ランサムウェア「Cring」に見るデータ暗号化・暴露型の傾向と対策
今回は「ランサムウェア「Cring」に見るデータ暗号化・暴露型の傾向と対策」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
ランサムウェアは、大切なデータを“人質”にして個人や企業・組織から身代金を奪う不正プログラムだ。これを使うサイバー犯罪は30年ほど前から存在するが、コロナ禍の2020年頃から犯罪者が明確に企業・組織を狙うようになり、データを奪って世の中に暴露すると脅す手口を用いるようになった。国内では「Cring」を呼ばれるランサムウェアによる被害も発生している。
カスペルスキー グローバル調査分析チーム マルウェアリサーチャーの石丸傑氏によると、ランサムウェアが出現したばかりの時代の手口は、コンピューターの画面をロックして操作できなくさせるものだった。犯罪者は、ロックを解除する代わりに金銭の支払いを要求した。その後に、ファイルやフォルダーのデータを勝手に暗号化して使用不能の状態にさせ、復号する代わりに金銭の支払いを要求するようになる。そして現在は、これらに加えて、犯罪者がデータを不正にコピーして手元に転送し、狙った相手にデータをインターネット上に暴露すると脅す。暴露をしない代わりに、金銭の支払いを要求する。
かつてのランサムウェア犯罪は、この不正プログラムを無差別にばらまき、感染したコンピューターのユーザーに対して脅迫した。しかし犯罪者にすれば、この方法ではどのくらいの身代金を得られるかが分からない。相手が個人なら、支払い能力はせいぜい数万円程度と想定される。犯罪者にとって手間暇をかけたほどには、儲かりにくいものだった。
そこで、個人より財力のある企業や組織を狙うようになった。企業や組織のセキュリティ対策は堅牢であり、不正プログラムを送り込んで感染させるのは容易ではなかった。だが、企業や組織が使用するITシステムには何らかの脆弱性が存在し、ずざんな管理状態では脆弱性が放置されたままになる。脆弱性を悪用する方法(エクスプロイトと呼ばれる)は確立されており、インターネット上に多数の情報も公開されている。
サイバー犯罪者は、標的とする企業や組織が使うITシステムの脆弱性を把握してエクスプロイトを仕掛け、システム管理者などIT環境を操作できる権限を不正に得る。この権限を使いながら、機密情報を探す機能や発見した情報のデータをシステムの外部に転送する機能、犯罪者がシステム上で行った活動の痕跡を消す機能など、さまざまな機能を持つ不正プログラムを駆使する。ここまでは多くが不正アクセスや情報漏えい(の可能性)といった被害になるが、ランサムウェアの場合はデータの暗号化と暴露による身代金の要求という要素が加わる。
ランサムウェア犯罪者に狙われる企業や組織はさまざまだが、事業活動などの社会的な影響が大きい企業や組織ほど、状況によって人間の生命が奪われかねないほど、その対応が難しくなる。身代金の要求に従うことは犯罪への加担とみなされ、犯罪者が復旧させる保証もないが、中には支払いを拒んで被害が大きくなるよりは良いだろうと、わずかな望みをかけて、犯罪の要求に従うケースがある。こうして犯罪者は、無差別に狙うよりも高い確率で身代金を獲得でき、しかも個人より支払いが高い。
石丸氏によれば、ランサムウェア犯罪者がデータの暗号化だけでなく、データを暴露する手法を併用するようになったのは、標的の企業や組織から身代金を獲得する確率を向上させるためだという。企業や組織にとって情報が暴露されることも信用の失墜などにつながり、それが個人情報などなら厳しい法令違反などにも問われかねない。「それで困るぐらいなら……」と、犯罪者に従う選択をするとこもあるだろう。
カスペルスキーの観測では、2020年10~12月期の時点で、少なくとも987の組織がデータ暗号化/暴露型のランサムウェアの被害に遭った。主な暗号化/暴露型のランサムウェアに「Maze」「Ragnar」「DarkSide」などがあり、2019年5月~2020年12月に活動したMazeは、6億円もの身代金を要求する犯行に使われたこともあったという。Ragnarは、Mazeの流れを組むとされ、日本の企業や組織を犯罪にも使われた。DarkSideは、プログラム内に記述された言語の一部にロシア語があり、ロシア語の話者が関係している可能性が指摘された。2021年5月13日には米国の圧力で活動停止に追い込まれており、今後の状況が注視されるという。
こうした中、2021年に日本での被害が目立つランサムウェアがCringになる。
Cringは、2020年後半に活動を開始した新しい暗号化/暴露型のランサムウェアと見られ、トレンドマイクロによると、同社が2021年1~4月に対応を支援したランサムウェア被害の約7割がCringによるものだった。カスペルスキーによると、欧州では複数の製造企業のシステムがこれに感染し、操業が停止する被害も発生した。
各社の解析では、Cringを使う犯罪者は、まずFortinetのFortiOSに存在するパストラバーサルの脆弱性「CVE-2018-13379」を悪用して、SSL VPN経由で標的のITシステムに不正侵入する。次に認証資格情報を把握するツール「Mimikatz」を使ってドメイン管理者の権限を不正に入手し、この権限を悪用してリモートデスクトッププロトコル(RDP)のサーバーにアクセスする。
そして、このサーバー上でPowerShellを使ってシステム侵入ツールのCobaltStrikeを実行し、組織内のさまざまなサーバーにCringを拡散、感染させる。犯罪者はCringに感染したサーバー内のデータを探索し、脅迫に使えるデータをコピー、転送したり暗号化したりする。これらのプロセスを経て、犯罪者が標的の組織に身代金を要求する流れとなる。なおPowerShellとCobaltStrikeは、本来はコンピューターの管理やセキュリティテストに使われる正規のツールであり、犯罪者がその機能を逆手に取って悪用した形である。
2021年5月25日時点でCringを使う犯罪者が実際にデータを暴露した行為は確認されていないが、標的の相手に表示するメッセージ(ランサムノートと呼ばれる)には暴露すると記載されている。
こうした解析結果を踏まえてセキュリティ企業が推奨する基本的な対策は、次の通りになる。
加えて、トレンドマイクロは重要なデータをバックアップし、複数のバックアップデータをそれぞれ異なる場所に保存しておくことが望ましいとする。カスペルスキーは、Active Directoryのポリシーで、ユーザーが必要なシステムだけにログインを制限したり、端末間のネットワーク接続を制限して業務で不必要なサービスの無効化と不要なポートへの接続を遮断したりする方法をアドバイスする。
また、カスペルスキーの石丸氏は、暴露型に対して広報活動や警察などの法執行機関への協力要請も必要になると指摘する。犯罪者が機密情報を暴露した場合に備えて、顧客など外部の関係者にも被害が及ぶ危険性を周知したり、犯罪組織に対する法的措置がその後の対応に必要だったりするためだ。
経営者必見!企業が守るべき情報セキュリティスタンダード | Newscast
情報セキュリティ対策は、事業を安全に維持していくための安全装置として必要不可欠です。経営者はセキュリティ対策に対し、安定した事業を継続して従業員の雇用を守るための責務として、必要な投資であると認識すべきでしょう。
「サイバーセキュリティ対策 2021 夏 最新事故事例から学ぶセキュリティ対策とは~もはや経営レベルで考えるべき ...
最新事故事例から学ぶセキュリティ対策とは~もはや経営レベルで考えるべき、サイバーリスクとコントロール~
「情報セキュリティ関連法規」を解説!情報セキュリティマネジメント試験科目別勉強法 | オンスク.jp
全9回で連載中の「情報セキュリティマネジメント」試験の科目別勉強法。第5回の今回は、重点分野である「情報セキュリティ関連法規」科目のポイントや勉強法を解説しています。法律ってなんだか苦手!という人でも大丈夫。ぜひチェックしてみてください。
Aiセキュリティ対策の最前線、「教師なし学習」「ピアの比較」とは? |ビジネス+It
現在、セキュリティの分野では人工知能(AI)の活用が活発だ。特に組織やユーザーの「通常の挙動」をAIに学習させ、そこから外れた度合いをスコア化して脅威を判定する技術が急速に進化している。本資料は、運用者に負担のかからない「教師なし学習」でAIが自律的に学習し、脅威を判定する最新の仕組みを解説する。さらに、「ピアの比較」で検出精度を高める技術も紹介している。今後、セキュリティ製品にAIが搭載されるのは、当たり前になるだろう。だからこそ、本資料でAIセキュリティの最前線をチェックし、製品を見る目を養っておきたい。
5GとIoT「ユーザーが便利になればなるほど、ウイルスを感染させる攻撃者も攻撃しやすくなっていく。」|セキュリティ通信
【セキュリティ通信】コンピューターセキュリティ事業を展開する株式会社カスペルスキーの石丸傑さんにお話を伺う第3回目。5GやIoTの時代になった現在から未来にかけてウイルスがどのように変化し、どのようなリスクに注意すべきかなどについて、サイバーセキュリティのプロフェッショナルの観点から質問にお答えいただく。
リモートデスクトップの注意点とは?セキュリティ・選び方のポイントも解説!
