サイバーセキュリティ企業ソフォスの脅威インシデントチーム、Rapid Responseチームによると、昨今のランサムウェア犯罪は、データの暗号化にとどまらず様々な脅迫を行って企業に身代金を支払わせようとしているようです。ランサムウェア攻撃は企業恐喝という犯罪ですが、その手法はより「リアル」な犯罪に近づいているのかもしれません。
ソフォスが「暗号化以外の脅迫10項目」
ランサムウェア犯罪の脅迫がデータの暗号化にとどまらなくなってきた背景には、企業がデータのバックアップをとって、暗号化されても復号化キーを得ずにデータを復元できるようになってきたことがあるようです。このためランサムウェア犯罪者はデータの暗号化にとどまらず様々な脅迫を企業に行っているようです。ソフォスのRapid Responseチームは暗号化以外の脅迫として以下の10項目をあげています。
- 窃取したデータの公開や売却をほのめかして脅迫する。
- 被害企業の幹部を含む社員にメールや電話で直接脅迫する。
- 被害企業の取引先や顧客などに、身代金を支払うよう促すことを求めたメッセージを送信する。
- 被害企業に法執行機関等へ通報しないように脅迫する。
- 内部協力者を雇う。
- パスワードをリセットする。
- 被害企業の従業員のメールにフィッシング攻撃を仕掛ける。
- オンラインバックアップとシャドウコピーを削除する。
- POS端末を含むすべての接続されたデバイスから身代金を要求する文書を印刷する。
- 分散型サービス拒否(DDoS)攻撃を仕掛ける。
窃取データの公開をほのめかす手口は、二重脅迫型と呼ばれる昨今のランサムウェア攻撃の特徴的な手口になるわけですが、二重脅迫にとどまらず、社員や会社幹部に直接メールや電話で身代金を支払うように要求したり、法執行機関に連絡をするなと脅したり、標的にした企業の取引先や顧客をも巻き込んで支払いを迫るやり口は、企業トップを監禁し「どくいりきけん」などの脅迫文で世間を震撼させた企業恐喝事件、グリコ・森永事件とその悪質さにおいてなんら変わりはありません。
Revilアフィリエーターの音声公開
物流業者に対するContiランサムウェア攻撃のケースでは、社内で調査中の事故に関与しているドライバーの名前や被害者、その他の情報を流出させて企業に支払い圧力をかけていたことがあるということです。また、Lorenzaランサムウェア攻撃のケースでは、標的とした企業の従業員のメールにフィッシング攻撃を仕掛けてメールアカウントを不正に入手、そのメールアカウントを使用して企業のIT担当や法務、サイバー保険チームに身代金支払いをしなければさらなる攻撃を行うと脅迫していたということです。
ソフォスはランサムウェアの犯罪者が標的とした企業の従業員に送信したとされるボイスメールの音声を公開しています。このボイスメールの音声はRevilランサムウェアのアフィリエーター、つまり犯罪者向けのサービスとして提供されているRevilランサムウェアを使って企業恐喝を行っている者だということです。ソフォスのRapid ResponseチームによるとRevilは、Revilランサムウェアを使って犯罪収益を得ようとする犯罪者のために暗号化されたVOIP通話を提供する無料サービスを立ち上げたと主張しているとのことです。
多層防御とインシデント対応計画の策定
ソフォスは「ランサムウェアが、システムやデータを標的とした単純で技術的な攻撃から、人間も標的とする攻撃へと進化した」と指摘しています。このようなランサムウェア攻撃に対して企業はどのように対処すべきなのでしょう?ソフォスは多層防御の必要性を説いています。セキュリティモデルをすべてのエンドポイントとサーバーに拡張し、セキュリティ関連のデータを共有化するとともに効果的なインシデント対応計画を策定し必要に応じて更新することをすすめています。
■出典