バンダイナムコを攻撃か　ランサムウェア集団「BlackCat」は“あれ”を狙う：ランサムウェア攻撃集団「BlackCat」の実態【後編】

バンダイナムコエンターテインメントを攻撃したとみられるランサムウェア攻撃集団「BlackCat」はサイバー攻撃が活発化させている。BlackCatの攻撃の特徴は何か。対抗策を含めて紹介する。

≫ 2022年08月15日 08時15分公開

[Alex Scroxton，TechTarget]

印刷／PDF

ランサムウェア集団BlackCatは“あれ”を狙う

併せて読みたいお薦め記事

連載：ランサムウェア攻撃集団「BlackCat」の実態

前編：バンダイナムコも被害か　ランサムウェア集団BlackCatの「四重恐喝」攻撃とは？

「ゲーム」も攻撃の標的

　BlackCatは2021年後半から活動しており、「BlackMatter」「DarkSide」「REvil」といったランサムウェア攻撃集団とつながりがあるとセキュリティ専門家はみる。BlackCatは著名企業も標的にし、最近ではドイツの燃料会社Oiltankingやスイスの航空サービス会社Swissport International、米国の複数の大学を攻撃したとみられる。

　セキュリティベンダーIntegrity Communications（Integrity360の名称で事業展開）のサイバー脅威アナリスト、ジョナサン・アーリー氏はBlackCatの活動を分析した結果、複数のサイバー攻撃を確認したという。アーリー氏によれば、ランサムウェア攻撃集団では「分業化」が進み、初期の不正アクセス、侵害後の活動、攻撃の収益といった段階ごとに攻撃者が異なる。そのため「誰が何をしているのかが分かりにくく、被害企業は攻撃への対処が困難だ」と同氏は述べる。

　BlackCatのサイバー攻撃は、標的システムの脆弱（ぜいじゃく）性を悪用して侵入経路を開拓する「初期アクセスブローカー」を利用することがある。他にもVMwareのハイパーバイザー「VMware ESXi」を最初に暗号化する手口がみられる。アーリー氏によれば、攻撃者はシステムの稼働に必要な仮想マシンを利用できなくすることによって、標的企業のビジネス活動に大きな被害をもたらす。

　サイバー攻撃による被害を防ぐには、しっかりしたログ管理や定期的なバックアップの実施に加えて、ネットワークセグメンテーション（ネットワークを分割してそれぞれを小さなネットワークとして機能させる手法）や多要素認証の導入が有効だとアーリー氏は説明する。他にもオープンソースの「BloodHound」「ADRecon」やHelpSystemsの「Cobalt Strike」を使えば、攻撃を検知して対策を講じることができる。BloodHoundやADReconは、ID・アクセス管理システム「Active Directory」を対象とした偵察・分析ツール。Cobalt Strikeは攻撃者の行動を再現するペネトレーションテスト（侵入テスト）用ツールだ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