
ランサムウェア攻撃は通常、脆弱な組織を標的にして金銭を得ることを目的とした民間の犯罪グループによって実行されます。しかし、敵対的な国家が同じ戦術を支援した場合はどうなるでしょうか?Microsoft Threat Intelligence Center の新しいレポートでは、北朝鮮と関連のある一連のランサムウェア攻撃について分析しています。
2021年6月以降、MicrosoftがDEV-0530と名付けたサイバー犯罪グループ(H0lyGh0stと名乗る)が、主に各国の中小企業を標的にランサムウェア攻撃を仕掛けています。このグループは、侵害したシステム上の機密ファイルを暗号化し、攻撃の証拠としてサンプルファイルを被害者に送信した後、データの復号と引き換えにビットコインで身代金を要求します。身代金が支払われれば、ファイルは復元されると考えられます。支払われない場合、グループは被害者の顧客にデータを送信したり、ソーシャルメディアで公開したりすると脅迫します。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
H0lyGh0stは、金銭目的だけでなく、寛大な理由から犯罪行為を行っていると主張することで、犯罪を巧妙に隠蔽しようとしています。.onionウェブサイトでは、貧富の差を埋め、飢餓に苦しむ人々を助け、被害者のセキュリティ意識を高めることに尽力していると主張しています。さらに、被害者への対応として専用の問い合わせフォームを設け、脆弱性を説明し、身代金が支払われた後に侵害されたファイルを復号する方法を案内しています。
北朝鮮との関連性はいくつかの点で明らかです。Microsoftは、H0lyGh0stの活動の時間とパターンを分析した結果、UTC+8およびUTC+9のタイムゾーンでの活動を発見したと述べています。UTC+9は北朝鮮で使用されているタイムゾーンです。
さらに、マイクロソフトは、H0lyGh0stとPlutoniumと呼ばれるグループとの間に特定の関連性を確認したと述べています。北朝鮮のサイバー犯罪組織であるPlutoniumは、インド、韓国、米国のエネルギーおよび防衛産業を攻撃してきました。両グループは同じインフラストラクチャと、類似した名前のカスタムマルウェアコントローラーを使用していました。さらに、マイクロソフトはH0lyGh0stのメールアカウントが、既知のPlutonium攻撃者のアカウントと通信していることを発見しました。
国家は、たとえ敵対的な国家であっても、スパイ活動や政治・軍事目的でサイバー攻撃を行うのが一般的です。なぜ国家はランサムウェアに頼るのでしょうか?マイクロソフトは、考えられる動機の一つを挙げました。
北朝鮮政府がH0lyGh0st攻撃を直接支援していると仮定すると、自国の経済を支えるための資金獲得が目的である可能性があります。制裁、自然災害、COVID-19によるロックダウン、その他の災難に見舞われ、北朝鮮経済は弱体化しています。自国の経済低迷からの回復を図るため、北朝鮮は過去数年間、ランサムウェア攻撃を支援してきた可能性があります。
「貧しい国や厳しい禁輸措置を課せられている国にとって、ランサムウェア攻撃は通常の手段では調達できない資金調達手段として魅力的に映るかもしれません」と、Cerberus Sentinelのソリューションアーキテクチャ担当副社長、クリス・クレメンツ氏は述べています。「暗号通貨は、特定の行為を阻止するための規制や管理体制が整っている従来の金融システムの枠を超えた、大規模な資金移動を可能にしました。資金が限られているサイバー犯罪グループは、中小企業のような最も攻撃されやすい標的を狙うことで、大きな利益を得ることができるのです。」
しかし、マイクロソフトは、北朝鮮政府がこれらのランサムウェア攻撃の背後にいる可能性は低いとも認めています。これは、国家主導の攻撃は通常、H0lyGh0stの標的よりもはるかに広範囲の被害者を標的とするためです。H0lyGh0stとPlutoniumのメンバーは、単に個人的な利益のために組織を攻撃するために個別に活動しているだけかもしれません。
ランサムウェア攻撃からビジネスを守る方法
これらのランサムウェア攻撃の犯人が誰であろうと、すべての組織は自らを守るための対策を講じる必要があります。そのために、マイクロソフトはいくつかの推奨事項を提示しています。
- 重要なデータをバックアップおよび復元するプロセスを設定し、定期的にテストします。
- Microsoft のレポートに詳細が記載されている侵害の兆候を使用して、環境内に兆候が存在するかどうかを判断します。
- すべてのアカウント、デバイス、場所で常に多要素認証を適用します。
- サポートされているアカウントには、Windows Hello、FIDO キー、Microsoft Authenticator などのパスワードレス認証方式を設定してください。パスワードが必要なアカウントを管理するには、MFA 用の Microsoft Authenticator などの認証アプリを使用してください。
- すべてのレガシー認証を無効にします。
- Microsoft のエンタープライズ カスタマーは、Azure セキュリティ ベンチマークを実装し、ID インフラストラクチャのセキュリティ保護に関するベスト プラクティスに従ってください。すべてのクラウド管理者とテナント管理者のアカウントが、ドメイン管理者と同じレベルのセキュリティと資格情報管理で保護されていることを確認してください。
- Microsoft Defender for Business または Microsoft 365 Business Premium を使用している中小企業の場合、Microsoft Defender ウイルス対策でクラウド配信の保護をオンにして、マルウェアの新種や未知の亜種をブロックし、改ざん防止機能を有効にして攻撃者がセキュリティ サービスを停止するのを防ぎます。
- ネットワーク保護を使用して、アプリケーションとユーザーによる悪意のあるドメインへのアクセスを阻止し、自動モードでの調査と修復を有効にして、Microsoft Defender for Endpoint がアラートに基づいて行動し、侵害を軽減できるようにします。
- デバイス検出を使用して、Microsoft Defender for Endpoint に追加できる管理されていないデバイスを見つけ、Microsoft Defender for Identity を使用してユーザー ID と資格情報を保護します。
「ランサムウェア、そしてあらゆるハッカーやマルウェアを防ぐために、ほとんどの組織が実行できる最善の防御策は、ソーシャルエンジニアリングの緩和、ソフトウェアへのパッチ適用、フィッシング対策に強い多要素認証(MFA)の使用、そしてサイトやサービスごとに異なる強力なパスワードの使用です」と、KnowBe4のデータドリブン防御エバンジェリスト、ロジャー・グライムズ氏は述べています。「これら4つの防御策を100%効果的に実行すれば、あらゆるハッキングやマルウェアのリスクを99%排除できるでしょう。」