サイバー犯罪の闇が深い世界では、恐るべき巧妙な脅威としてBlackCatランサムウェアが台頭してきました。BlackCatランサムウェアの内部構造とその対策について学ぶために、以下をお読みください。
BlackCatランサムウェアとは
BlackCatは、ALPHVやALPHV-ngとも呼ばれており、2021年11月の出現以降、ランサムウェアの分野における深刻な脅威となりました。この種別のランサムウェアは、サービスとしてのランサムウェア(RaaS)として運用されており、最も巧妙なRaaS事業の1つと考えられています。BlackCatは、Rustプログラミング言語と「三重恐喝」という恐ろしい戦略を使用している点で際立っています。
BlackCatランサムウェアの仕組み
BlackCatランサムウェアは悪意のあるソフトウェアとして運用されており、Rustプログラミング言語の斬新な使用によって差別化されています。その適応能力により、非常に多くのデバイスと潜在的なぜい弱性を標的とすることができ、既存の脅威のアクティビティグループと連動することも多いです。BlackCatの悪質さは、その揺るぎないアプローチに潜んでいます。標的のデータを暗号化して流出させて、無慈悲な「三重恐喝」の戦術を用いるという点です。三重恐喝は、身代金が支払われないままであれば盗んだデータを公開すると脅迫するだけでなく、身代金の要求が聞き入れられない場合に分散型サービス拒否(DDoS)攻撃が行われる危険もはらんでいます。
BlackCatのビジネスモデルは、サービスとしてのランサムウェア(RaaS)事業として、そのランサムウェアを他のサイバー犯罪者が使用できること、サイバー犯罪者が独自のキャンペーンを実施できること、サイバー犯罪者は収益の大部分(業界標準の70%を上回る取り分)を受け取ることができることが主な特徴です。BlackCatは幅広いカスタマイズオプションを備えており、経験の浅いアフィリエイトでも企業に対する巧妙な攻撃を指揮することができるという点で、さらに人気を集めています。多くの場合、BlackCatの身代金の要求額は数百万ドルにのぼります。早めに支払うことで割引が適用される場合もあるようです。しかし、身代金を支払うと、ファイルが復旧される保証もなく、不用意に犯罪行為に資金を提供してしまう可能性があるため、組織は支払いを検討する際には十分に注意する必要があります。
通常、BlackCatの犯罪者は、わかりづらい復号化キーと引き換えに、ビットコインなどの暗号通貨で支払いを要求します。さらに、被害者は、身代金の送金方法と復号化キーの取得方法を指示する画面上のメッセージを目の当たりにすることになります。こうしたメッセージにより、恐喝キャンペーンの威圧感をさらに強めています。
BlackCatランサムウェアが拡散される仕組み
BlackCatの主要な攻撃経路は、感染したメールや悪意のあるWebサイトのリンクなどです。これらを使用して無防備なユーザーを罠に誘い込みます。内部に侵入してしまえば、BlackCatの持つ悪質さによって、急速にシステム全体に広く拡散されます。
BlackCatと他のランサムウェア亜種との違いは、Rustプログラミング言語を使用していることです。Rustは、速度、安定性、卓越したメモリ管理、既存の検知手法を回避する能力などを含む、その例外的な特性で際立っています。これらの特性により、サイバー犯罪者が利用する強力なツールとなっています。注目すべきなのは、BlackCatの適応能力により、一般的にマルウェアの脅威に直面することが少ないLinuxなどの非Windowsプラットフォームを標的とすることができる点です。そのため、この進化し続ける脅威に対応するよう指示されたLinux管理者は、独自の課題に直面することになります。
BlackCatの柔軟性はJSON設定情報ファイルによって浮き彫りになっています。ユーザーは4つの異なる暗号化アルゴリズムの中から選択し、身代金を要求するメモをカスタマイズし、ファイル、フォルダー、および拡張子の除外を指定し、終了のためのサービスとプロセスを定義することができます。こうしてシームレスな暗号化プロセスが実現しています。さらに、BlackCatはドメイン資格情報の使用に対する設定も可能です。このことが他のシステムに感染する能力の高さにつながっています。
また、BlackCatは、ダークウェブの枠を超えて、公共のインターネット上にデータ漏えいのためのWebサイトを開設しました。BlackCat以外のグループは通常、ダークウェブ上でこうしたサイトを運営して、データ漏えいを示し、標的に身代金の支払いを強要していますが、BlackCatの公共サイトは、既存および潜在的な顧客、株主、記者など、より幅広いオーディエンスが閲覧できるようにすることで、従来とは異なる展開を見せています。
BlackCatランサムウェアの典型的な標的
著名な大物狩りのハンターによるランサムウェアの脅威に使用される手口と同様に、BlackCatランサムウェアの典型的な標的は、身代金の支払い可能額を最大限まで高めるために戦略的に選ばれた、規模の大きな組織です。報告によると、要求された身代金は数十万ドルから数百万ドルまで、かなり幅があります。これらは暗号通貨で支払うよう要求されます。
