リソース > セキュリティ用語集 > 二重脅迫型ランサムウェア

二重脅迫型ランサムウェア

二重脅迫型ランサムウェアとは?

二重脅迫型ランサムウェア攻撃とは、犯罪者が被害者の機密データを暗号化するだけでなく、外部に流出させるサイバー攻撃のことです。これにより、犯罪者は身代金を要求するための新たな手段を得ることができます。

二重脅迫型攻撃では、まずランサムウェアを駆使する攻撃者が、フィッシング、マルウェア、脆弱性の悪用、RDPサーバへのブルートフォース攻撃、盗んだ認証情報など、既知のさまざまな攻撃手法や脅威ベクトルを用いて標的のネットワークにアクセスします。続いて攻撃者はネットワーク全体を探索し、ネットワークや接続されているエンドポイントから価値のある資産を探し出して安全にアクセスし、攻撃者自身のストレージネットワークに流出させます。ネットワーク全体を水平移動しランサムウェアを展開した後、攻撃者はデータを暗号化して身代金を要求するのです。身代金が支払われない場合、攻撃者の多くは盗んだデータを販売したり、一般のブログやオンラインフォーラムで公開します。

二重脅迫型ランサムウェアの攻撃シーケンス

ランサムウェアの攻撃を示す図

進化する二重脅迫型ランサムウェアの脅威

サイバー犯罪は進化し続けていますが、それを防御して被害を最小限に抑えるサイバーセキュリティの技術も進化を続けています。ランサムウェアは何十年も前から何らかの形で存在しており、1989年に登場したAIDSのトロイの木馬やPC Cyborgウイルスがその始まりです。フロッピーディスクを介して拡散されたAIDSトロイの木馬は、システムへのアクセスを回復するために189ドルをパナマの郵便局に郵送するように被害者へ指示しました。

30年以上経った現在、暗号通貨の出現により法執行機関が支払いを追跡することが困難になっていますが、サイバーセキュリティチームはバックアップやセキュリティポリシーを改善してデータの復号に役立てています。2019年には、TA2102という犯罪組織がセキュリティ人材派遣会社のAllied Universalに侵入し、Mazeランサムウェアを使用した初の二重脅迫型ランサムウェア攻撃を仕掛けた事が注目を集めました。Mazeは、この会社のデータを暗号化するだけではなくデータを流出させており、Allied社が230万米ドルの身代金をビットコインで支払わなければ盗んだ情報をオンラインで公開すると脅迫しました。つまり、Allied社がネットワークとデータを復旧できたとしても、身代金を支払わない限り深刻なデータ漏洩の被害を受けることになるのです。

以来、二重脅迫型ランサムウェアのインシデントが頻発し、複雑化しています。2020年だけでも、この手法を用いた少なくとも15のランサムウェアファミリが、1,200件ものインシデントを引き起こしてデータ漏洩が発生し、多くの注目を集めています。ランサムウェア攻撃は大規模化が進み、頻度も増えています。現在ダークウェブ上では、アフィリエイトネットワークから「RaaS(Ransomware-as-a-Service)」を介してランサムウェアの亜種を購入したり、ソフトウェアサプライチェーンの脆弱性を悪用するなど、インパクトの強い手法を用いて利益を最大化できるようになっています。

最近注目を集めた攻撃

二重脅迫型の攻撃で注目された例の一つに、2021年5月に発生した Colonial Pipelineへの攻撃 が挙げられます。Colonial Pipeline は当時、米国東海岸向けのガソリンとジェット燃料の供給の45%を担っていました。ランサムウェア集団「DarkSide」の攻撃者が 100GB ものデータを盗みだした結果、Colonial Pipelineは制御権の回復とサービスの復旧のために推定で500万ドルのビットコインを支払うことを余儀なくされたのです。同時期には、ロシアを拠点とするランサムウェア集団「Conti」が、アイルランドの公的医療サービス機関 Health Service Executive(HSE)のシステムを攻撃し、患者データの身代金として2,000万ドルを要求しました。同じ月の後半には、世界最大の食肉生産会社であるJBS S.A.のネットワークにランサムウェアグループの「REvil」が侵入してデータを流出させました。ビットコインで1,100万ドルの身代金が要求され、同社は一時的に業務の停止を余儀なくされました。
 

活発に活動する二重脅迫型ランサムウェア集団

2019年後半から、下記のランサムウェア集団が活発に二重脅迫型ランサムウェア攻撃を仕掛けています。これらグループのいくつかは、注目を集めた攻撃の後に解散したり名前を変えたりしています。

