最大 200 億ドルの損失を伴うランサムウェアは、どのようにしてセキュリティ分野で「最もホットな存在」になったのでしょうか?

近年、サイバーセキュリティ攻撃におけるランサムウェアの割合は年々増加しており、 2021年だけでも世界中で200億ドル以上の損失が発生しています。 2017年にWannaCryが世界規模で大規模に拡散して以来、注目度と影響力の大きいさまざまなランサムウェア攻撃により、この攻撃手法は広く知られるようになりました。それ以来、多数のランサムウェア攻撃が学校、政府機関、医療機関、インフラを標的にしてきました。

Akamai セキュリティソリューションの詳細については、こちらをご覧ください。

アジア太平洋・日本（ APJ ）地域では、COVID-19パンデミックの発生以来、サイバー攻撃が急増している。世界の他の地域と比較すると、アジア太平洋地域のあらゆる業界の企業はサイバー攻撃を受ける可能性が80％高く、通常、オーストラリア、インド、日本が主な攻撃の標的となっています。

本稿では、アジア太平洋地域と日本地域での攻撃活動に焦点を当て、これらの攻撃を開始したグループとその操作方法について紹介します。ランサムウェア・アズ・ア・サービス ( RaaS ) のギャングは、攻撃対象となる通常の企業と同様の組織構造を持ち、顧客サービス担当者や新入社員向けの研修まで完備した「ビジネス」へと進化しています。最近、世界で最も収益を上げているRaaSギャング団の 1 つであるContiが漏洩した内部文書により、このようなギャング団がどのように活動しているかが垣間見えてきました。

Akamai の研究者は、 RaaSグループがなぜ大量のランサムウェア攻撃を成功させられるのかを解明すべく、同グループの分析と研究に取り組んできました。同時に、研究結果を利用して、このような攻撃の傾向、使用されるツール、実行可能な緩和策をさらに理解することもできます。

一般的に、これらの研究結果から次のような結論を導き出すことができます。

コンティ・グループがアジア太平洋・日本地域で仕掛けた攻撃のほとんどは、オーストラリアとインドの企業を標的としていた。
アジア太平洋地域および日本地域のコンティの被害者のうち、ビジネスサービス業界の企業が最も大きな割合を占めており、第三者によるサプライチェーン攻撃の可能性が高いことも意味しています。
アジア太平洋地域および日本地域における被害者全体の13.6%を重要インフラが占めた。
小売業とホスピタリティ業界は、APJ 地域の全被害者の27%を占めており、 Akamaiの最近のWebアプリケーションおよびAPI脅威レポートに示されているように、APJ 地域のビジネスバーティカルに対する攻撃が増加していることを示しています。
アジア太平洋日本地域におけるコンティの被害者の大半は、年間収益が1,000万ドルから2億5,000万ドルの企業でした。
アジア太平洋および日本地域のコンティの被害者の約20％は年間収益10億ドル以上の企業であり、これは世界全体の傾向とは異なります。世界的に見ると、コンティ攻撃は高収入企業に与える影響ははるかに小さい。
攻撃シナリオは多様で、詳細指向であり、主に「キーボードを操作して」インターネットを通じて広まります。
戦術、技術、手順 ( TTP ) は、横方向の移動に対する専門的な保護を保証し、ランサムウェアからの保護において重要な役割を果たします。
TTP はよく知られていますが、非常に効果的であることが多く、他のグループで一般的に使用されているツールを明らかにするのに役立ちます。これらのTTP を研究することで、セキュリティチームは攻撃者の行動に関する洞察を得て、より適切な防御策を開発できるようになります。
Conti は暗号化よりも侵入と手動による拡散に重点を置いているため、防御側はランサムウェアの暗号化の側面だけでなく、攻撃チェーンのこの部分に重点を置くことが重要です。

アジア太平洋地域と日本におけるコンティの影響

ランサムウェアの活動は、アンケートの実施や製品データの分析など、さまざまな方法でオンラインで分析できます。それぞれのアプローチには、世界中のランサムウェア活動の全体像を提供する上での利点と限界があります。このレポートは、世界有数のRaaSグループの 1 つである Conti Group についてのより深い理解を提供するために、 Conti Groupの調査に基づいています。

