Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサムが2020年脅威のトップ

Kroll社の調査データでは2020年9月1日時点でランサムウェアが全攻撃の1/3以上を占めている様です。

www.infosecurity-magazine.com

2020年にクロールによって観察されたサイバー攻撃の3分の1以上は、3つの主要なランサムウェアギャングに起因する可能性があります。

リュークとSodinokibi、クロールの場合はランサムウェア攻撃の長年にわたってほとんど観測されたフォームは、によって接合された迷路のすべてのサイバー攻撃の35%を構成する、これまでに2020年にトップ3 ransomwaresとして、」クロールの広報担当者は語りました。

ビジネスメールの侵害はランサムウェアとほぼ同じくらい蔓延しており、クロールが観察したサイバー攻撃の32%を占めています。

クロールが今年観察したランサムウェアギャングの新しい戦術は、被害者のデータの流出と公開でした。

(Inforsecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

多くの方が「そうだろうな」と同意しそうな調査結果ですが、1/3以上というは少し驚きでした。

記事には調査データの概要しか書かれてないので、”フィッシングメール”の分類がどうなっているのかが少し気になりますが、フィッシングメールを手段として侵害原因を考えると、あり得ない数字ではない気がします。

 

記事ではもう1つ怖い事が書かれており、「ビジネスメールの侵害」、つまりO365等のビジネスアカウントが攻撃対象となっている事も書かれており、この攻撃が成功した後に発生するであろう、情報漏えいや、ビジネスメール詐欺(他社への攻撃)、迷惑メールの踏み台といった派生影響も懸念されます。

 

ランサム攻撃に戻って考えると、Krollは、攻撃側の戦略の変化、いわゆる「2重恐喝」についてもデータを出しています。

 「多くのランサムウェアの亜種は、年間を通じてトリックの袋に侵入と公開を追加しており、既知のランサムウェアの亜種を使用したクロールのケースの5分の2以上(42%)が被害者データを積極的に潜入して公開しているランサムウェアグループに関連しています。 」とクロールのスポークスマンは語った。

(Inforsecurity Magazine記事より引用)※機械翻訳

 

ランサム被害を受けた場合、40%を超える確率で「データ公開」の脅迫を受けるという事になります。つまりバックアップをしっかり取る「回復」重視の対策では、被害を防ぎきれない事を示唆しています。

 

一般的な企業では「防御」体制はそれなりにしっかりしているかと思いますが、コロナ禍で手薄になっている部分が攻められている傾向も調査データにありました。

クロールが観察したランサムウェアのケースのほぼ半分(47%)で、攻撃者はオープンリモートデスクトッププロトコル(RDP)マイクロソフト独自のネットワーク通信プロトコルを利用して攻撃を開始しました。

ケースの4分の1強(26%)がフィッシングメールにまでさかのぼり、17%がCitrix NetScalerCVE-2019-19781やPulseVPNCVE-2019-11510などの脆弱性の悪用に関連していました。

(Inforsecurity Magazine記事より引用)※機械翻訳

 

テレワークやリモートメンテナンスでの利用率が高い、VPN/RDP機器の脆弱性が狙い打ちを受けている状況が浮かび上がってきます。

こうした機器における高脆弱性(Critical/High)をランサムオペレータ(ハッカー)は待ち構えており、脆弱性が出るとすぐに攻撃してくるのが現在のトレンドと言えるかも知れません。

言い換えれば、企業はVPN/RDP等の基幹ネットワーク機器の脆弱性に迅速に対応できなければ被害を受けてしまうリスクが高いのです。

検証環境を含めて、早く対応できる準備、あるいは急に対応が出来ない場合に備えたWAF等の緩和手段の準備、防御をくぐり抜けてくる攻撃に対する監視体制(検知)の強化など、攻撃側の戦略の変化に合わせて、防衛側も戦略を劇的に変えなければいけない時期に来ている、そう考えるべきかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2020年10月13日 AM