2020/02/07

運送会社を襲った Mailto ランサムウェア

2020 年 2 月 7 日 Corey Nachreiner 著

2 月 3 日に、オーストラリアの輸送・ロジスティクス企業である Toll グループが「サイバーセキュリティインシデント」を理由に IT システムをシャットダウンしました。同グループは、複数のサイトや事業分野がランサムウェア攻撃の標的にされたことを、攻撃を受けた後すぐに伝えています。今回 Toll グループに影響を与えた Mailto または Kazkavkovkiz ランサムウェアが類似しているタイプは、高度なスキルを有するサイバー犯罪者が、時間を無駄にできない、重要なサービスや製品を提供するテクノロジに依存している会社に対して使用する標的型ランサムウェアです。

ダウンタイムが許されない事業を戦略的に狙うことで、犯罪者は被害者がサービスの復元のために身代金を払う可能性が高いことを見越しているのです。攻撃による効果の高い標的としてこれまでは主に医療機関、州や地方の政府、産業の管理システムが狙われてきましたが、今では物流会社が狙われています。

このような攻撃に使われるランサムウェアは効果を発揮する場合が多いものの、その他の亜種と全く異なるわけではありません。機械学習や行動分析を使って新たな脅威を検出する、プロアクティブで高度なマルウェア対策ソリューションであれば、これらの検体がセキュリティサービスから入手された場合に、検出し、ブロックできることもあります。たとえばウォッチガードの APT Blocker のサービスは、テストで使用された今回の Mailto ランサムウェアのすべての亜種を検出しています。

しかし、高度なスキルを有する攻撃者が標的型攻撃を行う場合には、ランサムウェアをロードする前に、不正に入手したと見られる特権ユーザの認証情報を使って、ネットワークに侵入していると考えられます。その特権ユーザの権限を使って、内部にある正当な管理ツールに侵入し、セキュリティ管理を無効にしたり、回避した上でランサムウェアをインストールしたりしているのです。

今回 Toll を攻撃した攻撃者が、いかにしてランサムウェアをシステム内に侵入させたのかについての正確な情報は一般には明らかになっていませんが、もし今までに広く使用されてきたような他の標的型ランサムウェアと手口が似ているとすれば、組織や、現在使用中のリモートサービスを保護するために、安全に認証するためのベストプラクティスを励行し、AuthPoint のような多要素認証ソリューションを使用し、高度な行動科学に基づくアンチマルウェアサービスも併せて使用することが最良の選択肢です。Toll グループを最後にしてこの種の標的型ランサムウェア攻撃の被害が終わったわけではありませんから、今こそ対策をより強固にしましょう。