リモートデスクトップを自社に取り入れる上で、様々な懸念を持っている担当者も多いのではないでしょうか。リモートデスクトップを活用する上で注意しておくべきポイントについてご紹介します。
ドコモ、個人情報の流出をモニタリングする「あんしんセキュリティ(プライバシー)」提供開始 - ITmedia Mobile
NTTドコモはインターネットへの個人情報の流出をモニタリングし、利用者へ通知と対処方法をアドバイスする「あんしんセキュリティ(プライバシー)」を提供開始。利用料金は月額330円(税込み)で、まずはAndroidで提供する。
GSX、開発上流工程でセキュリティ観点で設計書をレビュー | ScanNetSecurity
グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。
生体認証データ流出は時間の問題=情報セキュリティ専門家 - Sputnik 日本
情報セキュリティ専門家に調査を行ったところ、生体認証データの流出はあり得ることであり、主なセキュリティファクターとしてではなく、補足的な使用にすべきであるとの見解が得られた。
セキュリティエンジニア|テクバン株式会社の求人/転職/採用情報 | 想定年収450~650万円 | Itエンジニアの ...
想定年収450~650万円のテクバン株式会社のセキュリティエンジニア求人・転職・採用情報です!人事担当者より現場に詳しいコンサルタントが企業のイチオシポイントや企業の雰囲気をお伝えします!スキルアップ、年収upなど、希望に沿う求人をご提案します!
両備システムズとセキュアヴェイルが提携、セキュリティ運用サービス「Netstare(ネットステア)」の販売を強化 ...
株式会社セキュアヴェイルのプレスリリース(2021年5月25日 09時00分)両備システムズとセキュアヴェイルが提携、セキュリティ運用サービス[Netstare(ネットステア)]の販売を強化
両備システムズとセキュアヴェイルが提携、セキュリティ運用サービス「Netstare(ネットステア)」の販売を強化 ...
データセンター、オンプレミスどちらのセキュリティ対策もフルサポートITセキュリティ専業の日本企業、株式会社セキュアヴェイル(本社:大阪市北区、代表取締役社長:米…(2021年5月25日 9時46分39秒)
東工大CERTが考える、コラボレーションとセキュリティの最適解
東京工業大学(東工大)では、学外の民間企業や国際研究機関との共同プロジェクトが盛んに行われている。ただし、情報セキュリティの観点から見ればこうした状況はリスクでもある。学内の情報セキュリティを管理運営する東工大CERTでは、全学的な認証基盤を構築し、それと連携するかたちでBoxを導入、セキュアなコラボレーション基盤として活用している。
デロイト トーマツ、「Nist Sp800-171」に準拠した高度なサイバーセキュリティを確保したサービス提供体制を ...
デロイト トーマツ グループのプレスリリース(2021年5月26日 10時00分)デロイト トーマツ、[NIST SP800-171]に準拠した高度なサイバーセキュリティを確保したサービス提供体制を構築
デロイト トーマツ、「Nist Sp800-171」に準拠した高度なサイバーセキュリティを確保したサービス提供体制を ...
デロイト トーマツ グループ(東京都千代田区、グループCEO:永田高士)は、米国の国立標準技術研究所(National Institute of Standards and Technology 以下、NIST)が定めたセキュリティ基準を示すガイドライン「NIST SP800-171」に準拠した、高度なサイバーセキュリティを確保したサービス提供体制を2021年中に構築する計画です。
セキュリティ運用の課題を解決、『MSS for Azure Sentinel』提供開始:時事ドットコム
[SBT]~Microsoft 365のログを取り込んだセキュリティ監視、専門家の運用でより安心に~SBテクノロジー株式会社(本社:東京都新宿区、代表取締役社長 CEO:阿多 親市、以下SBT)は、24時間365日のセキュリティ監視を行うマネージドセキュリティサービス(以下 MSS)のラインアップに『MSS for Azure Sentinel』を追加し、本日より提供を開始することをお知らせします。『MSS for Azure Sentinel』は、マイクロソフトが提供するクラウドネイティブのS…
セキュリティ運用の課題を解決、『MSS for Azure Sentinel』提供開始 | SBテクノロジー (SBT)
セキュリティ運用の課題を解決、『MSS for Azure Sentinel』提供開始 ~Microsoft 365のログを取り込んだセキュリティ監視、専門家の運用でより安心に~。このサイトは、SBT SBテクノロジー株式会社が運営する、企業情報サイトです。
ASCII.jp:両備システムズとセキュアヴェイルが提携、セキュリティ運用サービス「Netstare(ネットステア ...
