Undergroundランサムウェアとは?
2023年7月、サイバーセキュリティの世界に新たな脅威が登場しました。その名も「Underground」ランサムウェアです。このマルウェアは、Windowsデバイスを標的とし、他の一般的なランサムウェアと同様に、ファイルを暗号化して身代金を要求します。
しかし、Undergroundの特徴は、その背後にいる攻撃者グループにあります。「Storm-0978」または「RomComグループ」として知られるこのロシアを拠点とする組織は、単なるサイバー犯罪だけでなく、スパイ活動も行っているとされています。
Undergroundの感染経路と攻撃手法
Storm-0978グループの主な攻撃手法は以下の通りです:
- 改変した正規ソフトウェアを使用して組織のシステムに侵入
- RomComと呼ばれるリモートアクセス型トロイの木馬をインストール
- バックドア(裏口)を作成して長期的なアクセスを確保
さらに、2023年7月に発見されたMicrosoft製品の脆弱性(CVE-2023-36884)を悪用した攻撃も確認されています。この脆弱性は、Microsoft OfficeとWindows HTMLに存在し、欧米の防衛関連組織や政府機関が標的となりました。
Undergroundランサムウェアの動作プロセス
Undergroundランサムウェアが感染すると、以下のような一連のプロセスが実行されます:
- シャドーコピーの削除: データ復元用のバックアップを無効化
- リモートアクセスの設定変更: セッション維持時間を14日間に延長
- Microsoft SQL Serverの停止: データベースファイルの暗号化を可能に
- ランサムノートの作成: 「!!readme!!!.txt」という名前のファイルを生成
- データの窃取と暗号化: ファイルを盗み出した上で暗号化を実行
- 痕跡の消去: ランサムウェアファイルとWindowsイベントログを削除
注目すべき点は、Undergroundが暗号化したファイルの拡張子を変更しないことです。これにより、被害の発見が遅れる可能性があります。
企業が取るべき対策
Undergroundのような新型ランサムウェアから組織を守るためには、以下の対策が重要です:
- パッチ管理の徹底: 特に重要な脆弱性(CVE-2023-36884など)には迅速に対応
- 多層防御の実装: ファイアウォール、アンチウイルス、EDR(Endpoint Detection and Response)など複数の防御層を設置
- バックアップの強化: オフラインバックアップを含む複数のバックアップ戦略を採用
- 従業員教育: フィッシングメールや不審なファイルに対する警戒心を高める
- アクセス制御の強化: 最小権限の原則に基づいたアクセス管理を実施
- ネットワークセグメンテーション: 重要システムを分離し、被害の拡大を防ぐ
- インシデント対応計画の策定: ランサムウェア攻撃を想定した訓練を定期的に実施
Undergroundランサムウェアの出現は、サイバー攻撃の脅威が進化し続けていることを示しています。企業は常に最新の脅威情報を収集し、セキュリティ対策を更新し続ける必要があります。 適切な対策と心構えがあれば、ランサムウェアのような脅威からビジネスを守ることは可能です。
今回紹介した情報を参考に、自社のセキュリティ態勢を見直してみてはいかがでしょうか。