新たに確認されたランサムウェアキャンペーンが、複数地域の中小企業を標的に、インターポールを騙る偽通知を送りつけています。被害者に対し、犯罪行為の証拠と称してマルウェアをダウンロードさせるのが手口です。
このキャンペーンはこれまでに、米国、欧州、アジア、中東の製薬、食品、農業、テクノロジー、メディア、法律サービスなど複数の業界にわたる企業を標的としています。
中小企業を集中的に狙う
今回のキャンペーンで特筆すべきは、中小企業に照準を絞っている点だけではありません。攻撃者がもはや高度なランサムウェアや大規模なサイバー犯罪組織のリソースを持たずとも、破壊的な攻撃を仕掛けられることを浮き彫りにしている点にもあります。Bitdefenderが今週公表したレポートでそう指摘しています。Bitdefenderのセキュリティアナリスト、アリナ・ビズガ氏は「比較的単純なマルウェアであっても、説得力のあるソーシャルエンジニアリングと組み合わされば深刻な脅威となり得ます」と記しています。
Bitdefenderによると、この攻撃はインターポールを装ったフィッシングメールから始まります。メールには、受信者の組織が不審な活動に関する捜査対象になっていると記されています。インターポールの捜査官が、その組織に関連する犯罪行為の情報および映像証拠を入手したと受信者に伝える内容です。他の巧妙なソーシャルエンジニアリングの手口と同様、この偽インターポールメッセージも不審・不正な活動に関連する緊急性を演出しています。
メッセージは被害者に対し、証拠を確認するという名目でProton Driveにホストされたパスワード保護済みのアーカイブファイルをダウンロードするよう指示します。これを開くと、無害な動画ファイルに偽装されたランサムウェアのペイロードが展開され、ローカルシステムを暗号化した上で、Toxというピアツーピア型メッセージングプラットフォームを通じて攻撃者に連絡し、支払いを交渉するよう被害者に促す仕組みです。
Bitdefenderがこのペイロードを分析した結果、初歩的ながらも効果的なランサムウェアのサンプルであることが判明しました。ビズガ氏は「コードには暗号化・復号に使用するパスワードなどがハードコードされており、大規模なランサムウェア攻撃組織に典型的に見られる多くの機能が欠けています」と記しています。
Dark Readingの取材に対しビズガ氏は、このキャンペーンで興味深い点、そして近年ますます一般的になっている点として、身代金の要求額が固定されていないことを挙げています。代わりに、被害組織がToxを通じて攻撃者に連絡を取って初めて、身代金交渉が始まる仕組みです。「この手法は、ランサムウェアのエコシステム全体でますます採用されるようになっている戦術を反映しています」とビズガ氏は述べています。「攻撃者はすべての被害者に対して一律の金額を要求するのではなく、まず接触を図った上で、侵害した組織の規模や支払い能力の見立てに応じて身代金の要求額を調整することが多いのです」。
今回のケースでは、標的となった組織の多くが中小企業とみられ、その大半は自分たちがランサムウェアの攻撃者にとってさほど魅力的な標的ではないだろうという前提で活動していたと考えられます。「中小企業の間で最も広く見られる誤解の一つが、『自分たちは小規模すぎてサイバー犯罪者を引き寄せることはない』というものです」とビズガ氏は指摘します。「今回のようなキャンペーンは、それが単なる思い込みに過ぎないことを証明しています」。
狙いやすい標的なのか
CrowdStrikeのState of SMB Cybersecurity Surveyのデータによると、小規模な組織は大規模な組織に比べて、不釣り合いなほど高い頻度でサイバー攻撃の被害に遭っていることがわかりました。従業員25人未満の中小企業のうち、調査対象の29%がランサムウェア攻撃を受けていました。中小企業のリーダーの94%がサイバー脅威について強く認識していると回答した一方で、3分の2は予算不足がセキュリティ強化の妨げになっていると認めています。Sophosが公表した年次脅威レポートによれば、同社が中小企業の顧客で調査したサイバーインシデントのうち70%をランサムウェアが占め、中堅規模の組織では90%を超えていました。
しかも、こうした数字さえも実態のすべてを物語っているわけではない可能性があります。ビズガ氏によると、最近のBitdefenderの調査では、報告すべきだと認識していながらセキュリティ侵害を報告しないと回答した組織が55%に上りました。「こうした報告の少なさが、より広いセキュリティコミュニティが攻撃の実態の規模を正確に把握することを難しくしており、脅威アクターにとっては、成功した手口を他の組織に対して繰り返し利用する機会を増やす結果にもなっています」。
中小企業は特に脆弱な立場に置かれています。専任のITチームやサイバーセキュリティチーム、正式なインシデント対応手順、定期的なセキュリティ意識向上トレーニングを備えていないケースが多いためです。「同時に、多くの業界でコンプライアンス要件が絶えず変化を続けています」とビズガ氏は述べています。「そのため従業員としては、予期せぬ捜査や規制当局からの通知が本物である可能性を信じ込みやすくなっているのです」。