2020年を騒がせた危険なランサムウェアトップ6

2020年はランサムウェアが正式に脅威の主流となった年だったと言える。かつて、ランサムウェアはニッチな脅威であり、多国籍企業や政府の請負業者を対象に展開されていたが、現在ではあらゆる規模や業種の企業にとって大きな懸念材料となっている。

2021年コロナ禍におけるサイバーセキュリティ業界トレンド予測

最近のThreat Bulletinでは、ランサムウェアの危険性が強調されており、特にサイバーセキュリティの面で歴史的に遅れをとってきた一部の組織においてリスクが高まっている。ランサムウェアは教育機関、共機関でも問題となっている。

しかし、ランサムウェアのリスクは、このようにターゲットが拡大したことだけではない。攻撃の中心となるマルウェアもますます巧妙化しているのだ。このことは、2020年に見られた危険なランサムウェアを見れば一目瞭然である。以下、危険なランサムウェアを5つ紹介しよう。
Netwalker

Netwalkerは、2020年に最も人気があり、攻撃に成功したランサムウェアの1つだ。COVID-19が登場した後の数カ月間に頻繁に見られ、在宅勤務の増加に伴うフィッシングキャンペーンやマルウェア感染に大きく寄与した。

Netwalkerは、2019年末に初めて確認されたMailtoランサムウェアの進化版であり、現在でもメールのフィッシングキャンペーンで配信されることが多い。教育機関や政府機関だけでなく、あらゆる規模の企業をターゲットにしている。

Netwalkerは、オーストラリアの運輸会社であるToll Group、ミシガン州立大学、そして最近ではカリフォルニア大学サンフランシスコ校への攻撃に用いられている。
Nefilim

Nefilimは、2020年に注目度の高い攻撃を引き起こし、特に重要なインフラを管理する企業、すなわち健康、エネルギー、サプライチェーン、政府サービスを標的にしていた。ランサムウェアが社会インフラを狙う傾向は数年前から懸念されており、Nefilimはその原動力となっているランサムウェアの1つだ。

Nefilimの正確な攻撃経路はまだよくわかっていないが、リモート・デスクトップ・プロトコル（RDP）システムの弱点を悪用していると見られる。そのため、この1年でNefilimが台頭してきた要因として、以下の2点が考えられる。

1つは、MicrosoftのRDPに複数の脆弱性が存在することだ。それぞれの脆弱性を悪用して簡単にアクセスすることが可能で、攻撃手法としては、ブルートフォースが最も一般的である。もう1つの要因は、パンデミックの影響でRDPシステムの利用者数がこの1年で急激に増加していることだ。

企業がこの種のランサムウェアを検出する効果的な方法に、DAST（Dynamic Application Security Testing）がある。このシステムは、ランサムウェアの脅威を可能な限り早期に検出するため、アプリケーションの実行中に常に脆弱性をスキャンする。
WastedLocker

WastedLockerは、米国の大企業を狙うランサムウェアの亜種の最新作だ。

WastedLockerは古いマルウェアの亜種から開発された。オンラインバンキングを狙うトロイの木馬「Zeus」は、4年以上前に住宅所有者を狙ったLockyを開発した攻撃者によって開発された。

2020年、WastedLockerは大企業を標的にした。一般的に、WastedLockerを用いた攻撃は、特定の企業を厳しくターゲットにしており、いずれも米国内の企業を対象としてるいます。

これらの攻撃の中で最も注目されたのは、ナビゲーションやスマートウォッチのメーカーであるGarminへの攻撃で、昨年7月には世界で提供されているサービスが停止した。

BlackBerry Threat Researchチームは、テスト用にWastedLockerランサムウェアのサンプルを入手し、判明した内容をまとめて提供した。
Tycoon

2020年、教育機関や政府機関が直面する脅威の増大が報じられたが、その代表格の脅威がTycoonである。このマルウェアは2019年12月に最初に観測され、当初はトロイの木馬に変わった珍しい例のように見えた。

