はじめに
今週、パキスタンの国家サイバー緊急対応チーム(NCERT)は、進行中の「Blue Locker」マルウェア攻撃がもたらす「深刻なリスク」について、主要な省庁・機関39カ所に対して勧告を発出したと、NCERTの報道官が日曜日に述べた。報道官は、パキスタンの複数の組織がこのランサムウェアの被害を受けたことも確認した。異例の警告として、受領先には内閣部、内務省、外務省、財務省、通信省、民営化省、宗教省、IT・通信省、法務・司法省、鉄道省、商務省、環境省、産業・生産省、科学技術省が含まれる。その他の受領先には、NECTA、FIA、国家安全保障部、設置部、選挙管理委員会、国民議会、国家IT委員会、PEMRA、NDMA、OGRA、FBRが含まれる。
政府の省庁・機関に対するサイバーセキュリティ脅威の対応、警報、調整を担うNCERTは、南アジアの同国で一部組織がランサムウェアの標的となったことを受けて勧告を出したと、NCERT報道官のイムラン・ハイダー氏は述べた。「パキスタン・ペトロリアムは深刻な影響を受け、他の組織も攻撃されたが、配備済みのシステムが継続的に検知して遮断している」と同氏はArab Newsに語った。
注目すべき点として、この悪意あるサイバー活動は、8月14日に毎年祝われる主要な国民の祝日であるパキスタン独立記念日の祝賀と近接した時期に発生した。このランサムウェア攻撃は、同国の石油・ガス部門の主要企業(Pakistan Petroleum Limited)を標的とした点で重要と見なされ得る。同部門は経済にとって極めて重要である。これらの事象の動機はさまざまに考えられるが、従来型のサイバー犯罪組織が関与している可能性は低く、むしろ国家主体のグループが重要インフラを攻撃している可能性が高い。高度なアクターは、帰属の特定を曖昧にし地政学的文脈を回避するため、しばしばサイバー犯罪を装って活動する。アクターは、テクノロジー、政府サービス、特に石油・ガスを含む複数セクターの組織を積極的に標的としてきた。攻撃はパキスタンおよびアジア各地で確認された被害者に影響を及ぼしている。
Resecurityは「Blue Locker」ランサムウェアのバイナリサンプルを入手し、本レポートで詳細なリバースエンジニアリング分析を提供する。現時点では本件に関する情報が限られているため、サイバーセキュリティコミュニティ内の認知向上と、ネットワーク防御担当者に本活動に関する追加の洞察を提供することを目的とする。
Blue Lockerランサムウェアの概要
「Blue Locker」ランサムウェアは、感染したシステム上のファイルを暗号化し、復号鍵と引き換えに身代金の支払いを要求する悪意あるソフトウェアの一種である。多くのランサムウェア亜種と同様に、「Blue Locker」はPowerShellベースのローダーを介して配布され、セキュリティ防御の無効化、権限昇格、ランサムウェア本体(ペイロード)の読み込みを試みる。
このランサムウェア・ファミリーは通常、暗号化されたファイルに「.blue」または「.bulock16」(または類似)という拡張子を付与し、身代金が支払われない場合に流出データを漏えいまたは販売すると脅す、HOW_TO_BACK_FILES.htmlというタイトルの身代金要求文(ランサムノート)を残す。
配信経路として「Blue Locker」は、フィッシングメール、悪意ある添付ファイル、ドライブバイダウンロード、安全でないリモートアクセスを悪用し、ローカルネットワークやリムーバブルストレージデバイスを介して拡散する可能性がある。アンチウイルス製品で検知できる場合もあるが、攻撃者の鍵なしでの復号は一般に不可能であるため、定期的なバックアップと堅牢なサイバー衛生(セキュリティ運用の基本)が予防と復旧に不可欠である。
CERTの通知と対応
- パキスタンの国家コンピュータ緊急対応チーム(CERT)は最近、「Blue Locker」ランサムウェアがもたらす脅威について、39の省庁に警告を発出した。この警報は脅威の深刻さを強調し、政府組織における重大なデータ損失や業務中断の可能性を示している。
