ソフォス、新型コロナウイルスの感染が世界的に拡大する中、中堅・中小企業を脅かすRansomware-as-a-Service攻撃「Dharma」の最新状況を調査
- 2020年08月17日 13:00:00
- マネー
- Dream News
2020年8月17日
<<メディアアラート>>
ソフォス株式会社
ソフォス、新型コロナウイルスの感染が世界的に拡大する中、中堅・中小企業を脅かすRansomware-as-a-Service攻撃「Dharma」の最新状況を調査
・リモート業務環境と脆弱な RDP を使用している組織をターゲットにした攻撃
・数百万ドル規模の高度なランサムウェア攻撃と並んで成功を収めている、誰でも容易に利用できるDharmaのランサムウェアツールキット
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、『Color by Numbers:Inside a Dharma Ransomware-as-a-Service (RaaS) Attack(誰でも容易に攻撃に参加できるRansomware-as-a-Service(RaaS)攻撃「Dharma」の詳細)』(https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/ )と題するレポートを発表しました。当レポートでは、ランサムウェアの運用者が作成し、バックエンドのインフラストラクチャや悪意のあるツールと共に別のサイバー犯罪者に販売・提供している自動攻撃スクリプトとツールセットを初めて詳細に調査しています。また、当レポートでは2020年にDharmaが中堅・中小企業(SMB)を標的にしている方法も報告しています。
Dharmaは2016年から知られるようになり、マス市場を対象にしたサービス型ビジネスモデルを採用していることで、最も高い収益を得ているランサムウェアの一つです。Dharmaのソースコードのさまざまなイテレーションがオンラインでダンプされたり、販売されたりしているため、現在では同コードの亜種が存在しています。ソフォスが分析した Dharma RaaS攻撃の主なターゲットは中堅・中小企業となっており、2020年に確認された攻撃の85%は、主にリモートデスクトッププロトコル(RDP)などの無防備なアクセスツールを攻撃しています。ランサムウェアの被害を復旧する業務を行っているCoveware社によると、Dharmaの身代金要求額は平均8,620ドルで、通常、かなり低額となっています。
ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。「Dharmaはファーストフード・フランチャイズのようなランサムウェアであり、誰でも気軽に利用できます。Dharmaは、Ransomware-as-a-Service型モデルを採用しており、壊滅的なランサムウェア攻撃を実行できる攻撃者の裾野を広げています。これは、何も起きていない時でも十分に注意が必要な問題ですが、現在は、多くの企業が新型コロナウイルスの感染拡大に対応しています。このような状況下では、リモートワーカーに対する迅速な支援が必要となっているにもかかわらずITスタッフが手薄になっていることから、これらの攻撃によるリスクがさらに増大しています。小規模な企業は、テレワークが可能な体制を急いで準備する必要があり、インフラやデバイスは脆弱なままとなっており、通常の方法ではITサポートスタッフがシステムを適切に監視・管理できなくなっています」
このソフォスのレポートで説明しているように、“アフィリエイト”と呼ばれるDharmaの顧客がツールを購入し、ターゲットのシステムに侵入すると、ネットワーク全体にランサムウェアを拡散させるために必要なコンポーネントをインストールして起動するPowerShellスクリプトをメニュー操作で利用できるようになります。マスタースクリプトが実行されると、「ツールボックス」のように利用できるようになり、「Have fun, bro!(楽しんでいらっしゃい。兄弟!)」というメッセージを表示して攻撃を開始します。
攻撃プロセスは、商用ツールのフリーウェア版だけでなく、オープンソースツールを多用しています。復号化は、非常に複雑な2段階のプロセスになっています。回復キーを求めてアフィリエイトに連絡した被害者には、暗号化されたファイルの詳細を抽出する第一段階のツールが提供されます。アフィリエイトはこの抽出されたデータをランサムウェア運用者と共有し、ランサムウェア運用者はファイルの第二段階の復号キーを提供します。調査によると、このプロセスが被害者のデータを実際に復元する時にどれだけ効果があるかどうかは、アフィリエイトのスキルや気分に大きく左右されています。たとえば、ソフォスでは、身代金を追加で奪い取るために、アフィリエイトがキーの一部を保持している事例を何度か確認しています。
