主要標的型ランサムウェア3種の特徴とその対策について
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月15日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・検出数が前年比287%増、主要標的型ランサムウェア3種の特徴
・感染を防ぐには全て同じでいいの?マルウェアの基本対策
今回の解説ニュース
2021年のセキュリティ動向として、主にマルウェアについて公開されています。今年に入っても被害が減らない、マルウェアの傾向や対策について説明します。
今回のレポートは、2021年の脅威動向の主なトピックとして、主要な標的型ランサムウェア3種の検出台数が全世界で昨年比287%増に、日本だけでも167%増となったことを紹介しています。また、2021年11月に活動を再開したEmotetは、国内でも12月からマルウェアスパムによる拡散が拡大し、国内検出台数は2,400台以上に増加、2022年に入っても爆発的に検出台数が増加したことを取り上げています。
その他、多くの企業や組織でクラウドサービスの意図しない設定ミスによる情報漏えいや設定の隙を突いたサイバー攻撃が国内外で多数報告されたことを取り上げ、AWS、Azure、GCPの設定ミス発生率をグラフで掲載しています。
検出数が前年比287%増、主要標的型ランサムウェア3種の特徴
レポートで挙げられている、ランサムウェア3種のREvil、LockBit、Contiについて説明します。
■REvil
被害者のネットワークからデータを盗みだし、ネット上に流出させると脅す「二重脅迫型」のランサムウェアです。REvilに感染すると、ファイルを暗号化して使用不可能にした上で、バックアップファイルも削除し、自力では復旧できないようにします。さらに、REvilはセキュリティ対策による検知をかいくぐる複数の機能が実装されており、検知することが難しいと言われています。
■LockBit
REvilと同様に二重脅迫型のランサムウェアです。Active Directoryのグループポリシーを悪用することで、Windowsドメインに参加しているWindows端末を自動的に暗号化する機能が実装されています。さらに攻撃者は、有効なリモートデスクトップのアカウントを悪用して、被害者のシステムにアクセスすることもできるということです。過去に発生したインシデントとして、VPN装置が侵入の起点となった事例が確認されています。
■Conti
同様に二重脅迫型のランサムウェアです。Windowsをターゲットにしており、フィッシングやリモートデスクトップなどを経由して侵入を試みますが、Log4jの脆弱性も悪用していると言われています。バックアップを削除してデータを復元できないようにするだけではなく、Windows Defenderをアンインストールして検知されることから逃れようとします。
その他のトピック
感染を防ぐには全て同じでいいの?マルウェアの基本対策
(全文はこちら)