- この勧告は、パキスタン国内の組織を高警戒状態に置き、「Blue Locker」が同国の重要インフラおよび政府機関を積極的に標的としていることを示している。これは、世界的にランサムウェア攻撃が増加している広範な傾向を反映しており、パキスタンがこうしたキャンペーンの具体的な標的となっていることを示す。
注目すべき点として、NCERTは「Blue Locker」ランサムウェアを「Shinra」マルウェア・ファミリーと関連付けており、勧告によればContiおよびBlack Bastaと類似点があるという。動作原理の類似は確かに観察できる一方で、Resecurityは、これらのランサムウェア・ファミリーは過去に確立されたRansomware-as-a-Service(RaaS)モデルによって駆動されていたと解釈しているのに対し、「Blue Locker」の背後にある活動は依然として完全には明らかではない。
パキスタンの省庁に対するCERT通知は、「Blue Locker」ランサムウェア攻撃のリスクを軽減するため、認知を高め、即時の行動を促すことを目的とした予防的措置である。この通知は、警戒レベルの引き上げと、影響を受けるすべての組織における堅牢なサイバーセキュリティ対策の実装の必要性を強調している。
通知にはIOC(侵害指標)の一覧とネットワークインフラの詳細も含まれていた。報告時点では、示されたドメイン名はすでに利用できず、おそらくブロックされたとみられる。これらのドメインは、進行中のキャンペーン期間中の短期間に使用された可能性がある。
Shinra(実際には別のランサムウェア亜種で、Protonマルウェア・ファミリーから発見された派生種)への言及は興味深い。これは2024年4月頃に野外で初めて検知された。Fortinetによる分析によれば、Shinraランサムウェアには「ZhuDongFangYu」など複数の文字列が含まれており、中国、あるいは少なくともアジアが起源地域である可能性を示唆する。
こうした文字列の含有は、帰属を混乱させるためにアクターが広く用いる「偽旗(false flag)」戦術として利用される可能性もある。興味深いことに、2024年5月、イスラエル国家サイバー局(INCD)は、イスラエルの被害者に対するランサムウェア攻撃の報告を受領し、そのランサムウェアは自らを「Shinra」と名乗っていた。独自調査とOSINT検証を通じて、INCDは当該ランサムウェアがProtonランサムウェア・ファミリーの一部であり、同ファミリーは2023年初頭から活動し、起源はイランである可能性が高いと評価した。勧告では、他にも中国の被害者を標的とするLimba、Zolaなどの派生種、さらにCipherやTrustといった名称も挙げられている。
Resecurityは、Limba、Zola、Shinra(パキスタンでのインシデント以前に知られていたProtonランサムウェア・ファミリーの最新派生種の一つ)間の関連を確認しており、この関連は、共通の作者、またはアクター間でのソースコード委譲の可能性によって説明できると考えられる。サイバー犯罪アクターが複数のランサムウェア開発者を雇い、後に特定製品のソースコードをダークウェブ上で移転・収益化することは一般的である。その際、元のコードベースを変えずに、ランサムノートのテンプレート変更や新機能追加などの軽微な調整が行われることが多い。
「Blue Locker」は、Proton系ランサムウェアの優れた特徴を継承しているように見え、確認されたサイバーセキュリティ・インシデントで観測された点に照らすと、この系統における最新の改変の一つと解釈できる。過去の文脈だけに基づいて、今回の攻撃の責任を断定するのは誤りである。別の地域のアクターが容易にサンプルを再利用・再現できるためだ。Resecurityは、Protonランサムウェアのソースコードがダークウェブで販売されているという信頼できる情報も得ている。イランと中国はいずれもパキスタンと安定した外交関係を維持していることを踏まえると、脅威がそこから影響を受けている可能性は低い。むしろ、国外の第三者がこの活動に関与している可能性が高い。
緩和策と推奨事項
