米財務省はランサムウェアグループの現金化をブロックして制裁を科す

米財務省はこのほど、ランサムウェアとの戦いに参戦し、仮想暗号通貨の取引所であるSuexの、ランサムウェアの決済に果たしている役割に、制裁を科すことになった。

暗号通貨取引所に対するこの種の制裁は初めてであり、米国人が同社と取引することが禁じられる。

合衆国政府は今、勃興するランサムウェアに対して幅広い対策を講じているが、制裁はその中でも最新のものだ。そのほかの対策として、複数省庁合同のタスクフォースや、外国の政府が支えているサイバー犯罪に関する情報への1000万ドルの報奨金などがあるが、結果は今のところあまりぱっとしない。まさに今週は、ランサムウェアグループBlackMatterが、アイオワの農場サービスプロバイダーに590万ドルの身代金を要求した。

しかしエキスパートたちによると、財務省のSuexに対するアクションと、犯罪者自身よりも金の流れを追うという一見古めかしい合衆国政府の決定は、大規模なランサムウェア事業者の多くにとって大きな打撃になる。この制裁にランサムウェアを終わらせる効果はないが、ランサムウェアグループが彼らの暗号通貨を現金化する仕組みを解体することは、活動を鈍化させるために必須だ。

Suexの捜査で米政府を手伝ったChanalysisは、この動きを「大きな勝利」と賞し、その取引所を、暗号通貨を用いるマネーロンダリングの最悪の犯行者と呼んでいる。このブロックチェーン分析企業はブログで、SuexはRyukMazeのようなランサムウェア事業者から、2018年の創業以来1300億ドル近い収益を得ている、と言っている。またChanalysisは、この取引所が暗号詐欺の詐欺師たちから2400万ドルあまりを獲得した、とも言っている。

関連記事: オリンパスがランサムウェア「BlackMatter」の攻撃を受ける, 解散かリブランド?カプコンも襲ったランサムウェア「ラグナロッカー」の攻撃者集団が復号キーを公開, 「黒人のハーバード」と呼ばれる名門ハワード大学がランサムウェア攻撃を受け授業を中止

財務省によると、Suexの取引の40%あまりが犯罪的な行為に関連している。

Chainalysisのグローバル公共部門担当でCTOのGurvais Grigg氏によると、米政府が取引所をターゲットにすることは今後も続くが、彼の分析によると、犯罪に関わっているのはほんのひと握りのサービスだ。

氏は、こう語った: 「当時のうちのデータによると、2020年以来、ランサムウェアの金の全額の82%を、わずか5社のサービスが受け取っている」。

しかしブロックチェーンの科学捜査を行っているCipherBladeのPaul Sibenik氏によると、ほとんど知られていない下請けのようなサービスや店頭ブローカーもいる。そこでは取引が二者間で直接行われ、流動化のためにのみ大手取引所が利用される。たとえばSuexは、大手取引所のインフラストラクチャを利用して取引を扱っている。

Sibenik氏は曰く、「Suexのような悪質な店頭ブローカーを利用すると、犯罪者は取引所の有効なアカウントを持たなくても済む。でも究極的に公正を期して言うなら、取引所もやはりランサムウェアの犯人たちからの取引の、便宜を図っている」。

「取引所には、有効なアカウントで疑わしい取引が行われていることを監視する義務があるが、もっと重要なのは、彼らの取引先である悪質な店頭ブローカーや下請け的サービスが、いずれもコンプライアンスを満たしていることを事前に確認することだ。さもなければ、そこには確実に警察が介入するおそれがあり、違法の可能性もある」。

財務省の最新の制裁と、その今後の増加により、ランサムウェアの犯人たちは戦術を変えざるをえない。一部はすでに、ゆすりの多重化と呼ばれるテクニックへシフトしている。ゆすりの多重化は単純に被害者のファイルを暗号化するだけでなく、元のファイルを盗んで、身代金を払わないとファイルを公開するぞと脅す。

Sibenek氏の所見によると、一部の犯人たちはすでにBitcoinからMoneroに乗り換えている。彼によるとそれは、「いかなる方法を使っても追跡不可能」だそうだ。しかしそれも、今後の規制により、いわゆるプライバシーコインの扱いが取引所において禁じられれば、ランサムウェアのグループにとって現金化が困難になる。

