SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

ソフォス、ランサムウェア攻撃者の身代金要求手段の上位10通りを公開

 ソフォスは、「ランサムウェア攻撃者が身代金を支払うよう圧力を強める上位10通りの方法(The Top 10 Ways Ransomware Operators Ramp Up the Pressure to Payの翻訳)」と題する記事を公開した。

 本記事では、ランサムウェア攻撃者が被害者に、身代金を支払うよう誘導するために圧力をかけている状況を説明。なお、サイバー攻撃をリアルタイムに受けている組織を24時間態勢で支援する同社のインシデント対応チーム「Rapid Response」が実務で得た知見を元に作成されているという。以下が、2021年に最もよく使用された脅迫手段の上位10件だとしている。

1.盗んだデータをオンラインで公開したりオークションで売却したりすると脅迫

 攻撃者は、盗み出したデータをリークサイトで公開し、競合他社、顧客、パートナー、メディアなどが閲覧できるようにしているほか、攻撃者がダークウェブやサイバー犯罪者同士のネットワーク上でデータをオークションにかけることもあるという。

2.上級管理職を含む従業員にメールや電話で個人情報を開示すると脅迫

 REvil、Conti、Maze、SunCryptなどのランサムウェアファミリはこの脅迫手段を用いているとしている。たとえば、REvilにおけるランサムウェアのオペレーターは、メディアや被害者のビジネスパートナーと連絡を取って攻撃の詳細を通知し、被害者に身代金の支払いを促すよう依頼しているという。

3.ビジネスパートナー、顧客、メディアなどにデータ侵害の通知や脅迫を実行

 攻撃者が盗んだファイル内に存在する連絡先の個人や組織に電子メールやメッセージを送り、プライバシーを守るため被害者に身代金の支払いを促すように仕向けるとされている。

4.被害者に口止めをする

 最近のランサムウェアの中には、被害者が法執行機関に連絡したり、身代金交渉の詳細を公開したりすることを禁止するメッセージで被害者を脅迫するものがあるとしている。これには、被害者が身代金の支払いを回避するためのサポートを、第三者から受けられないようにする狙いがあると考えられるという。また、ランサムウェアの攻撃者が、特に法執行機関の注目を集めるのを嫌がっていることも示唆するとしている。

5.内部協力者の雇い入れ

 内部の人間を募ってランサムウェア攻撃を手助けさせ、その見返りとして収益の一部を譲渡するという手法だという。

6.パスワードをリセット

 ネットワークに侵入した後に新しいドメイン管理者アカウントを作成し、他の管理者アカウントのパスワードをリセット。これにより、IT管理者はシステムを修復するためにネットワークにログインすることができなくなり、バックアップからデータの復元を試す前に、新しいドメインを設定しなければならなくなるとしている。

7.被害者の電子メールアドレスを標的にしたフィッシング攻撃

 Lorenz ランサムウェアに関するある事例では、攻撃者は被害者の従業員にフィッシング攻撃を仕掛け、たとえパスワードをリセットしたとしても、攻撃者が従業員の電子メールに完全にアクセスできるようにするアプリケーションをインストールするよう仕向けたとされている。その後、不正に入手した電子メールアカウントを使用して標的組織のIT担当、法務、サイバー保険チームにメッセージを送り、支払いをしなければさらなる攻撃を行うと脅迫したという。

8.オンラインバックアップとシャドーコピーを削除

 被害者のネットワークを偵察する際、多くのランサムウェアのオペレーターは、組織内ネットワークやインターネットに接続されているバックアップを探し、暗号化後にファイルの復元に用いられることを防ぐために削除するとしている。また、バックアップそのものの削除に加え、バックアップソフトウェアのアンインストールや、復元ポイントのリセットなどが行われる場合もあるという。

9.POS端末を含むすべての接続されたデバイスからランサムノート(身代金要求文書)を印刷

 印刷されたランサムノートが大量に送られてくる手法。EgregorやLockBitなどのランサムウェアは、この脅迫手段を用いている。

10.標的のWebサイトに対する分散型サービス拒否(DDoS)攻撃

 いくつかのランサムウェアは、身代金の支払い交渉が行き詰まった際にDDoS攻撃を行い、交渉の再開を図ろうとするという。また、攻撃者は主たるランサムウェアの攻撃活動を、ネットワーク上の別の場所で行っている間にセキュリティのリソースを他に使わせるため、あるいは単独の脅しとして、DDoS攻撃を利用するとしている。

【関連記事】
フィッシング攻撃の定義について共通理解が得られず――ソフォス調査
ソフォス、過去20年間のサイバー攻撃を振り返る調査レポートを公開
ソフォス、Refactr買収でサイバーセキュリティプラットフォーム自動化を加速

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/15232 2021/11/16 17:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング