米国の連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)、財務省は米国時間7月6日、ランサムウェア「Maui」に関するセキュリティアラートを発出した。この、さほど有名ではないランサムウェアは2021年5月以来、ヘルスケアおよび公衆衛生(HPH)組織のITサービスを標的にしてきている。
提供:Dzelat/Shutterstock
同アラートによると、このランサムウェアの本体は「maui.exe」というWindowsの実行ファイルであり、初期の分析では暗号化の対象となるファイルを攻撃者が手作業で選択するようになっているようだ。
FBIはMaui攻撃の背後には北朝鮮が支援するサイバー犯罪者らがいるとし、2021年5月以来、米国のヘルスケア組織におけるインシデントに対応してきている。
これら機関は、Mauiによるヘルスケア分野への攻撃が今後も続いていくと考えている。というのも、攻撃者らは同分野の組織が身代金の支払い要求に応じると考えている節があるためだ。
今回のセキュリティアラートには「FBIは、北朝鮮が支援しているサイバー犯罪者らによって、HPH分野の組織に対してMauiランサムウェアが展開されていると判断している。北朝鮮の支援を受けたこれらサイバー犯罪者は、ヘルスケア組織が人命や健康をつかさどる重要なサービスを提供しているため、身代金の支払い要求に応じると考えているようだ」と記されている。
また、「FBIとCISA、財務省はこういった仮定から、北朝鮮が支援するサイバー犯罪者らによるHPH分野の組織への攻撃が今後も続いていくとみている」とも記されている。
今回のセキュリティアラートは、セキュリティ企業Stairwellの主席リバースエンジニアであるSilas Cutler氏のレポートを引き合いに出している。なお、このレポートには、Mauiの背後にいると考えられるサイバー犯罪者らに関する言及は含まれていない。
しかしCutler氏は、Mauiには身代金の要求文書が埋め込まれておらず、攻撃者らがコマンドラインを用いて手作業で操作していると考えられる点から、同ランサムウェアが他のよく知られている「Conti」や「LockBit」「BlackCat」といった「サービスとしてのランサムウェア」(RaaS)とは一線を画しているとしている。またStairwellによると、Mauiのファイル暗号化戦略は、Contiが2021年に用いていたものとよく似ているという。
FBIは2021年5月以来、Mauiランサムウェアのヘルスケア組織を標的とする複数のインシデントに対応してきており、そこではさまざまなヘルスケア関連のITサービスが暗号化の対象となっていると述べた。
今回のセキュリティアラートによると、「北朝鮮国家が支援しているサイバー犯罪者らはこれらのインシデントでMauiランサムウェアを使い、電子健康記録(EHR)サービスや診断サービス、画像サービス、イントラネットサービスを含むヘルスケアサービスを提供しているサーバー群を暗号化した」という。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
