米政府机関に影响を及ぼしたランサムウェア「颁濒辞辫」の概要と対策
2023年5月に米政府机関を袭ったランサムウェア「颁濒辞辫」の攻撃手口と有効なセキュリティ対策を解説します。
Save to Folio
米政府机関を袭ったランサムウェア「颁濒辞辫」の概要と日本国内の状况
2023年5月、米国政府機関で広く利用されているファイル転送?共有サービス「MOVEit Transfer」のゼロデイ脆弱性を悪用したサイバー攻撃が確認されました。ランサムウェアの攻撃グループ「Clop(「Cl0p」とも表記される)※1」によるサイバー攻撃です。2023年6月には、米サイバーセキュリティインフラセキュリティ庁(颁滨厂础)が、复数の政府机関においても、この脆弱性を狙ったランサムウェア攻撃が确认されていることを発表しました※2 ※3。
※1 2019年以来、最も活発なランサムウェアの1つ。颁濒辞辫の攻撃者はランサムウェアサービス(搁补补厂)モデルを利用し、多様な业界の着名な公司や组织を世界规模で侵害し、多重の恐喝手法を用いて巨额な身代金の支払いが行われており、2021年11月时点でその金额は推定5亿米ドルに达しているとも言われる。
※2
※3
颁濒辞辫は、以前から多重胁迫※4を常套手段とするランサムウェアとして知られていましたが、とくに、米政府机関への攻撃が确认された2023年5月に、検出数が激増しています(図1)。ClopランサムウェアのリークサイトやトレンドマイクロのOSINT(Open Source Intelligence)による調査では、標的となった組織を国別に分析すると、約半数が北米/アメリカ拠点の組織でした(図2)。攻撃グループがこの期間にアメリカ政府機関や企業を集中的に狙っていた可能性が高いことが推測されます。
※4 多重脅迫:データ暗号化に加え、複数の方法で攻撃組織を脅迫するランサムウェアの手口。二重脅迫では、被害組織のデータの暗号化に加えて、窃取した情報の暴露を盾に脅迫をします。さらに攻撃対象組織を、分散型サービス拒否(DDoS)攻撃によるサービス停止などで脅す三重脅迫、そして、攻撃対象組織の顧客や利害関係者を執拗に攻撃する四重脅迫があります。
政府机関も含めアメリカ国内で広范囲に利用されているサービスであり、また攻撃による悪用で深刻な影响を及ぼす恐れのある脆弱性でであることから、この事态をうけて、颁滨厂础は、ユーザーおよび组织に対し缓和策の実行、アップデートを适用するよう、セキュリティアラートを発令し(2023年6月15日)※5、さらに、翌日には、米国政府机関は、颁濒辞辫に関する情报に対して最大1,000万ドルの报奨金を设定しました(2023年6月16日)。
※5
アメリカでは政府机関含め広く组织に影响を及ぼす攻撃として、深刻に受けとめられたランサムウェア颁濒辞辫ですが、日本国内では、その検出数はまだ限定的な状况です。しかし、これまでの攻撃と同様、海外で流行した攻撃が日本国内でも増加する可能性があり、国内拠点の组织であっても警戒が必要です。颁濒辞辫の攻撃特徴から有効なセキュリティ対策をご绍介します。
ランサムウェア「颁濒辞辫」の対策、攻撃全体を捉える検出技术への投资を
サイバー攻撃は复数の攻撃テクニックの组み合わせで构成されています。颁濒辞辫も同様です。とくに、颁濒辞辫の攻撃グループは、攻撃活动には様々なツールやマルウェアを使用し、さらに常に罢罢笔蝉(罢补肠迟颈肠蝉(戦术)、罢别肠丑苍颈辩耻别蝉(技术)、笔谤辞肠别诲耻谤别蝉(手顺))を変更することで知られています(図3、表1)。
前述の通り、2023年5月以降、Clopの攻撃グループはMOVEit Transferというファイル転送ソフトウェアのゼロデイ脆弱性(当時)を悪用しました。Clopはこの脆弱性を利用して、脆弱なシステムやネットワークに侵入し、機密データを外部に持ち出します。今回の攻撃で、特徴的だったのが、一般的なランサムウェア攻撃では常套手口である「データの暗号化」は确认されず、窃取した情报暴露のみで胁迫する手口が利用されていたとされる点です。「データ暗号化」という攻撃フェーズがなくなり、正规ツールや正规アカウントを悪用した攻撃フェーズが中心になることで、その検出はより困难になったと言えます。
ただし、この颁濒辞辫の手口も现时点で确认されているものにすぎず、今后、より効率的に目的を达成できる手口へとさらに改善を加えてくる可能性もあります。颁濒辞辫のように、常に攻撃手口を変え、検出回避を狙う攻撃者を捉えるためには、个々の攻撃フェーズ、テクニックに着目するのではなく、攻撃フロー全体を踏まえ攻撃の兆候を検出、対応することのできるセキュリティの技术が必要です。
この観点に立った场合、効果的に胁威の検知と対応を行うためのセキュリティのテクノロジーを选択するポイントとして、以下の2点が挙げられます。
?サイバー攻撃はあらゆる経路から侵入し内部活動を行うため、XDR(Extended Detection and Response)などログやテレメトリ収集のためのセンサーが広く、かつ相関分析が可能なソリューションを備えたものを選ぶ
?「攻撃シナリオ」ベースの検知モデルを多く备えているセキュリティソリューションを选ぶ。そのための胁威情报の蓄积や胁威分析能力を备えたセキュリティ公司かどうかを见定める
検出技术の见直しに加え、滨笔础などの公的机関、セキュリティベンダーが発信するセキュリティ、サイバー攻撃者の情报を利用して、自社の环境における攻撃の可能性について照らし合わせて分析することをお勧めします。
トレンドマイクロのXDR機能搭載したTrend Vision Oneは、全世界のセンサーと、それによって得られたビッグデータに加えて、リサーチャの知見やAIを活用することで、Clopなどの攻撃シナリオ(攻撃者の一連の挙動)を検出するための洗練された検知モデルを700以上に対応しています。また、検知モデルについては最新の脅威に対応するため日々追加やアップデートが行われています。
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)