ランサムウェア「Medusa」の被害が世界で拡大--その攻撃手法や防衛手段は?

Lance Whitney (Special to ZDNET.com) 翻訳校正: 編集部

2025-03-24 11:33

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 米連邦当局は先ごろ、「Medusa」と呼ばれるランサムウェア攻撃について、個人や組織に注意を呼びかけている。既に被害者は数百に及ぶとされている。米連邦捜査局(FBI)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数国家情報共有分析センター(MS-ISAC)は共同勧告を発表し、その攻撃手法や防衛手段について詳しく説明している。

Medusaとは何か?

 Medusaは、RaaS(Ransomware-as-a-Service)の亜種であり、2021年6月に初めて確認された。医療、教育、法律、保険、テクノロジー、製造などの重要インフラ組織を標的としている。RaaSを通じて、ランサムウェアの開発者は実際の攻撃を実行する利用者(アフィリエイト)にサービスを提供する。2月以降だけで、300件以上の被害が発生している。

 当初はクローズドなランサムウェアの亜種として登場した。つまり、マルウェアを開発したサイバー犯罪者たちが、攻撃も実行していたということだ。しかし、時が経つにつれて、このマルウェアはアフィリエイトモデルに移行した。開発者は、身代金交渉などの業務に専念し、攻撃実行は雇われた攻撃者が行う。開発者は通常、ダークウェブのフォーラムやマーケットプレースで、攻撃実行を請け負うアフィリエイトを募集し、仕事の対価として100ドルから100万ドルを提示する。

 アフィリエイトは、標的とする組織への侵入に、主にフィッシングメールを使うが、パッチ未適用のソフトウェア脆弱(ぜいじゃく)性を悪用して企業のリソースにアクセスすることもある。最初のアクセスに成功すると、犯罪者はさまざまなツールを使ってさらに攻撃を進める。

 「Advanced IP Scanner」や「SoftPerfect Network Scanner」といったツールは、脆弱なユーザーやシステム、悪用可能な開放ポートをスキャンするために使用される。「PowerShell」や「Windows」のコマンドプロンプトも、ネットワークやファイルリソースのリストを作成するために使用される。

 次の目標は、ネットワークを横断して盗用や暗号化が可能なファイルを見つけることだ。そのために攻撃者は、「Remote Desktop Protocol」や「PsExec」と組み合わせて、「AnyDesk」「Atera」「Splashtop」などのリモートアクセスソフトウェアを使用する。有効なユーザー名とパスワードを入手すると、PsExecを使用して特定のファイルやプロセスをシステムレベルの特権で実行する。

 攻撃全体を通じて、犯罪者は自らの足跡を隠し、検知を回避する必要がある。そのため、脆弱なドライバーや署名付きドライバーを悪用して、エンドポイント型脅威検知/対応(EDR)ツールをかいくぐることがある。暗号化用のファイルにアクセスする際、検知を回避するために「Certutil」と呼ばれるユーティリティーがよく使用される。さらに、攻撃者はコマンドの痕跡を消去するためにPowerShellの履歴を削除することがある。

二重の恐喝モデル

 多くのランサムウェアと同様に、Medusaは二重恐喝の手口を用いる。盗まれたデータは暗号化され、被害者はアクセスできなくなるだけでなく、身代金を支払わなければデータが公開されると脅迫される。被害者は48時間以内に身代金要求に応じるよう指示され、さもなければ攻撃者が電話やメールで連絡してくる。

 身代金要求と情報公開までの制限時間が表示される。しかし、期限が切れる前でも、盗まれたデータを購入希望者に売り込むことがある。被害者は暗号通貨で1万ドルを支払うことで、期限を1日延長することができる。

 Symantecが3月に発表した報告書によると、「Spearwing」と呼ばれるグループがMedusaの背後にいるとされる。このグループは2023年初頭から約400件のデータ流出をサイトに掲載しており、実際の被害件数はさらに多いと考えられる。Medusaを使用する攻撃者は、10万ドルから1500万ドルの範囲で身代金を要求している。

Medusaから身を守るには

 Medusaやその他のランサムウェアから身を守るには、どうすればよいだろうか。共同勧告では、大規模な組織を主な対象とした対応策を挙げている。

  • 既知の重大なセキュリティ脆弱性に対してパッチを適用する:OS、ソフトウェア、ファームウェアが全て最新の状態であることを確認する
  • ネットワークをセグメント化する:攻撃者が1つのセグメントやデバイスを侵害しても、他のセグメントやデバイスへの侵害を防ぐ
  • ネットワークトラフィックをフィルタリングする:未知または信頼できないアカウントや個人が社内システムのリモートサービスにアクセスするのを効果的に防止する
  • 使用していないポートを無効にする:攻撃者が脆弱な開放ポートを通じてネットワークに侵入するのを防ぐ
  • 重要データを保護するための復旧計画を策定する:機密データや専有データの複数コピーを、プライマリーネットワークから物理的に分離された場所に保存する
  • 多要素認証(MFA)を有効にする:ウェブメール、仮想私設網(VPN)、重要システムにアクセスする全てのアカウントとサービスにMFAを設定する
  • 異常なネットワークアクティビティーを監視する:ネットワーク上の横方向の動き(ラテラルムーブメント)など異常な活動や動作を検知、警告するツールを使用し、全てのネットワークトラフィックを記録、報告する
提供:ZDNET
提供:ZDNET

この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

関連記事

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 56 選 課題と解決方法を一挙紹介
  2. OS

    Windows 11移行の不安を“マンガ”でわかりやすく解消!情シスと現場の疑問に応える実践ガイド
  3. コミュニケーション

    「元年」となる2025年に知っておきたい潜在能力、AIエージェントとは?
  4. ビジネスアプリケーション

    生成AI活用で変わるシステム開発の現場、生成AIでローコード開発を強化する4つの方法
  5. ビジネスアプリケーション

    コクヨが取り組んだ社内業務のプロセス改革、点在していた100以上の問い合わせ窓口を集約
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. SSDやハードディスクに保存されたデータを完全に消去する方法

  2. フロッピーディスクは今なお現役--発展の歴史と現在の用途

  3. ハードディスクが故障する元凶は熱ではなかった

  4. グーグルが構想するデータセンター向けHDDのコンセプト

  5. NEC、プライマリーストレージに新型投入--統合管理対応と高性能化

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]