「数百万ドル規模の身代金要求、有名なターゲット、WastedLocker(https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/)のような高度なスキルを有するサイバー攻撃者がニュースの見出しを多く飾る中、Dharmaのような脅威がいまだに健在であることを忘れてしまいがちですが、このような全く異なる階層のサイバー犯罪者がいくつもの小さな標的を攻撃し、一度に8,000ドルの大金を巻き上げているのです」と先述のGallagherは述べています。
●企業や組織のセキュリティ担当者への助言
・インターネットに接続するリモートデスクトッププロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。RDPにアクセスする必要がある場合は、VPN 接続と組み合わせて利用してください。
・ネットワークに接続されているすべてのデバイスのインベントリを確認し、最新のセキュリティアップデートがリリースされた場合には、ネットワーク上のすべてのデバイスとサーバーに常に最新のセキュリティアップデートをインストールしてください。
・最重要の最新データは、オフラインストレージデバイスに定期的にバックアップしてください。
・ランサムウェア攻撃を阻止するために、攻撃者の存在を示唆する 5 つの早期指標(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked )に注意してください。
・あらゆるセキュリティ問題に効く万能薬は存在しません。多層防御のセキュリティモデルが不可欠です。
その他の詳細情報は、SophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )をご参照ください。
●その他の参考情報
・SophosLabs 脅威レポート(日本語)https://www.sophos.com/ja-jp/medialibrary/pdfs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf )では、2020 年の脅威と傾向について解説しています。
・ソフォスのニュースサイト Naked Security(https://nakedsecurity.sophos.com/ja/) と Sophos News (https://news.sophos.com/en-us/ )では、最新のセキュリティニュースとソフォスに関するニュースをお読みいただけます。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
佐藤栞里「なんだかんだ10センチ以上髪を切って」新ヘアスタイルが大反響「惚れ直しました」
迷子犬を見つけたときにやってはいけない2つのNG行動 安全に対応するために気をつけるべき事とは
岩崎宏美 人気音楽家と“まるでおそろい衣装”で腕組みツーショット、思わず「新郎新婦?」
Number_iミニアルバム「No.0-ring-」リリース リード曲MVは10カ国語翻訳
静岡県知事選、前浜松市長・鈴木康友氏が初当選 元副知事ら5人破る
フジテレビアナウンサー・佐久間みなみ、初のフォトブック『みなみから』南の島で撮った1枚を公開
いきのもがかり、2人体制初の全国ホールツアー千秋楽で初の武道館弾き語りライブ発表
関大・金丸夢斗は3度目のベストナイン、首位打者は京大・山本陶二と立命大・竹内翔汰/関西学生
休養の西武・松井稼頭央監督の妻美緒「…突然のことすぎて…」インスタで心境吐露 激励コメ多数
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
トミーズ健、父が遺した口座解約で銀行とトラブルも…「真実」にガックリ
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
藤田ニコル「初めてした日」ゆうちゃみ「体位とかも全部」親に明かしたギャル的「性事情」に騒然
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
田中美久、ビキニ姿でヒップラインと“美背中”大放出!美しすぎるにもほどがある
人気芸人の14歳モデル長女”衝撃の可愛さ”に絶賛殺到「気絶しそう」「顔小さい」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
佐藤栞里「なんだかんだ10センチ以上髪を切って」新ヘアスタイルが大反響「惚れ直しました」
迷子犬を見つけたときにやってはいけない2つのNG行動 安全に対応するために気をつけるべき事とは
岩崎宏美 人気音楽家と“まるでおそろい衣装”で腕組みツーショット、思わず「新郎新婦?」
静岡県知事選、前浜松市長・鈴木康友氏が初当選 元副知事ら5人破る
Number_iミニアルバム「No.0-ring-」リリース リード曲MVは10カ国語翻訳
いきのもがかり、2人体制初の全国ホールツアー千秋楽で初の武道館弾き語りライブ発表
フジテレビアナウンサー・佐久間みなみ、初のフォトブック『みなみから』南の島で撮った1枚を公開
関大・金丸夢斗は3度目のベストナイン、首位打者は京大・山本陶二と立命大・竹内翔汰/関西学生
休養の西武・松井稼頭央監督の妻美緒「…突然のことすぎて…」インスタで心境吐露 激励コメ多数