メディア向けプレスセンター準備し慈善団体に2万ドル寄付、米パイプライン止めたサイバー犯罪組織「Darkside」とは？

トレンドマイクロは、「ランサムウェアを用いるサイバー犯罪者グループ『Darkside』」と題する記者説明を開催した。

脆弱性と脅威

2021.5.25 Tue 8:10

　感染したPC上のファイルを暗号化して使えなくし、元に戻す（復号）ために仮想通貨の支払いを要求するランサムウェアは、いまや非常に多くのサイバー攻撃に組み込まれる、きわめて重要なピースとなっている。ファイルが使えないと事業が停止してしまうこともあり、身代金を支払ってしまう企業も多い。

　ただし、身代金を支払っても、暗号化されたファイルのすべてが復号できるかどうかはサイバー犯罪者次第であり、確証はない。また、身代金を支払った企業の情報はサイバー犯罪者の間で共有されるため、第二、第三のランサムウェア攻撃に遭う可能性も高くなる。

　一方で、サイバー犯罪者にとってランサムウェアは効率のいいツールだ。しかも、サイバー犯罪者が利用するアンダーグラウンドの市場では、ランサムウェアを制作から送信、身代金の管理まで可能なサービス「RaaS（Ransomware as a Service）」が複数提供されており、開発スキルがなくてもランサムウェア攻撃を行える。

　最近では、一連のサイバー攻撃の流れの中にランサムウェアが組み込まれるケースが増えている。例えば、標的型攻撃の手法により企業に侵入し、個人情報など重要なファイルを見つけると、それをランサムウェアによって暗号化する手法だ。

　その上で「身代金を支払わないと重要なファイルを公開する」と脅す“二重脅迫”が増加している。サイバー犯罪者は盗んだファイルを公開するための“暴露サイト”まで用意している。

　このような状況の中、5月7日に米国の燃料供給会社であるColonial Pipeline社がランサムウェア攻撃を受けた。約6日間にわたる操業停止に追い込まれ、燃料供給できなくなった。同社は米国東海岸の燃料供給の約50％を占めているため、多方面に大きな影響があった。FBIでは、この攻撃の背後にサイバー犯罪者グループ「Darkside」が存在すると指摘している。

　このランサムウェア攻撃とその背景について、トレンドマイクロ株式会社は「ランサムウェアを用いるサイバー犯罪者グループ『Darkside』」と題する記者説明を5月17日に開催した。講師は同社のセキュリティエバンジェリストである岡本勝之氏が務めた。

　FBIが指摘したサイバー犯罪者グループ「Darkside」は、少しユニークなグループである。2020年8月に「活動を開始する」と発表し、ランサムウェア「DARKSIDE」による攻撃を開始しているが、同年10月には被害者から盗んだ2万米ドルを慈善団体に寄付したと表明している。もっとも、これは慈善団体側が拒否したと報道されている。

　同年11月には、RaaSのビジネスモデルを展開し、暴露サイトも用意。さらに盗んだ情報の保存・配信用のCDN（コンテンツデリバリーネットワーク）も開始し、翌12月には「プレスセンター」をオープン、メディアなどにフォローを促した。こうした発表をするサイバー犯罪者グループは珍しいと岡本氏は言う。

　そして2021年5月にColonial Pipeline社へのサイバー攻撃が発生したが、その後Darksideは「攻撃は“パートナー”が行ったことであり、関知していなかった」と発表。また、Darksideはあくまでも金銭利益が目的であり政治や地政学的な関心はなく、どの国の政府とも関係しないと主張するとともに、今後はパートナーの攻撃対象を確認して社会問題に発展させないようすることを示唆した。職業犯罪者らしいコメントだ。

　なお5月14日に、運営インフラを失ったことを理由に、RaaS活動の終了を表明したという報道がなされている。その真偽は定かではないものの、5月15日時点でDarksideの暴露サイトが存在していないことを岡本氏は確認しているという。

