米国の旅行会社 CWT が 450 万ドルを支払い、ランサムウェアの被害を回避

報道によれば、ミネソタ州を拠点とする旅行会社 CWT が最新のランサムウェア攻撃の新しい被害者となった模様です。

もはやこれらの攻撃を単なる「ランサム (身代金) ウェア」攻撃と呼ぶべきではないかもしれません。通常ランサムウェアというとユーザーがファイルにアクセスできないようになる攻撃を想像しますが、実際にはそれ以上のことを行う攻撃が急激に普及しています。

2010 年代初頭、CryptoLocker のようなマルウェアがきっかけでランサムウェアが初めて大きなニュースになった頃は、犯罪者は意図的に被害者のコンピューター上で暗号化を行なっていました。

必ずしもその必要があったわけではありません。標的となるユーザーの全ファイルを盗み、コンピューター上のコピーを消去した上で元のファイルを買い戻させることもできたはずです。

被害者に任意のファイル名を挙げさせて、それだけを無料で送信し、ファイルをすべて所持していることを証明することもできました。自分が任意に挙げた名前のファイルを送り返されたら、その他のファイルもすべて所持していると想像してしまうでしょう。

しかし手当たり次第に標的を狙い、無数の人々から一度に 300 ドルずつ巻き上げようと企んでいるような場合には、そのアプローチは効率が悪く問題も多いものでした。

当時一般的なホームユーザーや小規模企業が使用していた ADSL 回線の上り回線速度は、このような攻撃を行うには実際問題として不十分でした。支払い要求に応じたユーザーにファイルを正常に返却できるかどうかも不確かで、倫理的に払うべきか否かとは別に、このような技術的背景が理由で、支払いに応じる確率は低かったと思われます。

そのため犯罪者は、ファイルをコンピューター上で暗号化し、復号鍵、または鍵をあらかじめ埋め込んだ復号プログラムだけを売り渡すという仕組みで攻撃を行いました。

暗号化プロセスはネットワークの速度ではなくローカルディスクの速度で行われるため、発見も難しく、被害もあっという間に発生します。

また初期のランサムウェア攻撃者は、被害者からの支払いを確認すると、即時復号鍵を引き渡していました。「信頼できる犯罪者」という皮肉な評判を確立させるためです。

確かにランサムウェア攻撃者は、未だにローカルディスクでファイルを暗号化しています。そうすれば事業の進行に支障をきたすほか、見せしめにもなるからです。

名前もディレクトリもそのままで、ファイルは見ることができます。またランサムウェア攻撃によっては、皮肉にも、どのファイルも先頭数千バイトを暗号化しない場合があり、あたかもファイルが影響を受けていないかのように見えることがあります

しかし傷は浅いようでも、実は深くまで到達している場合もあります。

よい知らせもあります。現在。は多くの企業が以下の 2 つの方法でランサムウェアの脅威に対抗しています。

  • 回避できる可能性が少しでもある場合、組織は支払い要求に応じなくなってきています。なぜなら、そもそも要求に応じるのが間違ったことのように感じる、ということと、世界中の法執行機関の専門家が、身代金支払いは犯罪を助長するだけなので、要求に応じないよう声を大にして喧伝しているためです。
  • 組織は、バックアップや、事故からのリカバリ能力を向上させています。そのため自らリカバリを成功させる事例が増えています。

ソフォスが行った最近の調査では、ランサムウェア被害を自前でリカバリした場合、身代金要求に応じるよりもはるかに低いコストで済むという事実が示されています。理由は単純で、攻撃者から復号プログラムを受け取ってもシステム全体に対してそれを実行する必要があり、バックアップからのリカバリと同等の時間と労力が要るからです。ランサムウェアからファイルを復号するツールは、メールで受け取ったその場ですぐにデータをリカバリしてくれる魔法の杖ではありません。

