Ransomware

第 1 ステップ: 初期アクセスがランサムウェアを呼び込む

重要な調査結果

  • これまでランサムウェア攻撃を防ぐには、メールにダイレクトに添付されるランサムウェアに対処することが求められました。しかし、攻撃手法は大幅に形を変え、現在はEメールは一連の攻撃の最初に侵入する間接的な脅威となりました。
  • ランサムウェアの攻撃者は、マルウェアの配布にサイバー犯罪集団を利用します。サイバー犯罪集団の多くは、バンキング型トロイの木馬を配布する役目を担っています。サイバー犯罪集団は、不正アクセスのファシリテータ (調整役) として、E メールで送信された悪意のあるリンクや添付ファイルを介してバックドアを配布します。
  • バンキング型トロイの木馬は、E メールを介して配布されるもっともよく知られたマルウェアで、2021 年前半にプルーフポイントのデータで確認されたマルウェアのおよそ 20% を占めています。
  • プルーフポイントは現在、初期アクセスのファシリテータ役を務める攻撃者やランサムウェアのアフィリエイトである可能性がある攻撃者を 10 グループ以上追跡しています。
  • ランサムウェアが E メールで直接配布されることはまずありません。2020 年から 2021 年においては、わずか 1 つのランサムウェア株が、第一段階の E メールペイロードだったランサムウェアの 95% を占めています。
  • マルウェアのローダーとランサムウェア攻撃とは、1:1 の関係にはなっていません。複数の攻撃者が、同じマルウェア ペイロードを利用して、ランサムウェアを配布します。

概要

ランサムウェア攻撃では、今でも E メールが利用されますが、一般的に考えられるような方法でおこなわれるわけではありません。ランサムウェアのオペレーターは、独立したサイバー犯罪グループからアクセス権を購入する場合が多く、この犯罪グループは、主要な標的に侵入したあと、ランサムウェアの攻撃者にアクセス権を販売することによって、不正利益の一部を得ます。バンキング型マルウェアやその他のトロイの木馬をすでに配布しているサイバー犯罪グループは、ランサムウェアのアフィリエイト ネットワークの一員である可能性もあります。その結果として、強固で利益になる犯罪のエコシステムが生まれます。そこでは、さまざまな個人や組織がさらに専門性を高め、被害者を除く、すべての関係者のためにさらなる利益を生み出しているのです。

E メールによるランサムウェアを防止することは簡単で、ローダーをブロックすると、ランサムウェアもブロックできます。

通常、初期アクセスを成立させる攻撃者は、たとえば、フォーラムでアクセス権を販売する広告を出稿するなど、犯行後もアフィリエイトやその他のサイバー攻撃者にアクセスを提供し続ける日和見的な攻撃者と理解されています。しかし、本レポートにおいては、ランサムウェアの攻撃者と直接取引している、していないにかかわらず、第一段階のマルウェア ペイロードを介して初期アクセス権を手に入れるグループを、初期アクセス ブローカーと見なします。

このような不法な攻撃者は、The Trick、Dridex、Buer Loader などの第一段階のマルウェアで被害組織に不正アクセスし、そのあと、ランサムウェアのオペレーターに、データの窃盗や暗号化操作を実行するためのアクセス権を販売します。プルーフポイントのデータによると、ランサムウェア ローダーとして使用されることが多いバンキング型トロイの木馬は、2021 年前半における特定のキャンペーンで観測されたマルウェアのおよそ 20% を占めており、これは、プルーフポイントが現在の脅威状況で確認するもっともよく知られたタイプのマルウェアでもあります。プルーフポイントはまた、不正なアップデートや Web サイトのリダイレクトを利用してユーザーを感染させる SocGholish を介してランサムウェアが配布されている証拠を確認しています。また、オペレーターが検知回避のために利用する Keitaro トラフィック配信システム (TDS) や後続のエクスプロイト キットを介してランサムウェアが配布される証拠も観測しています。

プルーフポイントは、ランサムウェアの攻撃者がよく利用する初期アクセスのペイロードに加え、それを送信する攻撃者を独自に可視化します。特定されたマルウェアに関連する第二段階のペイロードはランサムウェアだけではないことに注意しなければなりません。ランサムウェアの攻撃者は、E メールの攻撃経路に加え、初回アクセスのためにインターネットや危険なリモート アクセス サービスにさらされるネットワーク デバイス上で実行されるソフトウェアの脆弱性も利用します。

