トレンドマイクロでは2021年上半期(1~6月)において、二重恐喝の手口を用いて標的組織に被害をもたらすなど、新たな手口を取り入れたランサムウェア攻撃が依然として活発で高度化していたことを確認しました。従来のランサムウェア戦略とは異なり、新型ランサムウェアのオペレータは「暴露型」の手口として、感染端末から窃取したプライベートデータを人質として利用し被害者に圧力をかけ、身代金が支払われない場合は盗み出した重要情報をリークサイト上で暴露すると脅します。トレンドマイクロは2021年に入ってからこれらの脅威と旧来のランサムウェアファミリを追跡調査した結果、どの攻撃活動の勢いが増し、どのファミリが法人組織や個人ユーザにとって特に危険であるかを突き止めました。
■ 2021年第1~第3四半期までに確認されたランサムウェアの検出数
図1に示すように、トレンドマイクロが検出したランサムウェアの総数は、6月、7月に減少しましたが、8月から再び増加し始めました。これらのランサムウェアの攻撃対象を確認してみると、大企業が最も狙われていることがわかりました(図2)。
攻撃者は依然として様々な戦略を駆使してユーザのシステムを侵害していますが、トレンドマイクロは新たな手口を取り入れた新型のランサムウェアだけでなく、従来型ランサムウェアファミリも同様に追跡調査することで、いくつかの違いを観測しました。
ランサムウェア攻撃全体の中では、古くから存在し従来型として運用されている脅威「WannaCry(別称:WCry)」が2007年以降最も多く検出されています(図3)。したがって、新型ランサムウェアファミリの脅威動向を把握するには、WCryを除いたデータと、WCry単体の動向を確認する必要があります。図4のグラフが示すように、WCryを除外すると、他のランサムウェアファミリの増加を確認できます。一方、WCryファミリは減少傾向にあることがわかります。Lockyなどの古くから存在するランサムウェアも従来型ランサムウェアと見なすことができるため、将来的にはWCryファミリと同じ情勢になる可能性があります。
新型ランサムウェアや侵入を前提としたランサムウェアは、通常、別のマルウェアが標的端末にアクセスした後に読み込まれます。最新のランキング(図3)では、これらの高い注目度を集める新たなランサムウェアファミリの検出数が変動しやすいことを示しています。例えば、Sodinokibi(別称:REvil)の活動は不規則であることが見て取れます(図3)。これらのファミリは「標的型」という性質上、特定の攻撃が発生するかどうかによって検出数が急増します。従来型ランサムウェアは、不特定多数に対するメール経由のばらまき型攻撃(キャンペーン)により拡散されるため、まるでかかった獲物をすべて捕らえる網のようです。
(従来型「WannaCry」の検出数減少および新型「Revil」の検出数増減を強調表示)
(Wcryの検出数を含めた場合(左)と除いた場合(右)で比較)
■ ランサムウェアキャンペーンに関する脅威動向
「Emotet」、「Ryuk」、「Trickbot」の3種は、本稿執筆時点までに最も活発化したキャンペーンに用いられたマルウェアファミリです。2021年1月、8カ国の法執行機関が協働してEmotetボットネットをテイクダウンしたことにより、1月から2月にかけて検出数が急減しました(図5)。残念ながらこのテイクダウン後も、残ったEmotetのオペレータがキャンペーンを続けました。ボットに分類される「Emotet」は、侵害した端末へのアクセス権を他の攻撃者グループに提供する「マルウェアサービス(Malware as a Service、MaaS)」の典型的な例として、広く知られています。また、バンキングトロジャン/バックドアとして知られる「Trickbot」は、共有ネットワーク内での情報探索や拡散手口に用いられています。「Ryuk」などを頒布しているランサムウェアのオペレータの多くは、これらのツールやサービスを利用してキャンペーンを実施します。
これらのファミリの中で、Emotetが最も高い検出率を誇っています(トレンドマイクロ製品では、主要なペイロードおよび身代金要求メッセージ(ランサムノート)の両方を検出)。Ryukの検出数は、1年を通じて着実に増加しており、8月には大きな急増を見せました(図5)。前月比の約700%以上という増加率は、特定の大規模な攻撃活動によって引き起こされた可能性があります。トレンドマイクロのデータでは、大企業や中小企業のカテゴリでのみ、かなりの急増が見られたことから、法人組織に対して仕掛けられた特定の攻撃活動の一部である可能性があります。9月に入ると、急増はかなり収束しました。