- パッチ管理:ランサムウェアが悪用し得る脆弱性を塞ぐため、すべてのOSおよびソフトウェアを最新のセキュリティパッチで更新する。
- 多要素認証(MFA):機密システムやデータへのアクセスに追加のセキュリティ層を加えるため、MFAを強制する。
- データバックアップ:重要データを定期的にバックアップし、攻撃時に暗号化されないよう、バックアップをオフライン、またはメインネットワークからアクセスできない場所に保管する。
- 従業員教育:ランサムウェア配信の一般的なベクターであるフィッシングやソーシャルエンジニアリング手口についてスタッフを教育する。
- ネットワーク分割とアクセス制御:ユーザー権限を制限し、ネットワークを分割して、感染が発生した場合にランサムウェアの拡散を封じ込める。
- インシデント対応計画:ランサムウェア攻撃発生時に迅速かつ連携した対応を確実にするため、インシデント対応計画を策定し、定期的に更新する。
PsyOpの文脈
公式のNCERT通知が公開された頃、複数のアクターが、パキスタン・ペトロリアムに起因する可能性のある侵害をダークウェブ経由で拡散しようとしていることが確認された。当社の評価では、これらの主張は虚偽であるか、あるいは「Blue Locker」ランサムウェアに関わるサイバー攻撃の結果に関する物語を増幅させるために利用された可能性が高い。こうした手口は、恐怖やパニックを生み、注目を高めることを狙ったサイオプ(心理作戦)の一部と解釈できる。
現段階ではデータが実際に漏えいしたという確認はないが、身代金要求文が見つかったPakistan Petroleum Limited(PPL)内のエンドポイント侵害については、同社の報道官が認めている。
PPLの報道官によれば、攻撃は8月6日に発生し、直ちに社内のサイバーセキュリティ手順が発動された。PPLはまた、インシデントの範囲を評価し、サイバー防衛能力をさらに強化するため、包括的なフォレンジック分析を開始した。「私たちは完全な透明性を確保し、安全かつ段階的にシステム機能を全面復旧することにコミットしている」と報道官は述べた。
Pakistan Todayによれば、同社を恐喝するための警告メールがPPL従業員に送信された。「あなたのコンピュータとサーバーは暗号化され、バックアップはネットワークから削除され、コピーされた。我々は、TMCデータ(Sui、Adhiなど)や契約書を含むがそれに限らない、いくつかの業務データと従業員情報を盗んだ……見積もりを添えて連絡しないなら、主流メディアにハッキングを報告し、あなたのデータをソーシャルメディアと競合他社に公開する。」
リバースエンジニアリング
このランサムウェアは、現代の多くのランサムウェアと同様の一般的な構造に従うが、独自の特性と挙動を備えている。以下は「Blue Locker」の動作を段階的に分解したものである:
- 初期感染と配信
「Blue Locker」ランサムウェアは、標的型メールを通じて拡散することが多い。メールは正規のビジネスやサービスを装って正当なものに見せかけ、添付ファイルまたは悪意あるリンクを含む場合がある。
被害者が添付ファイルを開く、または悪意あるリンクをクリックすると、マルウェアはソーシャルエンジニアリング手法を用いて、標的にマルウェア実行のトリガーを引かせる。
- 実行とペイロード展開
実行されると、被害者は複数のディレクトリで身代金要求文(restore_file.txt)を発見し、暗号化されたファイルには「.Blue」拡張子が付与されていることが分かる。
ランサムウェアは自身をKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Runに登録する。
このレジストリキーにより、ランサムウェアは永続化を達成し、静かに実行され、侵害されたシステムに対する制御を維持できる。
また、ShellExecuteWを使用してwmic SHADOWCOPY DELETEを実行し、ファイル復元に役立つバックアップスナップショットを削除する。