両備システムズとセキュアヴェイルが提携、セキュリティ運用サービス「Netstare(ネットステア)」の販売を強化
「ドラクエ」がセキュリティ業界を変える!? Nictの偉い人が語る、"魔王討伐"のために必要なこと(Internet ...
「IT・セキュリティ業界にいる、尖った人たちを紹介したい!」――……そう語るのは、セキュリティ企業の雄、株式会社ラックの武田一城氏。氏によると、“けものみち”を歩み続け...
Vdiの正しい選び方 ~セキュリティ編~
テレワークの普及に伴い、シンクライアントの重要性が高まっています。そんな中で大きな注目を集めているのが、仮想デスクトップ環境を構築する「VDI」です。本記事では、セキュリティ管理の観点から見たVDIのメリットや、正しい選び方について解説していきます。
ネットワーク・セキュリティ運用監視サービス NetStare(R)(ネットステア)の提供を開始 | 両備システムズ
データセンター、オンプレミスどちらのセキュリティ対策もフルサポート . 官公庁向け、民間企業向けに幅広く情報サービスを手掛ける株式会社両備システムズ(本社:岡山県岡山市、社長:松田 敏之、以下当社)は、ITセキュリティ専業事業者である株式会社セキュアヴェイル(本社:大阪府 ...
Aqua Enterprise vs Aqua Trivy:あなたに最適なものは? #aqua #セキュリティ ...
AquaSecurity |本ブログは「Aqua Security」社の技術ブログで2021年5月13日に公開された「 Aqua Enterprise vs Aqua Trivy: What’s Best for You? 」の日本語翻訳です。 Aqua Enterprise vs Aqua Trivy:あなたに最適なものは?
5gセキュリティ市場ーコンポーネント別、ネットワークコンポーネントのセキュリティ別、アーキテクチャ別、展開の種類別 ...
SDKI Inc.は、「5Gセキュリティ市場ーグローバルな予測2030年」新レポートを 2021年05月25日に発刊しました。この調査には、5Gセキュリティ市場の成長に必要な統計的および分析的アプローチが含まれています。
PDF Contrast Securityがインタラクティブ・アプリケーション・セキュリティ・テス ティング(IAST)で ...
検知によるアラートはセキュリティチームを疲弊させ、開発リリースサイクルを滞らせます。Go⾔ 語のアプリケーションに適した脆弱性テスト⼿法はこれまでに存在しませんでした。
Nuroセキュリティ・Nuroクラウド 利用規約改定のお知らせ
NUROセキュリティ利用規約 上記利用規約 別紙2-別表1 NUROセキュリティ マネージドサービスtypeY 料金表(税抜額)について、以下の通り変更いたします。 ・RTX1220:2021年6月1日より新規受付開始 ・RTX1210:2021年4月30日にて新規受付終了 ※
オフィスステーション|シェアNo.1人事労務クラウドソフト
人事労務にまつわる年末調整・労働保険・社会保険などの手続きや管理業務をペーパーレス化。業界最低水準のコストで導入できる人事労務クラウドソフト「オフィスステーション」。対応帳票124種類以上。マイナンバー管理やe-Gov電子申請APIにも完全対応。
両備システムズとセキュアヴェイルが提携、 セキュリティ運用サービス「Netstare(ネットステア)」の販売を強化 ...
セキュアヴェイルの「お知らせ」ページです。ネットワーク・セキュリティ対策に関するサービスや製品情報、会社からのお知らせを掲載しています。
OSSに潜むセキュリティやライセンス上の問題があらゆる業界にまん延---シノプシス - ZDNet Japan
シノプシスは、「2021年 オープンソース・セキュリティ&リスク分析レポート」を発表した。
ネットワークセキュリティ市場は2027年までCAGR16.8%で大きな成長が..(Report Ocean プレスリリース)
2021年5月24日にREPORT OCEANが発表した新しいレポートによると、ネットワークセキュリティ市場は、2027年に640億1,000万ドルに達すると予測される Report Ocean社が発行した最新レポート「ネットワークセキュリティ市場:コンポーネント、ソリューション、サービス、展開、組織規模、および産業垂直別。
