重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

いったんは廃業したものの別の名前で復活?
いまも「DARKSIDE」に注意し続けるべき理由

巧妙なビジネスモデルを確立したランサムウェア

2021年5月、米国東海岸における燃料供給の約半分を担うコロニアル・パイプライン(Colonial Pipeline)社が、ランサムウェア「DARKSIDE」の攻撃によって操業停止に追い込まれました。その結果、ガソリンや家庭用の灯油から、航空機が使うジェット燃料や軍需用の燃料にいたるまで、在庫が尽きてしまうという事態に陥りました。給油できなくなることを懸念し、多くの車がガソリンスタンドに長蛇の列を作った映像もニュースで流され、その影響力の大きさに驚愕した人も多かったのではないでしょうか。

報道によれば5日間の操業停止の後、同社はサイバー攻撃の専門家と協議した上で、440万ドルの身代金を支払うことで一応の決着にこぎつけました。またシステムの復旧には数ヶ月かかると発表され、被害総額は数千万ドルに上るだろうと推測されています。

ランサムウェア「DARKSIDE」は、2020年8月に初めて発見された比較的新しいマルウェアですが、前述の事件が起きる前にも複数の攻撃で利用されたことが分かっています。このマルウェアは他のランサムウェアと同様にデータを暗号化・ロックし、復号鍵と引き換えに身代金を要求します。この交渉に応じなければ、攻撃者は盗んだ機密データを公開すると、さらに脅しをかけてきます。また「IBMセキュリティー・インテリジェンス・ブログ」によれば、指定された最初の期日までに支払いが行われない場合には、金額が2倍になるともいわれています。

さらにこのブログによれば、ランサムウェア「DARKSIDE」の侵入は、TOR#1を介してポート443で行われるとも述べられています。このポートはWindowsのRDP(リモートデスクトップ)で使われているものであり、従来からサイバー攻撃に使われやすいと指摘されていました。最近ではリモートワークが拡大したことでRDPを利用する企業も増えており、ランサムウェア「DARKSIDE」はそこに狙いをつけたのでしょう。エンドポイントセキュリティの重要性を、再認識させる事件だったといえます。

その一方で「トレンドマイクロ・セキュリティブログ(2021年5月17日版)」によれば、このランサムウェアの大きな特徴の1つは、ビジネスモデルにあるとも指摘しています。それは「RaaS(Ransomware-as-a-Service」です。つまりランサムウェアを他の犯罪者に販売するのではなく、サービスとして提供し犯罪で得られた利益の一部を受け取る、というモデルです。ランサムウェア「DARKSIDE」はそれ自体が新しいだけではなく、その運営方法も大きく進化していたのです。

#1 TOR:The Onion Router。TCP/IPを使った接続経路を匿名化するための規格や、それを実装したソフトウェアの名称。TORを経由してアクセスすることで、どこからのアクセスなのかを隠蔽できる。

犯罪集団としてのDARKSIDEも興味深い存在

ここまでの記述を読んで、なぜDARKSIDEの記述に毎回「ランサムウェア」を付けているのか、疑問に思った方もいるかもしれません。その理由は、このランサムウェアを運営しているサイバー犯罪集団も、「DarkSide」と名乗っていたからです。

ランサムウェア「DARKSIDE」には様々な特徴がありますが、サーバー犯罪集団としての「DarkSide」も、興味深いところが数多くあります。先程の「トレンドマイクロ・セキュリティブログ」には、この犯罪者集団の活動が時系列で整理されているのですが、サイバー攻撃で盗んだ2万ドルを慈善団体に寄付、摂取情報を保存・配信するためのCDNの開設、メディアなどに対して情報暴露サイト上のプレスセンターのフォローを促すなど、コロニアル・パイプラインへの攻撃に至るまでに、本来であれば影の存在である犯罪者集団とは思えないような行動を行っているのです。

しかしコロニアル・パイプラインへの攻撃が社会的に大きなインパクトを与えた結果、米政府や捜査当局は総力を挙げて摘発に乗り出すことになります。その後サイバー犯罪集団である「BlackMatter」は、暗号資産やサーバーなどのインフラを差し押さえられたと発表すると共に、廃業を宣言します。そして米司法省は2021年6月、コロニアル・パイプラインが支払った身代金の一部を回収したと発表し、この事件は幕引きとなるのです。

ではこれでサイバー犯罪集団の1つが、完全に消滅したのでしょうか。実はそうではありません。その後1か月ほど経った頃、「BlackMatter」という新たなサイバー犯罪集団が登場します。すでにこの集団はランサムウェア「BlackMatter」による身代金要求を行っていますが、そのマルウェアを解析したところ、DARKSIDEと同じ技術を利用していることが判明したのです。

このことからBlackMatterの登場は、DARKSIDEの「リブランド」だという指摘もあります。つまりいったん姿を消したと見せかけて、違う名前で活動を継続していたというのです。このように、廃業宣言して姿を消した後、再び異なる名前で活動を開始したサイバー犯罪集団は、他にも存在します。

コンピューターウイルスは実際のウイルスと同じように、短い期間に変異を繰り返しながら被害を拡大していきます。サイバー攻撃を行う犯罪者も、同じような特性を持つようになっているのかもしれません。これからは変異し続けるウイルスに対応するだけではなく、変異し続ける犯罪者集団の動向にも、注意が必要な時代になっていきそうです。

変異を繰り返すウイルス対策にはツールの活用が有効

このような攻撃に対しては、「VMware Carbon Black」のような次世代型アンチウイルスの活用が効果的です。VMware Carbon Blackは、エンドポイント上で発生するイベントを独自のクラウド基盤に送り、全世界から収集したこれら情報と合わせてビッグデータ解析し、疑わしいい挙動を検知します。

従来型のアンチウイルスや機械学習を用いたアンチウイルスは実行可能ファイルが悪意のあるものか否かを静的解析によって判定するのに対し、個々のイベントだけでなく、プロセス、アプリケーション、ネットワーク、ファイルなど一連のイベントの流れ(イベントストリーム)をリアルタイムで解析し、セキュリティ侵害の可能性を評価します。これにより、変異したウイルスも検知できるほか、ファイルレス攻撃(非マルウェア)など新たな脅威からもエンドポイントを保護することができます。

また、仮に侵入を許した場合にも、早期に検知・対処が可能なEDR(Endpoint Detection and Response)を搭載しているため、被害を最小化し、早期に通常業務に復帰するための支援を行います。このようなツールを導入することで、日々変化するウイルスからもエンドポイントを守ることができるのです。


VMware Carbon Black Cloud Endpoint Standardとは

VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。

詳しくはこちら

様々な企業が「VMware Carbon Black Cloud」を活用しています


株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現

スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択



HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点

NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた


ご相談、ご質問はこちら
WEBフォームまたは直接メールでお問い合わせください。
サイバネットシステム株式会社
ITソリューション事業部 営業部
E-mail: itdsales@cybernet.co.jp
製品資料、導入事例はこちら
価格お問い合わせはこちら
まずはお試しください
EDRソリューション

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 
お問い合わせ全般  資料ダウンロード