(注:RyukおよびEmotetの検出数にはランサムノートが含まれる)
■ 侵入を前提としたランサムウェア攻撃の世界情勢
侵入を前提として活動するランサムウェアグループは、不正アクセスや内部活動を実施するために様々なツールや侵害されたアカウントを利用します。またこれらのグループが使用するファミリは通常、従来型ランサムウェアよりも巧妙化されています。トレンドマイクロは2019年から2020年9月までに、侵入後に読み込まれるランサムウェアの検出数が一定であることを確認しました。しかし、2020年の第4四半期(10~12月)に劇的な増加が見られました(図6)。2021年に入り、侵入後に読み込まれるランサムウェアの検出数は、2020年第4四半期と比較すると減少しましたが、2020年第1四半期から第3四半期までの検出数と比較すると、依然として大幅に増加しています。
米国、インド、日本、ドイツなどの国は2019年から2021年上半期にかけて一貫して侵入を前提としたランサムウェアの影響を受けていました。さらに、イギリス、シンガポール、香港、オランダでは、ランサムウェアが関与するインシデントの発生率が上昇したことで、2019年~2021年上半期にかけてランサムウェアが検出された上位国のランキングで順位が上昇しました(図7)。
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network(SPN)」のデータに基づく
図7のデータに基づくと、ランサムウェアの背後にいる攻撃者は以前の攻撃活動で成功を収めた国を標的とし続けるか、そこでの取り組みを強化するという傾向にあるようです。トレンドマイクロは、この傾向を特にイギリスとオランダで確認しました。これらの2つの傾向は、ランサムウェアの背後にいる攻撃者が、攻撃活動の難航する国から徐々に離れていることを示している可能性があります。
■ トレンドマイクロの対策とセキュリティに関する推奨事項
ランサムウェアグループは持続的な脅威をもたらす存在であり、法人組織を攻撃するためのツールや技術だけでなく、事業戦略も高度化させ続けています。法人組織は、以下のベストプラクティスを実践することで、ランサムウェアのリスクを軽減することができます。
- クロスレイヤーでの検知・対処を可能にするセキュリティソリューションを導入すること。脅威による被害が大きくなる前に、ランサムウェアが関与する攻撃活動や技術、内部活動を予測し、対処可能なソリューションを採用すること。「Trend Micro Vision One
」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。 - 予防対策や復旧時に備えた基本的対策指針を作成すること。インシデント対応やインシデント・レスポンス(IR)チームへの投資、および法人組織に適用される専用かつ明確な基本的対策指針を作成すること。インシデント対応に向けた基本的対策指針のフレームワークを策定しておくことで、組織はランサムウェアやセキュリティ侵害などの攻撃に対する事前計画や対策準備を実施することができます。必要が生じたときに誰もが準拠できる適切な手順でこれらの対策指針を維持すること。
- 攻撃シミュレーションを実施すること。従業員に現実に起こりうるサイバー攻撃のシミュレーションを体験させること。これにより、意思決定者、セキュリティ担当者、インシデント・レスポンス・チームが、潜在的なセキュリティ上の弱点や、システム、人の弱点を特定し、事前に準備・対策することができます。
参考記事:
- 「Analyzing How TeamTNT Used Compromised Docker Hub Accounts」
by Trend Micro Research
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro Research)
The post 2021年第1~第3四半期におけるランサムウェアの脅威動向を解説 first appeared on トレンドマイクロ セキュリティブログ.