しかし残念ながら、そうではなかった。このマルウェアは、テレワーク用に提供されたVPNツールのセキュリティの不備が原因で、自宅から企業ののネットワークにアクセスすることを余儀なくされた従業員のマシンに感染することに成功した。

なお今日、多くの商用VPNサービスでは、最高の暗号化規格である SHA512 認証ハッシュまたは 2048 ビット DHE RSA 鍵交換のいずれかを使用するオプションを提供している。

しかし、新型コロナウイルスをきっかけにテレワークを始めた人たちが利用している低価格のVPNサービスの多くは、これらの暗号化基準を満たしていない。そのため、Tycoonを使った標的型攻撃に対し脆弱である。
Nuke

Nukeは、本稿で紹介しているマルウェアの中で最も古いが、危険性が低いわけではない。このマルウェアは2016年に初めて発見され、電子メールによるフィッシング詐欺で配信されるケースが多い。

被害者のマシンに侵入すると、NukeはAES 256ビット暗号鍵を用いてファイルを暗号化する。ファイルが暗号化されると、ファイル名は、.nuclear55の拡張子が続く文字の組み合わせに変更される。暗号鍵は、2048 ビット RSAを用いて非対称的に暗号化することで保護される。
Sodinokibi

Ransomware as a Service（RaaS）は、新しいビジネスモデルとして一般的になってきているが、その背後にある主要なグループの1つがSodinokibi（別名「Revil」または「Sodin」）で、昨年、データ漏洩の手法を取り入れて大きな効果を上げた。この手法は、ランサムウェア「Maze」グループが最初に開発したものだが、最近ではより熟練したグループも採用するようになっている。

APT（Advanced Persistent Threat：持続的標的型攻撃）の手法により企業内を縦横無尽に動き回りながら、貴重かつ機密性の高いデータを特定して流出させることは、企業にとって新たなリスクとなっている。攻撃を受けている間に業務を継続したり、バックアップから回復したりするための力だけでは、今や十分ではない。壊滅的な攻撃から回復する能力がありながら、攻撃者に多額の身代金を要求された組織を見てきた。

以上、2020年に顕著だったランサムウェアを紹介した。2020年はランサムウェアにとって異例の年であり、今までになく多くのマルウェアが登場し、攻撃の巧妙化が進んでいるが、こうした傾向は今後も続くだろう。

ランサムウェアは2020年よりもずっと前から増加傾向にあり、コロナ禍でランサムウェアが利用されたことは、今後数年で、ランサムウェアがはるかに一般的になることを示している。だからこそ、今すぐに自分自身、データ、スタッフ、そしてビジネスを守ることが重要なのだ。

BlackBerryは、企業がリアクティブなセキュリティ姿勢から予防第一のセキュリティ姿勢へとシームレスに移行するために必要なサイバーセキュリティソリューションとコンサルティングサービスを提供している。ベスト・プラクティス・ガイドを読んで、ランサムウェアの保護と修復の詳細を確認いただきたい。

著者プロフィール

○BlackBerry　インシデント対応担当テクニカルディレクター
BlackBerryのインシデント対応担当テクニカルディレクターのMark Stevensは、情報技術分野での20年に及ぶ経験があり、ここ13年間は情報セキュリティを中心に取り組んできました。Markは6年以上にわたり、グローバルAPTインシデント対応とランサムウェアインシデント封じ込めの事例に取り組んでおり、きわめて困難な問題に直面した世界中のお客様に支援と助言を提供しています。
SIEMツールが成熟期を迎えていた頃に、画期的なセキュリティ監視ソリューションの開発に取り組み、サイバーセキュリティの道を歩み始めました。セキュリティに魅了された彼はインシデント対応の最前線に立ち、国家が支援する、非常に高度なAPTの事例や最大規模のランサムウェア攻撃に積極的に取り組んでいます。
現在はテクニカルディレクターとして、5カ国にまたがる優秀なインシデント対応担当者が集まったグローバルなチームを現場で指揮しています。