コンテンツにスキップするには Enter キーを押してください

インターロック(Interlock)ランサムウェアの脅威が米国と欧州全域に拡大、医療やスマートシティを直撃

投稿日 2025年7月23日

FBI、HHS、CISAによる新たな共同勧告が、インターロックの心理的操作やドライブバイダウンロードや偽のシステム修正といった珍しい侵入経路が、各業界のランサムウェア防御戦略をどのように変革しているかを明らかにしています。

FBI、CISA、米国保健福祉省(HHS)、およびマルチステート情報共有分析センター(MS-ISAC)は、共同サイバーセキュリティ勧告を発表し、インターロック(Interlock)というグループによる新たなランサムウェアの脅威について警告しました。このグループは二重脅迫戦術を用い、米国内の企業や重要インフラ組織を標的にしています。

インターロックのランサムウェア亜種は2024年9月に初めて確認されました。その暗号化ツールはWindowsおよびLinuxオペレーティングシステム向けに設計されています。勧告によると、攻撃者が両プラットフォーム上の仮想マシン(VM)を暗号化した事例が観測されています。

インターロックは珍しい侵入経路を利用

多くのランサムウェア攻撃がフィッシングや公開されたリモートデスクトッププロトコル(RDP)に依存しているのに対し、FBIの調査では、インターロックの攻撃者はドライブバイダウンロードという比較的珍しい手法を使い、正規のウェブサイトを侵害して悪用していることが指摘されています。

また、彼らはClickFixというソーシャルエンジニアリング手法も用いており、システムの問題を解決するふりをして被害者に悪意のあるペイロードを実行させます。侵入後、攻撃者はさまざまな手法で探索、認証情報の取得、ラテラルムーブメント(横展開)を行い、ネットワーク内の他のシステムへと拡散します。

インターロックの攻撃者は二重脅迫モデルを採用しており、データを流出させた後にシステムを暗号化し、被害者に対してデータの復号と漏洩防止の両方を人質に身代金の支払いを迫ります。さらに、身代金要求や支払い方法の指示はランサムノートに記載されていません。代わりに、被害者には固有のコードが与えられ、.onionURLを通じてTorブラウザでランサムウェアグループに連絡するよう指示されると勧告は述べています。

「インターロックを特に危険なものにしているのは、暗号化ペイロードの技術的な新規性ではなく、企業全体における心理的・手続き的な死角を突く巧妙さです。このグループは、Windowsエクスプローラーのアドレスバーのような信頼されたUI要素を利用し、ユーザーの疑念を最小限に抑えつつリモートアクセス型トロイの木馬を実行しています」とGreyhound Researchのチーフアナリスト兼CEOであるSanchit Vir Gogia氏は述べています。「彼らはパッチサイクルやユーザーの習慣、デジタル衛生の前提となる安全性を悪用します。ソーシャル、技術、手続きなど複数のベクトルにまたがって潜伏することで、インターロックはインフラだけでなく信頼やガバナンス体制においても復旧コストを高めています。偽のCAPTCHAプロンプトから偽の“修正”メッセージへの転換は、迅速に学習・適応するアジャイルな脅威アクターであることを示しています。」

標的となる業界とグローバルな広がり

勧告では標的となった組織名は明かされていませんが、北米および欧州の重要インフラやその他の組織が過去に標的となったことが指摘されています。

「医療分野が主な標的となっており、DaVitaKettering Healthが被害に遭っています。教育、テクノロジー、製造業、政府機関も攻撃を受けています」とAnkura ConsultingのシニアマネージングディレクターであるAmit Jaju氏は述べています。「今後は重要インフラ、特にエネルギーや交通、さらに金融サービスも仮想化依存のため脆弱です。」

多層防御がリスク軽減の鍵

これまでインターロックの攻撃者は仮想マシンへの攻撃・暗号化を行ってきましたが、今後はホスト、ワークステーション、物理サーバーも標的となる可能性があります。これらのリスクを軽減するためには、堅牢なエンドポイント検知・対応(EDR)機能の導入と、より広範なセキュリティ強化策が必要です。

主な対策としては、DNSフィルタリング、ウェブアクセスファイアウォール、ClickFixのようなソーシャルエンジニアリング攻撃の検知に向けたユーザー教育の実施が挙げられます。さらに、OS、ファームウェア、アプリケーションの既知の脆弱性へのパッチ適用、ネットワークのセグメント化による初期侵害後の横展開抑止も重要です。

セキュリティチームには、強力なID・認証情報・アクセス管理(ICAM)ポリシーの徹底、ならびに多要素認証(MFA)の全サービスへの導入が推奨されています。

「インターロックのような脅威への防御を強化するため、企業は標準的な勧告を超えた多層的な戦略を採用すべきです。これには、エクスプローラーや[ファイル名を指定して実行]への貼り付け操作をブロックまたは警告するクリップボードおよびUI制御の実装、疑わしい挙動に対するグループポリシーやエンドポイント制限の徹底が含まれます」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。「また、組織はユーザーの実行権限を制限し、システムダイアログやスクリプト実行へのアクセスを制限すべきです。さらに、DNSやウェブフィルタリングは基本的なブロックだけでなく、コンテンツ分析や、侵害されたウェブサイト経由で配信されるスクリプトベースのコピペ攻撃の検知も含めて強化する必要があります。」

企業はまた、身代金依存を避けるため、オフラインかつ変更不可能なバックアップを保持するべきです。

ニュースレターを購読する

編集部からあなたの受信箱へ

下記にメールアドレスを入力して購読を開始してください。

翻訳元: https://www.csoonline.com/article/4027220/interlock-ransomware-threat-expands-across-the-us-and-europe-hits-healthcare-and-smart-cities.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です