二重恐喝、RaaS…最新型ランサムウェアの実態
岡本氏は実際のランサムウェア「Conti」を例にとって、上記の傾向を具体的に説明した。
Contiはトレンドマイクロの「2021年 年間セキュリティラウンドアップ」で、「REvil」「LockBit」に次いで3番目に検出数が多いランサムウェアだ。岡本氏によると3種類すべて、標的型、手動拡散、二重恐喝、そしてRaaSを利用しているランサムウェアだという。
Contiは初期侵入でフィッシング攻撃の他に、ネットワーク機器の脆弱性も利用する。「ランサムウェア対策というとエンドポイントやメールでの対策のイメージが強いが、最新型では従来の対策にあわせてネットワーク機器などの脆弱性対策も必要になる」と岡本氏。
なお、脆弱性としてはどこの企業でも使われているような製品、サービスにあるものが悪用されており、「多くの企業や団体がContiの攻撃対象になりうる可能性がある」という。
システムへの侵入後、Contiは特権昇格を試みる。ここでは、ドメイン管理者の認証情報を狙うだけでなく、脆弱性を悪用して攻撃者自身の権限を昇格するケースも確認されているとのことだ。
特権昇格した後は、クレデンシャルの入手、システム内の探索活動、攻撃検知を防ぐためのセキュリティソフトウェアの終了などを行い、後に二重恐喝ができる重要情報を盗み出す。その後、ランサムウェアを実行するという流れだ。このように、初期侵入後、内部活動を経てデータを窃取し、最後にランサムウェアを実行するという攻撃の流れは、Conti以外の最新型のランサムウェアでも共通しているそうだ。
なお、岡本氏によると最新型のランサムウェアでは侵入からデータ持ち出しまでに要する時間は平均して6.55日と、1週間も要していないのだ。
つまりランサムウェアの被害を防ぐためには5日以内に対策を実施する必要がある。