悪い知らせもあります。それは、攻撃者も進化していることです。

攻撃者によっては、ファイルを暗号化するだけではなく、暗号化前のファイルのコピーをまず盗み出します

現在のランサムウェア攻撃者は家庭用ネットワークよりもはるかに速いネットワーク送信速度を持つ企業を主な標的としています。そのため、ファイルをローカルで暗号化する前に、大きなデータをアップロードできます。

コストも低く利用しやすいクラウドストレージがあるので、ディスク容量不足を心配する必要もありません。

実際、ファイルのすべてを盗み出す必要もありません。脅しの効果があるだけの量の重要なファイルがあれば十分です。

盗まれたデータ量を把握することはできませんが、もし被害に繋がるデータを少しでもちらつかせられたら、重要なファイルはすべて盗まれたと考えざるを得ません。

そしてこのようなランサムウェアによる要求は、脅迫のようなもの、ではなく、以下のように脅迫そのものです。「身代金を払わなければ、顧客、データ保護監視機関、競合企業、その他データに関心のある者すべてに重要なデータを漏洩する。どれだけのバックアップがあっても、この被害を防ぐことはできない」

身代金要求は今では 2 重の恐喝になっています。被害者はデータにアクセスできず、代わりに被害者以外の人々がアクセスできるようになってしまうかもしれないのです。

今回の CWT の事例では、レポートによると犯罪者は 3 万台に及ぶコンピューター上のファイルを暗号化し、2 テラバイトの企業データをアップロードしたと言われています。

この数字を鵜呑みにするわけにはいきませんが、2 重の恐喝が CWT をジレンマに追い込んだことは間違いありません。

CWT は最終的に犯罪者と契約が成立したようで (「契約が成立した」という言い方は適切でないかもしれませんが、これがランサムウェアを悪用する犯罪者のやり口で、まるで普通のビジネスパーソンのように振舞います) 当初の要求であった 1000 万ドルの代わりに、450 万ドルの支払いを決定しました。もちろん支払いはビットコインで行われます。

見返りとして暗号化されたファイルを復号するための素材が渡され、犯罪者からは、盗まれたデータは完全に消去した、という「約束」が通達されました。

(これは、犯罪者が嘘をついていないこと、また、犯罪者自身がハッキングを受けておらず、盗まれたデータをクラウドシステムから暫定的に受け渡しすることを前提としています)

対策

  • ランサムウェア対策ツールで、できる限り早期にファイルの暗号化を防止します。データが一切盗まれておらず、完全なバックアップもあるとしても、暗号化されたファイルのリカバリには時間と費用がかかります。
  • ログインポータルを保護し、部外者によるアクセスを拒否します。 ランサムウェア攻撃は、自社の IT 部門ための、目立たず保護されていない、またはパッチの適用されていないシステム、特に RDP (リモートデスクトッププロトコル) サーバーから始まることも多くあります。犯罪者に同じ方法で侵入されないようにしましょう。
  • ログを監視します。 ほとんどのランサムウェア攻撃は、見るべき事項を把握した上で注意して監視していれば、何らかのはっきりとした予兆を見出すことができます。すでに存在するマルウェアがランサムウェア犯罪者のためのバックドアとなる可能性もあります。説明のつかない新しいアカウントが作成されている場合は、通常犯罪者が犯行準備をしていることを意味します。あるべきでない場所にシステム管理者ツールがある場合は、犯罪者が攻撃を始める直前である可能性があります。
  • ユーザーのセキュリティ意識を高めることを怠らないでください。 Sophos Phish Threat などを使用して自社のユーザーが不審なメールを判断できるように訓練しましょう。フィッシングで盗まれたパスワードも、ランサムウェア犯罪者が侵入に使用する一般的な糸口です。企業内部で報告用のメールアドレスや電話番号を作成し、ユーザーが攻撃の初期段階を報告することで、会社全体がセキュリティチームを補佐する監視役となれるようにしましょう。