ランサムウェア対策の“生きた教材” ~攻撃グループの内部情報が流出~

メインメニューショートカット 本文のショートカット
Login
  • StealthMoleとは
  • 機能・特徴
  • 価格
  • Blog
  • FAQ
  • お問い合わせ

    • Blog

    View
    ランサムウェア対策の“生きた教材” ~攻撃グループの内部情報が流出~
    作成日時 25/05/26 (08:57) View 414
    ダークウェブランサムウェア情報漏洩




    犯罪組織へのハッキング

     

    Don't do crime, CRIME IS BAD xoxo from Prague”

     (犯罪は止めよ、犯罪は悪。プラハより xoxo

     

    20255月、ランサムウェア攻撃グループ「LockBit(ロックビット)」のダークウェブサイトに、このフレーズが見つかりました。LockBitは特に2020年以降、世界でもっとも有害とされたランサムウェアとそれを使う集団で、国内でも徳島県の町立病院や名古屋港ターミナルなどで深刻な被害を出しています。

     

    “犯罪は止めよ”の一文ですが、もちろん犯罪者が改心して、ダークウェブの利用者に呼びかけたのではありません。彼らのサイトがハッキングを受け、内部の情報が漏えいすると同時に、ページの一部が書き換えられたのです。

     

    また20252月には、北米と欧州を中心に500以上の重要インフラや企業に被害を与えた「Black Basta(ブラックバスタ)」というグループから、マルウェアや侵入に使う攻撃ツールなどが流出する事案も起きています。このような内部情報の漏えいは、法執行機関やセキュリティの関係者に貴重な知見をもたらす“生きた教材”になるものとして注視されています。

     

    克明なチャットのログも流出

     

    攻撃グループからの情報漏えいは、Black Bastaの一件が最初ではありません。2022年には「Conti(コンティ)」で大規模な流出が起きていました。Black BastaContiから派生したグループで、メンバーと攻撃手法、利用する攻撃ツールも共通点が多いとされています。

     

    まずContiのケースを簡単に振り返ります。

    20222月、ロシアのウクライナ侵攻が起きた際、Contiは彼らのサイトでロシア支持を表明。これに対して数日後、ウクライナ支持を主張する匿名の人物が、内部情報をSNSに投稿しました。

     

    流失した情報は、マルウェアと攻撃ツール、顔写真入りのメンバーリストなど。セキュリティの専門家が分析した結果、組織の構造とメンバーの素性、攻撃手法、チャットの記録からは、標的を選定するプロセス、メンバーへの報酬やそれに対する不満など、グループの行動とリアルな内情が見えてきました。

     

    一般企業と違わぬ組織の構造

     

    ContiBlack Basta、そして直近のLockBitの漏えい情報から分かった点は、まず3グループに共通する攻撃力の高さ、それを支える組織体制です。

     

    現在のランサムウェア攻撃の多くは、RaaSRansomware as a Service)という形がベースになっていて、マルウェアと攻撃ツール、被害企業と交渉する際のテンプレート、支払いインフラ(暗号資産のアドレスなど)などがRaaSから提供されます。

     

    攻撃を仕掛ける実行部隊はアフィリエイトと呼ばれ、RaaSの運営側が開発したマルウェアに感染させ、身代金を要求するまでの工程を担います。一般的な攻撃パターンでは、初期侵入の経路確保、侵入後の横展開(*)、データの窃取などを行うのも彼らです。

     

    (*)横展開(ラテラルムーブメント):企業システムを構成する複数のサーバーやデータベースを行き来し、暗号化や機密情報の窃取などを行う動き。多くは管理者アカウントの盗用、アカウントに対する不正な権限設定を伴う。

     

    主要グループの構成員は5070人前後と目されますが、攻撃力を維持するにはトップダウンの統率と組織力は欠かせません。Contiから流出したチャットのログからは、リーダーの元、マルウェアの生成を受け持つ技術部門、リークサイトの管理と交渉をサポートするチーム、新しい事業モデルの開発を担う部署、そしてアフィリエイトに対する教育を受け持つ部門など、一般企業さながらの組織構造を読み取ることができました。

     

    中間管理職への教育も充実

     

    漏えいした内部情報からは、教育体制も見えてきました。

    Contiでは、2022年の大規模な漏えいが起きる以前にも、アフィリエイト向けのマニュアルが流出したことがあります(20218月)。組織のダークウェブには、アフィリエイトが利用できる管理パネルが用意されていますが、ここに記録されていた標的への侵入方法、マルウェアの扱い方などに関するマニュアル類が漏えいしました。

     

    2022年に流出したデータからは、各部門のリーダー向け教育マニュアルも見つかっています。部下に対する評価方法、指導する際の接し方など、中身は一般企業の社員教育と見紛うほどです。犯罪組織では内部紛争が絶えないとは言え、一連のマニュアルと整備された教育体制は、攻撃力を維持するための基盤と言えそうです。

     

    露呈した犯罪組織の資産

     

    3つのグループから流出したファイルやチャットのログから、犯罪組織が持つ資産を整理してみましょう。

    まずContiの内部情報が流出した一件では、ランサムウェア「Conti」のソースコード、標的企業のシステムにバックドア(不正アクセスをする“裏口”)を開けるためのマルウェア、機密情報を検索・複写するツールなどが含まれていました。

