教育機関を狙うランサムウェアグループ「Rhysida」の手口とは広がる教育機関へのランサムウェア攻撃【前編】

新興勢力のランサムウェア攻撃集団が英国の大学を攻撃した。攻撃集団の特徴や被害の実態を紹介する。

2023年11月09日 07時00分 公開
[Alex ScroxtonTechTarget]

 Rhysidaはランサムウェア(身代金要求型)攻撃を仕掛ける集団の中では比較的新興の組織だ。コンピュータ情報サイト「BleepingComputer」の2023年6月の報道によると、Rhysidaは同年5月にチリ軍を攻撃し、データを盗み出した。このチリ軍への攻撃で、Rhysidaは注目を集めるようになった。

 公共放送局BBC(英国放送協会)によると、西スコットランド大学(University of the West of Scotland)は2023年7月上旬からRhysidaの攻撃を受けた。同大学から盗まれたデータは、ダークWeb(通常の手段ではアクセスできないWebサイト群)で売りに出された。Rhysidaは同大学に対して約45万ポンド相当のビットコインによる支払いを要求。データに対して最高入札額を提示する人物にデータを売却する予定だという。

西スコットランド大学を狙ったRhysidaの手口とは

 売りに出されているデータには、銀行口座や国民保健に関するデータといった職員の個人情報、西スコットランド大学が所有する内部資料などが含まれていた可能性がある。攻撃により、西スコットランド大学の一般向けWebサイトをはじめとする主要なシステムでダウンタイム(システムの停止時間)が発生した。

 身代金を要求するメッセージは、標的とした記憶装置のフォルダにPDF形式のファイルとして格納されていた。メッセージには以下の内容が書かれていた。

  • 記載のIDを使用し、匿名でインターネットにアクセスできるTor(The Onion Router)ブラウザを使ってRhysidaに連絡すること
  • 支払いはビットコインしか受け付けないこと

 西スコットランド大学の広報担当者は、Rhysidaの攻撃によってさまざまなシステムが被害を受けたと説明する。攻撃の調査を実施する上で、同大学は警察、英国立サイバーセキュリティセンター(NCSC)、政府といった関係当局から支援とアドバイスを受け、情報コミッショナー事務局(ICO:Information Commissioner's Office)にも報告したという。ダークWebに売りに出されたデータが本当に盗まれたものかどうかについて、広報担当者は明言を避けた。

 セキュリティベンダーSentinelOneは、Rhysidaの手口を解明することに成功したという。同社のアナリストによると、その特徴の一つはペネトレーションテスト担当者のグループであるように見せかけていること。もう一つが、西スコットランド大学でも見られた、標的のデータを暗号化した上で、データを暴露すると脅す「二重脅迫」型の手口を使っていることだという。

 Rhysidaが使用するランサムウェアは、フィッシング攻撃、ITベンダーFortraのペネトレーションテストフレームワーク「Cobalt Strike」をはじめとしたさまざまな経路を使って侵入する。

 SentinelOneによると、Rhysidaのペイロード(マルウェアの実行を可能にするプログラム)は、任意のファイルを自動で複製し、Windowsのストレージに保管するVSS(ボリュームシャドーコピーサービス)を無効化するといった既存のランサムウェアによく見られる特徴を備えていないという。Rhysidaのランサムウェアは開発の途上にあると言える。


 後編は、教育機関がランサムウェア攻撃の被害に遭いやすい背景を整理する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年3月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news175.png

AI同士が議論して商品開発のアイデア出し 博報堂が「マルチエージェント ブレストAI」の業務活用を開始
専門知識を持ったAI同士が協調して意思決定と企画生成を行う仕組みを活用。最適な結論や...

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...