被害者の正確な数はまだ不明ですが、BlackCatが脅威的な存在であることは、同グループのTorのリークサイトで20を超える組織を標的として公開していることからも明らかです。これらの被害者は、さまざまな業種と国に及んでいます。標的となった国は、オーストラリア、バハマ、フランス、ドイツ、イタリア、オランダ、フィリピン、スペイン、英国、米国などです。影響を受けた業種は、ビジネスサービス、建設、エネルギーから、ファッション、金融、物流、製造、製薬、小売、テクノロジーに至るまで、多種多様です。
BlackCatランサムウェア攻撃の例
2023年11月 – Henry Schein社
2023年11月、BlackCatランサムウェアは、フォーチュン500にランクインしている医療機関であるHeny Schein社を標的としました。報告によると、ALPHVとも呼ばれるランサムウェア集団は、35TBのデータを盗んだとして、Henry Schein社との交渉を開始しました。当初、同社は復号化キーを受け取ってシステムの復元を開始しましたが、交渉が決裂すると、同集団はすべてのデータを再度暗号化したのです。事態はエスカレートし、同集団は内部データを公開すると脅しましたが、その後Webサイトからデータを削除して、合意の可能性をほのめかしました。この攻撃は、データがオンライン上に掲載される2週間前に発生しており、この攻撃によってHenry Schein社の業務が一時的に中断しています。同社は、予防措置を講じ、この件を警察に報告し、この件に関わる犯罪科学の専門家に調査を依頼しました。
2023年8月 – セイコーグループ株式会社
セイコーグループ株式会社は、2023年8月に、60,000件の記録が流出したBlackCatランサムウェア集団によるデータ侵害を確認しました。対象となったデータは、顧客データ、取引先の連絡先、求職者の詳細情報、人事情報などです。重要なのは、クレジットカードのデータが安全だったことです。セイコーは、この事件を受けて、外部サーバーとの通信のブロック、EDRシステムの導入、多要素認証の実装など、さまざまなセキュリティ対策を講じました。また、今後はサイバーセキュリティの専門家と連携し、セキュリティの強化や被害の防止に努めていく方針を固めました。
BlackCatランサムウェア攻撃の防止策
BlackCatランサムウェアからシステムおよびデータを保護する方法は、他のランサムウェア亜種による攻撃を阻止するために採用されている保護対策と同様です。これらの保護対策には以下のものが挙げられます。
従業員教育
BlackCatランサムウェアやその他のマルウェアの脅威に対処するための従業員教育には、いくつかの重要なポイントがあります。
- トレーニングでは、ランサムウェアを配信する一般的な手段である、フィッシングメールの見分け方について取り上げる必要があります。
- フィッシングメールは、銀行や運送会社などの信頼できる送信元になりすますことがよくあります。こうしたメールには、ランサムウェアをインストールする悪意のある添付ファイルやリンクが含まれている場合があります。
- 不明な送信者からのメールを取り扱う際には注意することと、不正なダウンロードを避けることが重要です。
- 従業員は、ソフトウェアとアンチウイルスプログラムを常に最新の状態に保ち、疑わしいアクティビティをIT担当者またはセキュリティ担当者に報告する方法を把握しておく必要があります。
- セキュリティ意識向上トレーニングを定期的に実施し、最新のランサムウェアの脅威とその対策のベストプラクティスについて、従業員に常に周知するようにします。これにより、BlackCatランサムウェアインシデントやその他のサイバーセキュリティ上の危険のリスクを軽減することができます。
データ暗号化とアクセス管理
機密情報を保護することは、BlackCatランサムウェアや同様の脅威に対する強力な防御策です。組織は、暗号化とアクセス管理を導入することで、BlackCatランサムウェアの感染リスクと、攻撃が成功した場合の潜在的な影響を大幅に軽減することができます。
- 暗号化とは、対応する復号化キーがない限り事実上解読不可能なコードにデータを変換することです。
- これにより、ランサムウェアがシステムに侵入し、暗号化された情報にアクセスした場合でも、データが保護されます。
- 財務記録、個人情報、ビジネスに必要不可欠なファイルなどの重要なデータは一貫して暗号化する必要があります。
- WindowsのBitLocker、MacのFileVault、サードパーティの暗号化ソフトウェアなど、さまざまな暗号化ツールを使用できます。
- 職務と強固なパスワード要件に基づくユーザー認証および認可プロセスを使用したアクセス管理を実装してデータアクセスを制限することも、同様に必要不可欠です。
- サイバー犯罪者が暗号化されたデータにアクセスできた場合でも、復号化キーがなければその内容には依然としてアクセスすることはできません。復号化キーは、暗号化されたデータとは別の場所に安全に保管する必要があります。
データバックアップ