     

    Black Bastaでも、マルウェアの仕様や不正侵入と横展開に使うツールなどが流出。グループ内で共有していたチャットのログからは、標的企業のIPアドレス、ドメイン名、システム構成、サーバーソフトの仕様と暗号化するファイル名、管理者のアカウントなどが見つかっています。

     

    LockBitから流出したデータには、約6万件のビットコインのウォレット(電子財布)が含まれていました。ランサムウェア攻撃が拡大した背景の一つは、ビットコインなどの暗号資産の存在です。身代金を受取る際、口座開設時に厳密な身元確認が必要な一般の金融機関では足がつきやすいため、匿名性が高い暗号資産を指定するようになったのです。

     

    今回のLockBitに対するハッキングでは、6万件のウォレットと同時に被害者との交渉内容を記録した約4,400件のログも流出。法執行機関やセキュリティ企業にウォレットを特定され、交渉過程も把握されたことは、LockBitには大打撃になったはずです。

     

    それでも犯罪組織は生き残る

     

    ContiBlack Basta、そしてLockBitも、トラブルはここで採り上げた情報漏えいだけではありませんが、組織の壊滅には至っていません。Conti2022年の大規模な漏えいの後、サイトはいったん停止し解散したと見なされましたが、Black Bastaをはじめ「Akira」「Royal」などの派生したグループが、人材と機能を引き継いでいます。

     

    LockBit20242月、ユーロポール(欧州刑事警察機構)、英国のNCA、米FBI、日本の警察庁など、10カ国の法執行機関が連携した「オペレーション・クロノス」という作戦の元、攻撃インフラとリークサイトを閉鎖し、首謀者の2人が逮捕されました。しかし、20255月の一件があったようにグループは復活しています。

     

     

     

    LockBitのテイクダウンを伝えるダークウェブサイト 出典:NCA(英国家犯罪対策庁)

     

    RaaSを率いる経営層、セキュリティ企業に勤務する“表の顔”を持つ者もいるとされる技術開発部門、新規事業の開発担当など、攻撃を生業とするスペシャリスト、そして世界中から参じて専門教育を受けたアフィリエイトがいる限り、ランサムウェア攻撃が止まることはないはずです。

     

    今回の総括として、露出した情報をヒントに組織を守る手だてを考えてみましょう。

     

    OSINTの視点から自社を点検

     

    発言数が20万を超えるBlack Bastaのチャットログからは、攻撃グループの情報源が読み取れます。国内でも、財務関係の文書を含む一連の企業情報から、経営者の趣味まで記された商用の企業情報データベースがいくつか運用されています。訴訟記録やコンプライアンス報告書などの入手も、それほど難しくはありません。

     

    攻撃グループも標的を選定する段階では、商用サービスと公開情報を活用します。Black Bastaのログからは、訴訟の記録や行政機関からの警告書、企業が保有する個人情報の存在も見えましたが、これらは身代金の交渉過程で優位に運ぶため、積極的にストックしているものと思われます。

     

    公開情報から知見を得るOSINTOpen-Source Intelligence)という手法があります。自社の公開情報の点検は、攻撃の起点を少しでも減らすために有効です。不要な情報は削除する、自社の権限が及ばない範囲も公開情報の内容は把握しておく。OSINTの視点からの点検と行動は、万一攻撃を受けた際にも、原因究明と拡散防止など初動対応の効率化にもつながります。

     

    鉄則は脆弱性対策と初期侵入のブロック

     

    技術面ではまず脆弱性対策です。犯罪組織のチャットでは、脆弱性の内容とこれを起点にした不正侵入、その成否などの情報が頻繁にやり方されていました。注意すべきは、新たに見つかった脆弱性以外にも、既知の脆弱性情報を積極的に活用していたことです。

     

    脆弱性の存在は、企業システムへの初期侵入をはじめ、管理者アカウントの盗用、マルウェアの横展開など、攻撃者の前にいくつもの隙を作ってしまいます。特にVPN機器やリモートデスクトップなど、攻撃の起点として常用される脆弱性に対する適切な対応は、基本行動の一つとして不備があってはなりません。

     

    “ハッカー達が中小企業から少額の資金を得るため、躍起になっている様子に衝撃を受けた。彼らは誰でも攻撃するだろう”

     

    英国の通信社が伝えたLockBitから流出した情報を精査した技術者の発言です。また今回の主題とは別に発表されたレポートですが、米国のセキュリティ企業のアナリストも、最近のランサムウェア攻撃の傾向として、“中小企業を狙う新規参入者が多数存在し、要求額も低額になっている”と指摘しています。

     

    著名な攻撃グループの視界からは外れると思われてきた中小の組織、サイバー攻撃に対する免疫力が低い中小企業も標的になります。この事実を前提に、脆弱性対策をはじめ、公開情報の管理、脅威情報のリサーチ、重要システムへの多要素認証の導入など、セキュリティに対する基礎体力を高めていってください。


     

    無料アカウントを登録して試してみましょう!
    ステルスモールは申し込み後すぐに試用が可能です。

    ※お申し込みは法人に限定致します。個人でのお申し込みはご遠慮ください。