Grigg氏はこう語る: 「暗号通貨は、物やサービスを実際に売買したり、法定通過に換金するときだけ便利なものだ。プライバシーコインでは、それがとても困難になる」。

関連記事: ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

文:Carly Page、翻訳:Hiroshi Iwatani)
画像クレジット: Bryce Durbin / TechCrunch

[原文へ]

IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Fortune 500の中で、最大の技術およびコンサルティング会社の1つであるCognizantが、ランサムウェア攻撃を受けたことを認めた。サイト上には事件を知らせる簡単な声明が出されているだけで、まだ詳細は公表されていない。

「Cognizantは、社内システムを巻き込んだセキュリティインシデントの発生を確認しました、このことによって一部の顧客に対するサービスが中断されていますが、これはMazeランサムウェア攻撃によるものです」と声明には示されている。「私たちの内部セキュリティチームは、有名サイバー防衛会社の支援を受けながら、このインシデントを解決するための積極的対策を講じています」。

ニュージャージーに本社を置くこのITの巨人は、法執行機関を顧客としていることを表明している。同社は、80か国以上のクライアントにITコンサルティングを含む幅広いサービスを提供しており、昨年の売上高は168億ドル(約1兆8000億円)にのぼった。数十年の歴史を持つこの会社は、Facebookとの間で、プラットフォーム上のコンテンツ管理支援の契約も結んでいる。Cognizantの従業員数は約29万人で、そのほとんどがインドに居住している。Cognizantの広報担当者であるRichard Lacroix(リチャード・ラクロワ)氏は、声明以上のコメントすることを拒否した。

Mazeは典型的なデータ暗号化ランサムウェアとは異なるものだ。Mazeはネットワーク全体に広がり、その途上にあるすべてのコンピューターに感染して暗号化するだけでなく、身代金のために管理されている攻撃者のサーバー側に被害者のデータを転送してしまう。もし身代金が支払われない場合には、攻撃者はファイルをオンラインで公開する。とはいえ、Maze攻撃者に関連付けられていることが知られているとあるウェブサイトは、Cognizantに関連付けられたデータをまだ公開していない。

FBIは昨年の12月時点で、Maze関連のランサムウェアインシデントの増加を企業向けに非公式に警告していた。その警告以降、サイバー保険会社Chubb、会計大手事務所MNP、そのほかにも法律事務所や石油会社など、いくつかの主要企業がMazeの被害を受けている。

最初に攻撃を報告したBleeping Computerによると、Mazeハッカーたちは一連の攻撃への関与を否定している。

「それはMazeに責任がないという意味ではありません」と、セキュリティ会社Emsisoftの脅威アナリストでランサムウェアの専門家でもあるBrett Callow(ブレット・キャロウ)氏は述べている。「過去3週間のある時点で、Mazeは2つのマニトバ州の法律事務所も攻撃しましたが、どちらも同様にリストには上げられていません」。

「攻撃者のグループが企業の名前を明かすことを延期し、交渉の結果が出るまでデータの公開をペンディングにしている可能性があります。それはCognizantの場合も同様です」とキャロウ氏は述べている。

原文へ

(翻訳:sako)

国防省の仕事を請け負う大手電子機器メーカーCPIがランサムウェア攻撃によって業務に支障

防衛ならびに通信市場向けの大手電子機器メーカーであるCPI(Communications & Power Industries)が、ランサムウェア攻撃を受けて業務に支障が生じている状態に置かれているというニュースをTechCrunchはつかんだ。事件を知る情報筋によれば、CPIは事件直後の1月中旬に約50万ドル(5300万円)の身代金を支払ったものの、業務はまだ完全には復旧していないとのことだ。

米国カリフォルニアに本拠を置くCPIは、レーダー、ミサイルシーカー、そして電子戦技術といった軍事用デバイスおよび機器に向けたコンポーネントを製造している。同社の顧客には、米国国防総省とその最先端研究組織DARPAも名前を連ねている。

同社はランサムウェア攻撃を受けたことを認めた。

「私たちは事件を調査するために、第三者であるフォレンジック調査企業と協力しています。調査は継続中です」と語るのはCPIの広報担当者であるAmanda Mogin(アマンダ・モギン)氏だ。「私たちは弁護士と協力して、法執行機関や政府当局はもちろん、お客様にもタイムリーに通知してきました」。

情報筋によれば、(ネットワーク上で最高レベルの権限を持つユーザーである)ドメイン管理者が、ログイン中に悪意のあるリンクをクリックしたために、ファイル暗号化マルウェアが起動されたのだという。数千台のコンピューターがセグメント化されていないネットワーク上の同じドメイン上にあったために、ランサムウェアはオンサイトのバックアップを含め、すべてのCPIオフィスに急速に広がったのだと情報筋は明かす。

また2月末の時点では、全社のコンピューターの約4分の1だけが、復旧し稼働しているに過ぎないため、同社は「パニックモード」であるとも伝えている。

人員不足が業務を妨げていると情報筋は語る。機密の軍事データを保持していたコンピューターの一部は、同社が身代金を支払って手に入れた復号キーを用いて回復することができた。そのうちの1つのシステムには、ロッキードマーチンが開発したイージス海軍兵器システムに関連するファイルも置かれていたと言われている。

ロッキードの広報担当者は「私たちはCPIの状況を知っていますし、サプライチェーンに関連した潜在的サイバー事故に対する弊社の標準的な対応プロセスに従っています」と説明する。

情報筋は、残りのコンピューターの多くはオペレーティングシステムをゼロからインストールし直していると語る。なおCPIのシステムの一部(約150台のコンピューター)は、いまでもWindows XPを運用している(XPは2014年にセキュリティパッチの配信が終了している)。

しかし、今回の攻撃にどのようなランサムウェアが使用されたかはわかっていない。CPIのスポークスマンは、私たちの質問には一切答えず、簡単な声明以上のコメントを拒否した。同社は、先月大企業を標的として相次いで行われた攻撃の最新の被害者となった。今週だけでも、法律サービスの巨人Epiq Globalがランサムウェアの攻撃によって業務に支障が出ており、またTeslaとSpaceXに部品を供給するVisserが、データを盗むDoppelPaymerと呼ばれる新しい種類のランサムウェアの攻撃に見舞われた。このマルウェアはファイルを暗号化するだけでなく、ハッカーのサーバーへ企業データを流出させるのだ。

DoppelPaymer攻撃を行ったハッカーたちは、会社が身代金を支払わなかったために、先週Visserの 内部ファイルの公開を始めた。セキュリティ会社のEmsisoftで脅威アナリストを務めるBrett Callow(ブレット・キャロウ氏)は、旧来のファイル暗号化ランサムウェアの戦術が変更されてきたと語る。

「これらの事件は、最初の段階から漏洩として考えられるべきであり、そのように開示され報告されるべきなのです」とキャロウ氏は語った。「企業や人びとが何も知らされないうちに、犯罪者たちはデータを悪用するための時間をたっぷりと手に入れつつあるのです」。

画像クレジット: Audrey Connolly (opens in a new window)/ Getty Images

原文へ

(翻訳:sako)

流行中のランサムウェア「Stop」による暗号化を復号する新ツール群

膨大な数のランサムウェア被害者が救済できる可能性が出てきた。

画像クレジット: Getty Images

ニュージーランドを拠点とするセキュリティ会社のEmsisoftが(エムシソフト)、DjvuPumaなども含むランサムウェアのファミリーであるStop用に、一連の復号ツールを開発した。これらのツールを使えば、被害者がファイルをある程度回復するのに役立つと言う。

Stopは現在世界で一番アクティブなランサムウェアと考えられている。感染の特定に役立つ無料サイトであるID-Ransomwareのデータによれば、全てのランサムウェアの半数以上をStopが占めているのだ。だがEmsisoftは、この数値はこれよりもはるかに高い可能性が高いと述べている。

もしこれまでにランサムウェアに一度も出会ったことがないなら、あなたは幸運な人の1人だ。ランサムウェアとは、暗号化を使用してファイルをロックするマルウェアをコンピューターに感染させることで犯罪者が金を稼ぐ、最近ますます一般的になっている手法だ。Stopランサムウェアが感染すると、ユーザーのファイルを暗号化し、例えば.jpgや.pngといった拡張子を、.radman、.djvu、あるいは.jpgというものに置き換えてしまう。被害者は身代金と引き換えにファイルのロックを解除できるが、通常身代金は数百ドルの暗号通貨で支払うことになる。

すべてのランサムウェアが同じように作られているわけではない。一部のケースだが、ランサムウェアを動作させているコードの脆弱性を発見することで、身代金を払うことなく犠牲者のファイルの復号に成功したセキュリティ専門家もいる。

Stopは、Emsisoftの研究者がクラックすることができた最新のランサムウェアだ。同社によると「既知の最新の被害者数は約11万6000です。これは犠牲者の総数の約4分の1であると推定されます。これは通常手に入るものよりも、さらに複雑な復号化ツールです」と語るのは、Emsisoftのツール開発者で研究者Michael Gillespie(マイケル・ギレスピー)氏である。「これは非常に複雑なランサムウェアなのです」と彼は言う。

Stopの場合には、攻撃者のサーバーから取得したオンラインキーか、サーバーと通信できないときにはオフラインキーのいずれかで、ユーザーファイルを暗号化する。ギレスピー氏は、攻撃者のウェブインフラストラクチャが頻繁にダウンしていたり、感染したコンピューターにアクセスできないために、多くの犠牲者がオフラインキーによって感染していると言う。

ツールの仕組みは次のとおりだ。ランサムウェアの攻撃者は、各被害者にある「マスターキー」を与えている、とギレスピー氏は説明する。そのマスターキーは、ランサムウェアが暗号化する対象の各ファイルの最初の5バイトと結合される。ところで、.png画像ファイルなどの一部のファイルタイプは、どの.pngファイルでも先頭の5バイトは同じである。元のファイルと暗号化されたファイルを比較し、数学的計算を適用することによって、彼はその.pngファイルだけでなく同じファイルタイプである他の.pngも解読することができる。

一部のファイルタイプは、共通な先頭の5バイトを持っている。.docxや.pptxなどの最新のMicrosoft Officeドキュメントは、.zipファイルと同様に、共通の5バイトを持っている。こうしたファイルタイプの中で、感染前と感染後の両方のファイルがある場合には、復号を行うことができる。

しかし注意点もある。この復号化ツールは、感染したコンピューターのための「万能薬」ではない、とギレスピー氏。「犠牲者の方は、基本的に復元したい全てのフォーマットに関して、感染前と感染後のファイルを用意しなければなりません」と彼は言う。

システムからランサムウェアが除去されたら、被害者はバックアップされたファイルを探してみるべきだと彼は言う。これはデフォルトのWindowsの壁紙を使える場合もあれば、メールを調べて、送信した元のファイルを見つけ、現在暗号化されているファイルと照合できる場合もあるだろう。

ユーザーが「感染前」と「感染後」のファイルのペアを提出ポータルにアップロードすると、サーバーが計算し、ファイルのペアに互換性があるかどうかを判定、そして復号化きる拡張子のものを返す。

しかし、落とし穴もあるとギレスピー氏。「2019年8月末以降に起きた感染は、残念ながらオフラインキーで暗号化されていない限りできることはほとんどありません」と語る。もしオンラインキーが攻撃者のサーバーから引き出されていた場合には犠牲者は運が悪かったことになる。彼はさらに「復号化ツールが働くためにはポータルに送信するファイルのサイズは150KBを超えている必要がある」と付け加えた。ランサムウェアが暗号化するファイルの大きさがそれ以上のものであるためだ。また各ファイル拡張子における最初の5バイトの扱いは異なっているため、一部の拡張子のものに関しては不可能ではないにせよ復元が困難な場合もある。

「被害者は何らかの努力を重ねる必要があります」と彼は言う。

トップ10の解説

世界的なランサムウェア感染の現在の割合(画像提供:Emsisoft)

これは、ギレスピー氏の最初の試みではない。しばらくの間、彼はファイルがオフラインキーで暗号化された被害者の復号化を手動で処理していた。彼は、犠牲者のファイルの一部を復号化するその名もSTOPDecrypterという、基本的な復号ツールを作成した。しかし、ランサムウェア攻撃者と戦うためにツールを最新の状態に保つことは、いたちごっこの様相を呈していた。ギレスピー氏が解決策を見つけるたびに、攻撃者は彼を出し抜くために新しい暗号化されたファイル拡張子を投入してきた。「彼らは私に気を抜く暇を与えてくれませんでした」と彼は言う。

STOPDecrypterのリリース以来、ギレスピー氏はStopランサムウェアによってシステムが暗号化された人々から、何千ものメッセージを受け取っている。Bleeping Computerフォーラムに投稿することで、彼は自分の発見と復号化ツールのアップデートを被害者のために最新の状態に保つことができてきた。

しかし、一部の被害者がファイルを取り戻すためにあまりに必死になったため、ギレスピー氏は彼らのフラストレーションの矢面に立たされることになった。

「サイトのモデレーターたちは辛抱強く対応していました。彼らは平和を保ってくれていました」と彼は言った。「フォーラムの他の数人のボランティアの方も、被害者に事態を説明することを助けてくれました」。

「少しずつ助けようとしてくれるコミュニティの支援がたくさんありました」と彼は言う。

ギレスピー氏はまた、将来の被害者に復号ツールが利用可能であることを通知するために、このツールは欧州警察組織(Europol)のNo More Ransom Projectも送られる予定だと述べている。

[原文へ]

(翻訳:sako)

「ランサムウェア」とは? 世界70カ国以上で大規模なサイバー攻撃

イギリスやスペインなどで5月12日、病院や大手企業などを狙ったサイバー攻撃が、相次いで発生した。イギリスでは、公共医療を提供する国民保健サービス(NHS)の関連病院の情報システムがダウンし、一部の病院では医療サービスの提供が中断した。AP通信などが報じた。

ロシアのセキュリティーソフトウエア会社「カスペルスキー」によると、今回はアメリカ、トルコ、日本など、74カ国・4万5000件が攻撃を受けたという。BBCはその後、99カ国で感染が広がったと伝えた

スペインでは、エネルギー、運輸、通信、金融サービスなど100以上の企業が攻撃を受け、大手通信会社のテレフォニカ本社では、社員たちにパソコンの電源をすぐ消すよう指示したという。

アメリカでは運輸大手フェデックスが、自社のWindowsマシンの一部で感染していたとの声明を発表した

ランサムウェアとは?

BBCによると、攻撃は、「ランサムウェア」と呼ばれるソフトウエアによるものだという。

ランサムウェアは、コンピューターのファイルを暗号化・復号ロックし、解除するためには身代金(ランサム)を払うよう要求する。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」では、第2位にランクインする。

今回の攻撃は、Microsoftの古いシステムの脆弱性をついており、300ドル(約3万4000円)のビットコインを要求するようなメッセージが、画面上に表示された。複数の言語で表示できるように作られていた

身代金の支払いはカウントダウン形式になっており、指定された時間をすぎると、ファイルが消える恐れもあるとカスペルスキーは指摘した

今回は何者の仕業によるものかは、分かっていない。FOXニュースによると、攻撃に使用されたソフトウエアには、アメリカ国家安全保障局(NSA)から流出したとみられるハッキングツールが含まれていた。マイクロソフトは3月に、この脆弱性を修正するリリースを出していたが、攻撃を受けた病院ではシステムを更新していなかったのではないかとみられる。

IPAはランサムウェアの感染経路について、メールに添付された不明なファイルを開いたり、ランサムウェアが仕込まれたウェブサイトを閲覧するなどして感染する例を挙げている

ランサムウェアに感染しないための対策として、IPAは、

  • OS およびソフトウエアを常に最新の状態に保つ
  • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
  • メールやSNSの添付ファイルやリンク先URLに注意する

などを紹介。また、万一感染したとしても被害を最小限に留めるために、ファイルを定期的にバックアップしておくなどの対策を呼びかけている。

HuffPost Japanからの転載。

photo by
jason wilson