近年では、cl0pランサムウェアがサイバーセキュリティの脅威として台頭し、世界中のさまざまな組織や業界に大きな損害をもたらしています。cl0pウイルスの攻撃は、総じて他のランサムウェア攻撃と似たような方法で行われますが、いくつかの特有の違いが見られます。
そもそも、cl0pランサムウェアとは具体的にどのようなもので、これらの攻撃はどのように行われるのでしょうか。そして、より重要なこととして、深刻な金銭的影響をもたらす可能性のある、こうした攻撃の被害に遭う可能性を最小限に抑えるために、組織は何をすればよいのでしょうか。
CL0Pランサムウェアの簡単な歴史
Cl0p(cl0pと表記されることもあり、数字のゼロが使用されています)は、ランサムウェアまたは恐喝マルウェアの一種です。cl0pランサムウェアは、CryptoMixとまったく同じものではありませんが、それ以前から存在するこのマルウェアをモデルにしていると考えられています。しかし現在では、このトロイの木馬は既に何度かバージョンアップを繰り返しています。古いバージョンは、すぐに新しいバージョンに置き換わります。
Cl0pは、2019年2月にセキュリティ研究者によって発見されました。発見のきっかけは大規模なスピアフィッシング攻撃でした。Cl0pは標的のデバイスにあるファイルを破損して、金銭の支払いを強要するという仕組みであるため、以前から現在に至るまで、あらゆる種別の企業や組織にとってサイバーセキュリティの大きな脅威となっています。実際に、cl0pランサムウェアグループが特定のマルウェアを使用して、世界的なエネルギー複合企業、複数の有名大学、BBC、British Airways、およびさまざまな政府機関などから金銭を脅し取ったと考えられています。
2020年、cl0pランサムウェアグループは、Kiteworks(旧Accellion)のプライベートコンテンツネットワークのぜい弱性を悪用する攻撃を行い、そのプラットフォームのクライアントを標的として、そのネットワークに侵入しました。ただし、この攻撃にはclopマルウェア自体は使用されませんでした。同時期に、cl0pトロイの木馬の開発者は、大規模な破壊攻撃で製薬会社から盗んだデータを流出させて、二重恐喝の手法を展開しました。
さらに2021年には、さまざまなビジネスにIT管理を提供するソフトウェア企業であるSolarWindsと、シンガポールを拠点とする海洋サービスプロバイダーであるSwire Pacific Offshoreに対して攻撃が行われました。
2023年には、Clopのアクティビティがそれまでと比べて急増しました。2023年1月から6月にかけて、さまざまな業界でこのトロイの木馬を使用した攻撃が行われました。攻撃が最も多かったのはビジネスサービス業界、次いでソフトウェア業界と金融業界でした。北米とヨーロッパで多くの被害者が発生しており、その中でも米国の攻撃件数は、他を大きく引き離して最多となりました。
攻撃の規模は非常に大きく、2000を超える組織がインシデントを報告し、6200万人以上のデータが流出しました。この大部分は米国で発生したものです。
ファイル転送ソフトウェアMOVEitのぜい弱性(CVE-2023-34362)を利用したCl0pグループによる一連のランサムウェア攻撃の規模がピークを迎えたのはこのころです。攻撃者は数百もの企業に侵入したと主張し、同年の6月14日という期限を設定した脅迫の最終通告を行いました。このゼロデイ攻撃により、さまざまな機密情報を含む組織のデータが大量にダウンロードされました。米国の法執行機関は、Cl0pに関する情報を提供した場合、1000万ドルの報奨金を出すことを決定しました。
Cl0pとは
それでは、cl0pとはどのようなものなのでしょうか。Cl0pランサムウェアを分析したところ、CryptoMixランサムウェアの亜種であることがわかりました。ベースとなったそのマルウェアと同様に、cl0pウイルスは標的のデバイスに感染します。ただし、このランサムウェアは、すべてのファイルを.cl0pという拡張子の名前に変更し、暗号化して使用不可能な状態にするというものです。
