ソフォス、新型コロナウイルスの感染が世界的に拡大する中、中堅・中小企業を脅かすRansomware-as-a-Service攻撃「Dharma」の最新状況を調査
- 2020年08月17日 13:00:00
- マネー
- Dream News
2020年8月17日
<<メディアアラート>>
ソフォス株式会社
ソフォス、新型コロナウイルスの感染が世界的に拡大する中、中堅・中小企業を脅かすRansomware-as-a-Service攻撃「Dharma」の最新状況を調査
・リモート業務環境と脆弱な RDP を使用している組織をターゲットにした攻撃
・数百万ドル規模の高度なランサムウェア攻撃と並んで成功を収めている、誰でも容易に利用できるDharmaのランサムウェアツールキット
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、『Color by Numbers:Inside a Dharma Ransomware-as-a-Service (RaaS) Attack(誰でも容易に攻撃に参加できるRansomware-as-a-Service(RaaS)攻撃「Dharma」の詳細)』(https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/ )と題するレポートを発表しました。当レポートでは、ランサムウェアの運用者が作成し、バックエンドのインフラストラクチャや悪意のあるツールと共に別のサイバー犯罪者に販売・提供している自動攻撃スクリプトとツールセットを初めて詳細に調査しています。また、当レポートでは2020年にDharmaが中堅・中小企業(SMB)を標的にしている方法も報告しています。
Dharmaは2016年から知られるようになり、マス市場を対象にしたサービス型ビジネスモデルを採用していることで、最も高い収益を得ているランサムウェアの一つです。Dharmaのソースコードのさまざまなイテレーションがオンラインでダンプされたり、販売されたりしているため、現在では同コードの亜種が存在しています。ソフォスが分析した Dharma RaaS攻撃の主なターゲットは中堅・中小企業となっており、2020年に確認された攻撃の85%は、主にリモートデスクトッププロトコル(RDP)などの無防備なアクセスツールを攻撃しています。ランサムウェアの被害を復旧する業務を行っているCoveware社によると、Dharmaの身代金要求額は平均8,620ドルで、通常、かなり低額となっています。
ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。「Dharmaはファーストフード・フランチャイズのようなランサムウェアであり、誰でも気軽に利用できます。Dharmaは、Ransomware-as-a-Service型モデルを採用しており、壊滅的なランサムウェア攻撃を実行できる攻撃者の裾野を広げています。これは、何も起きていない時でも十分に注意が必要な問題ですが、現在は、多くの企業が新型コロナウイルスの感染拡大に対応しています。このような状況下では、リモートワーカーに対する迅速な支援が必要となっているにもかかわらずITスタッフが手薄になっていることから、これらの攻撃によるリスクがさらに増大しています。小規模な企業は、テレワークが可能な体制を急いで準備する必要があり、インフラやデバイスは脆弱なままとなっており、通常の方法ではITサポートスタッフがシステムを適切に監視・管理できなくなっています」
このソフォスのレポートで説明しているように、“アフィリエイト”と呼ばれるDharmaの顧客がツールを購入し、ターゲットのシステムに侵入すると、ネットワーク全体にランサムウェアを拡散させるために必要なコンポーネントをインストールして起動するPowerShellスクリプトをメニュー操作で利用できるようになります。マスタースクリプトが実行されると、「ツールボックス」のように利用できるようになり、「Have fun, bro!(楽しんでいらっしゃい。兄弟!)」というメッセージを表示して攻撃を開始します。
攻撃プロセスは、商用ツールのフリーウェア版だけでなく、オープンソースツールを多用しています。復号化は、非常に複雑な2段階のプロセスになっています。回復キーを求めてアフィリエイトに連絡した被害者には、暗号化されたファイルの詳細を抽出する第一段階のツールが提供されます。アフィリエイトはこの抽出されたデータをランサムウェア運用者と共有し、ランサムウェア運用者はファイルの第二段階の復号キーを提供します。調査によると、このプロセスが被害者のデータを実際に復元する時にどれだけ効果があるかどうかは、アフィリエイトのスキルや気分に大きく左右されています。たとえば、ソフォスでは、身代金を追加で奪い取るために、アフィリエイトがキーの一部を保持している事例を何度か確認しています。
「数百万ドル規模の身代金要求、有名なターゲット、WastedLocker(https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/)のような高度なスキルを有するサイバー攻撃者がニュースの見出しを多く飾る中、Dharmaのような脅威がいまだに健在であることを忘れてしまいがちですが、このような全く異なる階層のサイバー犯罪者がいくつもの小さな標的を攻撃し、一度に8,000ドルの大金を巻き上げているのです」と先述のGallagherは述べています。
●企業や組織のセキュリティ担当者への助言
・インターネットに接続するリモートデスクトッププロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。RDPにアクセスする必要がある場合は、VPN 接続と組み合わせて利用してください。
・ネットワークに接続されているすべてのデバイスのインベントリを確認し、最新のセキュリティアップデートがリリースされた場合には、ネットワーク上のすべてのデバイスとサーバーに常に最新のセキュリティアップデートをインストールしてください。
・最重要の最新データは、オフラインストレージデバイスに定期的にバックアップしてください。
・ランサムウェア攻撃を阻止するために、攻撃者の存在を示唆する 5 つの早期指標(https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked )に注意してください。
・あらゆるセキュリティ問題に効く万能薬は存在しません。多層防御のセキュリティモデルが不可欠です。
その他の詳細情報は、SophosLabs Uncut(https://news.sophos.com/en-us/category/sophoslabs/sophoslabs-uncut/ )をご参照ください。
●その他の参考情報
・SophosLabs 脅威レポート(日本語)https://www.sophos.com/ja-jp/medialibrary/pdfs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf )では、2020 年の脅威と傾向について解説しています。
・ソフォスのニュースサイト Naked Security(https://nakedsecurity.sophos.com/ja/) と Sophos News (https://news.sophos.com/en-us/ )では、最新のセキュリティニュースとソフォスに関するニュースをお読みいただけます。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
NiziUファーストEP「RISE UP」7・24リリース アニメ「神之塔」オープニングテーマ
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【こんな人】引退決めた鮫島彩、答えのない葛藤を抱え続けた道のり…あの時伝えてくれた思いは
マイナ憎しで王林、内藤剛志、きんに君を炎上させようと必死なマスコミに……「タレントに罪はない」の声
【日本ハム】6失点上原健太“四球厳禁”守れず「できないことはない」テコ入れで奈良間、畔柳昇格
ちあきなおみの楽曲がデジタル解禁 デビュー日6月10日に一挙332曲 デビュー55周年記念
【阪神】岡田監督、4カード連続勝ち越しも「4カード連続初戦負けやん」/一問一答
【ACL】元アルアイン塩谷司に聞く26日決勝第2戦「実力的には横浜が上。ただアルアインも…」
【阪神】意外?近本光司が今季初3安打 1番復帰後4戦8安打「やりたいことできているかだけ」
大谷翔平「どっきり秘話」ミゲル・ロハスが「代打オレ」の真相明かす 前日8回 大谷に代打主張
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
吉住、なぜかR-1グランプリの大爆笑ネタが炎上させられてしまう事態に
藤田ニコル「初めてした日」ゆうちゃみ「体位とかも全部」親に明かしたギャル的「性事情」に騒然
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
俳優の中尾彬さんが死去、81歳 幅広く活躍 トレードマークは「ねじねじ」 妻は池波志乃
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
NiziUファーストEP「RISE UP」7・24リリース アニメ「神之塔」オープニングテーマ
【こんな人】引退決めた鮫島彩、答えのない葛藤を抱え続けた道のり…あの時伝えてくれた思いは
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
マイナ憎しで王林、内藤剛志、きんに君を炎上させようと必死なマスコミに……「タレントに罪はない」の声
【日本ハム】6失点上原健太“四球厳禁”守れず「できないことはない」テコ入れで奈良間、畔柳昇格
ちあきなおみの楽曲がデジタル解禁 デビュー日6月10日に一挙332曲 デビュー55周年記念
【阪神】岡田監督、4カード連続勝ち越しも「4カード連続初戦負けやん」/一問一答
BTC6.7万ドル台半ばまで続落、金利先安観受けた買いが後退【フィスコ・暗号資産速報】
[通貨オプション] R/R、円プット買い強まる
【ACL】元アルアイン塩谷司に聞く26日決勝第2戦「実力的には横浜が上。ただアルアインも…」