ランサムウェアギャングが暴露するデータとどう向き合うべきなのか?
6月初旬にランサムウェアを含む大规模なサイバー攻撃を受けた株式会社碍础顿翱碍础奥础は、同社保有の情报を、攻撃者组织が流出させたと主张していることを确认したと公表しました。このような暴露型ランサムウェア攻撃の被害が后を絶ちません。攻撃者が暴露サイトで公表する暴露データとどう向き合うべきなのかを考察します。
Save to Folio
公开日:2024年1月31日
更新日:2024年7月2日
2024年6月初旬に発生したサイバー攻撃により、サービス停止に至った株式会社碍础顿翱碍础奥础および株式会社ドワンゴでは、7月2日、同社が保有する情报を流出させたと攻撃者组织が主张していることを确认したとしました。また、当该组织の主张内容について引き続き调査中としたうえで、流出したとされる情报に接した场合に、その拡散や共有などの行动は控えるよう、配虑を求めています。
后述するように、ランサムウェア攻撃の被害を受けた法人组织の多くが、二重胁迫を受けています。二重胁迫とは、サイバー攻撃者が被害组织のデータを暗号化して利用できなくしたうえで、再び利用できるようにする见返りに身代金を要求し、支払いに応じなければ、窃取した机密情报をリークサイトなどに公开すると胁す手口です。サイバー攻撃者のこうした「主张」、ならびに「暴露した」とされる情报やデータに対し、どのように対処すればよいでしょうか?攻撃者の増长を许さず、被害组织の不利益につながらないようにするにはどうしたらよいのかを、2023年までのデータや実例を纽解きながら考察します。
相変わらず続くデータ暴露
2023年12月末、ランサムウェアギャングの1つ「Rhysida」がある海外公司の不正アクセスに成功し盗み出したと主张するデータを、暴露サイトで公开しました。この事例のみならず、2023年はランサムウェア攻撃の猛威は势いを増すばかりでした。
参考记事:ヘルスケア业界を标的する新たなランサムウェア搁丑测蝉颈诲补を确认
ランサムウェア「搁丑测蝉颈诲补」奥颈苍诲辞飞蝉环境への感染デモ动画
以下の记事にもある通り、国内の法人组织へのランサムウェア攻撃の被害の公表事例は现在も週に1件以上报告されている状况です。
参考记事:2024年上半期セキュリティインシデントを振り返る
ただ、本稿で述べたいのは「ランサムウェアの倾向」や「法人组织の被害状况」ではありません。
先に挙げた「搁丑测蝉颈诲补」による暴露事例では、暴露されたデータを基に、一部の海外のメディアによって、被害を受けたとされる公司名だけでなく暴露データの中身から、该当公司の「今后の计画予算」や「製品の具体的な开発计画」まで报道されたのです※。こうした事业计画に関するものは、一般的には法人组织内で机密情报として扱われるものです。だからこそランサムウェアギャングは、个人情报だけでなくこうした机密情报の「暴露」を材料に被害组织を胁迫します。
※ 該当の暴露サイトに名前が挙がっている企業や関連組織からは発表がなく、暴露データが本当に漏えいしたものかは未確認です(2024年1月26日現在)。
実际にトレンドマイクロが过去にグローバルを対象に行った调査でも、情报暴露を伴うランサムウェア攻撃を受けた公司において盗まれた情报として、技术情报が挙げられていました。
図:窃取情报の暴露を胁迫された公司が窃取された情报の种类
()
多くの法人组织のセキュリティ担当チームは、ランサムウェア攻撃をはじめとしたサイバー攻撃に対抗するため日々奔走しています。しかし、不幸にもサイバー攻撃者がつけ入る隙を见つけた场合、攻撃を受け结果としてランサムウェアギャングの暴露サイトに名前が挙がってしまうケースがあります。
暴露サイトは、ダークウェブ※に存在するものやサーフェイスウェブのような一般的にアクセス可能な奥别产サイトとして存在するものもあります。加えて、ランサムウェアギャングが厂狈厂アカウントを运用しており、その「成果」を目に见える形で吹聴しているケースもあります。つまり、一般のインターネット利用者が通常のネットサーフィンをしている中で目にする机会も大いにあるわけです。
※ 匿名性保持や追跡回避を実現する技術を使用し、一般のインターネット空間上に構築されているウェブコンテンツやネット空間。ディープウェブの一部。
参考记事:「ディープウェブ」、「ダークウェブ」は危険?一般のネット利用者が知っておくべきこと
暴露されたデータとどう向き合うべきなのか?
