企業のネットワークに侵入し、内部データを暗号化することで、身代金の支払いを要求する「ランサムウェア」が国内外で猛威を振るっている。データの暗号化解除に身代金を要求するというケースが多かったが、2020年はそれに加え、支払いに応じなければ盗み出した情報をネット上に暴露すると脅迫する“二重脅迫型”のランサムウェアも確認された。カプコンが標的となり、支払いに応じなかったため、個人情報が公開されてしまったことは記憶に新しい。

 そうした中、2021年に入り、ある新種のランサムウェアがセキュリティ関係者の注目を集めている。その名は「Cring」(クリング)。1月に、スイスのセキュリティチーム「Swisscom CSIRT」が公表し、その存在が明らかになった。調査の結果、攻撃者はVPNの脆弱性を悪用して内部に侵入していたという。現時点での全世界での被害件数は数える程度だが、従来のランサムウェアよりも手口が巧妙な上、検知が難しいという特徴があることから、「企業にとって非常に危険なランサムウェアの一つ」とセキュリティ関係者が警戒を強めている。

 21年の第1四半期には、欧州のある企業がCringによる攻撃を受け、産業プロセスに関連したサーバがダウン。作業の一時中断を余儀なくされた。その後、アジア諸国や日本国内でもCringとみられるランサムウェアによる攻撃が複数確認されている。

 コロナ禍によるテレワークの導入とともに、VPNを使い、社内ネットワークにリモートアクセスする機会が増加する今、VPN機器を狙うCringに対して警戒を強める必要がありそうだ。Cringとは一体、どんなランサムウェアなのか。そして、企業はランサムウェアの脅威にどう対処するべきなのか。マルウェアの調査分析を専門とする、カスペルスキーの石丸傑さんに話を聞いた。

●Cringがシステムを乗っ取るまでの一部始終

 実行ファイル名や拡張子の文字列から「Ghost」「Crypt3r」という別称も持つCring。石丸さんによると、入念な内部調査を事前に行うのがCringの特徴だ。攻撃前に標的とするVPN機器をスキャンし、脆弱性があるか確認。インストールされたセキュリティ製品も特定し、無効化も試みる。

 内部ネットワークへの侵入方法はこうだ。第1ステップでは、インターネット経由でVPN機器にアクセスするためのユーザー名やパスワードを取得する。VPN機器の脆弱性を悪用し、機器内のシステムファイルにアクセス。入手したユーザー権限の属性を確認しつつ、第2ステップでは攻撃ツールの一種「Mimikatz」(ミミカツ)を使い、従業員のPCなどネットワーク内の端末に保存されたパスワードなどの認証情報を取得。管理者権限を持つアカウントまで進行する。

 管理者権限を得た後、第3ステップではネットワーク内のサーバに侵入し、攻撃を水平に展開する。サーバ内で重要な情報を保管する場所を特定し、Cringによってデータを暗号化。この際、OS標準のツールである「PowerShell」(パワーシェル)を悪用することで、アンチウイルスソフトの反応や人の目による監視を回避する手法がとられるという。最終的に、攻撃者が企業側に身代金を要求するというのが一連の流れだ。

●「VPNなどのファームウェアを常に最新に」

 石丸さんはCringについて「現時点で確認されているのがVPNの脆弱性を悪用しているというだけであって、VPNだけに特化したランサムウェアではない」と前置きした上で「アンチウイルスソフトの反応を止めるための隠蔽工作など、実行に当たり、綿密な内偵調査をしている。組織にとって非常に危険なランサムウェアの一つであることは間違いない」と指摘。こうした手口は「他のランサムウェアではあまり見られない手口。非常に巧妙だ」といい「(Cringによる)攻撃自体は増えていくだろう」と予測している。

 手口が巧妙な上、Cringは端末のストレージ上に攻撃の痕跡を残さないという特性を持つという。セキュリティ関係者でもログデータなどから「Cringではないか」と推測しかできない場合が多く、断定が難しいという。このため、Cringの被害件数が実際の検知数よりも多い可能性もある。

 現時点で、企業ができるCring対策として、VPN機器のファームウェアやセキュリティ製品を最新の状態に保つことや、セキュリティ製品の全機能を有効化することを挙げた。ユーザーの権限や端末間のネットワーク接続を制限することや、攻撃時に迅速に復旧できるよう、サーバ内に定期的にデータをバックアップすることも重要だとしている。

●2016年以降、個人から組織に標的をシフト “大物狙い”が増加

 現在、ランサムウェアは全世界で累計1億3600万回以上(2020年4月から2021年4月)の検知が確認されている。石丸さんに近年の傾向を聞くと、全世界でのランサムウェアの検出件数自体は全体的に減少傾向にあるという。2016年以降、攻撃の標的が個人から組織にシフトしたためだ。

 2020年以降はその傾向が強まり、「big-game hunting」(大物狙い)の犯罪者グループが増加している。攻撃者グループが金銭を多く得られる組織に標的を絞ったとみられており、それに伴い、1回当たりの身代金が高額に。身代金に5000万ドル(日本円で約50億円)を要求されたケースも報告されているという。

 また、二重脅迫型のランサムウェアが増加したのも20年だ。国内ではカプコンが「Ragnar Locker」(ラグナロッカー)による攻撃を受け、情報が流出した。攻撃者グループは企業から盗み出したデータを、一般的に「WALL OF SHAME」と呼ばれる各自のリークサイトでさらす。2020年には987以上の組織がその被害を受けた。

●二重脅迫型のランサムウェアには事後対応が重要

 こうしたランサムウェアの脅威に企業はどう対応するべきか。石丸さんは、Cringと同様に「脆弱性を抱えたままのセキュリティ製品を使わないことが非常に重要」「修正プログラムがある場合はアップデートし、常に最新の状態に保つようにしてほしい」と話している。場合によっては、警察への通報やJPCERT/CCへの連絡も有効だ。

 これらに加え、二重脅迫型のランサムウェアに対しては、攻撃を受けた後の対応も重要な役割を担う。広報もその一つだ。大企業では不正アクセスの事実をプレスリリースなどで公表することが多いが「不確実な情報をこまめに出すよりも、調査をして正確な情報が判明したタイミングで、まとめて出すことが重要だ」と石丸さん。

 攻撃者から要求された身代金についても「基本的に支払ってはいけない」と主張する。暗号化が確実に解かれる保障がない上、攻撃者を金銭的に支援することになるからだ。

 石丸さんは「今後も新たなマルウェア、金銭搾取の仕組みが生まれる可能性がある。ランサムウェアを引き続き注視することが必要」としている。