上で設定されたアカウントに時間ベースのアクセスを導入することを提案している。
FBIは9月、食品・農業分野の企業を対象にサプライチェーンの混乱を狙うランサムウェア攻撃について警告する独自の通知を公開した。FBIは、「業務を混乱させ、経済的損失を引き起こし、食品のサプライチェーンに悪影響を及ぼす」と注意を促した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
