本記事では、2024年半期レビューとして、TXOne Networksの脅威リサーチチームが、重要インフラ業界におけるランサムウェアの攻撃手法について分析したことで見えてきた課題とその戦略的対策方法について説明します。
はじめに
2015年以降、ランサムウェア攻撃は、特に重要インフラ(CI)分野のデジタル化が進むにつれて、組織や企業が無視できない重要な脅威となっています。
ITとOTの融合により、OT環境までもがランサムウェアグループの標的になっています。2023年は、OT環境が直面したインシデントの中で、ランサムウェア攻撃が最も多く、次いでセキュリティアップデートの不足とAPT攻撃に関する問題が多発しました[1]。ランサムウェアグループは進化を続け、最近では攻撃戦略として三重、四重の恐喝手法を開発するようになっています。
このように脅威がエスカレートするのに対応するため、TXOne Networksの脅威対策チームは、現在のランサムウェアの状況について広範な調査を実施しました。調査においては、オープンソースインテリジェンスとランサムウェアグループが一般的に利用しているランサムブログを主要な情報源として活用しました[2] [3] [4] [5] [6]。
この調査を受けて、2024年上半期に最も活動的だったランサムウェアグループを特定するリストが作成されました。これらのランサムウェアグループの手法と戦略を理解することで、産業界はこの分析を活用して防御を強化し、不可欠なサービスのデジタル変革に伴うリスクを軽減できます。
2024年上半期のランサムウェアの概要
図1は、ランサムウェアグループのランサムブログを基に統計を取り、2024年上半期に活発であったランサムウェアグループを列挙しています。多くの有名なグループが依然として上位にランクインしています。しかし、金銭的利益を最大化するために、ランサムウェアグループは常に戦術を進化させています。LockBit、Play、Black Basta、8base、Akiraなどの活発なグループが過去1年間に採用した攻撃手法と技術を調査したところ、次のような傾向が明らかになりました。
- ランサムウェアグループは、組織のネットワークへのアクセスを行うために、イニシャル・アクセス・ブローカー(IAB)をますます利用するようになっており、攻撃効率を高めています。
- ランサムウェアグループは、侵害されたコンピュータ上でローカル管理者権限を取得すると、多くの場合、LSASSダンプやドメインでキャッシュされた認証情報のダンプなどの手法を用いて、ラテラルムーブメントを実現しています。
- 標的の組織による防御をさらに困難にするために、ランサムウェアグループは、侵害されたデバイス上のウイルス対策ソフトウェアやシャドー・コピー・サービスを無効にしようとする場合があります。
- 二重恐喝手法から三重恐喝手法へとエスカレートするために、ランサムウェアグループによっては、RcloneやMEGAなどのツールを使用して、身代金要求に加えてデータを盗む場合があります。
図1:2024年上半期のランサムウェア攻撃(グループ別に分類)
注意:これらの統計は、ランサムウェアグループ自身による主張に基づいており、実際のインシデントとは必ずしも完全に一致しない場合があります。
イニシャル・アクセス・ブローカー(IAB)は、組織のコンピュータシステムやネットワークへの侵入を専門とする攻撃者です。
IABは、自ら攻撃を実行するのではなく、他の悪意のある攻撃者に不正なアクセス権限を販売することで利益を得ています。これらのさまざまな種類のアクセス権限の価格は、標的の規模と販売されるアクセス権限のカテゴリに応じて決まります。
最近の事例では、ランサムウェアグループが、クラウドやVPNサービスのアカウントへのアクセス権限など、IABを通じて標的の認証情報を頻繁に入手していることがわかっています。残念なことに、これらのテクノロジーは、現代の重要インフラ(CI)業界ですでに採用されています。
- 自動車製造業界では、フォルクスワーゲングループがAWSソリューションを採用して、生産および物流環境をデジタル化しています[8]。
- 製薬業界では、MERCK社がAzureと統合された拡張現実デバイスを使用して研究活動を最適化しています。
- 従来は隔離された環境と見なされていた半導体業界でも、II-VI社はCadenceクラウド環境を導入して、自動化プロセスと生産性向上ツールを迅速に構成し、最適化しています[9]。
ランサムウェアグループは、イニシャル・アクセス・ブローカーによってすでに侵害されているコンピュータを取得することが多く、これらのコンピュータには、ラテラルムーブメント攻撃を容易にするために悪用できる正規のリモートサービスがあらかじめ備わっています。
侵害されたコンピュータのローカル管理者権限を取得すると、多くの場合、LSASSダンプやドメインでキャッシュされた認証情報のダンプなどの手法を使用して有効なアカウントを盗み出し、RDPやSMBなどのサービスを通じて他のデバイスに直接接続して、組織のネットワーク全体にランサムウェアを拡散させます。
