レポート

ランサムウェア攻撃:ビジネスモデルと攻撃手法の変化

ランサムウェアの攻撃者は適応と改善の方法を学んできています。これらの攻撃者は、被害者の組織内で暗号化したいデータを特定すると、多くの場合はそれを単に暗号化するのではなくネットワークの外部に持ち出します。この戦略により第二の手立てが可能となり、被害者の組織が暗号化データを元に戻すために身代金を支払おうとしない場合、攻撃者はそのデータを公開すると脅すことができるようになります。現代の企業にとって、知的財産、機密情報、従業員の個人情報(PII)、および顧客データに関わるデータ漏えいは大きな代償を伴います。規制上の罰則、訴訟、評判の悪化が生じるのは言うまでもありません。

最新のランサムウェア攻撃で特筆すべき共通点は、人の手で管理しながら複数の段階にわたってネットワークを乗っ取ることを重視していることと、リンクのクリックによって自動的に実行されるイベントではないということです。このため、最新のランサムウェア攻撃は、ランサムウェアのペイロードを使用した標準的な標的型攻撃と言えます。被害者のネットワークを手動でハッキングするプロセスは、成功させるまでに数日から数カ月といった多くの時間を要する場合があります。これは、ランサムウェアのペイロードが実行される前に、攻撃者がすでにネットワーク内の複数の場所に入り込んでいる可能性があることを意味します。

このように攻撃者の存在が目立たないというだけでも、ランサムウェア攻撃に対するネットワークとシステムの保護が難航しかねません。また、サイバーセキュリティの専門家にとっても、最新のランサムウェア攻撃による個別の痕跡を1つにまとめ、攻撃が行われていることに気づくのは難しい場合があります。さらに困難なことに、これらのランサムウェアの攻撃者は、より目立ちにくい一般的な正規ツールを用いて横展開(ラテラルムーブメント)を行うのが通例です。これにより、この類の攻撃がさらに見つけにくくなります。

以上をまとめると、単に自動化された攻撃ではなく標的型攻撃を採用する最新のランサムウェアの戦略は、数に任せて感染をばらまいて獲物を捕らえるやり方からは離れて、標的型の手法へと向かっています。最新のランサムウェアでは、攻撃者はまず大規模な標的を探した後、ランサムウェアのペイロードを実行する準備が整うまで、被害者のネットワークの各部分を制圧するためにかなりの時間を費やします。この点で、これらの攻撃は従来のランサムウェアによるインシデントというより国家的なAPT(標的型サイバー攻撃)の様相を呈します。このような新種のランサムウェアについてわかりやすく説明するために、ここではNefilimランサムウェアファミリの詳細な事例を取り上げます。

Nefilimは主に数十億ドル規模の企業を標的にすることで知られており、このトピックにふさわしい事例です。また、企業における防御戦略の策定方法についても説明し、どのようにすれば企業ネットワーク内で最新のランサムウェア攻撃を防御し、影響を軽減できるかも示します。複数レイヤの検出と対応を行うツールと技術8を用いることで、脅威アナリストやインシデント対応(IR)チームは見つけにくい脅威を発見できるようになります。
(2021年10月に掲載)

Archive