  • Darkside
  • Egregor
  • Conti
  • DoppelPaymer / BitPaymer
  • REvil/Sodinokibi
  • Avaddon
  • RagnarLocker
  • Maze
     

二重脅迫型ランサムウェアの攻撃から自社を保護する

二重脅迫型ランサムウェア攻撃は極めて陰湿で、対応のコストは高額になります。犯罪者が執拗で攻撃的になるに伴って企業が身代金の要求に応じるようになったことで、攻撃件数は劇的に増加しました。しかし、企業とその情報を守るためにできることがあります。
 

ゼロトラストセキュリティモデルを採用する理由

ネットワークにアクセスしようとするサイバー犯罪者をブロックするには、特にクラウド上のプロセスが着実に増加していることを踏まえると、ゼロトラスト、つまり特権アクセスを最小限に制限するポリシーを採用することが重要です。ゼロトラストとは、いかなるユーザやアプリケーションも本質的に信頼すべきではないという原則を意味します。むしろ、認証や承認を受けるまでは、すべてが敵対的であると見なされます。アクセスはユーザのアイデンティティとコンテキストに基づいて許可されますが、その場合でも最小限のリソースへのアクセスのみに制限されます。

ランサムウェア対策のためのゼロトラストアーキテクチャは、次の3つの原則に基づいています。

  1. 攻撃対象領域を最小限に抑える: プロキシベースのブローカによるエクスチェンジの背後にアクセスを保護することで、ユーザとアプリケーションをインターネットから見えないようにします。アプリケーションが発見されなければ、攻撃対象になることはありません。
  2. 水平移動を阻止する: ハッカーは、見ることのできるデータしか暗号化したり盗み出すことができません。マイクロセグメンテーションは、データの外部への公開を減らして被害を最小限に抑えます。理想的なゼロトラスト環境において、企業はネットワークを公開することなく、プロキシベースのアーキテクチャを使用して認証ユーザを直接アプリケーションに接続します。また組織は、攻撃者をおびき寄せて検知する目的でデセプションテクノロジを導入することもあります。

  3. 脅威やデータ漏洩を効果的に防止する完全なインスペクション: 組織が送受信する、暗号化/非暗号化の両方のトラフィックすべてに対してインスペクションを実行します。これによって死角がなくなり、攻撃者の侵入を防ぐと同時に機密データを最大限に保護することができます。
     

ネットワークを保護する他のベストプラクティス

サイバーセキュリティチームは、攻撃対象領域をさらに縮小してランサムウェアの脅威を低減するために、ゼロトラストの採用に加えて以下のポリシーを導入する必要があります。

  • 一貫したセキュリティポリシーを適用して最初の侵害を防ぐ: 従業員があちこちに分散している場合、ユーザが仕事をする場所を問わず認証する機能を提供し、一貫したセキュリティポリシーを適用するセキュアアクセスサービスエッジ(SASE)アーキテクチャを導入することが重要です。
  • インラインの情報漏洩防止(DLP)機能を導入する: トラストベースの情報漏洩防止ツールとポリシーを活用して機密情報の持ち出しを防ぎ、二重脅迫の手口を阻止します。
  • ソフトウェアやトレーニング内容を最新状態に保つ: ソフトウェアにセキュリティパッチを適用し、社員向けのセキュリティトレーニングを定期的に実施することで、サイバー犯罪者に悪用される可能性のある脆弱性を減らします。
  • 対応プランを策定する: 全社的な事業継続・障害回復プログラムの一環として、サイバー犯罪保険の加入、データのバックアップ計画、対応プランの策定を実施して最悪の事態に備えます。

ゼットスケーラーのZero Trust Exchange

ゼットスケーラーは、お客様のネットワークとクラウドを保護する業界で最も包括的なランサムウェア対策を提供し、最初のセキュリティ侵害や脅威の水平移動、データ流失など、一連のランサムウェア攻撃をブロックします。ゼットスケーラーは、ピーク時に1日あたり2,000億件のトランザクションをグローバルプラットフォームで監視し、脅威をブロックするとともに脅威インテリジェンスを世界中のお客様と共有することで、ゼロトラストセキュリティを促進しています。また、主要なセキュリティプロバイダとのパートナーシップを通じ、お客様のセキュリティエコシステムを網羅する可視化とレスポンス能力を有機的に確保します。

詳細については、ランサムウェア対策のページをご覧ください。

二重脅迫型ランサムウェアのトレンドや最先端のサイバー犯罪者の戦術については、ThreatLabZランサムウェアレビュー:二重脅迫型攻撃の出現をご覧ください。