Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター（2023 年 5 月 11 日）：ランサムウェアの減少は何だったのか

今週も脅威情報ニュースレターをお届けします。

数週間前に書いたニュースレターで、官民の連携により、セキュリティコミュニティがランサムウェアとの戦いでどのように一定の成果を上げているかを紹介しました。

報告によると、ランサムウェア攻撃グループの収益は 2022 年に落ち込みを見せました。最近になって Hive など大規模なランサムウェアグループのネットワークが閉鎖に追い込まれたことにより、少なくとも一部のグループについては、今のところ活動休止を余儀なくされているようです。

さまざまなサイバーセキュリティ研究者、ソートリーダー、政策立案者を対象とした調査の結果を見ると、防御側がいまだに直面する最大の問題がランサムウェアであることに変わりはないのかについては、意見が分かれているようです。

ホワイトハウスと米国司法省は、ランサムウェアグループとダーク Web サイトを閉鎖に追い込む取り組みに関して強気な姿勢を示しているようです。

ところが先日、ランサムウェアが依然としてニュースで大きく取り上げられていることに気づきました。裏付けを取ったわけではないのですが、思い浮かんだ最近の主な事例をご紹介します。

• テキサス州ダラス市へのランサムウェア攻撃が、水曜日の時点でも多くの市民サービスの停止を招いています。警察の通信システムがダウンし業務に支障が出ているほか、個人情報が危険にさらされている可能性があります。
• ランサムウェアグループ BlackCat が、コンピュータドライブ メーカー Western Digital 社への攻撃を行ったと主張しています。顧客のクレジットカード番号の一部などを盗み出したとのことです。

• カリフォルニア州サンバーナーディーノ郡は、ランサムウェアインシデントを解決するために 110 万ドルを支払いました。
• 英国に拠点を置く Capita 社（アウトソーシングおよびプロフェッショナルサービスの会社）が、同社のシステムを狙った最近のランサムウェア攻撃により、最大で 2,500 万ドルの損害を被る可能性があると発表しました。この中に、身代金の支払いが含まれるかについては言及していません。

ここに挙げたものは最近のランサムウェア攻撃のほんの数例に過ぎませんが、2023 年のランサムウェアの動向についてどういう立場を取るのか、自分のスタンスを見直すきっかけになりました。攻撃者にとって、ランサムウェアは以前ほど儲かるものではないのかもしれませんが、攻撃の量はそれほど変わっていないのかもしれません。この両方があり得るということで、納得のいく答えを探しているところです。

ランサムウェア、サイバー保険、要求された身代金を支払うかどうかについて知識が増えてきたことで、ランサムウェア攻撃を受けた企業が、たとえば 2020 年と比べると、より迅速に立ち直り回復する準備が整ってきたという可能性も考えられます。

多くの企業は現在、（Talos IR のような）インシデント対応チームとリテーナー契約を結び、攻撃を受けた場合にリアルタイムで支援を受ける体制を整えています。バックアップの重要性が声高に叫ばれるようになったこともあり、ランサムウェアの被害者が以前のようには身代金を支払わなくなっていて、バックアップとゴールデンイメージを使用するだけで迅速に復旧して通常業務を再開できているのかもしれません。

2023 年のランサムウェアの動向について断定的なことを言うのは早過ぎますが、2024 年 2 月に発行する次回の『一年の総括』レポートで、相変わらずランサムウェアが話題になっているのか答え合わせをするのが楽しみです。

重要な情報

Talos の研究者は、「Greatness」という新たな PhaaS（Phishing-as-a-Service）ツールが出回り、企業を標的にした攻撃で使用されていることを発見しました。複数の大陸で確認されています。Greatness には、最も高度な PhaaS に見られる複数の機能（多要素認証（MFA）のバイパス、IP フィルタリング、Telegram ボットの統合など）が組み込まれています。

注意すべき理由

Greatness は、だまされるのも無理はないようなフィッシングページを作成し、大規模な組織から Microsoft Office のログイン情報を窃取します。「サービスとしての」ツールであることから、その気になれば誰でもこのツールへのアクセス権を購入できるでしょう。2022 年半ばにはすでに Greatness が攻撃に使用されているのを確認しているため、しばらくの間は鳴りを潜めると考える理由はどこにもありません。

