is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

ランサムウェア「DARKSIDE」によるサイバー攻撃、米国のインフラ事業者が一時操業停止

2021/05/14

トレンドマイクロは5月13日、公式ブログで「ランサムウェア『DARKSIDE』および米国のパイプラインへの攻撃に関する解説」と題する記事を公開しました。アメリカで発生した、燃料供給網を狙ったサイバー攻撃について解説しています。

2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫、そして流通網が大きな影響を受け、いまだ混乱が続いており、アメリカ政府が買いだめなどしないよう呼びかける事態に陥っています。

「DARKSIDE」は、2020年8月に初めて発見された比較的新しいランサムウェア(身代金要求型ウイルス)ですが、この攻撃はサイバー犯罪集団「Darkside」によるものでした(ランサムウェア名を「DARKSIDE」、攻撃者名を「Darkside」と表記)。米ブルームバーグの報道によると、このサイバー犯罪集団は、標的企業の端末をロックした他、100GB以上の機密情報を窃取したとされています。さらに「Darkside」は、身代金要求や情報暴露に加え、DDoS攻撃などによっても脅迫を行う「四重脅迫」(Quadruple Extortion Services)と呼ばれる手口も展開しています。

・第1段階(従来のランサムウェア攻撃):ファイルを暗号化した後、脅迫状を示して暗号資産での身代金支払いを要求。
・第2段階(二重脅迫):第1段階に加え、情報流出で窃取した機密情報を暴露すると脅す。ランサムウェア「Maze」が初めてこの手法を実行し、他の攻撃者も追随。
・第3段階(三重脅迫):第1段階・第2段階に加え、DDoS攻撃(意図的にアクセスを集中させてサービスを停止させる)による脅迫を実行。ランサムウェア「Avaddon」が初めてこの手法を実行。
・第4段階(四重脅迫):第1~3段階に加え、被害者となる顧客へメール送信やコールセンターなどからの連絡により脅迫。


今回の攻撃に至るまでの「Darkside」の活動は、以下のような時系列となっています。

2020年8月:ランサムウェアを利用した攻撃を開始
2020年10月:被害者から盗んだ2万米ドルを慈善団体に寄付
2020年11月:RaaS(Ransomware-as-a-service:サービスとしてのランサムウェア)のビジネスモデルを展開、他の犯罪者にサービスの利用を呼びかける。その後、Darksideのリークサイトが発見される。
2020年11月:窃取情報を保存・配信するためのコンテンツデリバリーネットワーク(CDN)を開始
2020年12月:メディアやデータ復旧団体に対して情報暴露サイト上のプレスセンターをフォローするように促す
2021年3月:いくつかのアップデートが施されたDARKSIDE v2をリリース
2021年5月:Colonial Pipeline社を攻撃。攻撃後、Darksideは非政治的活動であることを表明、今後は標的の選定を注意することにも言及し、今回のような政治的注目を集めない形で攻撃を行うことを示唆。

初期段階の侵入のために「DARKSIDE」は、フィッシング、リモートデスクトッププロトコル(RDP)、既知の脆弱性の利用など、さまざまな手法を使います。また攻撃には、マルウェアだけでなく、検知回避や難読化のために管理者が使用するような一般的なツールも使用されていました。

最新の「多重脅迫」手法によるランサムウェア攻撃では、標的に対して初期侵入をしても、すぐにランサムウェアが実行されるわけではありません。多くの場合、ランサムウェアが実行されるまでの間、内部活動および権限の昇格、情報送出といった活動を行ってデータを盗み出し、そのうえで暗号化を行います。
ランサムウェアは、以前から確認されている脅威ですが、いまなお進化を続けています。今回の事例からも分かるとおり、最新のランサムウェアは、ターゲットの拡大、新たな脅迫手法の導入、感染対象を超えた広範な被害など、さまざまな面で変化しています。そして、窃取された企業資産はアンダーグラウンド市場で利益を生む商品であり、サイバー犯罪者は企業のサーバを攻撃してお金を稼ぐ方法に精通しています。
また、標的企業の資産状況も調査した上で攻撃を仕掛けており、今回も暗号資産で約500万ドル(日本円で約5億5千万円)相当の身代金支払いに企業側が応じたことが報道されています。

■対策
企業や組織は、このようなサイバー攻撃によって事業停止や犯罪者の資金源となってしまわないよう継続的な対策が欠かせません。不正な振る舞いを検知するセキュリティ製品を導入し、脆弱性を放置しないよう管理体制を整えると共に、テレワークなどによって外部から社内ネットワークへの通信を許可している場合は、安全対策を強化してください。また、社内ネットワークからの情報送出を監視し、重要情報のバックアップ、リストアをいつでも運用可能な状態にしておきましょう。
そして、技術的な対策だけではなく、人の脆弱性も対策には欠かせません。従業員教育を定期的に行い、攻撃の踏み台にされないようにしましょう。



図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移

図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移


「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。