「Blue Locker」には、暗号化処理中に意図的にスキップされるフォルダ名のリストが含まれている。これらのディレクトリを除外することで、OSにとって重要なファイルの暗号化を回避する。これにより、即時のシステム不安定化を防ぎ、永続化の維持や検知回避を容易にする可能性がある。
以下のフォルダ名は暗号化対象から除外される:
分析の過程で、私たちは「Blue Locker」が「锗빔爡⳹凑销빉爣ⲻ凛锊빉牑」という一意の難読化文字列を検索していることを確認した。この文字列は中国語の文字のように見えるが、実際には「Chrome.exe」をXORでエンコードした変種である。
この標的プロセスを見つけると、「Blue Locker」はファイルロックを回避してChromeのローカルパスワードデータベースにアクセスするため、強制的にプロセスを終了させる。その後、マルウェアはパスワードファイルを暗号化し、被害者がアクセスできない状態にする。
- 暗号化プロセス
「Blue Locker」ランサムウェアは、AESとRSA暗号アルゴリズムを組み合わせてファイルをロックする。一般的なファイル種別を標的としつつ、システム上重要なファイルや実行ファイルは意図的に回避する。
ランサムウェアは、システム動作への干渉や検知を避けるため、.cat、.bat、.cmd、.ps1、.vbsなどの拡張子を含む複数の拡張子をフィルタリングして除外する。
一意の鍵を生成した後、マルウェアは新しいファイルパスと対応するRSA公開鍵を探索する。その後、ファイル内容を暗号化し、ファイル名に.Blueを付加する。
- 身代金要求文の作成
暗号化が完了すると、「Blue Locker」は通常restore_file.txtという名前の身代金要求文を、被害者のデスクトップおよびファイルが暗号化されたディレクトリに投下する。
- 侵害指標(IOC)
NCERTが共有したIOCに加え、Resecurityは「Blue Locker」ランサムウェアの検知に有用となり得る追加のアーティファクトを入手した。
d3cc6cc4538d57f2d1f8a9d46a3e8be73ed849f7fe37d1d969c0377cf1d0fadc
e6bd4ed287d1336206f5b4b65011e570267418799eb60c2d0d7496d5d9e95a33
6eeb20cc709a18bf8845f7b678967b7f0ff96475cf51a261da87244886bbfd2e
515bd71a8b3c2bce7b40b89ddfe2e94d332b0779d569c58117f8dcdcb8a91ed9
Resecurityは、攻撃者が残した身代金要求文に記載されていた連絡先情報を復元できた。注目すべきことに、匿名かつ安全に被害者と通信するためのProtonmail([email protected])、Jabber IM([email protected])、TOX IMアカウントが含まれていた。
MITRE ATT&CKの技法
| 戦術 | ID | 説明 |
|---|---|---|
| 永続化&権限昇格 | T1547.001 | レジストリのRunキーを通じて永続化を達成し、システム再起動後の実行を確実にする。 |
| 永続化&権限昇格 | T1543 | 永続化および権限昇格のためにシステムサービスを改変する。 |
| 永続化&権限昇格 | T1548.002 | レジストリ操作によりUACを回避し、ユーザーの同意なしに権限を昇格させる。 |
| 防御回避 | T1140 | セキュリティツールやアナリストによる検知を回避するため、難読化および復号(デオブファスケーション)を実装する。 |
| 防御回避 | T1070.006 | タイムスタンプ改ざん(Timestomping)技法を用いてファイルのタイムスタンプを変更し、フォレンジック分析での検知を困難にする。 |
| 防御回避 | T1562.001 | 検知を回避し、セキュリティ制御に中断されることなく永続化を維持するためにUACを無効化する。 |
| 探索 | T1012 | レジストリクエリを実行して、システム構成およびインストール済みソフトウェア情報を収集する。 |