以下で詳しく説明するContiグループの被害者を分析し、 Contiが使用するツールと手法の相関関係を特定することに焦点を当てます。関連データはコンティ氏の地下闇市場から収集されたもので、コンティ氏はそこを通じて被害者のデータや情報を売買していた。 Contiの目的は被害者から身代金を強要することであり、そのために攻撃の傾向、成功率、失敗の理由を分析するのに役立つ情報を共有しています。私たちのレポートは過去 1 年間の彼らの活動を反映しており、すべてのデータは完全に匿名です。

関連背景: Conti は、 2020 年に初めて発見された悪名高いRaaSギャングであり、ロシアに本拠地を置いているようです。このグループは、 Wizard Spiderとしても知られるRyukランサムウェアグループの後継であると多くの人が考えています。 Chainalysisの分析によると、 Contiは2021年に最も収益を上げているランサムウェア集団であり、推定収益は1億8000万ドルを超えています。このグループが最近、コスタリカ政府やアイルランド保健省などの機関への攻撃に成功したことは注目に値する。

最新のニュースではコンティが解散したと報じられている。しかし、私たちの意見では、それは私たちの研究作業がさらに必要であることを意味します。なぜなら、 Contiの元のメンバーは他の多数のランサムウェアギャングに吸収される可能性があり、 Contiによって有効性が証明されたツールと戦術は、同様のギャングによっても使用される可能性があるからです。これらのツールや戦術に関する情報がより多くのランサムウェア集団の間で共有されるにつれて、世界中で被害に遭う被害者の数はさらに増加するでしょう。

APJ におけるランサムウェア攻撃の傾向

アジア太平洋地域と日本地域におけるContiの攻撃傾向を理解するために、まずこの地域で最も攻撃を受けている国と地域を注意深く分析しました。注目すべきは、コンティが主に米国や欧州連合などの西側諸国を標的とするギャング団であることだ。アジア太平洋地域におけるContiの影響をさらに理解するために、日本地域を詳しく調査したところ、この地域を主に標的とする他のグループが異なる攻撃パターンを示していることもわかりました。

攻撃件数上位5カ国

（ 2021年5月1日～ 2022年4月30日）

図1: アジア太平洋地域における攻撃の上位5カ国/地域は、オーストラリア、インド、インドネシア、ニュージーランド、中国です。

被害者の国・地域の分布（図1 ）から、コンティの被害者の45％がオーストラリアであり、次いでインド、インドネシア、ニュージーランド、中国となっていることがわかります。日本、パキスタン、韓国、ベトナムなど、トップ5に入らなかった他の国も、コンティ攻撃を多く受けた。

この状況はさまざまな観点から研究できるが、主な問題は、コンティがロシアを拠点とするハッカー集団として知られており、標的を選ぶ際に北米やヨーロッパの企業を好む傾向があることだ。また、私たちの調査では、コンティの被害者の93%が北米、ヨーロッパ、中東、アフリカにいたことも判明しました。

したがって、オーストラリアとニュージーランドでの犠牲者の数が多いのは、コンティ氏の西側諸国への偏愛の延長である可能性がある。もう 1 つの考えられる理由は、これらの地域を選択して攻撃を開始すると、一部の資料 (英語で書かれたフィッシングメールなど) が再利用される可能性があることです。コンティの被害者についてさらに詳しく調査したところ、英語圏の国々が他の地域よりもコンティの攻撃を受ける可能性が高いことがわかりました。

インドとインドネシアは、アジア太平洋地域で第2位と第3位の被害国としてこれに続いた。関連報道によると、特にインドは非常に多くのサイバー攻撃に見舞われている。最新の報告によると、インドに対する攻撃の件数は前年比で約25%増加している。こうした傾向や、ロシアのハッカー集団がこの地域で成功を収めているにもかかわらず、コンティはアジア太平洋地域の英語圏以外の国を特に狙っているわけではないようだ。

攻撃の多発地域

（ 2021年5月1日～ 2022年4月30日）

図2 ：アジア太平洋地域の被害者数は北米、ヨーロッパ、中東、アフリカに比べてはるかに少ない

地域別の被害者の傾向を詳しく見ると（図2 ）、北米と欧州・中東・アフリカ（ EMEA ）が攻撃件数第 1 位と第 2 位の地域であり、次いでアジア太平洋、日本（ APJ ）とラテンアメリカ（ LATAM ）となっていることがわかります。アジア太平洋、日本、ラテンアメリカ地域での被害者数は比較的少ないものの、各攻撃の影響は地域によって異なるため、これらの攻撃を無視することはできません。例えば、コンティ氏による最近のコスタリカ政府機関への攻撃は、地元に大きな被害を引き起こした。

