二重脅迫ランサムウェアの恐るべき手口：二重脅迫ランサムウェアの脅威【前編】

ランサムウェアを使った「二重脅迫」が増えているという。「データの公開」をネタにさらに脅迫されるため、バックアップからデータを復元したとしても回避できない。

[Nicholas Fearn，Computer Weekly]

　最近は、ランサムウェアからさらに多額の利益を引き出す目的で「二重脅迫」と呼ばれる手口を使うケースが増えている。データを暗号化して身代金を要求するだけでなく、要求に応じなければそのデータをインターネットにアップロードすると脅迫する。

関連記事

• ランサムウェア攻撃の可能性を示す5つの兆候
• 全ての防御機能を無効化できる、カーネルモードで動作するランサムウェア
• 身代金を支払うその前に、対ランサムウェア復号ツール
• ランサムウェアに感染したらまず見るべき復号ツール配布サイト
• 「ランサムウェア」の脅威を避ける基本的な方法

　二重脅迫ランサムウェアの台頭は、サイバー犯罪グループが継続的に攻撃ツールを拡張している実態を物語る。ソフトウェア企業Netskopeのサイバーインテリジェント責任者、パオロ・パッセリ氏によると、二重脅迫攻撃の人気が高まったのは、それが稼ぎを増やすための最も単純な手段だったことによる。

　パッセリ氏は言う。「二重脅迫攻撃は、バックアップを利用してデータを復元できたとしても、攻撃者が被害者に身代金要求の圧力を増すことができる。この圧力が増大するのは、データが流出すると経済的損失や評判の失墜といった、深刻な影響が出る可能性があることによる。REvil（別名Sodinokibi）のようなグループはさらに独創的だ。単純にデータを流出させるだけでなく、そのデータをダークWebでオークションに出品し、被害者にさらにプレッシャーをかけることによって稼ぎを増やしている」

　二重脅迫攻撃を仕掛けるグループは、包括的な戦略に時間をかけるようになっている。パッセリ氏によると、そうしたグループはもはや日和見的なアプローチを取らない。身代金から得る金額を引き上げるため、標的と攻撃手段を慎重に選ぶ。「攻撃者はデータ流出の影響が大きいビジネスを展開している組織を選定する」

　二重脅迫ランサムウェアを展開する主な手段はスピアフィッシングだが、パッセリ氏によるとサイバー犯罪グループはVPNコンセントレーターといったオンプレミス機器の脆弱（ぜいじゃく）性を悪用することもある。「過去数カ月の間（そして現在も続いているトレンドとして）、主なVPN技術はほぼ全てが重大な脆弱性を突かれ、同じような攻撃に悪用されている」という。

　Avast Softwareの脅威インテリジェンスシステム責任者ヤコブ・クルステック氏も、二重脅迫ランサムウェアは被害者を2度脅迫することで機会を増大させているという見方で一致する。「まずファイルの暗号を解除するための身代金を要求し、次にそれを公開しないための身代金を要求する」とクルステック氏は話す。

　「この手口は『さらし』とも呼ばれ、この1年でこれを利用するサイバー犯罪グループが増加した。被害者にとってはさらしの方が重大な結果を招くので、要求に従ってしまう場合も多い。これでサイバー犯罪グループの稼ぎが増え、新しいランサムウェアの開発や他の犯罪活動を支える資金を調達できる」

攻撃的な手口

　二重脅迫攻撃は、この1年間に相次いで発生した。リコー英国法人のディレクター、ジョン・チェンバース氏によると、二重脅迫ランサムウェアは2019年後半、Mazeのような名高いハッカーグループが「積極的に」この手口を利用し始めたことで注目を浴びたという。

　もしもそうした攻撃をかわすことができなかった場合、組織に何ができるのか。

「従来の予防ベースのセキュリティを破られたりかわされたりした場合に備えて、継続中の不正な暗号化を直ちに隔離して食い止める『最後の防衛線』を含めることを検討しなければならない。サイバー犯罪グループによる重要なデータストアの暗号化や無効化を難しくするため、オフラインコピーを含む確実なバックアッププロセスも取り入れる必要がある」とチェンバース氏は解説する。

後編（Computer Weekly日本語版　11月4日号掲載予定）では、実際に二重脅迫ランサムウェアの被害に遭った組織の悲惨な結末と二重脅迫ランサムウェアに対抗する方法を紹介する。