| 探索 | T1057 | 実行中プロセスを列挙し、悪用またはインジェクションの標的とするプロセスを特定する。 |
| プロセスインジェクション | T1087 | 資格情報の収集やシステム間の横展開のためにユーザーアカウントを探索する。 |
| 探索 | T1497 | 動的解析中の検知を回避するため、仮想化環境またはサンドボックス環境を検出する。 |
| 探索 | T1083 | 暗号化または持ち出しの対象となる価値あるファイルを見つけるため、ファイルおよびディレクトリ構造を探索する。 |
| 収集 | T1074 | 持ち出しや追加の悪用の前に、収集したデータを一時ディレクトリまたは既知のディレクトリに準備する。 |
| 収集 | T1056 | 生入力のキャプチャを使用して、アクティブセッション中のユーザー資格情報またはセッションデータを窃取する。 |
| 影響 | T1490 | バックアップシステムを無効化または削除してシステム復旧を阻害し、被害者が暗号化されたファイルを復元できないようにする。 |
| 影響 | T1489 | 暗号化プロセスが中断されないようシステムサービスを停止し、被害を最大化する。 |
結論
「Blue Locker」ランサムウェアは高度で極めて危険な脅威である。ファイル暗号化や身代金要求といった典型的なランサムウェアの挙動を示す一方で、難読化、解析妨害、データ持ち出しの可能性といった高度な回避技術も備えており、個人ユーザーと企業の双方にとって重大な脅威となる。
組織には、以下を含む多層防御戦略の実装が強く推奨される:
- 定期的な更新とパッチ管理。
- 異常な活動に対するネットワーク監視。
- 包括的なバックアップおよび復旧計画。
ランサムウェアの性質が進化し続けることを踏まえると、「Blue Locker」のようなランサムウェアに対抗するには、防御戦略の継続的な監視と適応が重要である。
サイバー脅威インテリジェンス(CTI) は、ランサムウェア攻撃の検知と予防の双方において重要な推進要因でもある。敵対者、攻撃手法、脆弱性に関する実行可能なインテリジェンスを提供することで、CTIは組織に以下を可能にする:
- ランサムウェア脅威を早期に予測・検知する
- インシデントに迅速に対応する
- ランサムウェアの拡散と影響を防ぐ
- セキュリティ態勢を継続的に改善する
CTIをサイバーセキュリティ戦略に統合することは、あらゆるセクターにおけるランサムウェア攻撃のリスクと影響を低減するための実証済みの方法である。
要するに、「Blue Locker」ランサムウェアは、最近のCERT通知が示すとおり、パキスタンの組織、特に政府省庁に対して重大かつ差し迫った脅威を表している。ランサムウェアの高度な能力と二重恐喝の手口により、手強い敵対者となっている。
パキスタン当局は、高警戒の勧告を発出し、重要データとインフラを保護するための予防・緩和策一式を推奨することで対応している。組織には、警戒を維持し、堅牢なサイバーセキュリティ実務を実装し、公式CERTの発信を通じて最新情報を得続けることが求められる。
ランサムウェア攻撃は世界的に急増しており、2018年以降350%増加している。パキスタンもこの傾向の例外ではない。「Blue Locker」ランサムウェアが石油・ガス組織を標的としていることは、脅威アクターが重要インフラおよび公共部門組織に焦点を当てるという世界的なパターンと一致している。
サイバーセキュリティ専門家は、この脅威がパキスタン政府のITインフラにおけるより深い脆弱性を浮き彫りにしていると指摘する。パキスタン軍の元最高技術責任者であるTariq Malik氏は、ほとんどの省庁・部局が高度なサイバー攻撃に対処する備えが不十分だと述べた。「体系的な政策やサイバーセキュリティ枠組みが欠けている」と専門家は共有した。パキスタン情報セキュリティ協会(PISA)会長のAmmar Jaffri氏は、受け身から能動的なサイバーセキュリティ態勢への転換の必要性を強調した。「サイバーセキュリティは一度きりの取り組みではない。脅威は日々進化し、私たちの防御も同様に進化しなければならない」と同氏は述べた。