定期的にデータをバックアップすることは、BlackCatランサムウェアや同様のマルウェアに対する最も効果的な防御策の1つです。
- バックアップとは、必要不可欠なファイルの複製を作成し、外付けハードディスク、クラウドストレージ、別のコンピューターなど、別の場所に保存することです。
- BlackCatランサムウェアに感染した場合、影響を受けたファイルを消去し、バックアップからデータを復元することができます。こうすることで、身代金を支払う必要がなくなり、ファイルが永久に失われるリスクを排除することができます。
- 重要なことは、侵害を防ぐために、主要なコンピューターやネットワークから隔離された場所にバックアップを保管する必要がある点です。推奨される保管方法として、物理的に独立した場所や、堅牢なセキュリティと暗号化プロトコルを備えた評価の高いクラウドストレージサービスなどが挙げられます。
ソフトウェアアップデート
ソフトウェアを定期的にアップデートすることは、BlackCatランサムウェアや関連するマルウェアに対する防御策となります。
- 多くの場合、アップデートには、ランサムウェアの攻撃者が悪用可能なぜい弱性を修正するセキュリティパッチが含まれています。ソフトウェアベンダーは、ぜい弱性が発見されると、悪用を防ぐためにアップデートをリリースします。
- こうしたアップデートには、セキュリティパッチ、バグ修正、新機能などが含まれています。このようなアップデートをおろそかにした場合、システムが攻撃に対してぜい弱な状態になっている可能性があります。
- 攻撃者は、古いオペレーティングシステム、Webブラウザー、プラグインなどのソフトウェアを標的にすることが少なくありません。一貫してアップデートをインストールすることで、セキュリティが強化され、攻撃者がぜい弱性を悪用することが困難になります。
- 自動パッチ管理ソフトウェアを導入すれば、インストールを自動化したり、業務時間外にアップデートをスケジュールしたり、システムアップデートに関する詳細なステータスレポートを発行したりできるため、アップデートプロセスをさらに効率化できるでしょう。このように、定期的な更新と自動パッチ管理を組み合わせることで、BlackCatランサムウェアの感染やその他のサイバー脅威のリスクを軽減することができます。
サイバーセキュリティツールの使用
前述の対策を実装することで、BlackCatランサムウェアに対する防御を大幅に強化することができますが、専用のサイバーセキュリティ製品を使用することで、これらの戦略を補完することが重要です。たとえば、次のような状況があります。
- カスペルスキー プレミアムは、リアルタイムの脅威検知、高度なファイアウォール、継続的なセキュリティのための自動アップデートを備えており、ランサムウェアを含む幅広いサイバー脅威に対する包括的な保護を実現します。
- カスペルスキー VPNは、インターネット接続を暗号化し、安全なサーバーを経由してルーティングして、オンラインセキュリティを強化します。この仕組みは、特に公衆Wi-Fiネットワーク上のデータを保護するうえで理想的です。
- カスペルスキー パスワードマネージャー を使用すると、オンライン上のアカウントに対して一意の強力なパスワードを生成して安全に保管できるため、ランサムウェアに対するさらなる防御策となります。弱いパスワードや再利用されたパスワードによる侵害のリスクを抑えることができます。
結論として、セキュリティ脅威が進化し続けている現状においては、堅牢なサイバーセキュリティ手法と最先端のツールを組み合わせることが極めて重要です。サイバーセキュリティ製品を使用するとともに、従業員教育、データ暗号化、アクセス管理、定期的なデータバックアップ、ソフトウェアアップデートを含む総合的なアプローチを実装すると、オンライン上の安全性が最大限に高まり、BlackCatランサムウェアやその他の悪意のある脅威から身を守ることができます。
BlackCatランサムウェアに関するよくある質問
BlackCatランサムウェアとはどのようなものですか?
ALPHVやALPHV-ngとも呼ばれるBlackCatは、2021年11月に出現し、それ以降、ランサムウェアの分野における重大な脅威となっています。BlackCatは、サービスとしてのランサムウェア(RaaS)として運用されており、これまでで最も高度なRaaS事業の1つと考えられています。BlackCatは、Rustプログラミング言語と恐るべき「三重恐喝」のアプローチを使用している点で注目されています。
BlackCatランサムウェアの被害者の事例にはどのようなものがありますか?
BlackCatは、戦略的に、多額の身代金を支払う能力がある規模の大きな組織を標的としています。通常は数十万ドルから数百万ドルまでの幅広い金額を暗号通貨で支払うよう要求します。同グループのTorのリークサイトで、世界中のさまざまな国の20を超える組織が被害者となったことが明らかになっています。標的となった業種は、ビジネスサービス、建設、エネルギー、ファッション、金融、物流、製造、製薬、小売、テクノロジーなどです。
関連製品
関連記事