しかし、全体として、コンティが特定の分野に重点を置いていることは驚くべきことではありません。コスタリカへの攻撃は、彼らがロシアの国家「方針」に可能な限り従おうとしていることを示しており、それが世界中の他の予期せぬ標的への攻撃につながる可能性がある。しかし、それ以上に、ランサムウェア攻撃者は「地域化」特性を示しており、特定の言語、地域、または国を特に好んでいるようです。

アジア太平洋地域の業界動向

次に、アジア太平洋地域と日本地域でContiが仕掛けた攻撃における垂直産業の被害者の分布を見てみましょう。サイバーセキュリティの作業では、垂直的な業界分析が重要な役割を果たすことができます。攻撃グループは必ずしも特定の業界をターゲットにしているわけではありませんが、図3に示すデータは、さまざまな垂直業界におけるContiの攻撃の成功率を明確に示しています。業界によって類似点もありますが、違いもあるため、分析時にはこれらの要素を考慮する必要があります。

攻撃を受けた主要産業

（ 2021年5月1日～ 2022年4月30日）

図3 ：アジア太平洋地域で最も攻撃を受けている業界は、ビジネスサービスとエネルギー、公共政策、通信である。

被害者のリストを業界別に分類すると、注目に値する興味深い傾向もいくつか見つかりました。これらの傾向を観察するには、これらの攻撃による直接的な経済的影響だけでなく、ランサムウェア攻撃によって引き起こされる業務中断のより広範な影響を調べる必要があります。たとえば、 Colonial Pipelineへの攻撃では、特定の垂直産業を標的としたこの種の攻撃は、より長期にわたる、より深刻な影響を及ぼす可能性があります。

さまざまな業界を分析した結果、3 つのことが判明しました。サードパーティの脆弱性を介したサプライチェーン攻撃の可能性が非常に高いこと、重要なインフラストラクチャの被害者の数が多いこと、そしてそのような攻撃は主に商業企業に集中していることです。

今回の分析では、 SolarWindsやHafniumへの最近の攻撃のようなサプライチェーン攻撃の可能性が非常に高いことがわかりました。ビジネスサービス業界によって生成された多数の被害者からわかるように、サプライチェーン攻撃は、より大規模で収益性の高い被害者を見つけるために、ビジネスサービス企業を攻撃するなど、第三者に侵入する可能性もあります。商業サービスの被害者の数が多いということは、ランサムウェア運営者自身（確かに大きなリスクをもたらすが）だけでなく、漏洩した情報やデータによるサプライチェーン攻撃のリスクもあることを意味する。他の企業にサービスを提供する企業は、顧客に関する機密情報にアクセスできる可能性があり、その情報を利用して顧客に対する攻撃を仕掛けられることがよくあります。たとえば、 2013 年には大手小売企業が攻撃を受け、 4,000万件のクレジットカードとデビットカードの情報が漏洩しました。この攻撃はサードパーティの HVAC 会社を通じて実行されました。同様の攻撃はアジア太平洋地域や日本でも発生しており、その一部は大きな影響を与えています。

公益事業、エネルギー、通信業界の被害者は全体の13.6%を占めた。これらの業界に対する攻撃は、多数の人々に直接的な影響を与え、壊滅的な結果をもたらす可能性があります。ランサムウェア攻撃の影響は「後遺症」を残す可能性があり、これはサイバーキネティック影響と呼ばれることが多い。たとえば、医療業界に対するランサムウェア攻撃は深刻な結果をもたらし、死傷者を出す可能性もあります。

アジア太平洋・日本地域の重要インフラの被害者数は世界の他の地域に比べて大幅に多く、世界平均のほぼ2倍となっています。これは、アジア太平洋地域が重要なインフラの防御をさらに強化する必要があることを意味しているのかもしれません。オーストラリアとインドで最近発生した事件はこの結論を裏付けるものであり、重要なインフラに対する攻撃が全体的に増加している傾向をさらに浮き彫りにしています。