攻撃を効果的に実行するために、cl0pランサムウェアは実行ファイル形式であるWin32 PE(Portable Executable)形式を採用しています。研究者が、cl0pウイルスに正規の体裁をもたらし、セキュリティソフトウェアによる検知を回避できるようにしている、検証済みのシグネチャを持つcl0pウイルスの実行ファイルを発見したことは、極めて重要な出来事でした。攻撃が始まると、Cl0pは、RS4ストリーム暗号方式でファイルを暗号化し、RSA 1024を使用してRC4キーを暗号化します。この種別のランサムウェアに感染すると、画像、動画、音楽、ドキュメントなどの、デバイス上のすべてのファイルが危険にさらされます。
ファイルが暗号化されると、cl0pウイルスによって攻撃者から被害者に対して身代金の要求が行われます。攻撃者は、この身代金が支払われない場合、これらのファイルのデータを流出させると脅します。この手法は、被害者のファイルを使用不可能な状態にして、データを公表すると脅す二重構造の戦術であるため、「二重恐喝」と呼ばれています。通常、被害者は身代金をビットコインなどの暗号通貨で支払うよう指示されます。
cl0pランサムウェアを陰から操っているのは誰か
では、cl0pランサムウェアの正体とは何なのでしょうか。Cl0pランサムウェアは、主に金銭的な利益を得ることを目的とした、ロシア語を話すサービスとしてのランサムウェアのサイバー犯罪グループによって開発されたと考えられています。このグループは一般的にTA505と呼ばれていますが、FIN11という名前が同じ意味で使用されることもあります。しかしながら、両者が同じグループであるのか、FIN11がTA505の下部組織であるのかは完全には明らかになっていません。
いずれの名前であっても、このcl0pランサムウェア集団は、サービスとしてのランサムウェアモデルでその製品を運用しています。したがって、cl0pウイルスはダークウェブで販売されており、技術的には、ランサムウェアへの支払いを惜しまないサイバー犯罪者なら誰でも使用することができます。
Cl0pランサムウェアの仕組み
cl0pランサムウェアグループは、基本的に複数ステップのプロセスで攻撃を行います。これらは以下の通りです。
- 攻撃者がマルウェアを使用して、さまざまな方法で標的のデバイスにアクセスします。
- 次に、手動でデバイスの偵察を行い、必要なデータを盗みます。
- この段階で、暗号化プログラムを起動して、標的のデバイスにあるファイルの拡張子を変更してロックし、使用不可能な状態にします。最近では、2023年に行われた、ファイル転送ソフトウェアMOVEitを介した攻撃のように、ファイルが暗号化されずにデータが盗まれる場合もあります。
- 被害者がいずれかの暗号化されたファイルを開こうとすると、支払い方法についての指示が書かれた身代金のメモが表示されます。
- 攻撃者が、身代金が支払われなければ被害者のデバイスから盗まれたデータを流出させると脅す、いわゆる「二重恐喝」を行います。
- 身代金が支払われると、デバイス上のファイルを復元する復号化キーが被害者に送られます。
攻撃者は、cl0pランサムウェアを標的のデバイスに感染させるためにさまざまな方法を使用します。これらアカウントには、以下のようなものが含まれます。
- フィッシング(ソーシャルエンジニアリングの技術を使用)
- ソフトウェアのぜい弱性の悪用
- 感染したメールの添付ファイルおよびリンク
- 感染したWebサイト
- 外部リモートサービスの侵害
cl0pトロイの木馬を標的のデバイスに感染させる方法に関係なく、その後の攻撃は基本的に同じ方法で行われます。その目的は常に、被害者から身代金を得ることです。しかし、多くの場合、攻撃者は支払いを受けると対応を行わなくなります。このような場合、被害者は復号化キーを受け取ることができないため、再びファイルにアクセスすることができません。
CL0Pランサムウェアの防止
