情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年6月21日号
***************************************************************
Paradiseランサムウェアのソースコードが公開!!変種ランサムウェアの登場予告!!
***************************************************************
6月17日
ロシアのブラックマーケットにParadiseランサムウェアのソースコードが公開された。
ソースコードの公開は、潜在的なサイバー犯罪者たちが自分専用の変種ランサムウェアを開発する
ことができるということを意味する。
当該ソースコードは、ロシアのハッキングフォーラムであるXSSに投稿され、いくつかの権限が高いサイト
利用者のみアクセスできるように設定されている。
このソースコードを変更すると、自分だけのマルウェアバージョンを指定して、C&Cサーバ、暗号化され
たファイルの拡張子と連絡先、電子メールのアドレスなどを挿入することができる。
Paradiseの活動は、2017年9月に初めて発見されており、オペレータは悪性IQY添付ファイルが
含まれている電子メールを使用して、ランサムウェアを流布した。
以降複数バージョンの変種ランサムウェアが登場している。
最初のバージョンでは、復号化ツールを作成することができる脆弱性が存在したが、最新バージョン
ではこの脆弱性を修正して、RSA暗号化方式を使用している。
5月にロシアハッカーフォーラムで日本に対するランサムウェア攻撃の予告があったばかりで、日本国内
でのランサムウェアによる不正アクセス被害件数は公開されているだけでも、5月に5件、6月には本日
現在で6件を超え増加傾向にある。
6月1日にランサムウェア攻撃を受けた富士フイルムは「情報流出の痕跡は確認できなかった」とするも
通常業務復旧までに2週間の時間を要している。
その他でも東芝テックの海外関連会社5社や日産証券、イトーヨーギョー、大和ハウス工業子会社
のスポーツクラブNASなどの大手も被害を受けた。
また世界的にもランサムウェア攻撃が急増していて、各国の情報セキュリティ機関や情報セキュリティ
企業が警告している。
カナダの大手サイバーセキュリティ企業であるイーセンテリア社は、2021年に入り6つのランサムウェア
攻撃チームが4月までの4ヶ月間で292の団体・組織を攻撃し、少なくとも4500万ドル稼いだと研究
報告している。
各攻撃チームの手口は様々で、サーバの脆弱性を狙いハッキングしてランサムウェア攻撃をする方法や
フィッシングメールを通じてハッキングしたランサムウェア攻撃、またNASを狙ったハッキングとランサムウェア
攻撃などが確認されている。
標的にされたのは、公的機関から医療、救急機関や一般企業まであり、アメリカ最大の保険会社の
一つであるCNA
Financialやファーストフード大手のマクドナルドも被害を受けた。
しかし、これらのランサムウェア攻撃は政府機関や企業を狙った金銭目的の攻撃だけではない。
前回の当レポートで紹介したように、ランサムウェアの犯罪者が、オリンピックに関与する組織や関係者
に対して恐喝する機が熟していると米国調査会社フォレスターも警鐘を鳴らしていて、それ以外の各国
調査会社、セキュリティ企業も五輪関係者を標的にした大規模なサイバーテロが起きる可能性が高い
と警告している。
日本はNISCを中心にサイバー攻撃への体制を整えているが、東京オリンピック・パラリンピックの計測
システムがクラウドを通じて提供する仕組みになっていて、そこが攻撃されると大会は完全に止まって
しまう事になり、日本に対する信頼度は下落する事になる。
つまり金銭以外の目的では、政治的、経済的に国家やスポーツイベントに対してダメージを与える目的
の攻撃もあるという事で、警戒されているのがロシア、中国、北朝鮮といった国であると考えられる。
昨年、英外務省はロシアのハッカーらが、開催予定だった東京オリンピック・パラリンピックの妨害を狙って
いたと発表している。それによると、ロシアの軍参謀本部情報総局(GRU)が、東京五輪・パラリンピック
の関係者や関係団体に対して「サイバー偵察」を実行。
こうしたサイバー攻撃は、大会が新型コロナウイルスの影響で2021年に延期されることが決まる前に
仕掛けられたというのである。
ロシアにもサイバー攻撃者、サイバー犯罪者が利用するサイバー闇市場、いわゆるブラックマーケットが
存在している。その一つであるブラックマーケット【Hydra】は、2015年設立当初は麻薬販売が主で
あったが、その後盗まれたクレジットカード情報、証明書偽造、偽造紙幣、サイバー攻撃のサービスなどで
市場を広げ、最近3年間で約624%の成長率を見せ、2020年には13億7000万ドルの闇市場となり
現在最も人気のあるブラックマーケットの一つとして浮上している。
5月にロシアのハッカーフォーラムで日本に対するランサムウェア攻撃の予告があり、今回ランサムウェアの
ソースコードが公開された。しかも五輪が近づくにつれランサムウェア攻撃が増加している。
ランサムウェア以外にも、サイバー闇空間での不穏な動きや日本に対するサイバー攻撃が日々確認され
ていて、これらは東京五輪との関連性も否定できない。
兎に角、今回ロシアのブラックマーケットでランサムウェアのソースコード公開によって、サイバー犯罪者達
による様々な変種ランサムウェアの登場が予告されているので注意が必要である。
そして、このような情報はロシアだけで共有されるのではなく、中国や北朝鮮、それ以外の国のサイバー
攻撃者も既に情報は得ているはずで、変種ランサムウェアの攻撃は各国から起きると考えられる。
東京オリンピック関連の各団体や組織はランサムウェア攻撃に対する備えを万全にする必要がある。
もちろん一般企業も同様で、変種のランサムウェアの場合、既存のセキュリティソリューションでは検知が
できない事も想定される。
既存のセキュリティソリューションに頼るだけでなく、実際に攻撃を受けた時にどうするかを考えて準備を
すべきだろう。
ランサムウェア攻撃による影響を復旧するための平均総コストは2021年で185万ドル(約2億円)という
調査結果が英国セキュリティベンダーのソフォス社より出ている。
必要な対策なども出ているので同社の『ランサムウェアの現状(2021年版)』を参考にされると良い。
今や狙われる対象は全ての団体・企業・組織である。
企業の経営者であれば、被害を受けて2億円の費用をかけるか、数十万から出来る対策強化を図るか
考えずとも分かるはずである。
東京オリンピック開催が近づき、五輪関係組織も十分な警戒が必要となる。
今やらなければならない事は何かを考え、念には念を入れた備えをしなければ日本は大きなダメージを
受けることになるだろう。
もし何もなければ、それはそれでよいのである。
今回の警告が少しでも伝わり、被害を最小化出来ることを願って止まない。
---------------------------------------------------------------------------------
<参考URL>
サウスプルームNEWS:2021/6/17
Paradiseランサムウェアのソースコードが公開!!変種ランサムウェアの登場予告!!
http://www.southplume.com/news20210617.html
日刊工業新聞:2021/6/2
社説/五輪のセキュリティー対策 リアルとサイバーの双方を守れ
https://www.nikkan.co.jp/articles/view/00600426
ITmedia
NEWS:2021/6/15
ランサムウェア攻撃から2週間 富士フイルム、顧客向け通常業務が復旧
https://www.itmedia.co.jp/news/articles/2106/15/news090.html
SOPHOS:2021/5/21
ランサムウェアの現状 2021年版
https://secure2.sophos.com/ja-jp/content/state-of-ransomware.aspx
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved