シマンテックセキュリティ概観- 2021年9月

ランサムウェアは今でもサイバーセキュリティ関連のトップ記事として報道され続けており、ハッカーが戦略を成熟させ、標的をより慎重に選ぶようになっていることを示す中で、新たな亜種まで出現しています。

FBIが初めてランサムウェアアフィリエイトオペレーターOnePercentに関する警告を発しましたが、このオペレーターは2020年11月以来一貫したツール、戦術、手順（TTP）を使用して米国の組織を標的にしてきました。このグループは、悪意のあるフィッシングメールの添付ファイルを使用してバンキング型トロイの木馬IcedIDの感染ベクトルを拡散した後、侵害したエンドポイントでCobalt Strikeを使用して被害者のネットワーク内を水平移動し、機密データを抽出します。最終段階では、ランサムウェアのペイロードに、同グループのOnion Webサイトへのリンクを書き込んで展開します。今回のFBIの警告では、OnePercentグループは、最近の有名な攻撃の背後にあった悪名高いランサムウェア集団REvil（Sodinokibi）と関連があるとされています。REvilは、米国のバイデン大統領やロシアのプーチン大統領が厳しい発言をするなど、世界中から非難を浴びた後、今年の夏の初めに暗躍しましたが、 報道によれば、最近になって再登場したようです。

ランサムウェアの取り締まり強化の一環としてFBIは農業食品産業を標的にした新たな攻撃についても警告しています。この警告では、スマートテクノロジー、産業用制御システム（ICS）、インターネットを利用した自動化システムへの依存度が高まっていることから、農業食品産業がより魅力的な標的になっているとしています。その結果、経済的損失、食品価格の高騰、食品サプライチェーンの混乱などが発生する可能性があるとしています。この警告は、この業界に属する企業に対し、セキュリティの弱いRDPエンドポイントの補強や、インターネットに接続する機器へのパッチ適用など、ITネットワークの安全性を確保するための対策を講じるよう呼びかけています。

ランサムウェアの感染は大学や街中にも広がっています。ワシントン・ポスト紙のレポートによると、ここ数年で400近くの市や町がランサムウェアの被害に遭い、緊急時の対応に支障をきたしたり、基幹システムが停止したり、税金の支払いが滞ったりするなど、さまざまな混乱が生じています。歴史的黒人大学（HBCU）であるハワード大学は、今月初め、学生が学校に戻った直後にランサムウェアの攻撃を受けました。このHBCUは、攻撃によってネットワークが侵害されたため、すべてのオンラインおよびハイブリッドの学部課程授業を中止せざるを得なくなりました。

ランサムウェアのウィッシュリスト。脅威インテリジェンス会社KILAはランサムウェアアクターが協力者を求めて地下フォーラムに投稿した内容を分析し、望ましい標的に関するある種の「ウィッシュリスト」を見つけました。ランサムウェア集団は、主に米国、カナダ、ヨーロッパ、オーストラリアの売上高1億ドル以上の組織を標的にしています。医療分野と教育分野は多くの攻撃者にとって幾分攻撃対象外になっており、政府や非営利団体を避けている攻撃者もいます。KILAの研究者は、彼らがこれらの分野を避けるのは利他主義というよりも、論争を避けたり、法執行機関の注目を避けるためである可能性が高いと結論づけています。

人気の高い暗号通貨がサイバーセキュリティ攻撃にとって次のフロンティアになっているようです。ブロックチェーンプラットフォーム上で暗号通貨取引を処理する中国のPoly Network社は、同社のプラットフォームから6億1100万ドル以上の暗号通貨が盗まれたことを明らかにしました。Poly Network社は、ハッカーが契約コール間の脆弱性を悪用したことが原因であるとし、BinanceやCoinbase Proなどの暗号通貨取引所を含む同社の顧客に対し、特定のウォレットアドレスからの取引を拒否して窃盗犯を食い止めるようアドバイスしました。その数日後、この脅威アクターは盗んだ暗号通貨のうちほぼ2億6000万ドル分を返還しました。この犯行の容疑者は、この窃盗は金銭を盗むことよりも、Poly Networksの脆弱性を暴いて教訓を与えることが目的だったと主張しています。この方針転換の理由はその主張どおりというよりは、ブロックチェーンセキュリティ会社Slowmistが攻撃者の身元に関する証拠をつかんだと発表したことにあると考えられます。

暗号通貨のマネーロンダリングを補助するために、サイバー犯罪者がブロックチェーン分析ツールを開発しました。Elliptic社によると、ブロックチェーン分析ツールAntinalysisがダークWebに登場しました。このツールは、ビットコインアドレスに犯罪活動との関連性がないかどうかをチェックすることをミッションとしています。Elliptic社の協同創業者兼CEOによると、これが意味するところは、犯罪者が「規制された取引所で自分の資金が犯罪収益として認識されるかどうかをテストできる」ということであり、これは自分の活動を隠すのに役立つ利点となります。

サイバーセキュリティを担当する弁護士。米国司法省（DOJ）は、サイバー犯罪や脅威の増大に対処するための継続的な取り組みとして、サイバーセキュリティ問題に取り組む新世代の検察官や弁護士を育成することを目的とした新しいフェローシッププログラムを発表しました。選抜された弁護士は、複数の部署を3年間ローテーションし、「国家が関与したサイバー脅威、多国籍犯罪集団、ランサムウェア攻撃、サイバー犯罪の資金調達や利益獲得のための暗号通貨やマネーロンダリングの利用などを訴追する」案件を担当します（DOSニュースリリースより）。

今月の活動を見る限り、彼らには多くの仕事が待っていそうです。