ランサムウェアのエコシステムのマップ

プルーフポイントは現在、初期アクセス ブローカーとして活動している可能性が高い約 12 の攻撃者を追跡しています。プルーフポイントが今まで観測してきた、マルウェア ローダーを配布する E メール攻撃キャンペーンの多くが、ランサムウェアへの感染を実際に引き起こしています。攻撃者は必死に身元を隠し、検知を回避しているため、アクセス ブローカーとランサムウェアの攻撃者との連携を確認することは困難です。初期アクセス ブローカーやマルウェア バックドアの開発者は、ランサムウェア専門の攻撃者と直接連携したり、自身がランサムウェア専門の攻撃者として活動したりすることも考えられます。

初期アクセスのファシリテータ (調整役)

汎用性が高い破壊的なマルウェア Emotet は、以前はきわめて活発に活動していた、マルウェアのディストリビュータのひとつで、2018 年から 2020 年の間に、ランサムウェアに感染させ、多大な損害をもたらしました。しかしながら、国際的な法執行機関が 2021 年 1 月にこのマルウェアを壊滅させ、そのインフラを根絶し、さらなる感染を予防することに成功しました。

Emotet が削除されて以降、プルーフポイントはデータの中で、第一段階のマルウェア ペイロードとして機能し、ランサムウェア攻撃を含め、さらなる感染を引き起こそうとする The Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif といった数多くのマルウェアからの一貫した継続的活動を観測しています。プルーフポイントでは、これらのマルウェア ファミリーを「バンキング型」ファミリーの傘下にあるものとして追跡しています。この 6 か月にわたって、バンキング型トロイの木馬は、1,600 万通以上のメッセージに関連づけられており、プルーフポイントのデータで観測されたもっとも一般的なタイプのマルウェアとなっています。

また、プルーフポイントは、ランサムウェア攻撃の初期アクセス経路としてよく利用される Buer Loader や BazaLoader といったダウンローダの追跡もおこなっています。この 6 か月においては、およそ 600 万通の悪意あるメッセージを配布したおよそ 300 のダウンローダ キャンペーンを特定しました。

プルーフポイントの研究者は、さまざまな攻撃者のハッキング フォーラムで広告されたバックドア アクセスを追跡しています。アクセス権は、不正アクセスを受けた組織やその利益率により、場所を問わず、数百ドルから数千ドルで販売される可能性があります。また、アクセス権は仮想通貨で購入することができ、もっとも一般的にはビットコインが使用されます。

プルーフポイントは、さまざまな攻撃者、マルウェア、ランサムウェアのデプロイの間で重複する部分を観測しています。プルーフポイントのデータやサードパーティによる報告では、たとえば、Conti ランサムウェアが、Buer、 The Trick、ZLoader、IcedID など、複数の第一段階のローダーに関連づけられていることが示唆されています。また、IcedID は、Sodinokibi、Maze、Egregor のランサムウェア イベントに関連づけられています。

TA800

TA800 は、プルーフポイントが 2019 年半ばから追跡している大規模なサイバー犯罪グループです。この攻撃者は、The Trick、BazaLoader、Buer Loader、Ostap などのバンキング型マルウェアやマルウェア ローダーを送信したり、インストールさせようとします。そのペイロードが、ランサムウェアを配布しているのが観測されています。プルーフポイントは、TA800 が、攻撃者によって Ryuk ランサムウェアの配布に利用された BazaLoader のインプラントについて詳述したサードパーティの報告と関連が高いことを、確信しています。

TA577

TA577 は、活発に活動しているサイバー犯罪グループで、プルーフポイントは 2020 年半ばから追跡しています。この攻撃者は、さまざまな業界や地域を幅広く標的にしており、プルーフポイントは、TA577 が Qbot、IcedID、SystemBC、SmokeLoader、Ursnif、Cobalt Strike といったペイロードを送信するのを観測しています。

プルーフポイントは、TA577 が 2021 年 3 月に発生した Sodinokibi ランサムウェア への感染に関与していると、確信しています。TA577 は当初、悪意のある Microsoft Office ファイルを添付した E メールを介して、被害者に不正アクセスをおこなっていました。この添付ファイルは、マクロが有効になると、IcedID をダウンロード・実行するというものです。この攻撃者による活動は観測されただけでも、この 6 か月において 225% 増加しました。

TA569

TA569 は、コンテンツ管理サーバに不正アクセスし、Web トラフィックを挿入して、ソーシャル エンジニアリング キットにリダイレクトさせることで知られるグループで、トラフィックや感染済みデバイスを販売します。この攻撃者は、不正なアップデートを利用することにより、ユーザーに対して、ブラウザのアップデートと、悪意のあるスクリプトのダウンロードを促します。プルーフポイントは、2018 年から TA569 を追跡していますが、このグループは 少なくとも 2016 年末から存在しています。

プルーフポイントは、TA569 が 不正なアップデート フレームワークである SocGholish を利用してランサムウェアを配布する WastedLockerランサムウェア キャンペーン (2020 年に発生) と関連があることを、確信しています。サードパーティの組織は、このランサムウェアをEvil Corp という名で知られているロシアのサイバー犯罪グループと関連づけていますが、プルーフポイントは、 TA569 は Evil Corp と同一ではないと推測しています。

