浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線 | ScanNetSecurity
2021.06.20(日)

浮かび上がる全体像 CrowdStrike が結んだランサムウェアの点と線

この報告書の真の価値は、ニュース等で断片的に知っていたランサムウェアに関する情報がつなぎ合わせられ、サイバー犯罪産業としてのランサムウェアの全体像を俯瞰する視点が得られるところにあるといえる。

調査・レポート・白書 調査・ホワイトペーパー
「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」2020年 CrowdStrike Japan株式会社
「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」2020年 CrowdStrike Japan株式会社 全 1 枚 拡大写真
 クラウドストライク株式会社が、グローバルで猖獗を極めるランサムウェアの現状と対策について考察したレポート「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」を公開した。

 新たな攻撃トレンドとメソッドはもちろん記載されてはいるものの、本誌読者の多くにとって本レポートには、既知の事実も含まれていることだろう。

 しかし、この報告書の真の価値は、ニュース等で断片的に知っていた情報がつなぎ合わせられ、サイバー犯罪産業としてのランサムウェアの全体像を俯瞰する視点が得られるところにあるといえる。すでに見知っている個々の事象が、クラウドストライクが提示する全体像の中の、一体どこに位置づけられるかを知ることで、ランサムウェアといういまや一大「産業」と化したサイバー犯罪に対する理解を得ることができるのだ。

 たとえば「猛獣狩り(ビッグゲームハンティング:BGH)」と呼ばれる攻撃手法が生まれた背景として、ビットコイン等仮想通貨による身代金回収が、ITリテラシーの低いユーザー企業が相手の場合、存外困難であるというきわめて実務的な問題があったからだと本レポートは述べる。

 すなわち被害企業がたとえ身代金を支払う気満々であったとしても、ビットコインの支払手続を完了できない低リテラシーの被害企業が多くあったため、支払う気があるならとランサムウェア犯罪者側はやむを得ずコールセンターを開設し、振込実務のテクニカルサポートを電話で受けていたという。こうした身代金回収コストの増加によって、一回の犯罪プロジェクトでなるべく高い収益を生む標的に向かわざるを得なくなったことが、ばらまき型ではなく、猛獣狩り型ランサムウェア攻撃普及のきっかけになったというのが彼らの見立てだ。説得力がある。

 クラウドストライクは、APTやサイバー犯罪者集団にアメコミのヴィラン(悪役)のような名前をつけて、完成度の高いイメージイラストを作成、それをプリントしたTシャツを作成し、犯罪組織を追うチームメンバー同士で着用するという、ある種行き過ぎた仕事熱心さで知られる会社だ。高度で執拗な、サイバー犯罪やAPTの調査研究を行っている。

 レポート「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」にもそうした企業姿勢が感じられる。長年追い続けているサイバー犯罪組織への深い理解だけでなく、ありえないことだが対象への一種の共感めいたものすら行間からは漂う。ハイレベルのサイバーセキュリティの研究成果はあまたあれど、こんなレポートは他にはない。

>> レポートDL ( 無料・要登録 )


 ランサムウェアはサイバーセキュリティにおいて最も急速に拡大している脅威の 1 つです。世界における被害額は、2015 年には わずか 3 億 4,500 万米ドルでしたが、2021 年までには 200 億米ドルに達すると予測されています。このホワイトペーパーでは、オンラインでの恐喝の新しいトレンドを分析しながらランサムウェアの進化について詳しく説明するとともに、そのような攻撃から組織を保護する方法について、規範的なアドバイスを提供します。

●ランサムウェアの進化と現在のトレンド、昔ながらの手口

 ランサムウェアが常にニュース欄を賑わせるようになったのは、ここ 5 年ほどですが、ファイルを暗号化して、ユーザーのファイルやコンピューターを人質に取り、システムへのアクセスなどを妨害し、それらのロック解除と引き換えに身代金を要求するというやり方は昔から存在しています。1980 年代後半、犯罪者らはすでにコンピューターやファイルを人質に取り、被害者に郵便でキャッシュを送らせていました。これまでに記録されている最初のランサムウェアは、1989 年にフロッピーディスクを介して配布された AIDS トロイの木馬(PC Cyborg Virus)でした。それは共通鍵暗号方式を使用した単純なウイルスであったのにもかかわらず、被害者に、システムへのアクセス復元と引き換えに、189 米ドルをパナマの私書箱宛てに送るよう要求していました。