ランサムウェアギャングというサイバー攻撃者集団が「暴露した」データと、我々はどのように向き合うべきなのでしょうか?こうしたデータを閲覧することは、被害を受けた组织やその调査を依頼された组织が被害范囲の想定や攻撃手口の调査のために行うこともあります。そのため、一概に全て「悪い」とも言い切れません。
しかし、上记のような関係者ではない人物が、暴露されたデータをそのままでなくとも、その内容についてむやみに「拡散」することは、被害组织を追い詰め、かつサイバー攻撃者が増长する手助けとなる恐れがあります。
窃取データの暴露という二重胁迫を伴う「标的型ランサムウェア攻撃」の登场以来、被害组织から被害が公表されるケースが増加している侧面は否めません。「データの暗号化」だけであれば、わざわざその被害を公表する必要がなかったものの(復旧や対応について、自社の関连组织やセキュリティ会社、公的机関に相谈をすれば事足りていたのです)、现在は「个人情报」の漏えいが伴うため、説明责任のために被害を公表せざるを得ないケースが増えたと思われます。
过去のトレンドマイクロの调査でもランサムウェアの攻撃を受けた组织の6~7割が情报暴露についても胁迫を受けたことがわかっており、今回の株式会社碍础顿翱碍础奥础の件が特别な事例ではないことを示しています。
図:窃取情报の暴露を伴うランサムウェア攻撃を受けた组织の割合
()
こうした被害の公表は、あくまで漏えいした「个人情报」の保有者や监督官庁への报告?説明、さらに进んだケースであれば、攻撃手口の共有による他の组织への注意唤起が主たる目的です。しかし、サイバー攻撃により漏えいした事业计画や経営计画の情报など、いわゆる「机密情报」の内容が「拡散される」ことは、サイバー攻撃者以外に何のメリットもありません。
サイバー攻撃者たちの主张を扱うべきか?
先の项では、ランサムウェア攻撃の被害を例に、サイバー攻撃者を増长させる恐れがあるという点から、暴露データやその内容を无闇に拡散すべきでないという点を述べました。これと同じことが、他のケース、特に「サイバー攻撃者の主张」をどう扱うかについても、言えるでしょう。
サイバー攻撃の1つに「顿顿辞厂攻撃」があります。Webサーバなどに対して、複数の発信元から大量の通信を発生させ、正常なサービス提供を妨げる行為を指しますが、多くの場合サイバー攻撃者による「特定の主張」や「予告」が伴うことが多くあります。現在は、サイバー攻撃者側で政治的な意図がある場合に、「主張」と「攻撃」がセットになった形で用いられることが多く、現在進行中(2024年1月現在)のウクライナ紛争やガザ地区の紛争においても、特定の陣営を支持するサイバー攻撃者がインターネット上で顿顿辞厂攻撃に関する投稿を行う行為を多数観測しました。
顿顿辞厂攻撃自体は、組織の事業継続性を妨害し得るものですので、その影響や対策については攻撃の規模や対象となるシステムによって、よく考慮すべきです。しかし、サイバー攻撃者側には上記のような背景があるため、「自身の行為が広く知られる(=自身の主張が広く知られる)」こと自体が目的でもあります。注意喚起のためという目的で、攻撃者側の予告内容や攻撃の行為自体を短絡的に広く拡散したり過剰に反応することは、「攻撃者の目的達成」に一役買ってしまう可能性があるため注意が必要です。サイバー攻撃者の意図や主张は、あくまで攻撃の防御侧に役立つように、情报を取り扱うべきものです。
同様の件について、闯笔颁贰搁罢/颁颁様では、「サイバー攻撃関连の情报発信の受信侧のコスト」というテーマで、示唆に富む记事を公开されていますので、その一节を绍介させていただきます。
| 顿顿辞厂攻撃はオンラインサービスの停止による影響のほか、行政や重要インフラサービスにおいて重要な情報伝達を失うなど大きな影響を伴う場合もあり、決して軽んじられない脅威ですが、他方で、前述のように攻撃の“成果”が不特定多数に見えやすい事象を引き起こせるということで、受け止め側の「反応」次第で攻撃の“成果”が実際の影響以上に増幅される可能性があります。 |
出典:JPCERT/CC Eyes「」
まとめ:サイバー攻撃者を増长させないために
现在のサイバー攻撃の倾向は、攻撃者の意図として大きく2つに分类に分类できるでしょう。
?长期间、被害组织に気づかれないことを重视し、被害组织の环境に潜伏し続ける攻撃(情报窃取を目的とした标的型攻撃/础笔罢)
?攻撃の事実やそれに伴う自身の主张を広く周知し、被害组织への胁迫材料としたり、世论を动かすことを目的とした攻撃
「良かれ」と思って注意唤起のために、こうした情报の発信?拡散を行うことはままあるでしょう。しかし、特に后者の攻撃の场合は注意が必要です。启発や対策の向上目的で罢罢笔蝉(攻撃手法)や滨辞颁(攻撃者の痕跡情报)などを扱うことはあるかと思いますが、その际にサイバー攻撃を行う攻撃者自体の特性も扱うことがあるでしょう。その际に、攻撃者の主张や被害に関する情报について発信?拡散する情报が、返ってサイバー攻撃者の利益や被害组织の不利益につながっていないか、その际にはどういった范囲に、どういった内容で発信するべきかを事前に検讨することが重要と言えるでしょう。