TA551

TA551 は、2016 年からプルーフポイントが追跡している攻撃者です。この攻撃者は、スレッド ハイジャックを頻繁に利用して、広範囲にわたる地域や業界を標的とし、悪意のある Office 文書を E メールで配布しています。プルーフポイントは、TA551 が Ursnif、IcedID、Qbot、Emotet を配布するのを観測しています。

TA551 IcedID のインプラントは、2020 年に発生した Maze および Egregor のランサムウェア イベントと関連があることを、確信しています。

TA570

プルーフポイントは 2018 年から、もっとも攻撃的な Qbot のアフィリエイトのひとつである、大型サイバー犯罪グループ TA570 を追跡しています。Qbot は、ProLock や Egregor などのランサムウェアを送信していることが観測されています。TA570 は、不正アクセスされた WordPress サイトやファイル ホスティング サイトを利用して、ペイロードをホスティングしており、悪意のある添付ファイルや URL を配布するスレッド ハイジャックをおこなっていることが観測されています。この 6 か月における TA570 の活動量は、およそ 12% の増加を見せています。

図 1: 観測された攻撃者、第一段階として機能するアクセス ペイロード、このペイロードに関連してデプロイされるランサムウェアのサンプリング。これらの項目に対する情報は、各攻撃者に関する上記の説明につながっています。

TA547

TA547 は、活発に活動しているサイバー犯罪グループで、ZLoader、The Trick、Ursnif など、主にバンキング型トロイの木馬をさまざまな地域に配布しています。この攻撃者は、ジオフェンシングを利用することが多いため、ペイロードにすべての地域のユーザーがアクセスできるわけではありません。VPN からペイロードにアクセスしようとしても、大抵はうまくいきません。攻撃者が VPN 終了 IP アドレスをブラックリストに入れているためです。この 6 か月にわたり、TA547 から実行されたキャンペーンのうち特定された数は、およそ 30% に急増しました。

TA544

大規模攻撃を仕掛けるこのサイバー犯罪グループは、イタリアや日本など、さまざまな地域を標的にしつつ、バンキング型マルウェアやその他のマルウェア ペイロードを定期的にインストールしています。この攻撃者は、マルウェアを配布するアフィリエイトで、さまざまな開発者と連携している可能性が高いです。プルーフポイントのキャンペーン データによると、TA544 は、トロイの木馬である Ursnif や Dridex を配布していることが観測されており、この 6 か月に 800 万通を超える悪意のあるメッセージを送信しています。

TA571

プルーフポイントは 2019 年から、TA571 そのものに加え、このグループがバンキング型マルウェアを配布・インストールしようとしていないか追跡しています。この攻撃者は、Ursnif、ZLoader、Danabot を配布し、正規のファイル ホスティング サービスや、不正アクセスされたインフラ、またはなりすましのインフラを頻繁に利用して、ペイロードのホスティングをおこなっています。通常、1 回のキャンペーンにつき、2,000 通を超えるメッセージを配布します。

TA574

プルーフポイントの研究者は、キャンペーン データにより、TA574 がこの 6 か月で 100 万通を超えるメッセージを配布していることを観測しました。大規模攻撃を仕掛けるこのサイバー犯罪グループは、幅広い業界を標的とし、ZLoader といったマルウェアを送信・インストールしようとします。通常、このグループは、マルウェアをデプロイする前に、悪意のある Office の添付ファイルを配布し、ジオターゲティングやユーザー エージェントの検知といった技術を悪用しています。プルーフポイントの研究者は、2020 年 6 月から TA574 を追跡しています。

TA575

TA575 は、2020 年後半からプルーフポイントが追跡している Dridex のアフィリエイトです。このグループは、悪意のある URL、Office の添付ファイル、パスワードで保護されたファイルを介して、マルウェアを配布します。平均的に、1 回のキャンペーン当たり、およそ 4,000 通のメッセージを配布し、数百もの組織に影響を与えます。

第一段階のランサムウェア

プルーフポイントは今もなお、E メールに添付ファイルやリンクをつけるといった形で、量としてはかなり少なくなったものの、ランサムウェアが E メールを介して直接配布されているのを確認しています。たとえば、2020 年と 2021 年には、100 万通を少し超える程度のメッセージを配布する 54 のランサムウェア キャンペーンを特定しました。