前述のように、ランサムウェアグループは、ファイルを暗号化するだけでなく、データを盗むことによっても被害者への圧力を高め、三重の恐喝手法を使用できるようになっています。彼らは、データの漏洩、顧客への嫌がらせ、さらに上流および下流サプライヤへの脅迫まで実行します。場合によっては、RcloneやMEGAなどのツールを使用して、標的組織のデータを盗むこともあります。
このように、RcloneやMEGAなどの正規のクラウド・ストレージ・ソリューションが、標的組織のデータを盗むために頻繁に使用されることがあるため、その活動を検知することが困難になっている点は憂慮すべきことです。
攻撃手法のさらなる分析
脅威調査チームは、2024年上半期に活動していたランサムウェアグループが最近採用した攻撃手法の概要を表1に詳しくまとめています。
この表では、LockBit、Play、Black Basta、8base、Akiraに関するデータがまとめられています。ボックス内の各数字は、これらの手法がランサムウェアグループによって採用された頻度を示しています。ランサムウェアグループによって一般的に採用されている手法はオレンジ色でハイライト表示されています。調査結果によると、ランサムウェア攻撃は主に金銭的利益が目的となっています。これらの攻撃は通常、その影響力と収益性を最大化するために、普及し広く知られた手法を利用しています。
これらのグループは、相互学習の傾向が高まるにつれ、知識と技術を共有することで互いに学び合い、共通の手法をますます使用するようになっています。以下では、確認された手法について詳しく説明しています。
表1. MITRE ATT&CK v15.1においてアクティブなランサムウェアグループが使用する手法
| 初期アクセス | 実行 | 持続的活動 | 権限のエスカレーション | 防御回避 | 認証情報へのアクセス | 検知 | ラテラルムーブメント | 収集 | コマンド&コントロール | 抜き取り | 影響 |
| 一般公開されているアプリケーションを悪用(4) | コマンドおよびスクリプティングインタープリタ(3) | 起動時またはログオン時の自動起動実行(2) | 権限昇格制御メカニズムの悪用(1) | 実行ガードレール(1) | ブルートフォース(2) | ネットワークサービスの検出(1) | リモートサービス(1) | 収集データのアーカイブ(4) | アプリケーション層プロトコル(2) | ウェブサービス経由の流出(3) | データ暗号化による影響(5) |
| 外部リモートサービス(4) | ソフトウェア展開ツール(1) | 有効なアカウント(1) | 起動時またはログオン時の自動起動実行(2) | 防御機能の弱体化(5) | OSクレデンシャルダンピング(4) | システム情報の検出(3) | ラテラル・ツール・トランスファー(1) | プロトコルトンネリング(1) | 代替プロトコル経由の流出(3) | システム復旧の妨害(4) | |
| フィッシング(4) | システムサービス(1) | アカウントの作成(1) | ドメインやテナントポリシーの改変(2) | インジケーターの削除(2) | セキュリティ対策が施されていない認証情報(1) | システムロケーションの検出(1) | リモート・アクセス・ソフトウェア(3) | クラウドアカウントへのデータの転送(1) | サービスの停止(1) | ||
| 有効なアカウント(4) | ネイティブAPI (1) | 有効なアカウント(1) | 難読化されたファイルや情報(2) | パスワードストアの認証情報(2) | システムネットワーク構成の検出(2) | 非アプリケーション層プロトコル(1) | データの破壊(1) | ||||
| ドライブバイコンプロマイズ(1) | Windows管理ツール(1) | 権限昇格の悪用(1) | ドメインやテナントポリシーの改変(1) | ソフトウェアの検出(1) | ドメインポリシーの改変(1) | 改ざん(1) | |||||
| ユーザーによる実行(1) | アクセストークンの操作(1) | 偽装(1) | アカウントの検出(1) | データの難読化(1) | 金銭の窃取(3) | ||||||
| プロセスインジェクション(1) | ファイルや情報の難読化/復号化(1) | プロセスの検出(2) | イングレス・ツール・トランスファー(1) | ||||||||
| システムバイナリプロキシの実行(1) | ファイルとディレクトリの検出(1) | プロキシ(1) | |||||||||
| ドメイン信頼の検出(1) | |||||||||||
| 権限グループの検出(1) | |||||||||||
| リモートシステムの検出(1) |
前述のように、ランサムウェアグループはイニシャル・アクセス・ブローカーを利用して組織のネットワークへのアクセス権を入手します。