最後に、小売業やホスピタリティ業界の多くの組織も多数の攻撃を受けたことは注目に値します。近年、日本・アジア太平洋地域の小売業界を標的とした攻撃の件数が大幅に増加しています。私たちはランサムウェアの調査でこの傾向を発見しただけでなく、 WebアプリケーションやAPIを標的とした脅威の分析でも同様の結果を発見しました。営利企業は、このような攻撃の最も一般的な垂直産業の 1 つになっているようです。これらの数字は、実際に標的となった企業の数だけではなく、攻撃の被害を受けた企業の数でもあることに注意することが重要です。これは、小売業やホテル業界の企業に対し、関連する脅威に引き続き注意を払い、事前に防御策を講じる必要があることを改めて認識させるものでもある。

収益動向

攻撃ベクトルとしてのランサムウェアは、主に金銭的利益を目的としており、これが近年ランサムウェアが大きな注目を集めている理由の 1 つです。収益別にさまざまな攻撃を分析することで、さまざまな規模の企業に対して攻撃を仕掛けるRaaSギャングの動機と成功率を把握できます。 RaaSギャングは大企業だけを狙っているとよく思われがちですが、詳しく調べてみると、被害者の収入分布はまったくそうではないことがわかります。

図4は、 RaaS被害者の所得階層別の分布を示しています。これらの数字は身代金の額ではなく、各企業の総収益であることに注意してください。

収益範囲別の攻撃対象企業の分布

（ 2021年5月1日～ 2022年4月30日）

図4 ：アジア太平洋地域においては、総収入が5000万ドル未満の企業が被害者の最大の割合を占めている。

アジア太平洋地域で被害を受けた組織の大部分 ( 73% ) は収益が最大2 億 5,000万ドルでしたが、被害者の40%以上は収益が5,000万ドル以下、 32% は収益が5,000万ドルから 2 億5,000万ドルでした。これは、 Contiランサムウェアギャングの世界平均と一致しています。この分析では、 ContiのようなRaaSグループが実行した成功した攻撃の興味深いパターンも明らかになりました。最も影響の大きい攻撃は有名企業を標的とする傾向がありますが、成功したランサムウェア攻撃の大半は、収益レベルがそれほど高くない企業で発生しています。

これらの企業は、かなりの額の身代金を支払うだけの収益があるものの、 ContiのようなRaaSギャングからうまく防御できるほど洗練されていないため、このタイプのランサムウェアギャングにとって格好の標的であると考えられます。

しかし、世界的な傾向とは全く対照的に、アジア太平洋地域の被害者の多くは収入が10億ドルを超えていることが判明しました。アジア太平洋地域および日本におけるコンティ病の被害者の約5分の1がこの範囲に該当し、これは世界平均の3倍に相当します。さらに、これらの高所得の被害者のほとんどは、主に日本、韓国、中国など、英語が話されていない国の出身です。

この現象はさまざまな方法で説明できますが、コンティ氏がアジア太平洋地域と日本地域への焦点を絞らなかったため、得られたサンプルサイズが小さすぎて、異常な統計結果が生じたと考えられます。あるいは、この地域の非英語圏の国々への重点が減ったことで、コンティがそれらの国々の中小企業をターゲットにすることをあまり望まなくなり、代わりに世界的に事業を展開する大企業や、同様にこの地域の特定のターゲットをターゲットにすることを好むようになった可能性もある。

攻撃者のツールキットを理解する

Contiの攻撃や他の種類のランサムウェア攻撃に対する適切な緩和策を開発するには、まずランサムウェアの運営者が使用するツールを理解する必要があります。幸いなことに、さまざまなランサムウェア集団が使用するTTPには多くの共通点があるため、当社の戦略によってほとんどのランサムウェア攻撃を軽減または防止することができます。

ランサムウェア攻撃者が使用するTTP を分析するために、まずConti から最近漏洩した文書を調査しました。 2022年2月27日、 Twitterに@ContiLeaksという新しいアカウントが登場し、ギャング団の内部文書やチャット記録、一部の内部サーバーのアドレスやソフトウェアのソースコードなどが徐々に公開されていった。これらの漏洩した文書とソースコードにより、 Conti の最も一般的に使用されるTTP が明らかになりました。以下の内容では、使用されたツールとテクニック、および対応する緩和策に焦点を当てます。

攻撃チェーン

ランサムウェア攻撃の手法を調査するために、まず、 DFIRレポートで提供されているランサムウェア攻撃チェーンを調査しました (下図を参照)。漏洩した情報により、攻撃者の完全なツールセットの概要と、いずれかのツールを含める/使用するという決定の背後にある考え方が明らかになりましたが、 DFIRレポートにより、これらのTTPが実際にどのように使用されているかがより明確にわかります。それらはすべて同様の状況に対応しています。