あらゆるデバイスのユーザーは、cl0pの感染を防ぐために、コンピューターの安全に関する基本的な規定に従うことが重要です。基本的には、あらゆる種別のサイバー攻撃を防止するために適用される原則と同じものです。以下にいくつか紹介します。
- 従業員が最新の脅威と予防措置に関する最新情報を常に把握できるように、組織のセキュリティ意識向上トレーニングにマルウェアの脅威を組み込みます。その際に、Kaspersky Automated Security Awareness Platformというツールが役に立ちます。
- アクセスを制限するなどして、会社のデータを保護します。
- パブリックネットワークを使用してリモートデスクトップサービスにアクセスしないようにします。必要に応じて、これらのサービスに強力なパスワードを使用します。
- 常にデータをバックアップして、クラウドストレージやバックオフィスの外部ドライブなどの別の場所に保管します。
- オペレーティングシステムやサーバーソフトウェアなどのすべてのソフトウェアとアプリケーションを常に最新の状態に保ち、確実に最新のセキュリティパッチをインストールします。従業員が組織のネットワークにリモートからアクセスできる商用版のVPNソリューションのパッチをすぐにインストールすることが特に重要です。これについては、自動のアップデートやインストールを業務時間外にスケジュールすると便利です。
- 最新の脅威インテリジェンスレポートを常に確認しておくようにします。
- 脅威を早期に検知し、初期段階で攻撃を阻止する、Kaspersky Managed Detection and ResponseやKaspersky Managed Detection and Responseサービスなどのソフトウェアソリューションを使用します。
- 信頼できるエンドポイントセキュリティソリューションを使用します。Kaspersky Endpoint Security for Businessには、ぜい弱性攻撃ブロック機能、AIと専門的な脅威インテリジェンスを使用したふるまい検知機能、攻撃対象範囲の縮小機能、悪意のある操作を無効化できる修復エンジンが組み込まれています。
CL0Pランサムウェアウイルスへの対応
デバイスがcl0pウイルスに感染した場合は、残念ながら、そのファイルに再びアクセスするためにできることはほとんどありません。一般的なアドバイスとしては、他の種別のランサムウェア攻撃と同じように、要求された身代金を支払わないようにしてください。攻撃者が身代金の支払いを受けても、復号化キーを提供しないことがよくあるためです。仮に復号化キーが提供された場合でも、攻撃が成功したことが、攻撃者の自信や後押しとなり、引き続き他の無防備な標的が攻撃されるようになってしまいます。
身代金を支払うのではなく、関係当局に連絡して攻撃を報告し、調査を開始するのが一般的な最善の方法です。広く普及しているソフトウェアのいずれかを使用してデバイスをスキャンして、CL0Pランサムウェアを除去することもできます。ただし、この方法では、攻撃によって暗号化されたファイルを復元することはできません。したがって、攻撃を受けたファイルを引き続き利用できるように、定期的にバックアップを作成し、外部ドライブやクラウドなどの別の場所に保管しておくことが重要です。
コンピューターの安全性に関しては、注意が常に必要不可欠です。インターネットを閲覧したり、ソフトウェアをダウンロード、インストール、アップデートしたりする際には、注意を払うことが重要です。
Cl0pの脅威
他の種別のウイルスやマルウェアと同じように、Cl0pランサムウェアは、多くがデジタル化された現代社会における、絶えず発生するサイバーセキュリティの脅威です。cl0pウイルスは、数多く存在する恐喝マルウェアの中でも、企業や組織にとって特に注意すべき非常に特殊な脅威の1つです。このウイルスは被害者に深刻な影響を及ぼす可能性がありますが、いくつかの予防措置や保護対策を講じることで、cl0pからの攻撃のリスクを最小限に抑えたり、攻撃を受けた場合の影響を軽減したりすることができます。
関連記事
関連製品とサービス