したがって、初期アクセスの段階では、ランサムウェアグループは多くの場合、侵害されたコンピュータ上のリモートサービス用に有効なアカウントをすでに持っています。実行段階で標的のコンピュータに侵入すると、コマンドおよびスクリプティングインタープリタのサブテクニックでは、これらのグループはPowerShellやWindowsコマンドシェルなどのシステムネイティブなツールを使用して、セキュリティ担当者による検知の可能性を減らすことが一般的に行われます。
さらに、防御回避段階では、さまざまなランサムウェアグループが多様なテクニックを駆使します。最も一般的なものは、「システムファイアウォールの無効化または変更」や「ツールの無効化または変更」に使用されるサブテクニックです。
ランサムウェアグループはこれらを使用して、侵害されたデバイス上のウイルス対策ソフトウェアとセキュリティツールを無効化または変更します。これにより、ネットワークの制限を回避できるだけでなく、悪意のある活動が検知される可能性も低くなります。
攻撃者が標的のコンピュータ上でローカル管理者権限を取得すると、OSクレデンシャルダンピング手法を使用して他のデバイスから有効なアカウントを抽出します。その後、RDPやSMBなどの使い慣れたサービスを使用してログインします。OSクレデンシャルダンピングでは、ほぼすべてのランサムウェアグループがLSASSメモリへのアクセスを試みます。この手法は次のように用いられます。ユーザーがコンピュータにログインすると、システムがさまざまな認証情報データを生成し、LSASSメモリに保存します。そこで、これらの認証情報は、攻撃者によってアクセスされ、ネットワーク内を横方向に移動するため(ラテラルムーブメント)に使用されることになります。
最後に、二重恐喝以上の利益を得るために、ランサムウェアグループは標的の組織から内部データを盗みます。「収集したデータのアーカイブ」などの手法を使用して、収集した情報を難読化し、ネットワーク経由で送信されるデータ量を最小限に抑えて、防御側がこの行動を察知する可能性を低くします。
ランサムウェアグループは広範囲におよぶ攻撃戦略を採用しているため、重要インフラ(CI)分野でさえも標的になっています。CI分野は、国家安全保障や社会全体に影響をおよぼす分野であるため、特に憂慮すべきことです。
2024年上半期に発生したCI関連のインシデントには、次のようなものがあります。
- 米国の医療業界の主要企業であるChange Healthcare社は、2月にランサムウェア攻撃を受け、数百のシステムがオフラインになりました。さらに、同社はこのランサムウェアインシデントへの対応について、ホワイトハウスや議会からの批判にもさらされました[10]。
- ランサムウェアグループのLockBitは、2024年2月に米国と英国の当局によってその活動が阻止されました[11]が、それにひるむことなく、そのインシデントからの回復に積極的に取り組んでいます。さらに、LockBitは、2024年3月にCrinetics Pharmaceuticals社を新たな標的リストに加えたことから、その執拗さがわかります[12]。
- Hyundai Motor Europe社は、1月にBlack Bastaランサムウェアの標的となり、攻撃者は3テラバイトの企業データを盗んだと主張しています[13]。
これらのインシデントは、ランサムウェアグループがCI分野にもたらす危険性を浮き彫りにしています。
さまざまなランサムウェアグループによって開発された多様なランサムウェアの亜種が増殖を続ける中、防御対策は、単一の検知手法だけでは脅威を効果的に軽減できず、苦戦を強いられています。この課題は、CI分野では、環境における技術的制限があることから、ランサムウェア攻撃を防御することがより困難になっており、特に注目すべき点となっています。
これらの課題に対応するためには、さまざまな環境に合わせて調整した包括的な検知および防御メカニズムを実装することが重要になります。幸いなことに、最近のランサムウェアグループの攻撃戦略は明確になっています。実行時の運用変更が最小限に抑えられることが多いOT環境は、特に、サイバーフィジカルシステム ディテクション&レスポンス(CPSDR)技術を活用すれば、運用に影響をおよぼす前にあらゆる想定外のシステム変更を防ぐことができます。CPSDRを用いれば、新しいランサムウェア亜種であっても、予防的に防御できます。
このプロアクティブなアプローチにより、脅威が特定・分析されるのを待ってから行動を起こすのではなく、ランサムウェア攻撃の拡散を効果的に阻止することができます。
まとめ
ランサムウェアグループの自己申告ではありますが、2024年上半期の累積被害者には、LockBit、Play、Black Basta、8base、Medusa、Akiraなどの非常に活発なグループが標的にした組織が含まれていました。
彼らの攻撃は、重要インフラ(CI)分野を標的としており、最も影響の大きいインシデントの中には、医療、重要な製造業、金融業、運輸業界に影響をおよぼすものもありました。これらの攻撃の影響があまりに広範囲におよんだため、議会やホワイトハウスの注目を集めるほどでした。