必要な対策

Greatness は新たに登場した高度なフィッシング脅威ではありますが、検出と防止という点では、基本的にはすべてのフィッシング脅威やスパム脅威への対策と変わりません。すべての組織がフィッシングの危険性を周知し、不審な電子メールや添付ファイル、リンクを見破る方法をユーザーに教える必要があります。

今週のセキュリティ関連のトップニュース

PaperCut の重大な脆弱性に対する最新のエクスプロイトコードが公開され、既存の検出のバイパスが可能に。この脆弱性は CVE-2023-27350 として追跡されており、PaperCut MF または NG バージョン 8.0 以降に存在します。認証されていない攻撃者がリモートでコードを実行できる脆弱性であり、ランサムウェア攻撃で盛んに使用されています。最初のエクスプロイトコードは数週間前に公開されました。今回新たに公開された POC はすでに導入されている Sysmon ベースの検出を回避できます。また Microsoft 社のセキュリティ研究者によると、イラン政府が支援する 2 つの攻撃グループ（MuddyWater および Charming Kitten）が現在、PaperCut MF/NG 印刷管理ソフトウェアの脆弱性を悪用しているとのことです。この脆弱性の CVSS シビラティ（重大度）スコアはもともと 9.8 点でした（情報源：Bleeping Computer、SecurityWeek）。

今週 FBI が、悪名高いロシアの Snake マルウェアのネットワークを閉鎖に追い込んだと発表。感染したコンピュータ上でプログラムを自己破壊させるツールが使用されました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）のリリースによると、50 を超える国々で Snake のインフラが発見されたとのことです。ロシア連邦保安庁（FSA）は、Snake を使用して知名度の高い標的を狙い、機密情報を収集することで知られていました。FBI は Snake をロシアの「主要な諜報ツール」と呼んでいます。他にも数か国のサイバーセキュリティ機関が、感染したマシンが復旧する可能性があるか、また Snake の機能を継続的に低下させるための追加措置について、詳細を発表しました（情報源：CBS News、CISA）。

今週公開の Microsoft セキュリティ更新プログラム（月例）で話題になった 2 件の脆弱性の悪用が確認される。今月は比較的件数が少なく、全部で 40 件の脆弱性が公開されています。1 か月あたりの件数としては、2019 年 12 月以降で最少でした。ゼロデイ脆弱性のうちの 1 件が CVE-2023-29336 で、これは Win32k カーネルモードドライバの特権昇格の脆弱性です。攻撃者に SYSTEM 権限を取得されてしまう恐れがあります。もう 1 件が CVE-2023-24932 で、セキュアブートのセキュリティ機能がバイパスされる問題です。BlackLotus マルウェアグループがすでにこの脆弱性を悪用しています。全体としては、7 件の「緊急」の脆弱性のほか、「重要」と評価された脆弱性が 33 件含まれています（情報源：Talos のブログ記事、Krebs on Security）。

Talos が発信している情報

• 『Talos Takes』エピソード#137：第 1 四半期に最も多く見られた脅威の動向に関する Talos インシデント対応チームのライブ配信
• 注目のセキュリティ研究者：Jacob Finn が Talos で実現する自分なりの官民連携
• 4 月 28 日～ 5 月 5 日における脅威のまとめ
• FBI がスパイグループ Turla のマルウェアネットワークを閉鎖
• Microsoft 365 のフィッシング攻撃を簡単に実行できるようにする新たな PhaaS「Greatness」が登場

Talos が参加予定のイベント

BSidesFortWayne （5 月 20 日）

フォートウェイン（インディアナ州）

Cisco Live U.S. （6 月 4 日～ 8 日）

ラスベガス（ネバダ州）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5： 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名： VID001.exe
偽装名：なし
検出名： Win.Worm.Coinminer::1201

SHA 256：5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5：3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名： IMG001.exe
偽装名：なし
検出名： Win.Dropper.Coinminer::1201

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5： df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名： DOC001.exe
偽装名：なし
検出名： Win.Worm.Coinminer::1201

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5： a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Tool.Kmsauto::1201

本稿は 2023 年 05 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter (May 11, 2023) — So much for that ransomware decline」の抄訳です。

Authors

TALOS Japan