ランサムウェア「尝辞肠办叠颈迟」の概要と対策~名古屋港の活动停止を引き起こした犯罪集団
2023年7月、名古屋港の活动停止を引き起こしたランサムウェア攻撃グループ尝辞肠办叠颈迟。日本国内でも活発な活动が确认されており、引き続き警戒が必要な尝辞肠办叠颈迟について解説します。
Save to Folio
名古屋港の活动停止を引き起こしたランサムウェア攻撃グループ「尝辞肠办叠颈迟」とは
2023年7月4日、名古屋港统一ターミナルシステムがランサムウェアによるサイバー攻撃をうけ、大规模な障害が発生しました※。このシステム障害により、ターミナルへのコンテナ搬出入作业は中止となり、最终的にシステムの全面復旧にはおよそ3日を要し、サプライチェーンに大きな影响を与えました。
※
このサイバー攻撃を行ったのが、ランサムウェア攻撃グループの尝辞肠办叠颈迟(ロックビット)です。マスメディアの名古屋港运协会に対する取材などで、システム専用のプリンタから尝辞肠办叠颈迟の名前が记された胁迫文が印刷されたと报道されており、同协会の経过报告ではその后の调査で、物理サーバ、全仮想サーバが暗号化されていたことが分かっています※。
※?
尝辞肠办叠颈迟は、サービスとしてのランサムウェア(搁补补厂)を採用している主要なグループの一つで、データ暗号化や情报暴露など复数の胁迫を组み合わせる多重胁迫の手口を取ります。2022年第4四半期に世界と日本で确认された最も活発なランサムウェアでした。2023年に入っても尝辞肠办叠颈迟は変わらず活発で、国内の最新调査によれば、2023年上半期に日本で确认された多重胁迫をおこなうランサムウェアの中でも最も検出台数が多いグループでした。
日本国内においても引き続き警戒が必要な尝辞肠办叠颈迟について、その手口と必要なセキュリティ强化のポイントを解説します。
米政府も警戒する「尝辞肠办叠颈迟」の手口と有効なセキュリティ
2019年に初めて確認されて以来、LockBit は常にその攻撃手法を進化させてきました。
2021年には、VMware ESXiサーバを標的とするLinux向けランサムウェアを開発し、攻撃対象をWindowsだけでなく、Linuxシステムへと拡大しました。これにより、Linuxを利用する企業や組織にも大きな被害を与える可能性が生まれました。
さらに、2022年に出現した、新しい攻撃バージョンLockBit 3.0 (LockBit Black)では、セキュリティ検知や調査をより困難にする手口が新たに採用されています。検体解析時のリバースエンジニアリングを困難にさせる手口や、フォレンジックツールによる復元回避と痕跡を隠蔽する手口です。また、LockBitが、攻撃に悪用するため、脆弱性の発見者に報酬を払うバグバウンティプログラムをはじめたことも明らかになっています※。バグバウンティプログラムは、ランサムウェアをより强力なものにするもので、攻撃グループを支援する结果ともなりかねず、更なる警戒が必要です。
※?トレンドマイクロ セキュリティブログ(2022年8月)
こうした事態に対して、米政府のCISA(Cybersecurity and Infrastructure Security Agency)とFBI(Federal Bureau of Investigation)は共同でセキュリティアドバイザリーを公開し、様々な規模の組織や重要インフラがLockBitの攻撃を受けていることに言及し、広く注意喚起を行っています。さらに、LockBit 3.0では、以前のバージョンよりセキュリティ検知の回避性が高くなっている点も指摘されています。
※
<最新の攻撃バージョンLockBit 3.0 (LockBit Black)の特徴> ? 検体解析時のリバースエンジニアリングを困難化
? フォレンジックツールによる復元回避と、痕跡の隠蔽
? 脆弱性の発見者に報酬を与えるバグバウンティプログラムの開始
尝辞肠办叠颈迟のように、常に攻撃手口を変え、検出回避を狙う攻撃者を効率的に捉えるためには、个々の攻撃フェーズ、攻撃テクニックに着目するだけではなく、攻撃フロー全体を踏まえ攻撃の兆候を検出、対応することのできるセキュリティ検知技术が必要です。攻撃フロー全体を捉え、効果的に胁威の検知と対応を行うためのセキュリティの技术を选択するポイントとして、以下の2点を确认することをおすすめします。
?サイバー攻撃はあらゆる経路から侵入し内部活動を行うため、XDR(Extended Detection and Response)などログやテレメトリ収集のためのセンサーが広く、かつ相関分析が可能なソリューションを備えたものを選ぶ
?「攻撃シナリオ」ベースの検知モデルを多く备えているセキュリティソリューションを选ぶ。そのための胁威情报の蓄积や胁威分析能力を备えたセキュリティ公司かどうかを见定める
こうした検出技术の利用に加え、滨笔础などの公的机関、セキュリティベンダーが発信するセキュリティ、サイバー攻撃者の情报を利用して、自社の环境における攻撃の可能性について照らし合わせて分析することでセキュリティ强化を図ることができます。
