セキュリティの今日、そして明日を読む

ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説

2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。

ランサムウェアの背後にいるサイバー犯罪集団「Darkside」

米連邦捜査局(FBI)は、東欧地域が起源と考えられ、「Darkside」と呼ばれるサイバー犯罪集団が、この攻撃の背後にいることを確認しました(※編注:以下、ランサムウェア名は「DARKSIDE」、攻撃者名は「Darkside」と表記します)。使用されたランサムウェアファミリー「DARKSIDE」は、2020年8月に初めて発見された比較的新しいものですが、背後のサイバー犯罪集団は、過去に金銭的に大きく成功した経験を生かしているようです。ブルームバーグの報道によると、Darksideは、標的した企業の端末をロックしたほか、100GB以上の機密情報を窃取したとされています。このようにDarksideは、被害者に対して端末のロック解除と引き換えに身代金を要求するだけでなく、窃取した情報の代金も要求するという「情報暴露型」の「二重脅迫」の手口を駆使してきた経緯があります。そしてデータ暗号化と情報漏えいの「二重脅迫」にとどまらず、他のサイバー犯罪集団と一線を画す新たな手法も発揮しています。DDoS攻撃などによっても脅迫を行う「四重脅迫(Quadruple Extortion Services)」と呼ばれる手口をも展開しています。
(2021年5月に掲載)

ブログ