典型的なランサムウェア攻撃チェーンは次のようになります。

ランサムウェア攻撃は多面的であり、最初の侵入だけでは決して十分ではありません。最大の被害を与えるには、暗号化が開始される前に、攻撃者またはマルウェアがネットワーク全体に拡散している必要があります。暗号化されたコンピュータが 1 台だけの場合、身代金を要求するには十分な力がありません。これにより、横方向の移動がランサムウェア攻撃の成功または失敗を決定する鍵となります。

横方向の移動中に使用されるツール（および攻撃チェーンの他の部分）はDFIRを通じて抽出できますが、これらのツールが使用された理由を理解するのは困難です。この目的のために、 Conti の最近の漏洩データを調べて、同社のサイバー攻撃プロセスを見てみましょう。

RaaS攻撃者のレシピ

Contiについて議論する際に最初に注目すべき点は、手動攻撃を開始するための方法であるプレイブックです。コンティの攻撃理論は目新しいものではないが、それでも成功率は非常に高い。効果的なツールと一貫した操作があれば可能と思われます。自動化ツールやスクリプトもいくつか使用されていますが、一般的には、オペレーターが直接認証情報を取得し、独自の判断に基づいてネットワーク内での伝播に関する決定を行う必要があります。

Contiの手法は、「資格情報を収集し、拡散し、繰り返す」と要約できます。これはすべて、最初のアクセスフェーズの後に発生し、その後、オペレーターはネットワーク内の任意のコンピューターにアクセスできると想定できます。その後、ネットワーク全体に広がり、パスワードをダンプして復号化したり、直接ブルートフォース攻撃を試みたりします。次に、オペレーターは侵害された資格情報を他のコンピューターで使用して攻撃範囲を拡大し、同じ手順を繰り返すように指示されます。したがって、オペレーターは、最大の効果を得るために、ネットワーク全体を制御できた後にのみ暗号化を開始します。

ネットワーク通信の目標

まず第一に、 Conti はドメインコントローラー ( DC ) をターゲットにします。オペレーターは指示に従い、上記の資格情報の盗難と拡張のプロセスを通じて一連の操作を実行し、最終的にDCに正常にアクセスできるようになります。このプロセスは主に手作業で行われるため、コンティのオペレーターはターゲットの選択に関してある程度の裁量権を持っています。ドメインコントローラーの資格情報を見つけると、オペレーターは次のようなさまざまな重要な資産にアクセスできるようになります。

ユーザーの行動を分析するためのほとんどのネットワークのログインログ
ほとんどのドメインのDNSレコード。使用状況を推測するために使用できます。
パスワードハッシュ
横方向の移動に適したターゲット位置

CERT NZが作成したランサムウェア侵入ライフサイクル(図5 ) は、 ContiのDCへの関心と、 DC を攻撃するために取った行動方針を示しています。コンティは目的を達成するためにさまざまな攻撃ベクトルを使用します。悪用可能な攻撃対象領域が特定されると、オペレーターはすぐにそれを利用します。オペレーターは、最初のアクセスに基づいて横方向の移動を通じて徐々に影響範囲を拡大します。

図5 ： CERT NZが作成したランサムウェア侵入ライフサイクルの概略図

DCに特に重点を置くことで、ネットワーク伝播段階が攻撃プロセス全体における重要なリンクであると考えられます。 DCを使用すると、攻撃者はネットワーク全体にアクセスするために必要なすべての（またはほとんどの）資格情報を取得できるようになります。さらに、 DCにはドメイン関連の構成情報が多数保存されているため、攻撃者はそれを利用して、ネットワーク自体やさまざまな重要なシステムに関連する情報をさらに理解することもできます。

興味深いことに、 Conti はDCへのバックドアや持続的な攻撃を推奨しているのではなく、むしろDC は(彼らの言葉によれば) より監視される傾向があるため、外部に面したサーバーへのバックドアを推奨しています。これは、攻撃を開始する前に適切なOPSEC の考え方を確立することで、攻撃が成功する可能性が高まることも証明しています。

Contiが最も懸念しているシステムには、次のようなネットワークファイル共有や貴重なデータを含むその他のコンピューターが含まれます。

電子メール、アドレスリスト、連絡先情報