古くは NOD32 などで知られる欧州セキュリティベンダの雄、ESET。
昨夏開催された ESET WORLD 2021 で、2020 年のランサムウェアの活動と攻撃インフラの停止について振り返る講演「 The Ransomeware Gold Rush ( 講演 Ondrej Kubovic 氏)」が行われた。本稿はこのセッションをベースにして「ゴールドラッシュ」が何だったのかを明らかにする。
奇しくも本稿掲載の 2022 年 2 月現在は、2021 年の年頭にテイクダウンされた Emotet の活動再開によるおびただしい数の感染報告が日本各地で相次いでいる。文末に書かれた本稿執筆当時の懸念は、不幸なことに現実になった。
●Doxing(晒し)機能で凶悪化するランサムウェア
ランサムウェアは2019年に凶悪な進化を見せる。「Maze」と呼ばれるランサムウェアは、「 Doxing(晒し)」の機能を獲得し、データの暗号化だけでなく重要データや機密データを持出し、暗号化解除と晒しのダブルで身代金を要求する。暗号化だけならシステムのバックアップが大きな対抗手段となるが、 Maze, Sodinokibi , Avaddon などの暴露型ランサムウェアには効かない。
もともと「脅迫」という手段を用いるランサムウェアが「暴露」という脅迫手段をも行うようになるのはある意味必然だったかもしれない。また、脅迫の手段として、DDoS 攻撃、大量の印刷ジョブや大量コール、PC やスマートフォンの文鎮化( Bricking )といったものも確認されている。
ランサムウェアの攻撃ベクターは、おもにフィッシングメール、スピアフィッシングメールだ。攻撃サイトに誘導するか添付ファイルをクリックさせてランサムウェアがダウンロード/実行される。Emotet のように、盗んだデータを元にスピアフィッシングメールを作成し、トロイの木馬を拡散する攻撃でランサムウェアが仕込まれることも多い。
●パンデミックで増える RDP 攻撃
ランサムウェアの被害拡大は、COVID-19、新型コロナウイルスのパンデミックと重なる。ジョン・ホプキンス大学の統計では 2020 年 3 月から感染拡大が始まっている。ほどなく各種ランサムウェアの活動が目立つようになるが、その理由のひとつとして、テレワークによって多くの企業・組織のデータがリモートアクセスされるようになったことがある。
ESET が確認しているのは RDP(リモート デスクトップ プロトコル)に対するブルートフォース攻撃の増加だ。