●サイバー攻撃者グループ「Darkside」の攻撃手法

　トレンドマイクロによると、ランサムウェア「DARKSIDE」は2020年8月から2021年4月までの間に、世界で800台弱検出されている。2020年12月が突出して多かった。なお、同期間の日本での検出台数は3台と非常に少ない。また、実際にDarlsideが暴露サイトに公開した組織の延べ数は99社となっており、IT、金融、製造などの企業が多いという。日本企業も2社が情報を公開されている。

　被害を受けた国では、欧米、日本、オーストラリアなどだが、いわゆるCIS諸国（ロシアなどの旧独立国家共同体）であることを検知すると、その活動を止めるようになっていることから、サイバー攻撃を行ったのは旧ソ連を構成していた国のグループではないかと岡本氏は言う。

　攻撃手口として特徴的であるのは、初期侵入にフィッシングの手法を使用し、RDP（リモートデスクトッププロトコル）を使用する。感染には既存の脆弱性を悪用しており、Colonial Pipeline社のケースではマイクロソフトのExchangeサーバの脆弱性を悪用された可能性が高いという。PowerShellやMetasploit、Mimikatz、Bloodhound、Cobalt Strikeといった正規ツールを使用することも特徴に挙げた。

　内部活動では、DC（ドメインコントローラ）やActive Directory（AD）サーバにアクセスし、特権昇格などを行ってサーバなどから資産情報を取得する。その後も内部活動を続け、最終的に端末やサーバにランサムウェアを展開して実行する。最近のサイバー攻撃では主流になりつつある手法であるが、これは数年前の標的型攻撃の手法である。

　情報を盗み出す段階では、二重脅迫のための情報窃取はランサムウェアを展開する前に実行している。情報を外部に送信する際に検知される可能性が高いため、ここでも7-zipやPuTTｙ、Rclone、MegaClientといった正規ツールの使用が確認されている。

●ITネットワークの攻撃が工場などの操業停止につながる可能性

　岡本氏は今回のColonial Pipeline社へのサイバー攻撃から、OTネットワークではなくITネットワークへの攻撃であっても、状況により操業を止めざるを得ないことがあるとした。実際にColonial Pipeline社へのサイバー攻撃ではOTネットワークは直接の被害が発生していないという。

　重要インフラ・生産設備へのサイバー攻撃はこれまでも数多く発生しており、大きな被害が発生するケースも少なくない。事実、トレンドマイクロの調査では、スマートファクトリーの61.2％がインシデントを経験しており、そのうち74.5％が生産システムを停止している。システムが停止した期間では、「4日以上」が半数近く（43.4％）を占めている。

　最後に岡本氏は、企業のサイバー攻撃対策で求められる基本スタンスを示した。「サイバーセキュリティを事業継続計画の一環として優先度を上げて取り組むべき」（レジリエンスの向上）であり、そのためには「データの暗号化による事業停止の早期復旧」「窃取データの暴露時被害の最小化」「侵入・内部活動の防止・検知」が必要であるとした。

　データの暗号化による事業停止の早期復旧では、組織内に存在するデータの重要度を整理し、保管場所、バックアップ頻度、アクセス権の制限などを検討する「重要データの分類」と、重要度の高いデータは定期的にバックアップをとり、複数のコピーをそれぞ別々の場所に保管する「データのバックアップ強化」が必要であるとした。

　窃取データの暴露時被害の最小化では、取引先情報など社外関連情報が窃取されるなど、被害範囲が自社内にとどまらない可能性があるため、平素から重要データにアクセスできる範囲の限定やデータ暗号化を行い、窃取や暴露の影響を最小限に抑えられるようにする。

　侵入・内部活動の防止・検知では、脆弱性管理、社内外ネットワークの接点の点検（）VPN、RDPなど、不正メール対策、ネットワークのセグメント化、アクセス権の厳格化、社内ネットワークの不審な通信の検知体制の整備、社内ネットワークのセキュリティ状況監視を挙げた。

《吉澤亨史（ Kouji Yoshizawa ）》