●収益化

 ランサムウェアの歴史は長いものの、2000 年代にはまだそれほど普及していませんでした。おそらく身代金の回収が難しかったためでしょう。しかし、2010 年にBitcoin などの仮想通貨が登場したことにより、事態は一変しました。仮想通貨は追跡不能であるとともに、被害者から簡単に身代金を徴収することができるために、ランサムウェアにとって格好のビジネスチャンスが生まれました。

●徴収は簡単でも支払いは難しい

 マルウェア、バンキング型トロイの木馬、ランサムウェア、マインウェア(クリプトジャッキング)、クライムウェアなど、幅広い種類のサイバー犯罪活動が、Bitcoin が生み出した収益化のチャンスをつかみました。その結果、2012 年以降、ランサムウェアが大幅に増加しました。ただし、このランサムウェアのビジネスモデルはまだ不完全です。なぜならば、Bitcoin による支払いは犯罪者側にとって簡単でも、技術に疎いターゲットにとっては必ずしも簡単ではないためです。身代金を確実に支払わせるために、一部の犯罪者らはわざわざコールセンターを開設してテクニカルサポートを提供したり、ターゲット企業が Bitcoin にサインアップするのを助けたりしています。しかし、このようなことを行うには時間も費用もかかります。

●ビッグゲームハンティング

 サイバー犯罪者らは、活動を最大限に効率化しようと、当時一般的であった「場当たり的」な攻撃スタイルから「ビッグゲームハンティング(Big Game Hunting : BGH)」の手法にシフトすることにしました。BGH は、大規模組織を対象とした標的型攻撃で、一般的な TTP(戦術、テクニック、手順)にランサムウェアを組み合わせた手法が用いられます。規模の小さいターゲットに数多くのランサムウェア攻撃を仕掛けるのではなく、BGH では、より多くの金銭的利益が見込め、攻撃に必要な時間と労力に見合う組織に対象を絞ります。この変化は非常に顕著であり「CrowdStrike 2020 年版 グローバル脅威レポート」でも、BGH はサイバー犯罪エコシステムに影響を与える最も顕著なトレンドの 1 つとして紹介されています。サイバー犯罪に関する最近の統計によると、ランサムウェア攻撃の数は減少しているものの、その巧妙化の度合いは大幅に高まっています。


「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」
CrowdStrike Japan株式会社
2020年/PDF形式/8ページ/2,123 KB


「ランサムウェアの進化 新たな攻撃トレンドとメソッドから組織を保護する方法」2020年 CrowdStrike Japan株式会社
目次
2. ランサムウェアの進化と現在のトレンド
・昔ながらの手口
・収益化
・徴収は簡単でも支払いは難しい

2. ケーススタディ:マルウェアRobbinHoodでボルチモアの街が大打撃

3. ビッグゲームハンティング

3. ランサムウェア攻撃の黒幕

4. 高度化が進み境界線があいまいに

4. ランサムウェアの仕組み
・ダークサイコロジー(DARK PSYCHOLOGY):ビジネス情報の獲得とソーシャルエンジニアリングとの融合
・Webサイトポップアップとエクスプロイトキット:有害なコンビネーション
・ファイルレス型攻撃:ランサムウェア不在のランサムウェア
・サービスとしてのランサムウェア(RAAS:RANSOMWARE-AS-A-SERVICE)

5. 注目すべきランサムウェア(BitPaymer, Dridex, Hermes, KeRanger, Petya, PowerWare, Ransom32, Ryuk, Samas, WannaCry)

6. ランサムウェア攻撃を防ぐには
・実用的な手段
・MITRE ATT&CKフレームワークを使用して即応体制を評価
・CROWDSTRIKEのアプローチ

6. 攻撃の痕跡(IOA):ユニークかつ効果的な手法でファイルレスマルウェアを阻止

7. ケーススタディ:CROWDSTRIKEによるWANNACRYランサムウェアの防御

8. まとめ

>> レポートDL ( 無料・要登録 )

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  7. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  8. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

  9. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  10. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

ランキングをもっと見る