そのなかには、2020 年に特定した、約 100 万通のメッセージを含む 4 つの Avaddon キャンペーンが含まれ、これが全体の 95% に相当します。2021 年 5 月には、米連邦捜査局が、Avaddon 活動の増加に関する詳細を発表しました。そこには、ランサムウェアのオペレーターが、RDP や VPN などのリモート アクセス ポータルを介して、直接 E メールにアクセスするのを回避しながら、初期アクセス権を手に入れたことが記載されています。このような操作の移行は、プルーフポイントのデータで観測される Avaddon のキャンペーンと一致しています。

アクセス経路として E メールを直接利用するその他のランサムウェアとして、プルーフポイントのデータに登場したものには、Hentai OniChan、BigLock、Thanos、Demonware、Xorist などがあります。

犯罪集団の多様化

プルーフポイントの「脅威研究」チームは、初期アクセス経路であるランサムウェアや E メールに関連する観測傾向について理解を深めるため、2013 年から現在までのデータを分析しました。2015 年以前は、ランサムウェアを比較的小ない一定量の添付ファイルやリンクとして、Eメールで直接配布するキャンペーンが観測されましたが、2015 年からは、攻撃者はかなり大量にランサムウェアをEメールで配布し始めています。攻撃者は、クリックやダウンロードで被害者を感染させる悪意あるファイルや URL を含んだ多数のメッセージを、個人宛の E メールアドレスに送信します。たとえば、Locky は、その活動が突然終了する前の 2017 年には、1 日当たり 100 万通ものメッセージに仕込まれて送信されました。

図 2: 第一段階のマルウェアとして展開されるランサムウェアの量

プルーフポイントのデータでは、2018 年に第一段階のランサムウェア キャンペーンの数が減少していることが分かります。脅威検知の向上や個人による暗号化操作といった複数の要因によって、第一段階のペイロードであるランサムウェアの脅威を回避できた結果、大金の支払いを抑えるとともに、ワームの侵入など、人間の操作による、飛躍的に破壊力を増した脅威の発生を抑えることができたのです。

ハッカーはどのようにして狙いを定めるのか

ランサムウェアの攻撃者は、今や「大物」を狙うようになっています。オープンソースのツールを使って監視し、大規模組織や影響を受けやすい標的、さらには、企業が身代金の支払いを受け入れる可能性を特定します。初期アクセス ブローカーと連携しつつ、既存のマルウェア バックドアを利用することにより、暗号化を実現する前に、ラテラル ムーブメント(横方向への移動)を実行したり、ドメインの信用性を完全に低下させたりすることができるようになります。

初期アクセス ブローカーを利用した一連の攻撃には、以下のようなものが考えられます。

  1. 攻撃者が、悪意のある Office 文書を含んだ E メールを送信
  2. ユーザーがその文書をダウンロードし、マルウェア ペイロードを仕込んだマクロが有効化
  3. 攻撃者がバックドア アクセスを利用し、システム情報を抜き出す
  4. この時点で、初期アクセス ブローカーは別の攻撃者にアクセス権を販売することも可能
  5. 攻撃者がマルウェアのバックドア アクセス経由で Cobalt Strike をデプロイ。これにより、ネットワーク内でラテラル ムーブメントが可能に
  6. 攻撃者が Active Directory 経由でドメインの完全アクセスを得る
  7. 攻撃者が、ドメインに参加するすべてのワークステーションにランサムウェアをデプロイ

Ransomware

図 3: 初期アクセス ブローカーを介した一連のアタックの例

概要

2021 年はこれまでに、プルーフポイントは、ランサムウェアへの感染につながることが多い多段階ペイロードで、ダウンローダやバンカーなどを巻き込む、E メールによる脅威を継続して観測しています。このような攻撃者は、ランサムウェア ペイロードを手動でデプロイする前に、広範にわたる偵察、特権の付与、さらには環境内のラテラル ムーブメントをおこなっています。監視すべき重要な測定基準は、滞在時間です。この 2 年間にわたって、インシデント対応企業による複数の公開報告書では、攻撃者が暗号化操作を実行する前に環境内で費やす時間が少なくなっていることが指摘されています。インシデントの一部では、初期アクセスをおこなってからランサムウェアをデプロイして感染させるまでにかかる期間が、2019 年には平均 40 日と報告されていましたが、現在では 2 日となっていることが報告されています。

短い滞在時間、多額の支払い、サイバー犯罪のエコシステム全体での協力体制により、サイバー犯罪は最悪の事態となっており、各国の政府はそれを深刻に受け止めています。米国政府は、最近おこなわれた大規模なランサムウェア攻撃に対応し、ランサムウェア対策への新たな取り組みを打ち出し 、2021 年の G7 会議でもホットな話題となりました。この脅威に的を絞った新しい画期的な取り組みを実施するとともに、サプライチェーン全体におけるサイバー対策への投資を増やすことにより、ランサムウェア攻撃の頻度と効力は低下させることが可能になります。