TXOneのICS/OT脅威ハンティングレポートで指摘されているように、攻撃者は専門性を高め続けており、ランサムウェアグループはイニシャル・アクセス・ブローカーを通じて組織または企業ネットワークへのアクセスを行い、攻撃効率を高めています。ランサムウェアグループが相互に学び合うため、その攻撃戦略はより明確になっています。
セキュリティ担当者による検知と復旧の可能性を減らすために、ランサムウェアグループは、防御回避戦術としてさまざまな手法を採り入れています。多様化しているとは言え、「システムファイアウォールの無効化または変更」や「ツールの無効化または変更」などのサブテクニックは、攻撃戦略として依然として重用されています。
ほとんどのランサムウェア攻撃は金銭的な目的であるため、国家安全保障や社会福祉に影響をおよぼす可能性のあるCI分野が主要な標的となっています。このため、標的となった組織は、必要不可欠なサービスの中断を回避するために金銭の支払いを迫られることになります。
さらに、CI分野で一般的に見られる技術的制限により、さまざまな脅威を効果的に軽減できる単一の対策を見つけるのことは困難です。既知のランサムウェアや未知の亜種に対処するためには、脅威が特定され、分析されるのを待ってから対応すべきではありません。その代わりに、ランサムウェアの拡散からOT環境を保護するために、CPSDRなどのプロアクティブなアプローチを採用すべきだと考えます。
参考資料
[1] TXOne Networks、『融合による危機:OT/ICSサイバーセキュリティ 2023年版(The Crisis of Convergence:OT/ICS Cybersecurity 2023)』、TXOne Networks、2024年1月30日。
[2] ransomware. Live、『2022年4月以降のランサムウェア被害者の追跡(Tracking ransomware’s victims since April 2022)』、ransomware.Live、2024年8月1日。
[3] Ransomfeed、『Ransomfeed』、ransomfeed.it、2024年。
[4] Brenda Robb、『ランサムウェアの現状 2024年版(The State of Ransomware 2024)』、2024年7月1日。
[5] Spin.AI.、『Ransomware Tracker 2024』、Spin.AI.、2024年。
[6] Cyber Management Alliance、2024年。
[7] サイバーセキュリティ社会基盤安全保障庁(CISA)、『ニュースルーム – ストップランサムウェア(Newsroom – StopRansomware)』、CISA、2024年。
[8] Amazon Web Services、『フォルクスワーゲン、AWSと連携して産業用クラウドを構築(Volkswagen Works with AWS to Build Industrial Cloud)』、Amazon、2019年。
[9] Amazon Web Services、『I-VI、AWS HPC上のCadenceクラウド環境を活用して市場投入までの時間を短縮(I-VI Accelerates Time to Market with Cadence Cloud Environment on AWS HPC)』、Amazon、2021年7月。
[10] Jonathan Greig、『ランサムウェア攻撃によるUnitedHealthの被害額は8億7200万ドル、総額は10億ドルを超える見込み(Ransomware attack has cost UnitedHealth $872 million; total expected to surpass $1 billion)』、The Record、2024年4月16日。
[11] Office of Public Affairs、『米英がLockBitランサムウェアの亜種を駆逐(U.S. and U.K. disrupt LockBit ransomware variant)』、米国司法省、2024年2月20日。
[12] Jonathan Greig、『医薬品開発会社、LockBitに関連するサイバー事件を調査(Pharmaceutical development company investigating cyber incident linked to LockBit)』、The Record、2024年3月20日。
[13] Lawrence Abrams、『ヒュンダイ・モーター・ヨーロッパ、Black Bastaランサムウェア攻撃の被害に(Hyundai Motor Europe hit by Black Basta ransomware attack)』、BleepingComputer、2024年2月8日。
